hi leute,

ich hab dummerweise meine firewall kurz abgeschaltet und dann bin ich ins internet ohne die firewall wieder einzuschalten...MÄCHTIG GROßER FEHLER!

Ich bereues es jetzt gerade.

Plötzlich hat sich in weniger als einer sekunde en trojaner voll ein meinen pc eingelebt...schei***

also folgendes:

System:
Mein Betriebssystem: Windows XP SP1
Virenscanner: AntiVir
Browser: Mozilla Firefox

so...mein antivir erkennt jetzt keinen trojaner mehr auf meiner festplatte, jedoch habe ich immernoch als desktophintergrund folgenden text mit dem tolles blauen hintergrund:

"A fatal error in IE has occured at 0028:C0011E36 in VXD VMM(01) + 00010E36. Error was caused by Trojan-Spy.HTML.Smitfraud.c"

ich hab merkwürdige dateien drauf wie zb.:
istsvc.exe
sys004.exe
sysinit32p2.exe

und die kommen mir nicht gerade bekannt vor, vllt. gehören sie ja doch zu windows...ich weis nicht..HILFE

HILFE ich kann nicht mehr viel machen mit dem PC, ich hoffe ihr könnt mir so schnell wie möglich helfen.

DANKE schon mal im vorraus

Gruß Spain


Hier mal die Logfile von Hijackthis:



Logfile of HijackThis v1.98.2
Scan saved at 20:04:34, on 05.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Stardock\SDMCP.exe
f:\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\Explorer.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\CleverCache\OOCCSVC.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\sysinit32p2.exe
C:\WINDOWS\inet20013\services.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
F:\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\sys004.exe
C:\Programme\ISTsvc\istsvc.exe
F:\CursorXP\CursorXP.exe
C:\bsw.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
f:\Super Spyware Remover\SuperSpywareRemover.exe
F:\Eigene Dateien\Downloads NEW\programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.search-paga.com/10040/
F2 - REG:system.ini: Shell=Explorer.exe sysinit32p2.exe
F3 - REG:win.ini: run=C:\WINDOWS\inet20013\services.exe
O1 - Hosts: <html>
O1 - Hosts: <head>
O1 - Hosts: <meta http-equiv="Content-Language" content="en-us">
O1 - Hosts: <title>P2dll.com install toolbar</title>
O1 - Hosts: <meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
O1 - Hosts: <link href="style.css" rel="stylesheet" type="text/css">
O1 - Hosts: </head>
O1 - Hosts: <body bgcolor="#FFFFFF" background="images/layout_55.gif" leftmargin="0" topmargin="0" marginwidth="0" marginheight="0">
O1 - Hosts: <!-- ImageReady Slices (layout.psd) -->
O1 - Hosts: <table id="Table_01" width="100" height="651" border="0" cellpadding="0" cellspacing="0">
O1 - Hosts: <!-- MSTableType="nolayout" -->
O1 - Hosts: <tr>
O1 - Hosts: <td colspan="11">
O1 - Hosts: <img src="images/layout_01.gif" width="470" height="104" alt=""></td>
O1 - Hosts: <td colspan="5">
O1 - Hosts: <img src="images/layout_02.gif" width="302" height="104" alt=""></td>
O1 - Hosts: <td width="100" rowspan="8" background="images/layout_03.gif">
O1 - Hosts: <img src="images/layout_03.gif" width="8" height="294" alt=""></td>
O1 - Hosts: <td>
O1 - Hosts: <img src="images/spacer.gif" width="1" height="104" alt=""></td>
O1 - Hosts: </tr>
O1 - Hosts: <tr>
O1 - Hosts: <td>
O1 - Hosts: <img src="images/layout_04.gif" width="16" height="42" alt=""></td>
O1 - Hosts: <td>
O1 - Hosts: <A href=/><img src="images/layout_05.gif" width="81" height="42" alt="" border=0></A></td>
O1 - Hosts: <td>
O1 - Hosts: <img src="images/layout_06.gif" width="18" height="42" alt=""></td>
O1 - Hosts: <td colspan="2">
O1 - Hosts: <A href=index?name=about><img src="images/layout_07.gif" width="72" height="42" alt="" border=0></A></td>
O1 - Hosts: <td>
O1 - Hosts: <img src="images/layout_08.gif" width="18" height="42" alt=""></td>
O1 - Hosts: <td>
O1 - Hosts: <A href=write><img src="images/layout_09.gif" width="83" height="42" alt="" border=0></A></td>
O1 - Hosts: <td>
O1 - Hosts: <img src="images/layout_10.gif" width="20" height="42" alt=""></td>
O1 - Hosts: <td>
O1 - Hosts: <A href=index?name=terms><img src="images/layout_11.gif" width="95" height="42" alt="" border=0></A></td>
O1 - Hosts: <td>
O1 - Hosts: <img src="images/layout_12.gif" width="17" height="42" alt=""></td>
O1 - Hosts: <td colspan="3">
O1 - Hosts: <A href=index?name=about><img src="images/layout_13.gif" width="120" height="42" alt="" border=0></A></td>
O1 - Hosts: <td c
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\adobe\reader 5\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inet20013\3.00.05.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "f:\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "F:\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [sys004] C:\WINDOWS\System32\sys004.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20013\services.exe
O4 - HKLM\..\Run: [AVShell] C:\WINDOWS\System32\loader.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CursorXP] f:\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20013\services.exe
O4 - HKCU\..\Run: [WindowsFY] c:\bsw.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://h**p://messenger.zone.msn.com...t.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://h**p://messenger.zone.msn.com...t.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://h**p://messenger.zone.msn.com...o.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{255DFF28-11D3-4E82-9102-F5FCA416B9F5}: NameServer = 192.168.122.252,192.168.122.253

Hallo,

das war in der Tat äusserst unklug. Es wäre aber trotzdem nichts passiert, wenn dein System voll gepatcht wäre!

Arbeite diesen Lösungsweg ab -> http://www.trojaner-board.de/showpos...9&postcount=51

btw:
Was ist denn mit deinem Log-File passiert?

warum?was soll mit meiner log-file passiert sein?..ist da etwa alles ok???

also ich glaub schon das da fehler sind..oder nicht?...ich weisss es nicht :\

Zitat:

was soll mit meiner log-file passiert sein?

Der HTML Code in den O1 Einträge.

Fehler sind genügend in deinem Log-File! Führe deshalb den Lösunsweg aus und dann sehen wir weiter.

versuch ich ja auszuführen, aber ich kann das prgramm "killbox.exe" nicht finden zum downloaden, und der link funktioniert nicht

also der link geht schon...aber ich weis nicht wo ich das programm da finden soll :\

Hiho zusammen /wave

Ich hatte dieses Problem heute auch mit diesem "smitfraud"

Ich habe ca 6 Stunden lang versucht die hier genannten Lösungsvorschlage abzuarbeiten, aber immer ist mir zwischendurch das System entweder abgestürzt oder eingefroren, ich konnte den Workaround nie ganz zu Ende führen.

Nach diser Zeit hatte ich die Nase gestrichen voll und hab mich innerlich schon mal auf eine Neuinstallation von Windows vorbereitet, als mir die Idee kam es mal mit der Systemwiederherstellung zu versuchen...

... gesagt, getan. Ich habe das System auf einen Wiederherstellungspunkt von Vorgestern resettet, und oh Wunder, es ging ohne Probleme.

Ich habe dann als erstes meinen Virenscanner geupdatet, einmal laufen lassen, Virus entfernt.

Jetzt scheint zumindest alles wieder in Ornung zu sein.


Ich bin nicht wirklich bewandert in Hard- und Softwaredingen, und trotz aller Dankbarkeit das mein System wieder läuft wundert es mich doch das es auf diese Weise zustandegekommen ist.

Hat wer ne plausible erklärung ?


Grüße,

Susi

Hallo Susi :-),

ist generell sinnvoll und empfehlenswert, daß die Systemwiederherstellung bei der Bereinigung vorrübergehend deaktiviert wird, damit sich die Malware, die sich mit Vorliebe als Systemdatei ausgibt und so mitgesichert wird, nicht automatisch beim nächsten Systemstart wiederherstellen kann.
Ein zurücksetzen des Systems auf einen früheren Wiederherstellungspunkt kann zwar zum Erfolg führen, aber macht imho keinen Sinn. Sinvoller sind angelegte und saubere Images, die im Bedarfsfall zurückgespielt werden und so, für ein vertrauenswürdiges System sorgen.

Hi!
Ich hatte ebenfalls einen BlueScreen mit folgendem Text:

Zitat:

Zitat von Spain

"A fatal error in IE has occured at 0028:C0011E36 in VXD VMM(01) + 00010E36. Error was caused by Trojan-Spy.HTML.Smitfraud.c"

Danach folgt die Nachricht "Aktive Desktop wiederherstellen", dann nach ca. 3 Sekunden eine Fehlermeldung "explorer.exe hat ein Problem festgestellt und muss beendet werden.". dann klicke ich auf "Problembericht nicht senden" und alles geht wieder von vorne los. D.h. auf gut Deutsch, das ich meinen Explorer nichtmehr benutzen kann, weil er alle 5 Sekunden abstürzt. Habe bereits den Avast! Virenscanner, Adaware und den Spybot drüber laufen lassen, aber bisher hat nichts geholfen.

Hier ist mein HJT Report:


Logfile of HijackThis v1.99.1
Scan saved at 13:16:52, on 10.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\msole32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\DRIVERS\WtSrv.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\hookdump.exe
C:\WINDOWS\System32\WService.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Rene\Desktop\KillBox.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Rene\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\System32\dwwin.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WService] WService.EXE
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\System32\hookdump.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{457F7F66-4D9C-488D-8935-918069BFDABF}: NameServer = 212.185.253.9,194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB01FDC9-24CE-41A1-97C5-57C656369DF4}: NameServer = 217.237.151.97 217.237.150.33
O18 - Filter: application/hta - {D962EF38-5FB0-4761-8638-C86F085E25E6} - C:\WINDOWS\sysdll.reg
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\sysdll.reg
O20 - Winlogon Notify: style2 - C:\WINDOWS\q3854734_disk.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: WinTab Service (WinTabService) - Unknown owner - C:\WINDOWS\System32\DRIVERS\WtSrv.exe




Kann mir jemand weiterhelfen?

@ Achill

Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c

Zitat:

Zitat von Cidre

@ Achill

Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c

Hab Smitfraud wie beschrieben entfernt. Dummerweise krieg ich trotzdem noch alle 3 bis 5 Sekunden die Fehlermeldung "explorer.exe hat ein Problem festgestellt und muss beendet werden.". Nach dem Klicken des "Nicht senden" Buttons startet der Explorer neu, und stürzt nach 5 Sekunden wieder ab. Hat Smitfraud permanenten Schaden angerichtet, oder hab ich noch was übersehen?

Hier mein aktueller HJT Bericht:



Logfile of HijackThis v1.99.1
Scan saved at 14:19:40, on 11.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\WService.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\DRIVERS\WtSrv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Rene\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Rene\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\System32\dwwin.exe

F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WService] WService.EXE
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{457F7F66-4D9C-488D-8935-918069BFDABF}: NameServer = 212.185.253.9,194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB01FDC9-24CE-41A1-97C5-57C656369DF4}: NameServer = 217.237.151.97 217.237.150.33
O18 - Filter: application/hta - {D962EF38-5FB0-4761-8638-C86F085E25E6} - C:\WINDOWS\sysdll.reg
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\sysdll.reg
O20 - Winlogon Notify: style2 - C:\WINDOWS\q3854734_disk.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: WinTab Service (WinTabService) - Unknown owner - C:\WINDOWS\System32\DRIVERS\WtSrv.exe

Dann lass mal folgende Dateien:

C:\WINDOWS\System32\DRIVERS\WtSrv.exe
C:\WINDOWS\System32\msmsgs.exe

hier checken:

http://virusscan.jotti.org/de/

Ggf. mußt du die Prozessse vorher im Taskmanager beenden.
Teile uns das Ergebnis mit.

C:\WINDOWS\System32\DRIVERS\WtSrv.exe
Status:
OK

C:\WINDOWS\System32\msmsgs.exe
Hatte ich bereits per KillBox gelöscht, weil es in einem Lösungsweg um smitfraud zu entfernen beschrieben war.

der explorer stürzt immernoch fleißig alle 5 Sekunden ab. so langsam hab ich garkeine Ahnung mehr was man dagegen machen könnte

Hey Jungs,

klasse Forum! Dieser scheiß is auch endlich von meinem Schirm weg!

Aber was genau ist der Sinn und Zweck von diesem "...smitfraud...", ausser das er ein paar Schaltflächen für die Konfiguration des Desktops verschwinden lässt und mir diesen hässlichen Bluescreen setzt??? Ich hab nämlich keine weiteren Schäden finden können!?!

Bei Smitfraud handelt es sich um eine Mischform aus mehreren Schädlingsarten.
Browser-Hijacking und agressive Adware sind zunächst mal die augenscheinlichsten Auswirkungen.
Und damit gehts dann tatsächlich erstmal ums Geld verdienen.
Über nachladende Dateien wird natürlich auch noch die Möglichkeit gegeben(durch evtl. neuere Versionen), beliebige andere Malware nachzuladen.
Das nur mal so ganz grob.