Im folgenden findet ihr eine Beschreibung zu Entfernung des Trojaners „Smitfraud.c“. Sophos führt diesen unter dem Namen Troj/FakeAle-c.

Es handelt sich hier weitestgehend um eine Übersetzung des Posts von Pieter_Arntz aus den Wilders Security Forums, der von mir leicht auf unser Forum zugeschnitten wurde.

Alle Vorschläge müssen im abgesicherten Modus Modus durchgeführt werden. Nutzer von Windows XP oder ME sollten auch noch, wie im vorherigen Link beschrieben, die Systemwiederherstellung abschalten.

Zuallererst sollten folgende Programme über Systemsteuerung->Software falls vorhanden deinstalliert werden:

Security IGuard
Virtual Maid
Search Maid

Wichtig: Beachtet bitte, dass für die nächsten Schritte alle Dateien angezeigt werden müssen:

Zitat:

Zitat von Cidre

Windows Explorer (Win Taste +E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Als nächstes ist der Taskmanager über die Tastenkombination Strg+Alt+Entf aufzurufen.
Sollten die etwas weiter unten genannten Prozesse laufen, sind diese zu beenden.
Mittels Killbox sind nun folgende Dateien zu löschen:

C:\wp.exe
C:\wp.bmp
C:\bsw.exe
C:\Windows\sites.ini
C:\Windows\popuper.exe
C:\Windows\System32\helper.exe
C:\Windows\System32\intmonp.exe
C:\Windows\System32\msmsgs.exe
C:\Windows\System32\ole32vbs.exe
C:\Windows\system32\msole32.exe
C:\Windows\System32\wldr.dll
C:\Windows\system32\perfcii.ini

Dazu sollte wie folgt vorgegangen werden:

Zitat:

Zitat von Cidre

Lade und öffne KillBox. Kopiere den Pfad der Malware Datei z.B. C:\WINDOWS\system32\fltmgr.dll -> füge diesen in KillBox ein -> wähle die Option 'Delete on reboot' -> rotes X anklicken -> die zwei folgenden Fragen mit 'JA' und 'NEIN' beantworten -> nächsten Pfad einfügen usw. -> wenn du bei der letzten Datei angekommen bist, dann beantworte beide Fragen mit 'JA' und ein Neustart deines Systems wird durchgeführt.

Nach dem Neustart ist wieder wie oben beschrieben in den abgesicherten Modus zu wechseln.Hier bitte auch wieder vergewissern, dass alle Dateien (s.o.) angezeigt werden.
Falls vorhanden, sind jetzt noch folgende Ordner zu löschen:

C:\Program Files\Search Maid
C:\Program Files\Virtual Maid
C:\Windows\System32\Log Files
C:\Program Files\Security IGuard

Ein Reg.File, das die meisten Registryveränderungen rückgängig macht,findet sich hier.Dazu rechtsklick auf den Link, "speichern unter" wählen, danach die gespeicherte Datei aufrufen.Die folgende Frage mit ja beantworten.Veränderungen werden jetzt vorgenommen.

Ist das abgearbeitet muss der Computer neugestartet werden. Wieder in den abgesicherten Modus wechseln. Nun das Programm Hoster öffnen. "Restore Original Hosts" wählen, mit OK bestätigen.

Abschliessend, die hier von Cidre genannten Vorschläge durchführen, das Programm CleanUp laufen lassen und ein Antivirenprogramm über das System laufen lassen, am besten Escan

Nachtrag:

In einer neueren Version werden noch folgende Ordner im Systemordner erstellt (z.B: C:\Windows\System32)

%systemroot%\system32\shnlog.exe
%systemroot%\system32\intmon.exe
%systemroot%\system32\msmsgs.exe
%systemroot%\system32\hhk.dll
%systemroot%\system32\hp***.tmp <- *** sind zufällig generierte Zeichen.

Der .tmp Ordner wird als BHO installiert und „hijacked“ den Browser nach quicknavigate.com .

Nachdem es sich selbst installiert hat, werden alle vorhandenen BHOs gelöscht.
Demzufolge müßen auch die Programme, wie z.B. Acrobat Reader, neu installiert werden, damit diese wieder voll funktionsfähig sind.

Anm.
Vielen Dank an cronos für die Übersetzung.
Thread geschlossen und als 'Wichtig' markiert!

LG Cidre
S-Mod TB

********************Update 1*****************************


Eine neue Version namens stealthSWs114.h!dll hoax ist aufgetaucht.
Diese „hijackt“ den Browser nach h**p://www.startsearches.net/ :

Screenshot

Die Funktionsweise dieser Version basiert auf der bekannten und ist wie oben beschrieben zu löschen.
Auch wurde ein neues CLSID für die BHOs entdeckt. Dies erkennt man mittels Hijackthis an folgenden Einträgen:


O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hpC776.tmp

oder

O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\WINDOWS\System32\hp3C2E.tmp

Entsprechende Einträge sind mittels HijackThis zu fixen und die zugehörigen Dateien danach manuell zu löschen.


********************Update 2*****************************

Eine andere Version „wirbt“ für AntivirusGold.

Folgende Einträge werden von HijackThis erkannt:

O4 - HKLM\..\Run: [WindowsFZ] C:\WINDOWS\System32\LogFiles\A5281300.so
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\System32\winnook.exe
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\system32\hookdump.exe

Diese sind mittels Hijackthis zu fixen. Auch hier müssen zugehörige Ordner selbstverständlich manuell gelöscht werden.

Beachte: Je nach verwendetem Betriebssystem können sich die Pfadnamen leicht unterscheiden.

Zusätzlich sind im Windows-Ordner noch folgende Dateien zu löschen:

desktop.html <-- diese gehört zu u.g. Screenshot
screen.html

Das penetrante Hintergrundbild ist wie folgt zu entfernen. :



Diese .reg Datei sollte den Desktop wieder nutzbar machen.

Zitat:

Dazu rechtsklick auf den Link, "speichern unter" wählen, danach die gespeicherte Datei aufrufen.Die folgende Frage mit ja beantworten.Veränderungen werden jetzt vorgenommen.

********************Update*****************************

Und wieder ist eine neue Version aufgetaucht. Erkennbar an folgendem HJT-Eintrag:

O4 - HKLM\..\Run: [WindowsFZ] C:\WINDOWS\zloader3.exe

Als Desktop-Hintergrund erscheint dieses Bild .
Das im ersten Post erwähnte Reg. File sollte den Desktop wieder nutzbar machen.

Dateien, die zusätzlich noch gelöscht werden müssen:

C:\WINDOWS\zloader3.exe
C:\WINDOWS\system32\oleadm.dll
C:\WINDOWS\system32\oleadm32.dll
C:\WINDOWS\system32\wp.bmp

Desweiteren sollte bei dieser Version ein Onlinscan mit Panda Active Scan durchgeführt werden.
Grund: Die zloader3.exe läd oleadm32.dll nach, die nach einem Reboot, die Original-vorhandene wininet.dll ersetzt. Der Active-Scan sollte diese Datei desinfizieren.
Beachte: Pandas Active Scan wird leider nur durch den IE unterstützt, da ein ActiveX-Steuerelement benötigt wird.

Für diejenigen, die sich die manuelle Entfernung des o.g. Problems ersparen wollen, folgt hier eine alternative Beschreibung unter Zuhilfenahme eines eigens von Noahdfear dafür geschriebenen Tools, welches alle bisher bekannten Varianten der Smitfraud-Familie entfernen kann, die da wären:

Security IGuard
Virtual Maid
Search Maid
AntiVirusGold
PSGuard
SpySheriff


Zunächst einmal muß die Datei smitrem.zip runtergeladen werden. Danach muß die Datei in einen eigenen Ordner auf dem Desktop entpackt.
Dazu rechtsklick auf die Datei und Dateien entpacken wählen.(Das ist die vorgehensweise für das Programm WINRAR, bei anderen Packprogrammen wird es aber ähnlich funktionieren.).Bitte noch nicht das Tool starten.

Falls man nicht im Besitz der Programme Adaware und Spybot ist, kann man sich diese kostenlos unter den eben genannten Links runterladen. Nach dem runterladen bitte beide Programme updaten. Bitte auch hier noch nicht mit dem Scan beginnen.

Zu guter Letzt wird noch Escan benötigt. Beschreibung und Downloadmöglichkeit sind im vorherigen Link beschrieben.Escan muß natürlich auch upgedatet werden.

Sind alle Programme vorhanden, geht es jetzt los mit der Entfernung:

Als erstes muß in den abgesicherten Modus gewechselt werden. Nutzer von XP und Windows ME müssen zusätzlich die Systemwiederherstellung abschalten. Wie das funktioniert, wird hier beschrieben.

Jetzt im Ordner smitrem auf die Datei Runthis.bat doppelklicken, um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen.
Ist das Tool fertig, started noch DiskCleanup
Das kann etwas länger dauern, da das Tool abschließend noch die Festplatte aufräumt. In Einzelfällen kann das bis zu 3 Stunden dauern, also bitte etwas Geduld mitbringen.

Ist das Tool fertig wird der PC mittels Adaware und Spybot gescannt und alle Funde entfernt. Mit Spybot noch zusätzlich immunisieren.

Unter Systemsteuerung-->Anzeige-->Desktop-->Desktop anpassen-->Web den evtl. vorhandenen Eintrag Security Info entfernen.
Windows 95 und 98 Nutzer müssen hier noch das Häkchen bei Active Desktop als Webseite anzeigen entfernen.

Nun das System mit Escan überprüfen.

Danach muß der PC neugestartet und im normalen Modus gebootet werden.

Jetzt bitte einen Hijackthis-Logfile erstellen und diesen mit den Escan Ergebnissen hier im Board posten. Dazu wäre auch noch das Logfile von smitrem interessant, welches unter C:\smitfiles.txt zu finden ist.

Abschließend noch Dank an noahdfear für die Arbeit, die er sich mit dem Erstellen des Tools gemacht hat und Pieter Arnts, dessen Anleitung ich in groben Zügen übernommen habe.
Auch noch Dank an Gigamail, der mich auf dieses Tool aufmerksam machte.