Trojaner-Board - Smitfraud

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Smitfraud (https://www.trojaner-board.de/16469-smitfraud.html)

Code:

Logfile of HijackThis v1.99.0

Scan saved at 05:13:32, on 10.04.2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Zeugz\Toolz\D-Tools\daemon.exe

C:\Zeugz\Toolz\ANTIVI~1\ashDisp.exe

C:\Programme\Babylon\Babylon.exe

C:\Zeugz\Toolz\ICQPlus\vplus.exe

C:\Zeugz\Toolz\Antivir Avast4\aswUpdSv.exe

C:\Zeugz\Toolz\Antivir Avast4\ashServ.exe

C:\Zeugz\Toolz\Antivir Avast4\ashMaiSv.exe

C:\Zeugz\Progz\ICQ\Icq.exe

C:\Zeugz\Progz\Winamp\winamp.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\WinRAR\WinRAR.exe

C:\DOKUME~1\Kerensky\LOKALE~1\Temp\Rar$EX01.563\HijackThis.exe
 

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Zeugz\Toolz\D-Tools\daemon.exe"  -lang 1033

O4 - HKLM\..\Run: [avast!] C:\Zeugz\Toolz\ANTIVI~1\ashDisp.exe

O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon.exe -AutoStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [ICQ Plus] "C:\Zeugz\Toolz\ICQPlus\vplus.exe"

O4 - HKCU\..\RunOnce: [ICQ] C:\Zeugz\Progz\ICQ\Icq.exe -trayboot

O8 - Extra context menu item: Download with GetRight - C:\Zeugz\Toolz\GetRight\GRdownload.htm

O8 - Extra context menu item: Open with GetRight Browser - C:\Zeugz\Toolz\GetRight\GRbrowse.htm

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1113074066921

O17 - HKLM\System\CCS\Services\Tcpip\..\{087FC4DD-D467-43DB-A312-43E2E627766A}: NameServer = 164.254.73.15

O17 - HKLM\System\CCS\Services\Tcpip\..\{4E22471C-0A68-4B5B-949A-A49EA12D6968}: NameServer = 212.95.97.66 194.25.0.125

O17 - HKLM\System\CCS\Services\Tcpip\..\{CA7B1F0F-4256-47FD-9DAD-86918F76236A}: NameServer = 212.95.97.66,194.125.0.25

O17 - HKLM\System\CS1\Services\Tcpip\..\{087FC4DD-D467-43DB-A312-43E2E627766A}: NameServer = 164.254.73.15

O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Zeugz\Toolz\Antivir Avast4\aswUpdSv.exe

O23 - Service: Autodesk Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - Unknown - C:\Zeugz\Toolz\Antivir Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Zeugz\Toolz\Antivir Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Zeugz\Toolz\Antivir Avast4\ashWebSv.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

der log wird nicht viel helfen...
der Trojaner Smitfraud is vom System runter zumindest die execute davon aber die Folgen sind noch zu sehen zB wie schon bei anderen hier geschildert wurde ... kann ich keine desktop bilder mehr einfügen oder die darstellung verändern, ich würd ma gern wissen wie ich das wieder herstellen kann, hab schon bei google gesucht aber nichts brauchbares gefunden scheint ein neuer virus zu sein irgendwie :dummguck:

ich hab vielleicht die lösung muss es aber noch testen ... also
hab in regedit geschaut was beim control Panel alles so ist und da ist ein schlüssel der heißt "HKEY_CURRENT_USER\Control Panel\IOProcs" in ihm befindet sich "MVB\mvfs32.dll" vielleicht ist diese datei für die sachen verantwortlich denn! ich hab nach ihr gesucht und sie nicht gefunden also

jeder der das problem hat bitte nach der datei suchen!
jeder der das problem nicht hat auch suchen

1. wenn die jenigen die den trj. hatten diese datei nicht mehr haben -> ist es wohl das
2. wenn die jenigen die den trj. hatten diese datei haben irre ich mich wohl

und 3. wenn beides passiert => :huepp:

@grindKerensky
ich hab vielleicht die lösung muss es aber noch testen ... also
hab in regedit geschaut was beim control Panel alles so ist und da ist ein schlüssel der heißt "HKEY_CURRENT_USER\Control Panel\IOProcs" in ihm befindet sich "MVB\mvfs32.dll" vielleichtist diese datei für die sachen verantwortlich denn! ich hab nach ihr gesucht und sie nicht gefunden also

mit regedit in der registrierung nachschauen ist eine sache,
etwas mit deine begründung zu löschen eine andere.
vorher erst mal eine sicherung durchführen, und jeweils nur eine änderung durchführen.

ich würde es an deiner stelle mit escan downloaden
anleitung
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

chaosman

ich habe das teil nicht gelöscht, ich wollte erstmal wissen wer diese datei hat

1. wenn die jenigen die den trj. hatten diese datei nicht mehr haben -> ist es wohl das
2. wenn die jenigen die den trj. hatten diese datei haben irre ich mich wohl

und 3. wenn beides passiert => :huepp:

um erstmal zuwissen ob das teil überhaupt die ursache des ganzen ist

Zitat:

Zitat von chaosman

habs durch laufen lassen der gesuchte war nicht darunter zufinden ... ausserdem der kram der infiziert ist ist weg ich brauch nur eine lösung zu diesem problem ! ich will endlich wieder meinen desktop haben!

Habe das gleiche Problem...
Unter Systemsteuerung sind Reiter verschwunden!!!!???
Das habe ich noch nie gesehen...
Wie komme ich denn nun an die Einstellungen für den Desktop (...ohne den Reiter) ??
Im Netz ist wenig bis gar nichts darüber zu finden...
Wer weiß denn mal HILFE??

So, habe vielleicht die Lösung, zumindest habe ich meine Reiter und den Desktop wieder...

Liegt an den veränderten Registereinträgen unter
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\

Die Einträge unter Explorer habe ich gelöscht und
die Einträge unter System mit Wert 1 (nicht mehr im DEFAULT!) auch.

Voher bitte ein Backup machen, das ist nämlich keine Garantie, aber wie gesagt klappt´s bei mir wieder...

:huepp:

Hey Leute!
Bin neu hier und in Sachen Viren und Trojanern ein waschechter Noob (ja sowas gibts auch noch ;)) Ich habe dasselbe Problem und... ich probier jetzt einfach mal eure Vorschläge weil sämtliche AV Programme nix gefunden (in bestimmten Fällen z.B. Spybot, der hat 2 Stk gefunden, kann sie aber nicht löschen) haben! An McAffe Stinger bin ich schon verzweifelt... naja! Ich versuchs mal!
Bis denne

Hallo,
schau mal ob dir das weiterhilft (natürlich nur, wenn es sich um diesen Schädling handelt :rolleyes: )

Yeah!
Ich habs mit der Registry versucht und... es hat funktioniert :aplaus:
Aber zum Glück hab ich jetzt meinen Desktop wieder!!! Danke euch :daumenhoc Ich werd mich jetzt mal über Viren und Co. informieren um hier auch mal mitreden zu können ~~'
MfG,
Sh@d0wM@Zt@

Hallo,

Zitat:

Ich werd mich jetzt mal über Viren und Co. informieren um hier auch mal mitreden zu können ~~'

Das wäre wünschenswert...;)

Zitat:

kann ich keine desktop bilder mehr einfügen oder die darstellung verändern, ich würd ma gern wissen wie ich das wieder herstellen kann,

ich hatte diese problem auch, mein rechner sah aus wie ein NT system!
mit rechtsklick auf das desktop - Eigenschaften - Design und von "geändert" wieder auf "Windows XP" (oder was euch beliebt) einstellen, dann ist wieder alles ok

kann es sein das dies vom escan, spybot oder so umgestellt wird?