Zurück   Trojaner-Board > Archiv - Kein Posten möglich > Archiv

Archiv: Manuelle Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c

Windows 7 Hierhin wurden aus technischen Gründen ca. 1000 Threads des Trojaner-Info Forums verschoben. Die Suche funktioniert hier nicht, und es können nur Modis und Admins posten. Um durch die alten Beiträge zu browsen, bitte auf "Alle Themen anzeigen"

 
Alt 14.05.2005, 20:31   #1
cronos
 
Manuelle Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c - Standard

Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c



Im folgenden findet ihr eine Beschreibung zu Entfernung des Trojaners „Smitfraud.c“. Sophos führt diesen unter dem Namen Troj/FakeAle-c.

Es handelt sich hier weitestgehend um eine Übersetzung des Posts von Pieter_Arntz aus den Wilders Security Forums, der von mir leicht auf unser Forum zugeschnitten wurde.

Alle Vorschläge müssen im abgesicherten Modus Modus durchgeführt werden. Nutzer von Windows XP oder ME sollten auch noch, wie im vorherigen Link beschrieben, die Systemwiederherstellung abschalten.

Zuallererst sollten folgende Programme über Systemsteuerung->Software falls vorhanden deinstalliert werden:

Security IGuard
Virtual Maid
Search Maid


Wichtig: Beachtet bitte, dass für die nächsten Schritte alle Dateien angezeigt werden müssen:

Zitat:
Zitat von Cidre
Windows Explorer (Win Taste +E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"
Als nächstes ist der Taskmanager über die Tastenkombination Strg+Alt+Entf aufzurufen.
Sollten die etwas weiter unten genannten Prozesse laufen, sind diese zu beenden.
Mittels Killbox sind nun folgende Dateien zu löschen:

C:\wp.exe
C:\wp.bmp
C:\bsw.exe
C:\Windows\sites.ini
C:\Windows\popuper.exe
C:\Windows\System32\helper.exe
C:\Windows\System32\intmonp.exe
C:\Windows\System32\msmsgs.exe
C:\Windows\System32\ole32vbs.exe
C:\Windows\system32\msole32.exe
C:\Windows\System32\wldr.dll
C:\Windows\system32\perfcii.ini


Dazu sollte wie folgt vorgegangen werden:

Zitat:
Zitat von Cidre
Lade und öffne KillBox. Kopiere den Pfad der Malware Datei z.B. C:\WINDOWS\system32\fltmgr.dll -> füge diesen in KillBox ein -> wähle die Option 'Delete on reboot' -> rotes X anklicken -> die zwei folgenden Fragen mit 'JA' und 'NEIN' beantworten -> nächsten Pfad einfügen usw. -> wenn du bei der letzten Datei angekommen bist, dann beantworte beide Fragen mit 'JA' und ein Neustart deines Systems wird durchgeführt.
Nach dem Neustart ist wieder wie oben beschrieben in den abgesicherten Modus zu wechseln.Hier bitte auch wieder vergewissern, dass alle Dateien (s.o.) angezeigt werden.
Falls vorhanden, sind jetzt noch folgende Ordner zu löschen:

C:\Program Files\Search Maid
C:\Program Files\Virtual Maid
C:\Windows\System32\Log Files
C:\Program Files\Security IGuard


Ein Reg.File, das die meisten Registryveränderungen rückgängig macht,findet sich hier.Dazu rechtsklick auf den Link, "speichern unter" wählen, danach die gespeicherte Datei aufrufen.Die folgende Frage mit ja beantworten.Veränderungen werden jetzt vorgenommen.

Ist das abgearbeitet muss der Computer neugestartet werden. Wieder in den abgesicherten Modus wechseln. Nun das Programm Hoster öffnen. "Restore Original Hosts" wählen, mit OK bestätigen.

Abschliessend, die hier von Cidre genannten Vorschläge durchführen, das Programm CleanUp laufen lassen und ein Antivirenprogramm über das System laufen lassen, am besten Escan

Nachtrag:

In einer neueren Version werden noch folgende Ordner im Systemordner erstellt (z.B: C:\Windows\System32)

%systemroot%\system32\shnlog.exe
%systemroot%\system32\intmon.exe
%systemroot%\system32\msmsgs.exe
%systemroot%\system32\hhk.dll
%systemroot%\system32\hp***.tmp
<- *** sind zufällig generierte Zeichen.

Der .tmp Ordner wird als BHO installiert und „hijacked“ den Browser nach quicknavigate.com .

Nachdem es sich selbst installiert hat, werden alle vorhandenen BHOs gelöscht.
Demzufolge müßen auch die Programme, wie z.B. Acrobat Reader, neu installiert werden, damit diese wieder voll funktionsfähig sind.

Anm.
Vielen Dank an cronos für die Übersetzung.
Thread geschlossen und als 'Wichtig' markiert!

LG Cidre
S-Mod TB
__________________
Only cronos endures

Geändert von Cidre (18.12.2005 um 17:26 Uhr)

Alt 05.06.2005, 23:46   #2
cronos
 
Manuelle Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c - Standard

Manuelle Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c



********************Update 1*****************************


Eine neue Version namens stealthSWs114.h!dll hoax ist aufgetaucht.
Diese „hijackt“ den Browser nach h**p://www.startsearches.net/ :

Screenshot

Die Funktionsweise dieser Version basiert auf der bekannten und ist wie oben beschrieben zu löschen.
Auch wurde ein neues CLSID für die BHOs entdeckt. Dies erkennt man mittels Hijackthis an folgenden Einträgen:


O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hpC776.tmp


oder

O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\WINDOWS\System32\hp3C2E.tmp

Entsprechende Einträge sind mittels HijackThis zu fixen und die zugehörigen Dateien danach manuell zu löschen.


********************Update 2*****************************

Eine andere Version „wirbt“ für AntivirusGold.

Folgende Einträge werden von HijackThis erkannt:

O4 - HKLM\..\Run: [WindowsFZ] C:\WINDOWS\System32\LogFiles\A5281300.so
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\System32\winnook.exe
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\system32\hookdump.exe

Diese sind mittels Hijackthis zu fixen. Auch hier müssen zugehörige Ordner selbstverständlich manuell gelöscht werden.

Beachte: Je nach verwendetem Betriebssystem können sich die Pfadnamen leicht unterscheiden.

Zusätzlich sind im Windows-Ordner noch folgende Dateien zu löschen:

desktop.html <-- diese gehört zu u.g. Screenshot
screen.html

Das penetrante Hintergrundbild ist wie folgt zu entfernen. :



Diese .reg Datei sollte den Desktop wieder nutzbar machen.

Zitat:
Dazu rechtsklick auf den Link, "speichern unter" wählen, danach die gespeicherte Datei aufrufen.Die folgende Frage mit ja beantworten.Veränderungen werden jetzt vorgenommen.
__________________

__________________

Alt 13.06.2005, 01:11   #3
cronos
 
Manuelle Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c - Standard

Manuelle Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c



********************Update*****************************

Und wieder ist eine neue Version aufgetaucht. Erkennbar an folgendem HJT-Eintrag:

O4 - HKLM\..\Run: [WindowsFZ] C:\WINDOWS\zloader3.exe

Als Desktop-Hintergrund erscheint dieses Bild .
Das im ersten Post erwähnte Reg. File sollte den Desktop wieder nutzbar machen.

Dateien, die zusätzlich noch gelöscht werden müssen:

C:\WINDOWS\zloader3.exe
C:\WINDOWS\system32\oleadm.dll
C:\WINDOWS\system32\oleadm32.dll
C:\WINDOWS\system32\wp.bmp


Desweiteren sollte bei dieser Version ein Onlinscan mit Panda Active Scan durchgeführt werden.
Grund: Die zloader3.exe läd oleadm32.dll nach, die nach einem Reboot, die Original-vorhandene wininet.dll ersetzt. Der Active-Scan sollte diese Datei desinfizieren.
Beachte: Pandas Active Scan wird leider nur durch den IE unterstützt, da ein ActiveX-Steuerelement benötigt wird.
__________________
Anm.

Auf cronos Wunsch hin, wird diese manuelle und teils veralterte Entfernung des Trojaners Smitfraud.c aus der automatischen Anleitung entfernt. Wer die automatische Bereinigung trotzdem vorzieht, der kann diese hier nachlesen.

Gruß Cidre
S-Mod TB
__________________
__________________

Geändert von Cidre (25.09.2005 um 13:39 Uhr)

 

Themen zu Manuelle Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c
abgesicherten modus, anzeige, aufrufe, bho, browser, dateien, ellung, entfernen, escan, explorer, frage, handel, link, log, löschen, malware, namen, neustart, programme, prozesse, rückgängig, software, sophos, speichern unter, system32, systemwiederherstellung, taskmanager, vielen dank, voll, windows, windows explorer, windows xp



Ähnliche Themen: Manuelle Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c


  1. Benötige Hilfe zur Entfernung eines Trojaners
    Log-Analyse und Auswertung - 01.07.2014 (5)
  2. Troj/ZbotMem-B fund von Sophos, manuelle Reinigung erforderlich / Windows 7
    Log-Analyse und Auswertung - 15.12.2013 (11)
  3. Troj/ZbotMem-B, Sophos Quarantäne-Manager fordert manuelle Bereinigung
    Log-Analyse und Auswertung - 06.02.2013 (3)
  4. Brauche Unterstützung bei der Entfernung des GVU Trojaners
    Plagegeister aller Art und deren Bekämpfung - 18.01.2013 (5)
  5. Entfernung des Ukash Trojaners und Dateiwiederherstellung
    Plagegeister aller Art und deren Bekämpfung - 26.06.2012 (24)
  6. Probleme nach Entfernung des BKA-Trojaners
    Plagegeister aller Art und deren Bekämpfung - 03.12.2011 (21)
  7. Entfernung des Bundespolizei/UKASH-Trojaners
    Log-Analyse und Auswertung - 25.08.2011 (13)
  8. Trojaner Smitfraud.c aka Troj/FakeAle-c
    Log-Analyse und Auswertung - 04.06.2006 (4)
  9. mein computer nach der Automatische Entfernung des Trojaners Smitfraud.c aka Troj/Fak
    Log-Analyse und Auswertung - 21.11.2005 (4)
  10. Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c
    Plagegeister aller Art und deren Bekämpfung - 27.07.2005 (3)
  11. Anleitung: Entfernung Smitfraud.c aka Troj/FakeAle-c
    Archiv - 27.07.2005 (0)
  12. PSGuard - Trojaners Smitfraud.c aka Troj/FakeAle-c
    Log-Analyse und Auswertung - 08.07.2005 (1)
  13. PSGuard -> Trojaners Smitfraud.c
    Plagegeister aller Art und deren Bekämpfung - 26.06.2005 (3)
  14. Trojaners Smitfraud.c aka Troj/FakeAle-c (cidre help me)
    Plagegeister aller Art und deren Bekämpfung - 19.06.2005 (4)
  15. Log File bei Troj/FakeAle-c
    Log-Analyse und Auswertung - 12.06.2005 (2)
  16. Hilfe mit escan bei "Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c" ,
    Plagegeister aller Art und deren Bekämpfung - 19.05.2005 (3)
  17. Entfernung des Trojaners
    Mülltonne - 16.03.2005 (0)

Zum Thema Manuelle Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c - Im folgenden findet ihr eine Beschreibung zu Entfernung des Trojaners „Smitfraud.c“. Sophos führt diesen unter dem Namen Troj/FakeAle-c . Es handelt sich hier weitestgehend um eine Übersetzung des Posts von - Manuelle Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c...
Archiv
Du betrachtest: Manuelle Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.