Hallo zusammen,

ein Bekannter von mir hat sich auf einem XP SP1 (ich weiß, ich weiß...) einen Trojaner der Familie SmitFraud zugezogen. Nach erfolgreichem Einsatz von Spybot S&D und SmitFraudFix.exe ist folgendes Logfile entstanden:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:49:52, on 14.08.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\ZoneLabs\vsmon.exe
G:\WINDOWS\system32\spoolsv.exe
G:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
G:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\System32\VTTimer.exe
G:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
G:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
G:\Programme\HP\HP Software Update\HPWuSchd2.exe
G:\Programme\Java\jre1.6.0_07\bin\jusched.exe
G:\WINDOWS\SOUNDMAN.EXE
G:\WINDOWS\System32\ctfmon.exe
G:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
G:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
G:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
G:\WINDOWS\System32\HPZipm12.exe
G:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
G:\WINDOWS\explorer.exe
G:\Programme\Mozilla Thunderbird\thunderbird.exe
G:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {a1b215d4-4c26-7b48-cfaa-90305f715c33} - (no file)
O3 - Toolbar: bgrqfetx - {968232F5-0910-483D-B059-4C6AB5C785DC} - G:\WINDOWS\bgrqfetx.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [avgnt] "G:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "G:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [HP Software Update] G:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "G:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "G:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = G:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - G:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - G:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1217178822906
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O21 - SSODL: tfnslopk - {1E2AF87C-D605-4A46-AA21-1B815D51AABB} - G:\WINDOWS\tfnslopk.dll (file missing)
O21 - SSODL: xokvrpwg - {0E525AB1-9429-4072-9E62-FF96F5726098} - G:\WINDOWS\xokvrpwg.dll (file missing)
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - G:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - G:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - G:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - G:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5190 bytes



Mir persönlich gefällt

O2 - BHO: (no name) - {a1b215d4-4c26-7b48-cfaa-90305f715c33} - (no file)
O3 - Toolbar: bgrqfetx - {968232F5-0910-483D-B059-4C6AB5C785DC} - G:\WINDOWS\bgrqfetx.dll (file missing)O21 - SSODL: tfnslopk - {1E2AF87C-D605-4A46-AA21-1B815D51AABB} - G:\WINDOWS\tfnslopk.dll (file missing)
O21 - SSODL: xokvrpwg - {0E525AB1-9429-4072-9E62-FF96F5726098} - G:\WINDOWS\xokvrpwg.dll (file missing)

nicht, unter anderem, weil er definitiv derzeit noch einen fiesen Browser-Umleiter drauf hat, der Rest sieht für mich sauber aus.

Was meint Ihr dazu?

Danke und schöne Grüße,
Netgirl

Hallo und

Zitat:

Was meint Ihr dazu?

Für mich wäre das Grund genug, den Rechner flachzumachen und Windows neu zu installieren, denn WinXPSP1 ist extrem anfällig. Aber analysieren könnte man ja noch weiter:

1.) Backlight und Malwarebytes Antimalware ausführen und Logfile posten

2.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

3.) Mach auch ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Hallo root24,

und danke für Deine Antwort. SP1 war wohl nur deshalb, weil kurz vorher eine Reparaturinstallation stattgefunden hatte, die alle Updates plattgemacht hat. Werde beim nächsten Besuch bei meinem Bekannten die Tips gerne ausprobieren und dann die Ergebnisse posten. Trotzdem nochmal die Frage: Ist Dir am jetzigen Logfile (außer den von mir erwähnten Einträgen) was aufgefallen?

Schöne Grüße,
Netgirl

Zitat:

Zitat von Netgirl

Trotzdem nochmal die Frage: Ist Dir am jetzigen Logfile (außer den von mir erwähnten Einträgen) was aufgefallen?

Nein, aber das ist nicht wirklich relevant, da ein HJT-Logfile allein nicht besonders aussagekräftig ist. Acker bitte das ab, was ich schrieb.

Hallo root 24,

nachdem auf dem Rechner noch weitere Probleme (die aber wahrscheinlich nix mit dem Trojaner zu tun hatten) aufgetreten sind, war bei meinem Bekannten die Schmerzgrenze erreicht und wir haben das gesamte System platt gemacht und neu aufgesetzt. Danke trotzdem für Deine Tips

Schöne Grüße,
Netgirl

ja ich musste auch neulich neu aufsetzen.
macht das nach dieser anleitung hier, um erstmal ne sichere basis it dem neuen system zu haben:
http://www.trojaner-board.de/51262-anleitung-neuaufsetzen-des-systems-absicherung.html