| |
| |||||||
Log-Analyse und Auswertung: Smitfraud / startdrv.exe Kampfansage ! Profis gesucht :)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
08.10.2007, 16:03
| #1 |
| |  Smitfraud / startdrv.exe Kampfansage ! Profis gesucht :) Smitfraud / startdrv.exe Kampfansage ! nachdem ich aus dem Bauch heraus diverse Schritte unternommen habe, um meinen PC zu säubern, versuche ich es nun systematisch. aber ersteinmal die Chaosgeschichte zusammengefasst: total dämlich führte ich eine datei unsicheren ursprungs aus  schwarzers desktopbild mit einer meldung ungefähr so "system is infected.... your ip adress is .... please remove spyware" task manager war angebilch deaktiviert vom admin (das bin aber ich) nervige popups gingen auf (nur IE) cpu auslastung ungewöhnlich hoch also hab ich erstmal den taskmanager wieder aktiviert "REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f" spybot s&d installiert update gemacht adaware installiert update gemacht beide laufen lassen spybot konnte c:\windows\temp\startdrv.exe nicht entfernen, manuell und über cmd gings auch nicht. über win boot cd und den command modus gings dann doch, aber sie kam wieder. dann hab ich das forum hier entdeckt, weil startdrv.exe trotzdem wieder versucht hat die registry zu manipulieren (mit spybot natürlich untersagt) antivir lässt sich nicht installieren - avcenter.exe cannot be found or has been modified or destroyed - reinstallation auch nach (durch regcleaner durchgeführte) entfernung aller einträge nicht möglich, da immer gleiche fehlermeldung. avg75free auch nicht installierbar anderer fehler, aber auch etwas in richtung ***.exe defekt Sonstiges: systemwiderherstellung ist deaktiviert alle dateien inkl. endungen werden angezeigt hijackthis ist umbenannt in "Hij ack This.com" Basisinfo: WinXP mit allen relevanten updates auf Dell inspiron 9200. Falls notwendig auch externer 2,5hdd rahmen für viren scan von anderem pc aus. mein system ist auf englisch installiert, da der pc in den usa gekauft wurde (übersetzung der befehle / informationen) für mich aber kein problem) Halbsystematisch: dann habe ich mich an foglende anleitung gemacht http://w*w.trojaner-info.de/hijacker/smitfraud.html Security IGuard Virtual Maid Search Maid waren nicht zu finden (in der sys-steuerung) Killbox V 2.0.0.648 bringt beim versuch, gezielt (natürlich "beim reboot") die datei c:\windows\temp\startdrv.exe zu entfernen die meldung "PendingFileRenameOperations Registry Data has been Removed by external Process!" Beim vorherigen Versuch, den gesamten Temp ordner zu löschen hats nicht geklappt. Ich starte sowohl killbox im safe mode, als auch beim reboot durch killbox (auf manchen seiten steht "nach dem reboot im safe mode starten" aber ich denke es ist einfach unklar ausgedrückt. über die windowsCD zur repereaturkosole und dann die quasi dos eingabe ist smartdrv.exe zu löschen, kommt aber beim nächsten systemstart (safe mode) wieder (trotz vorherigem entfernen über regcleaner aus dem autostart) Naja, mittlerweile bin ich frustriert, will aber wenn irgendwie möglich nicht neu installieren.... für diesbezügliche Hinweise wäre ich sehr dankbar. LOGFILE: ------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 16:46:49, on 08.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Documents and Settings\******\Desktop\Hij ack This.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/ O2 - BHO: (no name) - {029e02f0-a0e5-4b19-b958-7bf2db29fb13} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {2d7cb618-cc1c-4126-a7e3-f5b12d3bcf71} - (no file) O2 - BHO: (no name) - {318A2445-B2F5-BB56-A03A-9D2B5D9383B9} - C:\WINDOWS\system32\hwseumt.dll O2 - BHO: (no name) - {32D27D58-A397-47B0-835E-F8CF306A1749} - C:\WINDOWS\system32\awtut.dll O2 - BHO: (no name) - {51641ef3-8a7a-4d84-8659-b0911e947cc8} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {6abc861a-31e7-4d91-b43b-d3c98f22a5c0} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Her - {971D5B7B-F7DF-43ee-B771-6B7FA09975C3} - C:\WINDOWS\system32\tcprp.dll O2 - BHO: (no name) - {a4a435cf-3583-11d4-91bd-0048546a1450} - (no file) O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Program Files\MindManager\Mm6InternetExplorer.dll O2 - BHO: (no name) - {c2680e10-1655-4a0e-87f8-4259325a84b7} - (no file) O2 - BHO: (no name) - {d8efadf1-9009-11d6-8c73-608c5dc19089} - (no file) O2 - BHO: (no name) - {e9306072-417e-43e3-81d5-369490beef7c} - (no file) O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\QuickSet.exe O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [smgr] mgrs.exe O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\dqiamrck.dll",sitypnow O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [i8kfangui] C:\Program Files\I8kfanGUI\i8kfangui.exe /startup O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [Gld] "C:\Program Files\S?mantec\t?skmgr.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Sen] "C:\PROGRA~1\COMMON~1\CROSOF~1\explorer.exe" -vt ndrv O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\Office\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\ACTIVE~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\ACTIVE~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\ACTIVE~1\INetRepl.dll O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Program Files\MindManager\Mm6InternetExplorer.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187892144618 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: fccccaw - C:\WINDOWS\SYSTEM32\fccccaw.dll O20 - Winlogon Notify: winjrp32 - C:\WINDOWS\SYSTEM32\winjrp32.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe -------------------------- DANKE DANKE  P.S. es kommen immer mal wieder nervige IE popups und smartdrv.exe versucht (von spybot geblockt) irgendwas zu ändern |
| Themen zu Smitfraud / startdrv.exe Kampfansage ! Profis gesucht :) |
| adobe, auslastung, avira, bho, boot cd, c:\windows\temp, ctfmon.exe, disabletaskmgr, ellung, entfernen, excel, explorer, fraud, internet, internet explorer, ip adress, monitor, nicht möglich, popups, problem, registry, rundll, scan, smitfraud, software, spyware, starten, sys-steuerung, taskmanager, temp, temp ordner, träge, updates, viren, windows, windows xp, windows\temp, ändern |
Baum-Darstellung