Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Smitfraud-C. lässt sich nicht entfernen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.11.2006, 04:24   #1
peugeotkurt 6
 
Smitfraud-C. lässt sich nicht entfernen - Standard

Smitfraud-C. lässt sich nicht entfernen



Hallo
Habe fogendes Problem: Smitfraud-C. lässt sich nicht entfernen.

P4 1.8 xp SP2 (geupdatet) und noch Norten Antivirus 2005 (geupdatet) sind installiert.

Spybot findet Smitfraud-C. und kann ihn entfehrnen, aber nach neustart findet Spybot (geupdatet) ihn trotzdem wieder.
Auf den Smitfraud-C. kam ich auf folgendem Weg:
Norton meldet keinen Virus, alles normal. Plötzlich prüfte Norton ausgehende Mails, die ich nicht verschickte, an mir unbekannte Mailadressen. Norton zeigt an, das er ausgehende Mails auf Viren prüft und das der Empfänger sie ab lehnt. Einige Mails werden nach Virenprüfung versandt. Resultat: So ca. 20 Norton-Prüffenster verpflastern mir dauernd (kommen immer wieder neue) den Bildschirm und verlangsahmen mein PC (100% CPU Auslastung).

Im Internet hab ich leider nichts brauchbares gefunden.
Danach habe hier auf dem Board eine Anleitung gefunden um den Virus zu entfernen:
Systemwiederherstellung off. In den Abgesicherten Modus und dort Smitfiles gestartet und danach mit Spybot (gefunden) und AdawareSe (nichts gefunden) entfernt. Spybot fand ihn danach nicht mehr. Neustart und Virus ist wieder da!

Hier meine Logfiles von HijackThis (geupdatet) und smitRem (geupdatet):

Hier mein
Logfile of HijackThis v1.99.1
Scan saved at 03:15:57, on 14.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton AntiVirus\OPScan.exe
C:\Dokumente und Einstellungen\Computer Name\Desktop\Scheisse coolwebsearch entfernen\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = Yahoo! Deutschland
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: ppctlcab - h**p://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - h**p://www.creative.com/su/ocx/15012/CTSUEng.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - h**p://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - h**p://sib1.od2.com/common/Member/ClientInstall/7.20.0003/OCI/setup.exe
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - h**ps://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {AFAB176A-0D25-436A-8555-286F6D7AA388} (CRegFreezeScanModule Object) - h**p://www.actualresearch.com/de/files/rfscanax.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - h**p://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_de_dl.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - h**p://ax.emsisoft.com/asquared.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://www.creative.com/su/ocx/15012/CTPID.cab
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

*********************************************************
*********************************************************

Hier mein
smitRem © log file
version 3.2
by noahdfear

Microsoft Windows XP [Version 5.1.2600]
"IE"="6.0000"

Running from
C:\Dokumente und Einstellungen\Computer Name\Desktop\smitRem\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Appinitdll check ........ Thank you Grinler!

dumphive.exe (C)2000-2004 Markus Stephany
REGEDIT4

[Windows]
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
"AppInit_DLLs"=""

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

XP Firewall allowed access

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"H:\\GAME COD\\Call of Duty\\CoDUOMP.exe"="H:\\GAME COD\\Call of Duty\\CoDUOMP.exe:*:Enabled:CoDUOMP"
"H:\\Tactical Ops\\System\\TacticalOps.exe"="H:\\Tactical Ops\\System\\TacticalOps.exe:*:Enabled:TacticalOps"
"C:\\Programme\\Real\\RealOne Player\\realplay.exe"="C:\\Programme\\Real\\RealOne Player\\realplay.exe:*:Enabled:RealPlayer"
"C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Programme\\Internet Explorer\\iexplore.exe"="C:\\Programme\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
"H:\\GAME COD\\Call of Duty\\CoDMP.exe"="H:\\GAME COD\\Call of Duty\\CoDMP.exe:*:Enabled:CoDMP"
"H:\\GameSpy Arcade\\Aphex.exe"="H:\\GameSpy Arcade\\Aphex.exe:*:Enabled:GameSpy Arcade"
"H:\\Battlefield 2\\BF2VoipServer.exe"="H:\\Battlefield 2\\BF2VoipServer.exe:*:Enabled:BF2VoipServer"
"H:\\Battlefield 2\\BF2VoipServer_w32ded.exe"="H:\\Battlefield 2\\BF2VoipServer_w32ded.exe:*:Enabled:BF2VoipServer_w32ded"
"C:\\Programme\\Microsoft Office\\OFFICE11\\FRONTPG.EXE"="C:\\Programme\\Microsoft Office\\OFFICE11\\FRONTPG.EXE:*:Enabled:Microsoft Office FrontPage"
"H:\\Ubisoft\\Splinter Cell Pandora Tomorrow\\pandora.exe"="H:\\Ubisoft\\Splinter Cell Pandora Tomorrow\\pandora.exe:*:Enabledandora"
"H:\\Battlefield 2\\BF2.exe"="H:\\Battlefield 2\\BF2.exe:*:Enabled:BF2"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key

PSGuard.com key not present!

checking for WinHound.com key

WinHound.com key not present!

checking for drsmartload2 key

drsmartload2 key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present
AlfaCleaner uninstaller NOT present
SpyFalcon uninstaller NOT present
SpywareQuake uninstaller NOT present
SpywareSheriff uninstaller NOT present
Trust Cleaner uninstaller NOT present
SpyHeal uninstaller NOT present
VirusBurst uninstaller NOT present
BraveSentry uninstaller NOT present
AntiVermins uninstaller NOT present
VirusBursters uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

amcompat.tlb
nscompat.tlb
logfiles

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 784 'explorer.exe'
Killing PID 784 'explorer.exe'

Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deleting files

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Remaining Post-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~ Wininet.dll ~~~

CLEAN!


Soweit meine Bemühungen. Ich hoffe, dass mir jemand von euch weiter helfen kann. Bin schon ganz verzweifelt.

Mfg
peugeotkurt 6

Geändert von peugeotkurt 6 (14.11.2006 um 04:32 Uhr)

Alt 14.11.2006, 04:44   #2
ordell1234
 
Smitfraud-C. lässt sich nicht entfernen - Standard

Smitfraud-C. lässt sich nicht entfernen



Hallo,

prüfe mal
Zitat:
C:\WINDOWS\system32\rpcc.dll
bei virustotal und poste bitte das vollständige log incl. Dateigröße. Gruß
__________________


Alt 14.11.2006, 05:32   #3
peugeotkurt 6
 
Smitfraud-C. lässt sich nicht entfernen - Standard

Smitfraud-C. lässt sich nicht entfernen



Hallo ordell1234
Mein PC läuft leider sehr langsam wegen dieses Smitfraud-C.
hier der Virustotal-Log von rpcc.dll:

STATUS: FINISHEDComplete scanning result of "rpcc.dll", received in VirusTotal at 11.14.2006, 06:21:59 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.39 11.13.2006 no virus found
Authentium 4.93.8 11.14.2006 no virus found
Avast 4.7.892.0 11.13.2006 no virus found
AVG 386 11.13.2006 no virus found
BitDefender 7.2 11.14.2006 no virus found
CAT-QuickHeal 8.00 11.13.2006 no virus found
ClamAV devel-20060426 11.13.2006 no virus found
DrWeb 4.33 11.13.2006 no virus found
eTrust-InoculateIT 23.73.54 11.14.2006 no virus found
eTrust-Vet 30.3.3190 11.13.2006 no virus found
Ewido 4.0 11.13.2006 no virus found
Fortinet 2.82.0.0 11.14.2006 no virus found
F-Prot 3.16f 11.14.2006 no virus found
F-Prot4 4.2.1.29 11.14.2006 no virus found
Ikarus 0.2.65.0 11.13.2006 no virus found
Kaspersky 4.0.2.24 11.14.2006 no virus found
McAfee 4894 11.13.2006 no virus found
Microsoft 1.1609 11.14.2006 no virus found
NOD32v2 1864 11.13.2006 no virus found
Norman 5.80.02 11.13.2006 no virus found
Panda 9.0.0.4 11.13.2006 no virus found
Sophos 4.11.0 11.13.2006 no virus found
TheHacker 6.0.1.117 11.12.2006 no virus found
UNA 1.83 11.13.2006 no virus found
VBA32 3.11.1 11.13.2006 no virus found
VirusBuster 4.3.15:9 11.13.2006 no virus found

Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

Danke, ist laut Log Virus frei.
Mfg
peugeotkurt 6
__________________

Alt 14.11.2006, 05:38   #4
ordell1234
 
Smitfraud-C. lässt sich nicht entfernen - Standard

Smitfraud-C. lässt sich nicht entfernen



Hmm, hab ich mir gedacht. Kopiere die Datei auf den Desktop und benenne sie in rpcc1.ren um. Versuche eine erneute Auswertung. Sollte sich die Datei nicht kopieren lassen, versuche es im abgesicherten Modus (F8 beim Windowsstart). Führe bitte zusätzlich einen scan mit blacklight aus und poste das log.

Alt 14.11.2006, 06:54   #5
peugeotkurt 6
 
Smitfraud-C. lässt sich nicht entfernen - Standard

Smitfraud-C. lässt sich nicht entfernen



Im abgesicherten Modus, ohne Netzwerktreiber und ohne Eingabeaufforderung, lässt sich die rpcc.dll leider auch nicht kopieren, da sie verwendet werde.
Blacklight findet nichts. Zeigt die gleichen Laufenden Prozesse am Schluss der Prüfung an wie der Taskmanager. Logfile habe ich keins gefunden bei der Build 2.2.1050 Version. Ist nur ne Exe die man nicht installieren kann.
Muss arbeiten gehen. Bis bald. Mfg


Geändert von peugeotkurt 6 (14.11.2006 um 07:11 Uhr)

Alt 14.11.2006, 17:21   #6
peugeotkurt 6
 
Smitfraud-C. lässt sich nicht entfernen - Standard

Smitfraud-C. lässt sich nicht entfernen



Nachtrag: Hab das Logfile von blacklight gefunden. Hatte es vor lauter Mailprüffenster übersehen.

11/14/06 07:49:31 [Info]: BlackLight Engine 1.0.47 initialized
11/14/06 07:49:31 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/14/06 07:49:32 [Note]: 7019 4
11/14/06 07:49:32 [Note]: 7005 0
11/14/06 07:50:03 [Note]: 7006 0
11/14/06 07:50:04 [Note]: 7011 1412
11/14/06 07:50:05 [Note]: 7026 0
11/14/06 07:50:05 [Note]: 7026 0
11/14/06 07:50:30 [Note]: FSRAW library version 1.7.1020
11/14/06 07:50:30 [Note]: 7007 0

Vielleicht hat jemand auch die selben Probleme gehabt und ne Lösung gefunden?

Geändert von peugeotkurt 6 (14.11.2006 um 17:30 Uhr)

Alt 14.11.2006, 17:28   #7
ordell1234
 
Smitfraud-C. lässt sich nicht entfernen - Standard

Smitfraud-C. lässt sich nicht entfernen



Ich Depp habe heute morgen vergessen, dir zu sagen, dass du diesen Eintrag
Zitat:
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
mit HJT fixen mußt.

Also das Spiel noch einmal, aber mit veränderten Regeln: Fixe den Eintrag mit HJT, lade dir die Killbox, aktiviere delete on reboot, füge die Datei C:\WINDOWS\system32\rpcc.dll in das Fenster ein, klicke auf das weiße Kreuz vor rotem Hintergrund (löschen) und starte jetzt neu.

Es sollte sich jetzt im Ordner C:\!Killbox die Datei befinden. Versuche sie erneut in rpcc1.ren umzubennen und auswerten zu lassen. Ich vermute eine Backdoorinfektion, deshalb ist die Auswertung der Datei wichtig.

Gruß

Alt 14.11.2006, 19:19   #8
peugeotkurt 6
 
Smitfraud-C. lässt sich nicht entfernen - Standard

Smitfraud-C. lässt sich nicht entfernen



Gut. Hab mir Killbox besorgt. Ab in den abgesicherten Modus. Mit HJT die rpcc.dll fixen wollen. HJT sagt: gefixt. Nochmals HJT, und Eintrag ist wieder da?! Killbox ausgeführt nach deiner Anleitung. Nach Neustart keine rpcc.dll mit HJT zu finden. Auch keine im Ordner C:\!Killbox. Nur eine Log-Datei:

Pocket Killbox version 2.0.0.881
Running on Windows XP as "Computer Name"(Administrator)
was started @ Dienstag, November 14, 2006, 7:05 PM

# 1 [Delete on Reboot]
Path = C:\WINDOWS\system32\rpcc.dll

I Rebooted @ 7:08:54 PM
Killbox Closed(Exit) @ 7:08:55 PM

Keine Imails werden mehr versandt!
Super!
S&D findet Regeintrag von rpcc.dll namens Smitfraud-C. Mit S&D gelöscht. Neustart und S&D findet KEINEN Smitfraud-C. mehr!
Alles scheint in Ordnung zu sein. Hab PC ausgeschltet, Strom weg, Neustart Virus immer noch weg.

Aem... Muss noch dazu sagen, dass ich bei diesem letzten Versuch die Systemwiederherstellung vergessen hab auszuschalten und trotzdem "verschwand" das Virus. Aber mit S&D Imunisiert hatte ich.
Ich Beobachte mal ob das so bleibt. Wenn nicht melde ich mich wieder hier um zu berichten.
Vielen, vielen Dank für die schnelle, kompetente Hilfe von Dir ordell1234. Bin echt glücklich das es ein trojaner-board.de gibt. Super.

Noch eine Frage. Für was war die Dll eigentlich? Für Windows? Oder nur eine Virus-Datei? Ich hoffe das die dll keinem Programm fehlt!? Und wenn, auch nicht so schlimm. Alles wichtige läuft und in ca.3 Monaten gibts nen neuen PC.

Mfg
peugeotkurt 6

Geändert von peugeotkurt 6 (14.11.2006 um 20:05 Uhr)

Alt 14.11.2006, 20:41   #9
ordell1234
 
Smitfraud-C. lässt sich nicht entfernen - Standard

Smitfraud-C. lässt sich nicht entfernen



Naja, ist anders gelaufen als ich wollte. Dass die Killbox die gelöschten Dateien nicht speichert, habe ich wohl falsch in Erinnerung. Nun gut. Folge dieser Anleitung und poste bitte die geforderten logs (rapport.txt und ein HJT-log). Mache abschließend einen onlinescan bei Kaspersky und poste bitte auch dieses log.

Da eine backdoor-infektion imho nicht auszuschließen ist, solltest du allerdings das System neu aufsetzen. Die Arbeit wirst du dir wegen drei Monaten leider nicht machen; dann ändere wenigstens alle Paßwörter und behalte den Rechner im Auge. Gruß ordell1234

edit: Die rpcc.dll gehört nicht zu Windows, sondern ist ein Schädling, ich vermute Backdoor.Win32.Bifrose.aat. Systemwichtige *.dll speichert XP unter C:\Windows\system32\dllcache und stellt sie für den Fall versehentlichen Löschens bei einem Neustart automatisch wieder her.

Geändert von ordell1234 (14.11.2006 um 21:01 Uhr)

Alt 14.11.2006, 21:10   #10
peugeotkurt 6
 
Smitfraud-C. lässt sich nicht entfernen - Standard

Smitfraud-C. lässt sich nicht entfernen



Werde rapport.txt und ein HJT-log am Wochenede posten. Hab jetzt keine Zeit mehr. Muss morgen früher raus als heute morgen.
Mfg
peugeotkurt

Alt 17.11.2006, 20:07   #11
peugeotkurt 6
 
Smitfraud-C. lässt sich nicht entfernen - Standard

Smitfraud-C. lässt sich nicht entfernen



Hier noch der rapport.txt und ein HJT-log.

Hab mit SmitfraudFix noch nichts gelöscht.

SmitFraudFix v2.122
Scan done at 19:24:31.59, 17.11.2006
Run from C:\Dokumente und Einstellungen\Computer Name\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Computer Name

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Computer Name\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End


******************************************************************************************************************


Logfile of HijackThis v1.99.1
Scan saved at 19:06:43, on 17.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\notepad.exe
C:\Dokumente und Einstellungen\Computer Name\Desktop\Scheisse coolwebsearch entfernen\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.ch/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = h**p://de.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: ppctlcab - h**p://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - h**p://www.creative.com/su/ocx/15012/CTSUEng.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - h**p://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - h**p://sib1.od2.com/common/Member/ClientInstall/7.20.0003/OCI/setup.exe
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - h**ps://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {AFAB176A-0D25-436A-8555-286F6D7AA388} (CRegFreezeScanModule Object) - h**p://www.actualresearch.com/de/files/rfscanax.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - h**p://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_de_dl.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - h**p://ax.emsisoft.com/asquared.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://www.creative.com/su/ocx/15012/CTPID.cab
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Mfg
peugeotkurt 6

Alt 17.11.2006, 20:12   #12
peugeotkurt 6
 
Smitfraud-C. lässt sich nicht entfernen - Standard

Smitfraud-C. lässt sich nicht entfernen



Und bei Kasperskylog sind die vielen Einträge von Norton-Quarantäne und bei den anderen Einträgen bin ich mir nicht sicher.

Ausser ev. das:

C:\System Volume Information\_restore{1F405695-2667-4970-9FCC-745DECEE26D3}\RP1\A0004056.dll Infizierte Objekte: Trojan.Win32.Obfuscated.u übersprungen

Ist das ein Virus oder Quarantäne von Norton etc.?
Und wie lösche ich das am besten?

Darum habe ich auch mit Kaspersky nichts gelöscht.

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Freitag, 17. November 2006 20:42:52
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 17/11/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 228947
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Ordner:
C:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 66421
Viren gefunden: 36
Infizierte Objekte gefunden: 79 / 0
Verdächtige Objekte gefunden: 3
Untersuchungszeit: 00:52:34

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\settings.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\LiveUpdate\2006-11-17_Log.ALUSchedulerSvc.LiveUpdate Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Computer Name\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Computer Name\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Computer Name\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Computer Name\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Computer Name\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Computer Name\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006111720061118\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Computer Name\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Computer Name\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcrst.dll Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDALRT.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDCON.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDDBG.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDFW.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDIDS.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSYS.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPPolicy.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPStart.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPStop.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton AntiVirus\AVApp.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton AntiVirus\AVError.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton AntiVirus\AVVirus.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton AntiVirus\Quarantine\01414939.exe Infizierte Objekte: Trojan-Downloader.Win32.Harnig.g übersprungen
C:\Programme\Norton AntiVirus\Quarantine\01447335.exe Infizierte Objekte: Trojan-Spy.Win32.Lorex.b übersprungen
C:\Programme\Norton AntiVirus\Quarantine\01447335.htm Infizierte Objekte: Exploit.HTML.Mht übersprungen
C:\Programme\Norton AntiVirus\Quarantine\014A472E.exe Infizierte Objekte: Trojan-Downloader.Win32.Harnig.g übersprungen
C:\Programme\Norton AntiVirus\Quarantine\01975B4C.tmp Infizierte Objekte: Backdoor.Win32.Delf.bz übersprungen
C:\Programme\Norton AntiVirus\Quarantine\06757C31.class Infizierte Objekte: Trojan.Java.ClassLoader.l übersprungen
C:\Programme\Norton AntiVirus\Quarantine\07CC1E66.exe Infizierte Objekte: Trojan-Dropper.Win32.Mute übersprungen
C:\Programme\Norton AntiVirus\Quarantine\07FD00D2.tmp Infizierte Objekte: Trojan-Dropper.Java.Beyond.d übersprungen
C:\Programme\Norton AntiVirus\Quarantine\0FAB6183.class Infizierte Objekte: Exploit.Java.ByteVerify übersprungen
C:\Programme\Norton AntiVirus\Quarantine\10114A87.exe Infizierte Objekte: Trojan-Clicker.Win32.Small.k übersprungen
C:\Programme\Norton AntiVirus\Quarantine\11F30639.tmp Infizierte Objekte: Trojan.Java.ClassLoader.c übersprungen
C:\Programme\Norton AntiVirus\Quarantine\13960488.exe Infizierte Objekte: Trojan-Clicker.Win32.Small.k übersprungen
C:\Programme\Norton AntiVirus\Quarantine\148652B7 Infizierte Objekte: Trojan-Downloader.Win32.Small.fa übersprungen
C:\Programme\Norton AntiVirus\Quarantine\161B6BBA.exe Infizierte Objekte: Trojan-Clicker.Win32.Small.k übersprungen
C:\Programme\Norton AntiVirus\Quarantine\1C9D5E8E.exe Infizierte Objekte: Trojan-DDoS.Win32.Boxed.w übersprungen
C:\Programme\Norton AntiVirus\Quarantine\1E051D32.exe Infizierte Objekte: Trojan-Downloader.Win32.IstBar.hp übersprungen
C:\Programme\Norton AntiVirus\Quarantine\1F525490.tmp Infizierte Objekte: Trojan.Java.ClassLoader.i übersprungen
C:\Programme\Norton AntiVirus\Quarantine\2647328D.htm Verdächtige Objekte: Exploit.HTML.Mht übersprungen
C:\Programme\Norton AntiVirus\Quarantine\2BD326D6.class Infizierte Objekte: Trojan.Java.ClassLoader.l übersprungen
C:\Programme\Norton AntiVirus\Quarantine\2BD97ACF.js Infizierte Objekte: Trojan-Downloader.JS.Psyme.m übersprungen
C:\Programme\Norton AntiVirus\Quarantine\2E62225E Infizierte Objekte: EICAR-Test-File übersprungen
C:\Programme\Norton AntiVirus\Quarantine\2FA234FD.com Infizierte Objekte: EICAR-Test-File übersprungen
C:\Programme\Norton AntiVirus\Quarantine\2FB90BFD.exe Infizierte Objekte: Trojan-Clicker.Win32.Small.k übersprungen
C:\Programme\Norton AntiVirus\Quarantine\2FE726B2.com Infizierte Objekte: EICAR-Test-File übersprungen
C:\Programme\Norton AntiVirus\Quarantine\304C3C43.txt Infizierte Objekte: EICAR-Test-File übersprungen
C:\Programme\Norton AntiVirus\Quarantine\309701F0 Infizierte Objekte: EICAR-Test-File übersprungen
C:\Programme\Norton AntiVirus\Quarantine\30FA34BE.tmp Infizierte Objekte: Trojan.Java.ClassLoader.k übersprungen
C:\Programme\Norton AntiVirus\Quarantine\31133D67 Infizierte Objekte: EICAR-Test-File übersprungen
C:\Programme\Norton AntiVirus\Quarantine\32347DC0.exe Infizierte Objekte: Trojan-Downloader.Win32.Harnig.g übersprungen
C:\Programme\Norton AntiVirus\Quarantine\32916DC3 Infizierte Objekte: Trojan.Java.ClassLoader.f übersprungen
C:\Programme\Norton AntiVirus\Quarantine\37B468FF.exe Infizierte Objekte: Trojan-Downloader.Win32.INService.h übersprungen
C:\Programme\Norton AntiVirus\Quarantine\37B712FB.exe Infizierte Objekte: Trojan-Downloader.Win32.Dyfuca.cr übersprungen
C:\Programme\Norton AntiVirus\Quarantine\37B712FB.tmp Infizierte Objekte: Trojan-Downloader.Win32.INService.h übersprungen
C:\Programme\Norton AntiVirus\Quarantine\37BA3CF7.exe Infizierte Objekte: Trojan-Downloader.Win32.IstBar.er übersprungen
C:\Programme\Norton AntiVirus\Quarantine\37BE66F4.exe Infizierte Objekte: Trojan-Downloader.Win32.IstBar.gen übersprungen
C:\Programme\Norton AntiVirus\Quarantine\37BE66F4.tmp Infizierte Objekte: Backdoor.Win32.Delf.bz übersprungen
C:\Programme\Norton AntiVirus\Quarantine\383F2DCF.exe Infizierte Objekte: Trojan-Clicker.Win32.Small.k übersprungen
C:\Programme\Norton AntiVirus\Quarantine\3C8E4BA7.exe Infizierte Objekte: Trojan-DDoS.Win32.Boxed.s übersprungen
C:\Programme\Norton AntiVirus\Quarantine\41B36AA1.exe Infizierte Objekte: Trojan-Clicker.Win32.Small.k übersprungen
C:\Programme\Norton AntiVirus\Quarantine\45E129D3.class Infizierte Objekte: Exploit.Java.ByteVerify übersprungen
C:\Programme\Norton AntiVirus\Quarantine\48F86689.css Infizierte Objekte: Trojan.Win32.StartPage.au übersprungen
C:\Programme\Norton AntiVirus\Quarantine\49D859E8.dll Infizierte Objekte: Trojan-Downloader.Win32.Small.cyn übersprungen
C:\Programme\Norton AntiVirus\Quarantine\53A85845.htm Infizierte Objekte: Exploit.HTML.Mht übersprungen
C:\Programme\Norton AntiVirus\Quarantine\53E67600.htm Infizierte Objekte: Exploit.HTML.Mht übersprungen
C:\Programme\Norton AntiVirus\Quarantine\5459658D.htm Verdächtige Objekte: Exploit.HTML.Mht übersprungen
C:\Programme\Norton AntiVirus\Quarantine\546D6177.chm/hz.exe Infizierte Objekte: Trojan.Win32.StartPage.au übersprungen
C:\Programme\Norton AntiVirus\Quarantine\546D6177.chm/launch.html Verdächtige Objekte: Exploit.HTML.CodeBaseExec übersprungen
C:\Programme\Norton AntiVirus\Quarantine\546D6177.chm CHM: infiziert - 1, verdächtig - 1 übersprungen
C:\Programme\Norton AntiVirus\Quarantine\546D6177.chm CryptFF: infiziert - 1, verdächtig - 1 übersprungen
C:\Programme\Norton AntiVirus\Quarantine\546D6177.css Infizierte Objekte: Trojan.Win32.StartPage.au übersprungen
C:\Programme\Norton AntiVirus\Quarantine\546D6177.exe Infizierte Objekte: Trojan.Win32.StartPage.au übersprungen
C:\Programme\Norton AntiVirus\Quarantine\60F4717D.exe Infizierte Objekte: Trojan-Downloader.Win32.Donn.aa übersprungen
C:\Programme\Norton AntiVirus\Quarantine\63D01744.tmp Infizierte Objekte: Exploit.Java.ByteVerify übersprungen
C:\Programme\Norton AntiVirus\Quarantine\65F015C1.tmp Infizierte Objekte: Trojan.Java.ClassLoader.Dummy.a übersprungen
C:\Programme\Norton AntiVirus\Quarantine\67820500.part Infizierte Objekte: P2P-Worm.Win32.Backterra.a übersprungen
C:\Programme\Norton AntiVirus\Quarantine\6C290889.exe Infizierte Objekte: Net-Worm.Win32.Dedler.u übersprungen
C:\Programme\Norton AntiVirus\Quarantine\6DFF3CA4.tmp Infizierte Objekte: Trojan-Downloader.Java.OpenConnection.v übersprungen
C:\Programme\Norton AntiVirus\Quarantine\6F874550.zip/Beyond.class Infizierte Objekte: Trojan-Downloader.Java.OpenConnection.b übersprungen
C:\Programme\Norton AntiVirus\Quarantine\6F874550.zip/BlackBox.class Infizierte Objekte: Trojan.Java.ClassLoader.f übersprungen
C:\Programme\Norton AntiVirus\Quarantine\6F874550.zip/Dummy.class Infizierte Objekte: Trojan.Java.ClassLoader.Dummy.d übersprungen
C:\Programme\Norton AntiVirus\Quarantine\6F874550.zip/VerifierBug.class Infizierte Objekte: Exploit.Java.ByteVerify übersprungen
C:\Programme\Norton AntiVirus\Quarantine\6F874550.zip ZIP: infiziert - 4 übersprungen
C:\Programme\Norton AntiVirus\Quarantine\6F874550.zip CryptFF: infiziert - 4 übersprungen
C:\Programme\Norton AntiVirus\Quarantine\6F8B6F4D.class Infizierte Objekte: Trojan.Java.ClassLoader.Dummy.d übersprungen
C:\Programme\Norton AntiVirus\Quarantine\722D5214.htm Infizierte Objekte: Exploit.HTML.Mht übersprungen
C:\Programme\Norton AntiVirus\Quarantine\724B769E.exe Infizierte Objekte: Trojan.Win32.StartPage.au übersprungen
C:\Programme\Norton AntiVirus\Quarantine\72557493.css Infizierte Objekte: Trojan.Win32.StartPage.au übersprungen
C:\Programme\Norton AntiVirus\Quarantine\72557493.exe Infizierte Objekte: Trojan.Win32.StartPage.au übersprungen
C:\Programme\Norton AntiVirus\Quarantine\72FB0F54.exe Infizierte Objekte: Trojan-Clicker.Win32.Small.k übersprungen
C:\Programme\Norton AntiVirus\Quarantine\72FF7BD8.css Infizierte Objekte: Trojan.Win32.StartPage.au übersprungen
C:\Programme\Norton AntiVirus\Quarantine\72FF7BD8.exe Infizierte Objekte: Trojan.Win32.StartPage.au übersprungen
C:\Programme\Norton AntiVirus\Quarantine\730225D4.exe Infizierte Objekte: Trojan.Win32.StartPage.au übersprungen
C:\Programme\Norton AntiVirus\Quarantine\760B7F30.class Infizierte Objekte: Exploit.Java.ByteVerify übersprungen
C:\Programme\Norton AntiVirus\Quarantine\76307181.tmp Infizierte Objekte: Trojan.Java.ClassLoader.aj übersprungen
C:\Programme\Norton AntiVirus\Quarantine\76331B7D.tmp Infizierte Objekte: Exploit.Java.ByteVerify übersprungen
C:\Programme\Norton AntiVirus\Quarantine\76F06943.dll Infizierte Objekte: Backdoor.Win32.Agent.ac übersprungen
C:\Programme\Norton AntiVirus\Quarantine\7BD05C48.class Infizierte Objekte: Trojan.Java.ClassLoader.f übersprungen
C:\Programme\Norton AntiVirus\Quarantine\7BD05C48.htm Infizierte Objekte: Exploit.HTML.Mht übersprungen
C:\Programme\Norton AntiVirus\Quarantine\7D9B3875.exe Infizierte Objekte: Trojan-Clicker.Win32.Small.k übersprungen
C:\Programme\Norton AntiVirus\Quarantine\7FE61CA9.class Infizierte Objekte: Exploit.Java.ByteVerify übersprungen
C:\Programme\Norton AntiVirus\Quarantine\7FE61CA9.htm Infizierte Objekte: Exploit.HTML.Mht übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1F405695-2667-4970-9FCC-745DECEE26D3}\RP1\A0004056.dll Infizierte Objekte: Trojan.Win32.Obfuscated.u übersprungen
C:\System Volume Information\_restore{1F405695-2667-4970-9FCC-745DECEE26D3}\RP12\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\LogFiles\HTTPERR\httperr1.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\{00000002-00000000-00000003-00001102-00000004-00511102}.CDF Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Mfg
peugeotkurt 6

Geändert von peugeotkurt 6 (17.11.2006 um 20:54 Uhr)

Alt 17.11.2006, 21:28   #13
Rene-gad
 
Smitfraud-C. lässt sich nicht entfernen - Standard

Smitfraud-C. lässt sich nicht entfernen



@peugeotkurt 6
Zitat:
C:\System Volume Information\_restore{1F405695-2667-4970-9FCC-745DECEE26D3}\RP1\A0004056.dll Infizierte Objekte: Trojan.Win32.Obfuscated.u übersprungen
Ist das ein Virus oder Quarantäne von Norton etc.?
Und wie lösche ich das am besten?
Google ist der Freund der Neugierigen : Informationen zur Deaktivierung der Systemwiederherstellung und zum Start in den abgesicherten Modus (Windows XP)
Zitat:
C:\Programme\Norton AntiVirus\Quarantine\1C9D5E8E.exe Infizierte Objekte: ... *zigtausend*
Das ist die Quarantäne von Norton, die du nicht geleert hast. Aus dem Grund belegt der Log von KAV 3 Seiten :aplaus:
ClearProg bitte gem. Link in meiner Signatur verwenden.

Alt 18.11.2006, 02:21   #14
ordell1234
 
Smitfraud-C. lässt sich nicht entfernen - Standard

Smitfraud-C. lässt sich nicht entfernen



Hallo peugeotkurt 6,

es bleibt bei meinem Rat, setze sofort neu auf! Dein System ist nicht mehr vertrauenswürdig, du hattest/hast dir Backdoortrojaner einfangen.
Zitat:
C:\Programme\Norton AntiVirus\Quarantine\01975B4C.tmp Infizierte Objekte: Backdoor.Win32.Delf.bz übersprungen
C:\Programme\Norton AntiVirus\Quarantine\37BE66F4.tmp Infizierte Objekte: Backdoor.Win32.Delf.bz übersprungen
C:\Programme\Norton AntiVirus\Quarantine\76F06943.dll Infizierte Objekte: Backdoor.Win32.Agent.ac übersprungen
usw.

Niemand garantiert dir, dass Symantec eine Infizierung verhindert hat. Ist sogar eher unwahrscheinlich, siehe rpcc.dll.

Bei der Anzahl der Infektionen denk mal über dein Surfverhaltens nach. Gruß

Alt 18.11.2006, 19:06   #15
peugeotkurt 6
 
Smitfraud-C. lässt sich nicht entfernen - Standard

Smitfraud-C. lässt sich nicht entfernen



@Rene-gad
Dachte vielleicht gibts da auch ein Programm.
Die Deaktivierung der Systemwiederherstellung und der Start in den abgesicherten Modus kenne ich, danke.
ClearProg habe ich angewendet.
Sorry für den langen Log.
Suche immer zuerst im Google. Z. B. bei Problemen mit Games etc.

@ordell1234
Ich habe verstanden. Mein Sys. ist nicht mehr vertrauenswürdig. O. K.
Hab im abgesicherten Modus mit SmitFraudFix v2.122 gelöscht und neuen Kaspersky Scan im abgesicherten Modus gemacht.
Kaspersky hat nicht mehr gefunden.
Werde XP in den nächsten Tagen neu aufsetzen (auf neue Harddisc). Bis dahin muss es noch warten.
Mein Surfverhalten ist "so schlecht" weil ich viel nach Games-Problemen suchen musste (BF2 und andere Games) und dabei leider auf dubiose Seiten stosse. Manchmal passierts leider.
Welcher Virenscanner ist zu empfehlen?/Der "Beste" für mich?
Ist Antivir und Ad-Aware SE Professional O.K.?

Mfg
peugeotkurt 6

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Samstag, 18. November 2006 19:25:56
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 18/11/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 229056
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Ordner:
C:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 63713
Viren gefunden: 0
Infizierte Objekte gefunden: 0 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:44:38

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\Computer Name\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Computer Name\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Computer Name\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Computer Name\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Computer Name\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Computer Name\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006111820061119\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Computer Name\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Computer Name\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\WINDOWS\CSC\00000001 Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

******************************************************************************************************************
SmitFraudFix v2.122

Scan done at 18:33:01.87, 18.11.2006
Run from C:\Dokumente und Einstellungen\Computer Name\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

Antwort

Themen zu Smitfraud-C. lässt sich nicht entfernen
100%, 100% cpu, abgesicherten modus, antivirus, appinit_dlls, ausgehende mails, auslastung, bho, bildschirm, browseui preloader, call of duty, computer, cpu, desktop, drivers, einstellungen, ellung, email, entfernen, google, grinler, hijack, hijackthis, iexplore.exe, immer wieder, internet, internet explorer, lässt sich nicht entfernen, object, problem, rundll, scheisse, settings manager, skype.exe, software, symantec, viren, windows, windows xp



Ähnliche Themen: Smitfraud-C. lässt sich nicht entfernen


  1. Windows7 taskmgr lässt sich nicht starten, Avira Echtzeitscanner lässt sich nicht aktivieren, USB wird nicht angenommen, ohne Meldung,
    Log-Analyse und Auswertung - 01.06.2015 (15)
  2. Conhost.exe prozess lässt sich nicht beenden & auch nicht entfernen.
    Plagegeister aller Art und deren Bekämpfung - 15.05.2015 (9)
  3. TR/Crypt.EPACK.20167 -- lässt sich nicht löschen -- Echtzeitscanner lässt sich nicht aktivieren
    Plagegeister aller Art und deren Bekämpfung - 14.01.2015 (29)
  4. Laptop ruckelt nur noch, Iminent lässt sich nicht löschen und Radio schaltet sich alleine an und aus und lässt sich ebenfalls nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 27.06.2014 (3)
  5. GVU Trojaner lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 28.06.2013 (2)
  6. SECURITY TOOL WARNUNG öffnet sich andauernd und lässt sich nicht entfernen!
    Log-Analyse und Auswertung - 03.10.2010 (1)
  7. Security Essentials 2010 lässt sich nicht entfernen, rkill funktioniert nicht
    Plagegeister aller Art und deren Bekämpfung - 26.09.2010 (11)
  8. Win32/Kryptik.EKH Trojaner lässt sich nicht entfernen/MBAM startet nicht
    Plagegeister aller Art und deren Bekämpfung - 18.06.2010 (18)
  9. Spybot+Firefox hängen sich auf / Windows Security Alert lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 11.05.2010 (15)
  10. iMesh lässt sich nicht entfernen!
    Plagegeister aller Art und deren Bekämpfung - 25.01.2009 (0)
  11. Virtumonde, Virtumonde.generic und Smitfraud-C. lassen sich nicht entfernen
    Log-Analyse und Auswertung - 22.12.2008 (1)
  12. Smitfraud-c. Toolbar 888 lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 30.03.2007 (1)
  13. Schädlingsdatei "Smitfraud-C." läßt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 11.02.2007 (1)
  14. Lässt sich nicht entfernen
    Log-Analyse und Auswertung - 07.05.2006 (10)
  15. Trojaner Smitfraud.c: Computer lässt sich nicht mehr starten
    Plagegeister aller Art und deren Bekämpfung - 01.07.2005 (1)
  16. Flashtrack lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 05.01.2005 (12)
  17. CWS lässt sich nicht entfernen
    Log-Analyse und Auswertung - 28.06.2004 (1)

Zum Thema Smitfraud-C. lässt sich nicht entfernen - Hallo Habe fogendes Problem: Smitfraud-C. lässt sich nicht entfernen. P4 1.8 xp SP2 (geupdatet) und noch Norten Antivirus 2005 (geupdatet) sind installiert. Spybot findet Smitfraud-C. und kann ihn entfehrnen, aber - Smitfraud-C. lässt sich nicht entfernen...
Archiv
Du betrachtest: Smitfraud-C. lässt sich nicht entfernen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.