Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: neue version von SmitFraud?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 01.07.2008, 14:18   #1
Jud4s
 
neue version von SmitFraud? - Standard

neue version von SmitFraud?



Hey,


ich glaube ich habe eine "neue" Version von SmitFraud.... alles passt auf die Beschreibung.... es kommt eine Warnmeldung in der ich darauf hingewiesen werde das ich einen "Virusbefall" habe... und mir wird empfohlen ein Sicherheitsscan im internet zu machen -.- .... egal ob ich dann auf ja oder nein klicke ich lande auf dieser Seite und der Scan wird gestartet *freu*......
Das einzige was nicht ins Bild passt ist das outfit der Meldung... Es ist nämlihc kein Popup, sondern sieht aus wie eine wirkliche Windowssicherheitsmeldung... und auch die Site auf der ich dann lande (***p://free-viruscan.com/id/4912933/4/1/) sieht auf dem ersten Blick aus wie das standart Windows Browser Fenster.........

Was das bekämpfen angeht habe ich bis jetzt schon relativ viel probiert:
-ich ahbe AntiVir drüber laufen lassen
-ich habe AntiSpy drüber laufen lassen
-ich habe Spybot S&D drüber laufen lassen


und dann habe ich noch einer längeren Anweisung folge geleisted die ich im I-net gefunden habe :
Code:
ATTFilter
 Smitfraud entfernt werden können, indem Sie die folgenden Tools:

   1. SmitRem - dies ist ein Software-Dienstprogramm, das wurde von NoahdFear zu säubern schädliche Programme wie SpySheriff, SpyAxe, WinHound, und PSGuard unter anderem von MS Windows-basierten Computern.
   2. SmitFraudFix - dies ist eine Anwendung entwickelt, um ordnungsgemäß zu löschen bösartigen Prozesse und Registry-Einträge sank von Smitfraud.
   3. RogueRemover - dies ist eine Software-Anwendung, die un-install Schurkenstaaten Sicherheits-Software-Programme. 

Nach dem Download der oben genannten Anwendungen und
anschließend die Installation von jedem Programm, Benutzer
sollten ihre Maschinen Neustart im abgesicherten Modus. Dies
kann durch Eingabe msconfig im Feld Ausführen bearbeiten und auf 
OK drücken. Anschließend machen die notwendigen Auswahl, das Ihnen 
erlaubt, neu zu starten Sie den Computer im abgesicherten Modus.
Klicken Sie auf "OK" an dieser Stelle.

Als nächstes navigieren Sie den Windows-Explorer-Browser
auf die SmitRem Installationsordner. Suchen Sie nach dem
RunThis.bat Datei. Führen Sie die Datei durch einen Doppelklick
auf, um die Initialisierung des SmitRem Entfernung Prozess 
(Anmerkung: dies wird auch Initialisierung des Festplatten-Cleanup
Utility von MS Windows, so entfernen Sie nicht mehr benötigte Dateien 
oft im Zusammenhang mit bösartigen Prozesse).

An dieser Stelle der Ausführung der SmitFraudFix Werkzeug,
 um Sie mit den Optionen von zunächst Scannen für bösartige
 Prozesse im Zusammenhang mit Smitfraud und anschließend die 
Beseitigung solcher Sicherheitsrisiken können Sie komplett
 entfernen Smitfraud und von von allen seinen konstituierenden
 Prozesse. Schließlich läuft die RogueRemover Programm Purge 
Ihre Maschine aus aller gefälschten Sicherheits-Software-Anwendungen
 derzeit auf Ihrem Computer installiert.
         

Was vll noch interressant ist, wäre: Das als ich SmitFraudFix runtergeladen habe mein AntiVir haufenweise Sicherheitswarnungen ausgespuckt hat.... Tool.Reboot.F.105...... allerdings habe ich hier im Board gelesen das dies keine Bedrohung wäre.....


Ich glaube das wird hier auch benötigt
HiJackThis file:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:34:29, on 01.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20661)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\ZoneLabs\vsmon.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINXP\system32\PnkBstrA.exe
C:\WINXP\system32\PnkBstrB.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINXP\system32\wscntfy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: Spybot-S&D IE Protection - {B1892F58-1116-4DEC-92AA-577872EC3D3D} - C:\WINXP\system32\domview.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = MSHEIMNETZ
O17 - HKLM\Software\..\Telephony: DomainName = MSHEIMNETZ
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = MSHEIMNETZ
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = MSHEIMNETZ
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINXP\system32\PnkBstrB.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINXP\system32\ZoneLabs\vsmon.exe
         


Ich hoffe ihr könnt mir Helfen


Systemdaten:
Alter : ca 3Monate
Art : WinXP (SP2)
Browser: Mozilla

PS: Wenn man mir sagt wie man Bilder einbinden kann kann ich auch gerne einen Screen von der Site und von der "Warnung" machen.....

Geändert von Jud4s (01.07.2008 um 14:54 Uhr)

Alt 01.07.2008, 14:42   #2
undoreal
/// AVZ-Toolkit Guru
 
neue version von SmitFraud? - Standard

neue version von SmitFraud?



Hallöle.

Führe bitte Smitfraudfix nach dieser Anleitung aus: SmitFraudFix

Poste danach den rapport sowie ein frisches HJT log inkl. Kopf..
__________________

__________________

Alt 01.07.2008, 14:47   #3
Jud4s
 
neue version von SmitFraud? - Standard

neue version von SmitFraud?



Also das ist der Rapport.... und das unten gepostete HJT rapport wurde direkt danach erstellt oO.... soll ich jezz alles erneut machen? Also wieder in den Abgesichterten Modus gehen und der Anleitung erneut folgen? Oder reichen diese Logs hier auch?.... Ich meine ich ahbe das schon 2 mal gemacht.... und ich habe wenig hoffnung das ein drittes Mal ein deutliche verbesserung bringen würde....


Code:
ATTFilter
SmitFraudFix v2.328

Scan done at 14:45:24,23, 01.07.2008
Run from C:\Dokumente und Einstellungen\Jud4s\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{507EC725-47EF-410D-9F29-D6842339A657}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{507EC725-47EF-410D-9F29-D6842339A657}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{507EC725-47EF-410D-9F29-D6842339A657}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
         

Einen SmitRem bericht habe ich auhc:
Code:
ATTFilter
   smitRem © log file
     version 3.2

     by noahdfear


Microsoft Windows XP [Version 5.1.2600]
"IE"="7.0000"

Running from
C:\AntiSmitFraud\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Appinitdll check ........ Thank you Grinler!

dumphive.exe (C)2000-2004 Markus Stephany
REGEDIT4

[Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

XP Firewall allowed access

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"D:\\Programme\\Stardock Games\\Sins of a Solar Empire\\Sins of a Solar Empire.exe"="D:\\Programme\\Stardock Games\\Sins of a Solar Empire\\Sins of a Solar Empire.exe:*:Enabled:Sins of a Solar Empire"
"D:\\Programme\\THQ\\Gas Powered Games\\Supreme Commander\\bin\\SupremeCommander.exe"="D:\\Programme\\THQ\\Gas Powered Games\\Supreme Commander\\bin\\SupremeCommander.exe:*:Enabled:Supreme Commander"
"D:\\Programme\\THQ\\Gas Powered Games\\GPGNet\\GPG.Multiplayer.Client.exe"="D:\\Programme\\THQ\\Gas Powered Games\\GPGNet\\GPG.Multiplayer.Client.exe:*:Enabled:GPGNet - Supreme Commander"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\WINXP\\system32\\PnkBstrA.exe"="C:\\WINXP\\system32\\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\\WINXP\\system32\\PnkBstrB.exe"="C:\\WINXP\\system32\\PnkBstrB.exe:*:Enabled:PnkBstrB"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


 checking for ShudderLTD key

ShudderLTD key not present!

 checking for PSGuard.com key


PSGuard.com key not present!


 checking for WinHound.com key


WinHound.com key not present!


 checking for drsmartload2 key


drsmartload2 key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present
AlfaCleaner uninstaller NOT present
SpyFalcon uninstaller NOT present
SpywareQuake uninstaller NOT present
SpywareSheriff uninstaller NOT present
Trust Cleaner uninstaller NOT present
SpyHeal uninstaller NOT present
VirusBurst uninstaller NOT present
BraveSentry uninstaller NOT present
AntiVermins uninstaller NOT present
VirusBursters uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 Existing Pre-run Files


 ~~~ Program Files ~~~



 ~~~ Shortcuts ~~~



 ~~~ Favorites ~~~



 ~~~ system32 folder ~~~

amcompat.tlb
nscompat.tlb
logfiles


 ~~~ Icons in System32 ~~~



 ~~~ Windows directory ~~~



 ~~~ Drive root ~~~


 ~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1844 'explorer.exe'

Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deleting files

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 Remaining Post-run Files


 ~~~ Program Files ~~~



 ~~~ Shortcuts ~~~



 ~~~ Favorites ~~~



 ~~~ system32 folder ~~~



 ~~~ Icons in System32 ~~~



 ~~~ Windows directory ~~~



 ~~~ Drive root ~~~


 ~~~ Miscellaneous Files/folders ~~~



 ~~~ Wininet.dll ~~~

 CLEAN! :)
         
__________________

Alt 01.07.2008, 14:50   #4
undoreal
/// AVZ-Toolkit Guru
 
neue version von SmitFraud? - Standard

neue version von SmitFraud?



Bei deinem HJT log fehlt der "Kopf" mit den Angaben zum System und dem Boot-Mode.

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Speichere es in einem eigenen Ordner! (z.B.: c:\Hijackthis\)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Eine bebilderte Anleitung findet sich in unserem FAQ-Bereich: HJT-Anleitung
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 01.07.2008, 14:58   #5
Jud4s
 
neue version von SmitFraud? - Standard

neue version von SmitFraud?



Das umeditieren findet mein Antivir aber überhauptnicht lustig oO..... und lässt meinen Comp aber ziemlich ruckeln (mein explorer ist hopps gegangen -.-) .... soll ich Avira aus machen?




PS: Kopf gefunden und reineditiert:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:34:29, on 01.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20661)
Boot mode: Normal


Geändert von Jud4s (01.07.2008 um 15:03 Uhr)

Alt 01.07.2008, 15:19   #6
undoreal
/// AVZ-Toolkit Guru
 
neue version von SmitFraud? - Standard

neue version von SmitFraud?



Zitat:
soll ich Avira aus machen?
Wenn so nervt. Ja. Halt immer für die Dauer der Scans.

Und poste bitte ein frisches un komplettes log. Ich helfe dir aber zusammenstückelt tue ich mir die logs nicht..
__________________
--> neue version von SmitFraud?

Alt 01.07.2008, 15:24   #7
Jud4s
 
neue version von SmitFraud? - Standard

neue version von SmitFraud?



Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:22:33, on 01.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20661)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\ZoneLabs\vsmon.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINXP\system32\PnkBstrA.exe
C:\WINXP\system32\PnkBstrB.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINXP\system32\wscntfy.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.com.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: Spybot-S&D IE Protection - {B1892F58-1116-4DEC-92AA-577872EC3D3D} - C:\WINXP\system32\domview.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = MSHEIMNETZ
O17 - HKLM\Software\..\Telephony: DomainName = MSHEIMNETZ
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = MSHEIMNETZ
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = MSHEIMNETZ
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINXP\system32\PnkBstrB.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINXP\system32\ZoneLabs\vsmon.exe

--
End of file - 6880 bytes
         

Verständlich ..... ich tu alles was du befiehlst, wenn es dir hilft mir zu helfen ^^


PS: Was die .exe dateien im obersten Block angeht. Sehe ich keine Programme die da nicht sein sollten oO.... bei dem unteren Block blicke ihc nicht durch....dazu fehlt mir (leider noch) das Wissen

Alt 01.07.2008, 15:33   #8
undoreal
/// AVZ-Toolkit Guru
 
neue version von SmitFraud? - Standard

neue version von SmitFraud?



- Deaktiviere bitte den Spybot Tea-Timer. Wenn du nicht wissen solltest wie das geht deinstalliere Spybot komplett!

- Fixe mit HJT folgende Einträge:
Zitat:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
- Öffne die Datei C:\windows\system32\blank.htm mit dem Editor und poste den Inhalt.

- Räume mit cClenaer auf. Punkt 1&2.

- Durchsuche deinen Rechner mit SUPERAntiSpyware und Anti-Malware und poste die logs.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 01.07.2008, 16:16   #9
Jud4s
 
neue version von SmitFraud? - Standard

neue version von SmitFraud?



-Spybot deeinstalliert
-Einträge gefixt
-datei nicht gefunden
-cCleaner benutz
-Anti-Malware log:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.19
Datenbank Version: 911
Windows 5.1.2600 Service Pack 2

16:58:59 01.07.2008
mbam-log-7-1-2008 (16-58-59).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 67844
Scan Dauer: 10 minute(s), 37 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{caf9d798-c659-4b9b-8e19-ee27c3d04ee7} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{15c7d7ad-a87a-4c0d-9d8b-637fcd3488ef} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b1892f58-1116-4dec-92aa-577872ec3d3d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b1892f58-1116-4dec-92aa-577872ec3d3d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\bhonew.bho (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\bhonew.bho.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)
         
infizierte Objekte gelöscht...
-SuperAntiSpywarescan
Code:
ATTFilter
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 07/01/2008 at 05:14 PM

Application Version : 4.15.1000

Core Rules Database Version : 3494
Trace Rules Database Version: 1485

Scan type       : Quick Scan
Total Scan Time : 00:03:50

Memory items scanned      : 441
Memory threats detected   : 0
Registry items scanned    : 353
Registry threats detected : 0
File items scanned        : 4260
File threats detected     : 0

Adware.Tracking Cookie
	tracknet.twyn.com [ C:\Dokumente und Einstellungen\Jud4s\Anwendungsdaten\Mozilla\Firefox\Profiles\awihiwkr.default\cookies.txt ]
	tracknet.twyn.com [ C:\Dokumente und Einstellungen\Jud4s\Anwendungsdaten\Mozilla\Firefox\Profiles\awihiwkr.default\cookies.txt ]
	.doubleclick.net [ C:\Dokumente und Einstellungen\Jud4s\Anwendungsdaten\Mozilla\Firefox\Profiles\awihiwkr.default\cookies.txt ]
	.atdmt.com [ C:\Dokumente und Einstellungen\Jud4s\Anwendungsdaten\Mozilla\Firefox\Profiles\awihiwkr.default\cookies.txt ]
	.adfarm1.adition.com [ C:\Dokumente und Einstellungen\Jud4s\Anwendungsdaten\Mozilla\Firefox\Profiles\awihiwkr.default\cookies.txt ]
	.tribalfusion.com [ C:\Dokumente und Einstellungen\Jud4s\Anwendungsdaten\Mozilla\Firefox\Profiles\awihiwkr.default\cookies.txt ]
         
PROBLEM SCHEINT NICHTMEHR ZU BESTEHEN.... danke für die Links....ich denke das der Anti-Malwarescaner die Lösung war.....

Alt 01.07.2008, 16:33   #10
undoreal
/// AVZ-Toolkit Guru
 
neue version von SmitFraud? - Standard

neue version von SmitFraud?



Zitat:
-datei nicht gefunden
Hast du wie in meiner Signatur beschrieben wird danach gesucht?
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Antwort

Themen zu neue version von SmitFraud?
adobe, antivir, avira, bho, browser, computer, entfernen, festplatte, firefox, fraud, google, hkus\s-1-5-18, home, installation, internet, internet explorer, monitor, mozilla, mozilla firefox, neue version, neustart, popup, programm, prozesse, regsvr32, server, smitfraud, spyware terminator, starten, system, wickel, windows xp



Ähnliche Themen: neue version von SmitFraud?


  1. Neue Malwarebytes Version!
    Antiviren-, Firewall- und andere Schutzprogramme - 25.03.2014 (2)
  2. Neue Version BKA- Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 12.10.2013 (5)
  3. GVU Trojaner (neue Version)
    Plagegeister aller Art und deren Bekämpfung - 09.07.2013 (15)
  4. BKA Trojaner neue version
    Plagegeister aller Art und deren Bekämpfung - 08.12.2012 (2)
  5. Neue Version von Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 12.09.2012 (9)
  6. Verschlüsselungs-Trojaner, Neue Version
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (1)
  7. Neue Version Verschlüsslungstrojaner
    Log-Analyse und Auswertung - 10.06.2012 (1)
  8. Neue version des bka trojaners
    Plagegeister aller Art und deren Bekämpfung - 27.01.2012 (1)
  9. XP von OEM-Version auf neue Festplatte?
    Alles rund um Windows - 18.03.2008 (4)
  10. Spybot SD Version 1.4 RC (Neue Version)
    Antiviren-, Firewall- und andere Schutzprogramme - 25.05.2006 (13)
  11. Evtl neue smitfraud variante ??
    Log-Analyse und Auswertung - 18.08.2005 (7)
  12. Tojanerscanner a² - neue Version
    Antiviren-, Firewall- und andere Schutzprogramme - 04.03.2005 (6)
  13. Neue Version von STINGER
    Antiviren-, Firewall- und andere Schutzprogramme - 21.02.2005 (1)
  14. Neue Stinger Version 2.5.0.
    Antiviren-, Firewall- und andere Schutzprogramme - 18.02.2005 (4)
  15. Neue Thunderbird-Version 0.5
    Alles rund um Windows - 13.02.2004 (0)

Zum Thema neue version von SmitFraud? - Hey, ich glaube ich habe eine "neue" Version von SmitFraud.... alles passt auf die Beschreibung.... es kommt eine Warnmeldung in der ich darauf hingewiesen werde das ich einen "Virusbefall" habe... - neue version von SmitFraud?...
Archiv
Du betrachtest: neue version von SmitFraud? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.