Hilfe bitte!!!
Gestern beim surfen im Internet kam plötzlich folgender Hinweis auf blauem Hintergrund
A fatal error in IE has occured at 0028:C0011E36 in VXD VMM (01) +
00010E36. Error was caused by trojan-spy.html.smitfraud.c

• system can not function in normal mode.
Please check your settings.

• Scan your PC with any available antivirus / spyware remover program to fix the problem

Ab da ging erst mal nicht mehr viel.
Und von PC Problemen versteh ich sowieso nix, und mein PC Problemlöser sitzt bei Bombenwetter auf BALI. Deswegen such ich hier Hilfe, und wenn möglich so einfach formuliert wie möglich, da mir die meisten Begriffe die ich hier lese vollkommen unbekannt sind.

Den blauen Bildschirm habe ich weg, aber folgende komische Zustände sind eingetreten.
1. Es gibt neben mir einen neuen Benutzer auf dem PC, der heisst Gast. Wie lösche ich diesen Penner von meinem PC?
2. Mein Programm AntiVir will mir weiss machen es ist alles OK auf dem Laptop.
3. Es hat sich ein IE Startseite eingeschlichen die immer wieder drin bleibt, auch wenn ich sie als Startseite austausche.
4. Ich habe installierte Programm die sich nicht löschen lassen. Weder in der Systemsteuerung, noch im Tuneup Programm.
5. Ich kann das Hintergrundbild des Desktops nicht mehr ändern. Die 'Anzeige' ist beschränkt auf den Bildschirmschoner, und die Farbeinstellung??!?

Wie gesagt, ich bin sehr unerfahren in diesen Dingen.
Bin für jegliche Hilfe sehr dankbar!

Franko

Hallo Franko181,

arbeite zunächst die Beschreibung zur Entfernung von Trojaners Smitfraud.c aka Troj/FakeAle-c ab. Danach sehen wir weiter.

Zu1:
Wichtig ist hierbei nur, daß das Gast Konto inaktiv ist, ansonsten ist dies normal.

Hallo Cidre,
Danke schonmal für deinen HInweis. Habe inzwischen mein Antivir upgedatet, und er hat bei einem neuen Durchlauf einiges (9Trojaner ?!) gefunden und gelöscht. Trotzdem gibt es weiterhin neue komische installierte Programme die sich nicht löschen/deinstallieren lassen.
Daher habe ich mir auch dieses HiJacker runtergeladen und in einem 1 Schritt mein Laptop gescant und folg. logfile erhalten.
Vielleicht kann dies jemand mal überfliegen, vorher mache ich erst mal nichts
weiter, d.h. die empfohlenen Schritte zu smitfraud-Entfernung lass ich vorerst mal noch und hoffe auf neue Erkenntnisse mit meinem Logfile.

Danke!!!

Logfile of HijackThis v1.99.1
Scan saved at 13:43:09, on 04.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\tp4mon.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Gemeinsame Dateien\Adobe\Web\AOM.exe
C:\WINDOWS\System32\msiexec.exe
C:\Dokumente und Einstellungen\Franko\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Franko\LOKALE~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Franko\LOKALE~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {A7822A55-C24B-4B41-BF0B-07D7B180326E} - (no file)
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O13 - WWW. Prefix: http://
O18 - Filter: text/html - {03969684-6BE7-4A8A-9332-35491660B039} - (no file)
O18 - Filter: text/plain - {03969684-6BE7-4A8A-9332-35491660B039} - (no file)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\FRANKO\LOKALE~1\TEMP\_VWUPSRV.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing)


Und jetzt noch was peinliches, wie komm ich mit meinem Laptop in den abgesicherten Modus, falls dies notwendig sein wird.

Gruss
Franko

Zitat:

bei einem neuen Durchlauf einiges (9Trojaner ?!) gefunden und gelöscht

Welche Trojaner wurden wo gefunden und gelöscht?
Führe zusätzlich noch den Cleaner aus.

Zitat:

wie komm ich mit meinem Laptop in den abgesicherten Modus, falls dies notwendig sein wird.

Entweder in der Beschreibung von cronos lesen, da wird's erklärt oder Google oder Windows Hilfe bemühen.
btw:
Es ist bei einer sinnvoller Bereinigung immer notwendig, daß dies im abgesicherten Modus geschieht.

Welche Programme kannst du nicht entfernen?

So wie ich das sehe kann ich bei AntiVir lediglich den Kurzreport meines Durchlaufes einsehen, wie die gelöschten Trojaner hiessen kann ich hier nicht mehr nachlesen.

Wenn ich im TuneUp unter installierte Programme nachsehe, gibt es zum das Program
- Search Assistant Uninstall (Deinstallieren ist hier nicht möglich)

Und unter den Programmen, die sich beim Systemstart v. Windows sofort laden:

- SP (Pfad: rundll32..../Temp/se.dll,Dllinstall) (Kann ich auch nicht entfernen, ist beim nächsten Aufrufen der Liste einfach wieder drin).

Sagt dir der Bericht vom HiJacker was?

Gruß
Franko

Wenn ich über Start - Ausführen msconfig eingebe, um so den abgesicherten Modus beim nächsten Start vorzubereiten kommt eine Fehlermeldung, dass msconfig nicht existiert oder beschädigt ist. Auch die Technik mit F8 drücken vor dem Start von Windows gelingt nicht.

Weiter finde ich keine von Cronos beschriebenen Dateien oder Prozesse die (über Killbox) zu löschen sind.
???
Ich kann die Beschreibung also nicht abarbeiten.

Grüße
Franko

Ich hab in meinem Trojaner Frust einfach dieses beschriebene SP Programm per KillBox gelöscht und nach einem Neustart ist zum Glück dieser Shield Assistant Kack nicht mehr zu sehen. Super (hoffe ich!)!

Jetzt brennt mir die Frage:

- Wie kann ich meine geliebte
'Anzeige' Funktion wieder erhalten.
- Wie bekomme ich den Gastbenutzer runter (auch wenn er inaktiv nichts machen kann, er war gestern früh halt noch nicht da)
-Wenn ich IE öffne kommt immer eine About:blank homepage als Startseite, auch nachdem ich es eigentlich geändert hatte.

Danke Leute!!