| |
| |||||||
Archiv: Manuelle Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-cWindows 7 Hierhin wurden aus technischen Gründen ca. 1000 Threads des Trojaner-Info Forums verschoben. Die Suche funktioniert hier nicht, und es können nur Modis und Admins posten. Um durch die alten Beiträge zu browsen, bitte auf "Alle Themen anzeigen" |
14.05.2005, 19:31
| #1 | ||
  |  Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c Im folgenden findet ihr eine Beschreibung zu Entfernung des Trojaners „Smitfraud.c“. Sophos führt diesen unter dem Namen Troj/FakeAle-c. Es handelt sich hier weitestgehend um eine Übersetzung des Posts von Pieter_Arntz aus den Wilders Security Forums, der von mir leicht auf unser Forum zugeschnitten wurde. Alle Vorschläge müssen im abgesicherten Modus Modus durchgeführt werden. Nutzer von Windows XP oder ME sollten auch noch, wie im vorherigen Link beschrieben, die Systemwiederherstellung abschalten. Zuallererst sollten folgende Programme über Systemsteuerung->Software falls vorhanden deinstalliert werden: Security IGuard Virtual Maid Search Maid Wichtig: Beachtet bitte, dass für die nächsten Schritte alle Dateien angezeigt werden müssen: Zitat:
Sollten die etwas weiter unten genannten Prozesse laufen, sind diese zu beenden. Mittels Killbox sind nun folgende Dateien zu löschen: C:\wp.exe C:\wp.bmp C:\bsw.exe C:\Windows\sites.ini C:\Windows\popuper.exe C:\Windows\System32\helper.exe C:\Windows\System32\intmonp.exe C:\Windows\System32\msmsgs.exe C:\Windows\System32\ole32vbs.exe C:\Windows\system32\msole32.exe C:\Windows\System32\wldr.dll C:\Windows\system32\perfcii.ini Dazu sollte wie folgt vorgegangen werden: Zitat:
Falls vorhanden, sind jetzt noch folgende Ordner zu löschen: C:\Program Files\Search Maid C:\Program Files\Virtual Maid C:\Windows\System32\Log Files C:\Program Files\Security IGuard Ein Reg.File, das die meisten Registryveränderungen rückgängig macht,findet sich hier.Dazu rechtsklick auf den Link, "speichern unter" wählen, danach die gespeicherte Datei aufrufen.Die folgende Frage mit ja beantworten.Veränderungen werden jetzt vorgenommen. Ist das abgearbeitet muss der Computer neugestartet werden. Wieder in den abgesicherten Modus wechseln. Nun das Programm Hoster öffnen. "Restore Original Hosts" wählen, mit OK bestätigen. Abschliessend, die hier von Cidre genannten Vorschläge durchführen, das Programm CleanUp laufen lassen und ein Antivirenprogramm über das System laufen lassen, am besten Escan Nachtrag: In einer neueren Version werden noch folgende Ordner im Systemordner erstellt (z.B: C:\Windows\System32) %systemroot%\system32\shnlog.exe %systemroot%\system32\intmon.exe %systemroot%\system32\msmsgs.exe %systemroot%\system32\hhk.dll %systemroot%\system32\hp***.tmp <- *** sind zufällig generierte Zeichen. Der .tmp Ordner wird als BHO installiert und „hijacked“ den Browser nach quicknavigate.com . Nachdem es sich selbst installiert hat, werden alle vorhandenen BHOs gelöscht. Demzufolge müßen auch die Programme, wie z.B. Acrobat Reader, neu installiert werden, damit diese wieder voll funktionsfähig sind. Anm. Vielen Dank an cronos für die Übersetzung.  Thread geschlossen und als 'Wichtig' markiert! LG Cidre S-Mod TB
__________________  Only cronos endures Geändert von Cidre (18.12.2005 um 17:26 Uhr) |
| Themen zu Manuelle Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c |
| abgesicherten modus, anzeige, aufrufe, bho, browser, dateien, ellung, entfernen, escan, explorer, frage, handel, link, log, löschen, malware, namen, neustart, programme, prozesse, rückgängig, software, sophos, speichern unter, system32, systemwiederherstellung, taskmanager, vielen dank, voll, windows, windows explorer, windows xp |
Baum-Darstellung