Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: smitfraud????

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 04.07.2005, 20:10   #1
trojanerhasser999999999
 
smitfraud???? - Standard

smitfraud????



hallo, kann mir jemand bei folgendem logfile helfen? evtl. smitfraud???? bin für jede hilfe dankbar!


Logfile of HijackThis v1.99.1
Scan saved at 21:13:40, on 04.07.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\TBPanel.exe
C:\WINNT\Mixer.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\system32\rundll32.exe
C:\Programme\AVPersonal\INETUPD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Benutzerdaten\Bernd Rißler\Eigene Dateien\Downloads\Tools\Viren und Spyware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.42.2:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINNT\pumba3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINNT\pumba3.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Gainward] C:\WINNT\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemp...veSecurity.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

Alt 04.07.2005, 20:18   #2
Cidre
Administrator, a.D.
 
smitfraud???? - Standard

smitfraud????



Hallo Bernhard,

fixe diese beiden Einträge und lösche die darin enthaltene Datei, sofern sie noch existent ist:
Zitat:
O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINNT\pumba3.dll
O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINNT\pumba3.dll
Dann versuchst du mal dein Problem genauer zu beschreiben und entfernst deinen Realname aus deinem Log-File.

Ansonsten könnte noch ein Scan mit eScan AntiVirus hilfreich sein.

btw:
Hängte deine [9]er Taste zum Zeitpunkt der Namenserstellung?!
__________________

__________________

Alt 04.07.2005, 20:29   #3
trojanerhasser999999999
 
smitfraud???? - Standard

smitfraud????



Hallo cidre!

erst mal danke für die schnelle antwort! wie meinst du dass mit dem realname und vor allem wie kommst du auf bernhard???????????????

mein problem: hab bzw. hatte wohl den smitfraud daruf, hab ein bisschen mit killbox, security task manager u-ä. rumexperimentiert, jetzt siehts´so aus als wär sie sau (sorry!) weg! wollte nur sicher sein und poste hiermit nochmal ein logfile:

Logfile of HijackThis v1.99.1
Scan saved at 21:30:48, on 04.07.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\TBPanel.exe
C:\WINNT\Mixer.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\system32\rundll32.exe
C:\Programme\Security Task Manager\TaskMan.exe
D:\Benutzerdaten\XXX\Eigene Dateien\Downloads\Tools\Viren und Spyware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = XXX.XXX.XXX.XXX:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Gainward] C:\WINNT\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemp...veSecurity.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
__________________

Alt 04.07.2005, 20:45   #4
Cidre
Administrator, a.D.
 
smitfraud???? - Standard

smitfraud????



Zitat:
wie meinst du dass mit dem realname und vor allem wie kommst du auf bernhard?
Weil es in deinem Log-File steht! Also entfernen, denn ich bin es langsam Leid.

Die Ankündigung bzgl. Log-Files hast du gelesen? Wenn Nein, dann schau' mal hier -> http://www.trojaner-board.de/announcement.php?f=20

Ansonsten sehe ich keine Auffälligkeiten mehr.

EDIT:
Nicht Bernhard sondern Bernd.
__________________
Gruß, Cidre


Alt 04.07.2005, 20:52   #5
trojanerhasser999999999
 
smitfraud???? - Standard

smitfraud????



hallo nochmal cidre,

kein grund gleich pampig zu werden, oder???? hab ihn auch im zweiten logfile gelöscht, mancher braucht halt etwas länger.......nicht bös sein!

findest du denn in dem zweiten geposteten logfile noch was verdächtiges??? wär nett wenn du trotz meiner blödheit antworten würdest.........und auch fals ich doch noch irgendwo meinen realname stehen habe.......bernhard find ich nämlich nirgends....


Alt 04.07.2005, 21:06   #6
chaosman
 
smitfraud???? - Standard

smitfraud????



@trojanerhasser999999999
guckst du hier Post 1
D:\Benutzerdaten\Bernd *****\Eigene Dateien\Downloads\Tools\Viren und Spyware\HijackThis.exe
und auch fals ich doch noch irgendwo meinen realname stehen habe..


findest du denn in dem zweiten geposteten logfile noch was verdächtiges???
Ansonsten sehe ich keine Auffälligkeiten mehr.
Post4 von Cidre


chaosman
__________________
--> smitfraud????

Alt 04.07.2005, 21:10   #7
Cidre
Administrator, a.D.
 
smitfraud???? - Standard

smitfraud????



Zitat:
kein grund gleich pampig zu werden, oder?
Es war zwar nicht pampig, aber irgendwann geht halt einem Mal der Gaul durch, wenn man zig Log-Files täglich editiert und immer wieder darauf hinweisen muß, obwohl es eigentlich in der Ankündigung steht.
Im ersten Log-File ist dein Realname unter den laufenden Prozessen noch sichtbar.

Wie geschrieben, wäre die Virus Log Information von eScan noch aufschlußreich.
__________________
Gruß, Cidre


Alt 04.07.2005, 21:20   #8
trojanerhasser999999999
 
smitfraud???? - Standard

smitfraud????



Hallo cidre,

klar kann ich verstehen, nix für ungut. bin halt noch recht unbedarf in puncto foren!

verdächtige escan logfile hier:

Mon Jul 04 22:02:12 2005 => File C:\WINNT\system32\WININET.DLL infected by "Virus.Win32.Nsag.a" Virus! Action Taken: No Action Taken.
Mon Jul 04 22:02:12 2005 => File C:\WINNT\system32\OLEADM.dll infected by "Trojan.Win32.Agent.eo" Virus! Action Taken: No Action Taken.

Alt 04.07.2005, 21:49   #9
trojanerhasser999999999
 
smitfraud???? - Standard

smitfraud????



ich nochmal:

die wininet.dll die im verzeichnis c:\winnt\servicepackfiles liegt scheint i.o. zu sein. praktischerweise hab ich auf dem system auch ein linux installiert. ich wer jetzt ganz frech im linux booten, die datei c:\winnt\system32\wininet.dll durch die datei c:\winnt\servicepackfiles\wininet.dll ersetzen und im windows booten.mal sehen was passiert.

Alt 04.07.2005, 22:02   #10
trojanerhasser999999999
 
smitfraud???? - Standard

smitfraud????



sch.... war's.die datei läßt sich nicht mal im linux umbenennen bzw. ersetzen! hat mir jemand eine idee? bin echt am verzeifeln!

Alt 04.07.2005, 22:12   #11
chaosman
 
smitfraud???? - Standard

smitfraud????



@trojanerhasser999999999
guckst du hier
http://www.trojaner-board.de/showthr...hlight=psguard

posting nr7 dürfte die lösung sein
chaosman
__________________
Bonus vir semper tiro

Alt 04.07.2005, 22:24   #12
trojanerhasser999999999
 
smitfraud???? - Standard

smitfraud????



hallo chaosman,

die datei im ordner system32 läßt sich selbst im abgesicherten modus weder ersetzen noch löschen noch umbenennen. habs wie gesagt sogar mit linux probiert und sogar das weigert sich.

was tun sprach zeus? die götter sind besoffen und der olymp ist vollgekotzt!

Antwort

Themen zu smitfraud????
.com, adobe, antivir, antivir update, benutzerdaten, bho, browser, dll, explorer, fraud, gainward, hijack, hijackthis, hilfe, hotkey, internet, internet explorer, logfile, microsoft, monitor, nvcpl.dll, nvidia, picasa, programme, rundll, smitfraud, software, spyware, system, uleadburninghelper, viren, windows



Ähnliche Themen: smitfraud????


  1. Smitfraud-C.
    Mülltonne - 03.11.2008 (0)
  2. Smitfraud
    Log-Analyse und Auswertung - 12.06.2008 (2)
  3. Smitfraud-C.
    Log-Analyse und Auswertung - 27.04.2008 (2)
  4. Smitfraud
    Log-Analyse und Auswertung - 13.03.2008 (13)
  5. Smitfraud und Co.
    Log-Analyse und Auswertung - 23.04.2007 (2)
  6. Smitfraud
    Plagegeister aller Art und deren Bekämpfung - 29.03.2006 (1)
  7. smitfraud-c
    Log-Analyse und Auswertung - 09.12.2005 (1)
  8. Smitfraud
    Log-Analyse und Auswertung - 06.12.2005 (11)
  9. Smitfraud c. und Doubleclick ...
    Log-Analyse und Auswertung - 29.10.2005 (16)
  10. Smitfraud+PSGuard
    Log-Analyse und Auswertung - 21.09.2005 (4)
  11. smitfraud.c logfiles
    Log-Analyse und Auswertung - 27.08.2005 (4)
  12. Smitfraud C.
    Plagegeister aller Art und deren Bekämpfung - 27.07.2005 (1)
  13. Smitfraud und Co.....
    Plagegeister aller Art und deren Bekämpfung - 24.07.2005 (1)
  14. Smitfraud.c
    Plagegeister aller Art und deren Bekämpfung - 21.07.2005 (1)
  15. Smitfraud.c
    Plagegeister aller Art und deren Bekämpfung - 07.07.2005 (12)
  16. smitfraud entfernt
    Log-Analyse und Auswertung - 27.06.2005 (6)
  17. smitfraud.c
    Plagegeister aller Art und deren Bekämpfung - 30.05.2005 (4)

Zum Thema smitfraud???? - hallo, kann mir jemand bei folgendem logfile helfen? evtl. smitfraud???? bin für jede hilfe dankbar! Logfile of HijackThis v1.99.1 Scan saved at 21:13:40, on 04.07.2005 Platform: Windows 2000 SP4 (WinNT - smitfraud????...
Archiv
Du betrachtest: smitfraud???? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.