Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: smitfraud variant hijacking browser erfolglos versucht zu entfernen gemäß Anleitung

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 08.03.2006, 16:17   #1
Biggi123
 
smitfraud variant hijacking browser erfolglos versucht zu entfernen gemäß Anleitung - Standard

smitfraud variant hijacking browser erfolglos versucht zu entfernen gemäß Anleitung



Ihr hattet mir letzte Woche schon den Link gesendet, wie man smitfraud entfernen kann, doch trotz mehrmaligen Versuchens findet escan ihn immer noch im Dateisystem. Hat noch jemand einen Tipp, was ich noch tun kann?

Logfile of HijackThis v1.99.1
Scan saved at 17:14:10, on 08.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\PROGRA~1\EzButton\CPLBTS88.EXE
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Apoint2K\Apntex.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Scansoft\PaperPort\pptd40nt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Scansoft\PaperPort\SmartUI\SmartUI.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Brigitte\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CPLBTS88] C:\PROGRA~1\EzButton\CPLBTS88.EXE
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: SmartUI.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O15 - Trusted Zone: http://*.windowsupdate.microsoft.com
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139648008241
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7D57C0B-7ED8-42EC-B139-C71F243A19B9}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Gruß
Biggi

Alt 08.03.2006, 16:32   #2
Wildone
 
smitfraud variant hijacking browser erfolglos versucht zu entfernen gemäß Anleitung - Standard

smitfraud variant hijacking browser erfolglos versucht zu entfernen gemäß Anleitung



Hallo,
hast du smitrem schon laufen lassen? Wenn ja poste mal das Log(C:\smitfiles.txt).

Außerdem kannst du mal deine Temp Dateien mit cleanup! löschen und folgendes machen, aber nur die Dateien des letzten Monats abkopieren!


Grüße Wildone
__________________


Alt 08.03.2006, 17:00   #3
Biggi123
 
smitfraud variant hijacking browser erfolglos versucht zu entfernen gemäß Anleitung - Standard

smitfraud variant hijacking browser erfolglos versucht zu entfernen gemäß Anleitung



Hier kommt smitfile.txt:


smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

Running from
C:\Dokumente und Einstellungen\Brigitte\Desktop\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 744 'explorer.exe'
Killing PID 744 'explorer.exe'

Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deleting files

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~


~~~ Wininet.dll ~~~

CLEAN!
__________________

Alt 08.03.2006, 17:06   #4
Wildone
 
smitfraud variant hijacking browser erfolglos versucht zu entfernen gemäß Anleitung - Standard

smitfraud variant hijacking browser erfolglos versucht zu entfernen gemäß Anleitung



Hallo,
sieht eigentlich alles sauber aus. Kannst du mal die genaue Meldung von Escan posten. Hast du sonst noch Probleme mit Smitfraud? Ausrufezeichen in der Informationsleiste?



Grüße Wildone

Alt 08.03.2006, 17:34   #5
Biggi123
 
smitfraud variant hijacking browser erfolglos versucht zu entfernen gemäß Anleitung - Standard

smitfraud variant hijacking browser erfolglos versucht zu entfernen gemäß Anleitung



Ich habe eigentlich überhaupt keine Probleme gehabt, nur die Virenfundmeldung von e-scan bekommen. Ich weiß auch nicht, was dieser Virus genau macht. Kannst Du mir das sagen? Hier die Meldung von e-scan. Vielen Dank.
Biggi

Wed Mar 08 17:10:21 2006 => Object "smitfraud variant Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


Alt 08.03.2006, 17:45   #6
Wildone
 
smitfraud variant hijacking browser erfolglos versucht zu entfernen gemäß Anleitung - Standard

smitfraud variant hijacking browser erfolglos versucht zu entfernen gemäß Anleitung



Hallo,
normalerweise will einen der Trojaner dazu bringen ein angebliches Antivirenprogramm zu kaufen. Außerdem spioniert er dich aus und lädt andere Dateien nach.
Aber bei dir ist der Trojaner beseitigt, die Escan Meldung kann man getrost ignorieren solange nicht eine Konkrete Datei oder ein Registryeintrag genannt wird auf den er sich bezieht. So richtig konnte noch keiner sagen woher diese "...found in File System" Meldungen genau kommen, mir scheinen sie manchmal nur eine Verkaufsfördernde Maßnahme zu sein.

Ansonsten zukünftig einen großen Bogen um Cracks und Seiten die selbige anbieten machen, außerdem Programme (z.B. Videocodecs) nur aus seriösen Quellen installieren.



Grüße Wildone

Alt 08.03.2006, 18:14   #7
Biggi123
 
smitfraud variant hijacking browser erfolglos versucht zu entfernen gemäß Anleitung - Standard

smitfraud variant hijacking browser erfolglos versucht zu entfernen gemäß Anleitung



o.k. herzlichen Dank für Deine Hilfe

Antwort

Themen zu smitfraud variant hijacking browser erfolglos versucht zu entfernen gemäß Anleitung
adobe, adobe reader, antivir, antivirus, avast, avast!, bho, browser, dsl, entfernen, explorer, firefox, firewall, fraud, helper, hijack, hijackthis, internet, internet explorer, mozilla, mozilla firefox, nvidia, pdf, rundll, smitfraud, software, temp, unknown file in winsock lsp, windows, windows xp



Ähnliche Themen: smitfraud variant hijacking browser erfolglos versucht zu entfernen gemäß Anleitung


  1. Probleme mit FRST gemäß Anleitung AW:Probleme mit static.australianbrewingcompany.com
    Plagegeister aller Art und deren Bekämpfung - 19.01.2014 (41)
  2. Data Recovery Malware eingefangen und gemäß Anleitung hier bekämpft
    Log-Analyse und Auswertung - 06.11.2011 (1)
  3. Whistler@mbr bisher erfolglos versucht zu löschen
    Plagegeister aller Art und deren Bekämpfung - 01.04.2011 (4)
  4. Problem mit smitfraud Browser Hijacker entfernen
    Log-Analyse und Auswertung - 15.02.2008 (4)
  5. smitfraud variant browser hijacker
    Log-Analyse und Auswertung - 02.03.2006 (1)
  6. Browser Hijacking
    Log-Analyse und Auswertung - 01.01.2006 (1)
  7. Anleitung: Entfernung Smitfraud.c aka Troj/FakeAle-c
    Archiv - 27.07.2005 (0)
  8. Browser-Hijacking
    Log-Analyse und Auswertung - 03.01.2005 (1)
  9. Browser Hijacking?
    Plagegeister aller Art und deren Bekämpfung - 18.09.2004 (4)
  10. browser hijacking
    Log-Analyse und Auswertung - 07.09.2004 (1)
  11. browser hijacking allgemein
    Log-Analyse und Auswertung - 29.08.2004 (1)
  12. Problem: Browser Hijacking
    Log-Analyse und Auswertung - 18.08.2004 (23)
  13. Browser Hijacking
    Log-Analyse und Auswertung - 18.08.2004 (1)
  14. Extrem hartnäckiges Browser-Hijacking!
    Log-Analyse und Auswertung - 20.06.2004 (2)
  15. Browser Hijacking
    Plagegeister aller Art und deren Bekämpfung - 07.06.2004 (21)
  16. Browser Hijacking mit Opera ?!
    Plagegeister aller Art und deren Bekämpfung - 01.06.2004 (2)
  17. Browser Hijacking
    Plagegeister aller Art und deren Bekämpfung - 21.03.2004 (1)

Zum Thema smitfraud variant hijacking browser erfolglos versucht zu entfernen gemäß Anleitung - Ihr hattet mir letzte Woche schon den Link gesendet, wie man smitfraud entfernen kann, doch trotz mehrmaligen Versuchens findet escan ihn immer noch im Dateisystem. Hat noch jemand einen Tipp, - smitfraud variant hijacking browser erfolglos versucht zu entfernen gemäß Anleitung...
Archiv
Du betrachtest: smitfraud variant hijacking browser erfolglos versucht zu entfernen gemäß Anleitung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.