Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Thema geschlossen
Alt 14.05.2005, 20:31   #1
cronos
 
Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c - Standard

Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c



Im folgenden findet ihr eine Beschreibung zu Entfernung des Trojaners „Smitfraud.c“. Sophos führt diesen unter dem Namen Troj/FakeAle-c.

Es handelt sich hier weitestgehend um eine Übersetzung des Posts von Pieter_Arntz aus den Wilders Security Forums, der von mir leicht auf unser Forum zugeschnitten wurde.

Alle Vorschläge müssen im abgesicherten Modus Modus durchgeführt werden. Nutzer von Windows XP oder ME sollten auch noch, wie im vorherigen Link beschrieben, die Systemwiederherstellung abschalten.

Zuallererst sollten folgende Programme über Systemsteuerung->Software falls vorhanden deinstalliert werden:

Security IGuard
Virtual Maid
Search Maid


Wichtig: Beachtet bitte, dass für die nächsten Schritte alle Dateien angezeigt werden müssen:

Zitat:
Zitat von Cidre
Windows Explorer (Win Taste +E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"
Als nächstes ist der Taskmanager über die Tastenkombination Strg+Alt+Entf aufzurufen.
Sollten die etwas weiter unten genannten Prozesse laufen, sind diese zu beenden.
Mittels Killbox sind nun folgende Dateien zu löschen:

C:\wp.exe
C:\wp.bmp
C:\bsw.exe
C:\Windows\sites.ini
C:\Windows\popuper.exe
C:\Windows\System32\helper.exe
C:\Windows\System32\intmonp.exe
C:\Windows\System32\msmsgs.exe
C:\Windows\System32\ole32vbs.exe
C:\Windows\system32\msole32.exe
C:\Windows\System32\wldr.dll
C:\Windows\system32\perfcii.ini


Dazu sollte wie folgt vorgegangen werden:

Zitat:
Zitat von Cidre
Lade und öffne KillBox. Kopiere den Pfad der Malware Datei z.B. C:\WINDOWS\system32\fltmgr.dll -> füge diesen in KillBox ein -> wähle die Option 'Delete on reboot' -> rotes X anklicken -> die zwei folgenden Fragen mit 'JA' und 'NEIN' beantworten -> nächsten Pfad einfügen usw. -> wenn du bei der letzten Datei angekommen bist, dann beantworte beide Fragen mit 'JA' und ein Neustart deines Systems wird durchgeführt.
Nach dem Neustart ist wieder wie oben beschrieben in den abgesicherten Modus zu wechseln.Hier bitte auch wieder vergewissern, dass alle Dateien (s.o.) angezeigt werden.
Falls vorhanden, sind jetzt noch folgende Ordner zu löschen:

C:\Program Files\Search Maid
C:\Program Files\Virtual Maid
C:\Windows\System32\Log Files
C:\Program Files\Security IGuard


Ein Reg.File, das die meisten Registryveränderungen rückgängig macht,findet sich hier.Dazu rechtsklick auf den Link, "speichern unter" wählen, danach die gespeicherte Datei aufrufen.Die folgende Frage mit ja beantworten.Veränderungen werden jetzt vorgenommen.

Ist das abgearbeitet muss der Computer neugestartet werden. Wieder in den abgesicherten Modus wechseln. Nun das Programm Hoster öffnen. "Restore Original Hosts" wählen, mit OK bestätigen.

Abschliessend, die hier von Cidre genannten Vorschläge durchführen, das Programm CleanUp laufen lassen und ein Antivirenprogramm über das System laufen lassen, am besten Escan

Nachtrag:

In einer neueren Version werden noch folgende Ordner im Systemordner erstellt (z.B: C:\Windows\System32)

%systemroot%\system32\shnlog.exe
%systemroot%\system32\intmon.exe
%systemroot%\system32\msmsgs.exe
%systemroot%\system32\hhk.dll
%systemroot%\system32\hp***.tmp
<- *** sind zufällig generierte Zeichen.

Der .tmp Ordner wird als BHO installiert und „hijacked“ den Browser nach quicknavigate.com .

Nachdem es sich selbst installiert hat, werden alle vorhandenen BHOs gelöscht.
Demzufolge müßen auch die Programme, wie z.B. Acrobat Reader, neu installiert werden, damit diese wieder voll funktionsfähig sind.

Anm.
Vielen Dank an cronos für die Übersetzung.
Thread geschlossen und als 'Wichtig' markiert!

LG Cidre
S-Mod TB
__________________
Only cronos endures

Alt 05.06.2005, 23:46   #2
cronos
 
Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c - Standard

Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c



********************Update 1*****************************


Eine neue Version namens stealthSWs114.h!dll hoax ist aufgetaucht.
Diese „hijackt“ den Browser nach h**p://www.startsearches.net/ :

Screenshot

Die Funktionsweise dieser Version basiert auf der bekannten und ist wie oben beschrieben zu löschen.
Auch wurde ein neues CLSID für die BHOs entdeckt. Dies erkennt man mittels Hijackthis an folgenden Einträgen:


O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hpC776.tmp


oder

O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\WINDOWS\System32\hp3C2E.tmp

Entsprechende Einträge sind mittels HijackThis zu fixen und die zugehörigen Dateien danach manuell zu löschen.


********************Update 2*****************************

Eine andere Version „wirbt“ für AntivirusGold.

Folgende Einträge werden von HijackThis erkannt:

O4 - HKLM\..\Run: [WindowsFZ] C:\WINDOWS\System32\LogFiles\A5281300.so
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\System32\winnook.exe
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\system32\hookdump.exe

Diese sind mittels Hijackthis zu fixen. Auch hier müssen zugehörige Ordner selbstverständlich manuell gelöscht werden.

Beachte: Je nach verwendetem Betriebssystem können sich die Pfadnamen leicht unterscheiden.

Zusätzlich sind im Windows-Ordner noch folgende Dateien zu löschen:

desktop.html <-- diese gehört zu u.g. Screenshot
screen.html

Das penetrante Hintergrundbild ist wie folgt zu entfernen. :



Diese .reg Datei sollte den Desktop wieder nutzbar machen.

Zitat:
Dazu rechtsklick auf den Link, "speichern unter" wählen, danach die gespeicherte Datei aufrufen.Die folgende Frage mit ja beantworten.Veränderungen werden jetzt vorgenommen.
__________________

__________________

Alt 13.06.2005, 01:11   #3
cronos
 
Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c - Standard

Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c



********************Update*****************************

Und wieder ist eine neue Version aufgetaucht. Erkennbar an folgendem HJT-Eintrag:

O4 - HKLM\..\Run: [WindowsFZ] C:\WINDOWS\zloader3.exe

Als Desktop-Hintergrund erscheint dieses Bild .
Das im ersten Post erwähnte Reg. File sollte den Desktop wieder nutzbar machen.

Dateien, die zusätzlich noch gelöscht werden müssen:

C:\WINDOWS\zloader3.exe
C:\WINDOWS\system32\oleadm.dll
C:\WINDOWS\system32\oleadm32.dll
C:\WINDOWS\system32\wp.bmp


Desweiteren sollte bei dieser Version ein Onlinscan mit Panda Active Scan durchgeführt werden.
Grund: Die zloader3.exe läd oleadm32.dll nach, die nach einem Reboot, die Original-vorhandene wininet.dll ersetzt. Der Active-Scan sollte diese Datei desinfizieren.
Beachte: Pandas Active Scan wird leider nur durch den IE unterstützt, da ein ActiveX-Steuerelement benötigt wird.
__________________
__________________

Alt 27.07.2005, 23:10   #4
cronos
 
Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c - Standard

Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c



Für diejenigen, die sich die manuelle Entfernung des o.g. Problems ersparen wollen, folgt hier eine alternative Beschreibung unter Zuhilfenahme eines eigens von Noahdfear dafür geschriebenen Tools, welches alle bisher bekannten Varianten der Smitfraud-Familie entfernen kann, die da wären:

Security IGuard
Virtual Maid
Search Maid
AntiVirusGold
PSGuard
SpySheriff



Zunächst einmal muß die Datei smitrem.zip runtergeladen werden. Danach muß die Datei in einen eigenen Ordner auf dem Desktop entpackt.
Dazu rechtsklick auf die Datei und Dateien entpacken wählen.(Das ist die vorgehensweise für das Programm WINRAR, bei anderen Packprogrammen wird es aber ähnlich funktionieren.).Bitte noch nicht das Tool starten.

Falls man nicht im Besitz der Programme Adaware und Spybot ist, kann man sich diese kostenlos unter den eben genannten Links runterladen. Nach dem runterladen bitte beide Programme updaten. Bitte auch hier noch nicht mit dem Scan beginnen.

Zu guter Letzt wird noch Escan benötigt. Beschreibung und Downloadmöglichkeit sind im vorherigen Link beschrieben.Escan muß natürlich auch upgedatet werden.

Sind alle Programme vorhanden, geht es jetzt los mit der Entfernung:

Als erstes muß in den abgesicherten Modus gewechselt werden. Nutzer von XP und Windows ME müssen zusätzlich die Systemwiederherstellung abschalten. Wie das funktioniert, wird hier beschrieben.

Jetzt im Ordner smitrem auf die Datei Runthis.bat doppelklicken, um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen.
Ist das Tool fertig, started noch DiskCleanup
Das kann etwas länger dauern, da das Tool abschließend noch die Festplatte aufräumt. In Einzelfällen kann das bis zu 3 Stunden dauern, also bitte etwas Geduld mitbringen.

Ist das Tool fertig wird der PC mittels Adaware und Spybot gescannt und alle Funde entfernt. Mit Spybot noch zusätzlich immunisieren.

Unter Systemsteuerung-->Anzeige-->Desktop-->Desktop anpassen-->Web den evtl. vorhandenen Eintrag Security Info entfernen.
Windows 95 und 98 Nutzer müssen hier noch das Häkchen bei Active Desktop als Webseite anzeigen entfernen.

Nun das System mit Escan überprüfen.

Danach muß der PC neugestartet und im normalen Modus gebootet werden.

Jetzt bitte einen Hijackthis-Logfile erstellen und diesen mit den Escan Ergebnissen hier im Board posten. Dazu wäre auch noch das Logfile von smitrem interessant, welches unter C:\smitfiles.txt zu finden ist.

Abschließend noch Dank an noahdfear für die Arbeit, die er sich mit dem Erstellen des Tools gemacht hat und Pieter Arnts, dessen Anleitung ich in groben Zügen übernommen habe.
Auch noch Dank an Gigamail, der mich auf dieses Tool aufmerksam machte.
__________________
Only cronos endures

Thema geschlossen

Themen zu Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c
abgesicherten modus, anzeige, aufrufe, bho, browser, dateien, ellung, entfernen, escan, explorer, frage, handel, link, log, löschen, malware, namen, neustart, programme, prozesse, rückgängig, software, sophos, speichern unter, system32, systemwiederherstellung, taskmanager, vielen dank, voll, windows, windows explorer, windows xp



Ähnliche Themen: Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c


  1. Benötige Hilfe zur Entfernung eines Trojaners
    Log-Analyse und Auswertung - 01.07.2014 (5)
  2. Brauche Unterstützung bei der Entfernung des GVU Trojaners
    Plagegeister aller Art und deren Bekämpfung - 18.01.2013 (5)
  3. Entfernung des Ukash Trojaners und Dateiwiederherstellung
    Plagegeister aller Art und deren Bekämpfung - 26.06.2012 (24)
  4. Probleme nach Entfernung des BKA-Trojaners
    Plagegeister aller Art und deren Bekämpfung - 03.12.2011 (21)
  5. Entfernung des Bundespolizei/UKASH-Trojaners
    Log-Analyse und Auswertung - 25.08.2011 (13)
  6. Nach Entfernung eines Keyloggers + Trojaners
    Plagegeister aller Art und deren Bekämpfung - 11.09.2009 (39)
  7. RUNDLL-Fehlermeldung nach Entfernung eines Trojaners
    Plagegeister aller Art und deren Bekämpfung - 24.05.2007 (15)
  8. Trojaner Smitfraud.c aka Troj/FakeAle-c
    Log-Analyse und Auswertung - 04.06.2006 (4)
  9. mein computer nach der Automatische Entfernung des Trojaners Smitfraud.c aka Troj/Fak
    Log-Analyse und Auswertung - 21.11.2005 (4)
  10. Anleitung: Entfernung Smitfraud.c aka Troj/FakeAle-c
    Archiv - 27.07.2005 (0)
  11. PSGuard - Trojaners Smitfraud.c aka Troj/FakeAle-c
    Log-Analyse und Auswertung - 08.07.2005 (1)
  12. PSGuard -> Trojaners Smitfraud.c
    Plagegeister aller Art und deren Bekämpfung - 26.06.2005 (3)
  13. Trojaners Smitfraud.c aka Troj/FakeAle-c (cidre help me)
    Plagegeister aller Art und deren Bekämpfung - 19.06.2005 (4)
  14. Manuelle Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c
    Archiv - 13.06.2005 (2)
  15. Log File bei Troj/FakeAle-c
    Log-Analyse und Auswertung - 12.06.2005 (2)
  16. Hilfe mit escan bei "Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c" ,
    Plagegeister aller Art und deren Bekämpfung - 19.05.2005 (3)
  17. Entfernung des Trojaners
    Mülltonne - 16.03.2005 (0)

Zum Thema Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c - Im folgenden findet ihr eine Beschreibung zu Entfernung des Trojaners „Smitfraud.c“. Sophos führt diesen unter dem Namen Troj/FakeAle-c . Es handelt sich hier weitestgehend um eine Übersetzung des Posts von - Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c...
Archiv
Du betrachtest: Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.