Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Smitfraud nachhaltig entfernt? (https://www.trojaner-board.de/21786-smitfraud-nachhaltig-entfernt.html)

Ecrit2 13.09.2005 18:32
Smitfraud nachhaltig entfernt?
 
Bin der Anleitung gefolgt habe allerdings folgende dDateien vor Spybot und AD- Aware gelöscht. Schlimm?


C:\WINDOWS\SYSTEM\GKMK.DLL
C:\WINDOWS\SYSTEM\intel32.exe
C:\Programme\PSGuard\




Logfile of HijackThis v1.99.1
Scan saved at 19:15:58, on 13.09.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\PDESK\PDESK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\HPZTSB05.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAMME\EUMEX 504PC USB\CAPICTRL.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\SYSTEM\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb05.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 504PC USB\Capictrl.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=



Tagged + Infected von Escan:

Thu Sep 08 23:49:58 2005 => Scanning File C:\WINDOWS\Desktop\AntiVirprogramme\Tagged.txt [**]
Thu Sep 08 23:51:43 2005 => File C:\WINDOWS\weihnachten[eft-10018,1,lay3].exe tagged as "not-a-virus:Porn-Dialer.Win32.Intexdial". Action Taken: No Action Taken.
Thu Sep 08 23:55:05 2005 => File C:\WINDOWS\SYSTEM\WININET.DLL infected by "Virus.Win32.Nsag.a" Virus! Action Taken: No Action Taken
Thu Sep 08 23:47:27 2005 => File C:\WINDOWS\Desktop\Von CD\Frgbezgs\ss_stopsign.exe infected by "Trojan-Downloader.Win32.Wren.k" Virus! Action Taken: No Action Taken.
Thu Sep 08 23:47:55 2005 => File C:\WINDOWS\Desktop\Sabine's Ordner\adobe.exe infected by "Virus.Win32.Tenga.a" Virus! Action Taken: No Action Taken. (Hier habe ich den ordnerNamen geändert)


Und wie kriege ich jetzt noch den Scheiss weg? Programme updaten und nochmal neu?

Gruß Ecrit2
:kloppen:

dartus 13.09.2005 20:05
Hallo Ecrit2,

lösche folgende Dateien manuell oder wie hier unter "Einsetzen von eScan – Beseitigung der Malware" beschrieben (Total Commander oder Killbox):
C:\WINDOWS\weihnachten[eft-10018,1,lay3].exe
C:\WINDOWS\Desktop\Von CD\Frgbezgs\ss_stopsign.exe
C:\WINDOWS\Desktop\Sabine's Ordner\adobe.exe

Bezüglich der "wininet.dll" gehe wie folgt vor:
http://tkcity12.tk.funpic.de/windowsttt/win-dll.php <-- thx Chris14

Folgende Einträge mit Hijackthis fixen:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Wichtig ist ebenfalls Dein System, insbesondere den IExplorer, so schnell als möglich upzudaten.
Verwenden zukünftig, wenn Du es noch nicht praktizierst, zum Surfen eien sicheren Browser . Den IExplorer nur noch zum regelmäßigen Updaten benutzen.

dartus

Ecrit2 13.09.2005 20:34
:crazy: Hallo,

@darkus

habe schon seit 4 Tagen Mozilla. Habe IE schon gelöscht, das Logfile ist von heute, verstehe also auch nicht warum er den IE anzeigt obwohl schon gelöscht. Werde Anleitung verfolgen. Berichte morgen.Bis dahin wird wohl noch nicht editiert sein.(Bis morgen). Kann nicht früher versuchen zu beheben. Kannst du bitte morgen Abend noch mal die Beiträge in diesem Thread checken.


Vielen Dank

Ecrit2

dartus 13.09.2005 20:51
Hallo Ecrit2,

den IExplorer kann man zwar löschen, aber so einfach geht das nicht. Zumindest wird er fürs Updaten des Systems gebraucht. Ab Juni 2006 (wenn WIN98 nicht mehr supportet wird) kannst Du versuchen ihn zu löschen. ;)

dartus


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:28 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129