smitfraud-c endgültig entfernen

C

call.me.DuG

New member
hi,
ich hab mir die smitfraud-c malware eingefangen. natürlich kommt sie immerwieder, wenn ich sie mit spybot entferne. zusätzlich habe ich auf meinem rechner antvir in der aktuellen version installiert.

wie bekomm ich die malware denn jetzt wieder weg? danke für eure hilfe schon mal im vorraus

spybot suchergebnis:

Smitfraud-C.: [SBI $47684081] Ausführbare Datei (Datei, nothing done)
D:\WINDOWS\system\svchost.exe
Properties.size=401921
Properties.md5=203F3A1587798E970681CA5812A80D8F
Properties.filedate=1144135983
Properties.filedatetext=2006-04-04 09:33:03


--- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) ---

2009-01-26 blindman.exe (1.0.0.8)
2009-01-26 SDFiles.exe (1.6.1.7)
2009-01-26 SDMain.exe (1.0.0.6)
2009-01-26 SDUpdate.exe (1.6.0.12)
2009-01-26 SpybotSD.exe (1.6.2.46)
2009-03-05 TeaTimer.exe (1.6.6.32)
2010-04-22 unins000.exe (51.49.0.0)
2009-01-26 Update.exe (1.6.0.7)
2009-11-04 advcheck.dll (1.6.5.20)
2007-04-02 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2009-01-26 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2009-01-26 Tools.dll (2.1.6.10)
2009-01-16 UninsSrv.dll (1.0.0.0)
2010-02-17 Includes\Adware.sbi (*)
2010-04-20 Includes\AdwareC.sbi (*)
2010-01-25 Includes\Cookies.sbi (*)
2009-11-03 Includes\Dialer.sbi (*)
2010-04-13 Includes\DialerC.sbi (*)
2010-01-25 Includes\HeavyDuty.sbi (*)
2009-05-26 Includes\Hijackers.sbi (*)
2010-04-13 Includes\HijackersC.sbi (*)
2010-01-20 Includes\Keyloggers.sbi (*)
2010-04-13 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2010-03-02 Includes\Malware.sbi (*)
2010-04-20 Includes\MalwareC.sbi (*)
2009-03-25 Includes\PUPS.sbi (*)
2010-04-13 Includes\PUPSC.sbi (*)
2010-01-25 Includes\Revision.sbi (*)
2009-01-13 Includes\Security.sbi (*)
2010-04-13 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2010-03-02 Includes\Spyware.sbi (*)
2010-04-20 Includes\SpywareC.sbi (*)
2010-03-08 Includes\Tracks.uti
2010-03-03 Includes\Trojans.sbi (*)
2010-04-13 Includes\TrojansC-02.sbi (*)
2010-04-20 Includes\TrojansC-03.sbi (*)
2010-04-20 Includes\TrojansC-04.sbi (*)
2010-04-20 Includes\TrojansC-05.sbi (*)
2010-04-20 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll
 
Hallo DuG,

Pruefe die gemeldete Datei bitte einmal bei http://www.virustotal.com und poste den Link zum Ergebniss.

Nachtrag:
Erstelle ein Hijackthis-Report

Download: http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.exe

Lade/kopiere HijackThis in einen extra Ordner, Benenne Hijackthis in HJT um, starte es und waehle
---> None of the above just start the program --> Scan -> Save log --> hijackthis.log - Save - es öffnet sich der Editor

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Unter Windows Vista muss Hijackthis als Administrator ausgefuehrt werden. Dazu mit der linken Maustaste auf das Programm klicken und "Als Administrator ausfuehren" waehlen.
 
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.04.23 -
AhnLab-V3 5.0.0.2 2010.04.23 -
AntiVir 8.2.1.220 2010.04.23 -
Antiy-AVL 2.0.3.7 2010.04.21 -
Authentium 5.2.0.5 2010.04.23 -
Avast 4.8.1351.0 2010.04.22 -
Avast5 5.0.332.0 2010.04.22 -
AVG 9.0.0.787 2010.04.22 -
BitDefender 7.2 2010.04.23 -
CAT-QuickHeal 10.00 2010.04.23 -
ClamAV 0.96.0.3-git 2010.04.23 -
Comodo 4669 2010.04.23 -
DrWeb 5.0.2.03300 2010.04.23 -
eSafe 7.0.17.0 2010.04.22 Win32.TrojanHorse
eTrust-Vet 35.2.7445 2010.04.23 -
F-Prot 4.5.1.85 2010.04.23 -
F-Secure 9.0.15370.0 2010.04.23 -
Fortinet 4.0.14.0 2010.04.21 -
GData 21 2010.04.23 -
Ikarus T3.1.1.80.0 2010.04.23 -
Jiangmin 13.0.900 2010.04.23 -
Kaspersky 7.0.0.125 2010.04.23 -
McAfee 5.400.0.1158 2010.04.23 -
McAfee-GW-Edition 6.8.5 2010.04.22 -
Microsoft 1.5703 2010.04.23 -
NOD32 5052 2010.04.23 -
Norman 6.04.11 2010.04.23 -
nProtect 2010-04-23.01 2010.04.23 -
Panda 10.0.2.7 2010.04.22 -
PCTools 7.0.3.5 2010.04.23 -
Prevx 3.0 2010.04.23 -
Rising 22.44.04.03 2010.04.23 -
Sophos 4.53.0 2010.04.23 -
Sunbelt 6211 2010.04.23 -
Symantec 20091.2.0.41 2010.04.23 -
TheHacker 6.5.2.0.267 2010.04.22 -
TrendMicro 9.120.0.1004 2010.04.23 -
TrendMicro-HouseCall 9.120.0.1004 2010.04.23 -
VBA32 3.12.12.4 2010.04.23 -
ViRobot 2010.4.23.2291 2010.04.23 -
VirusBuster 5.0.27.0 2010.04.22 -
weitere Informationen
File size: 14336 bytes
MD5...: 4fbc75b74479c7a6f829e0ca19df3366
SHA1..: 97c7c354c12b89c797740b35ed81879be58f3deb
SHA256: a42568851b48fb9924b3fe18c8a0f3ceecd850254257cfe6c5f168c08f408ef0
ssdeep: 384:Wdi+JmG6yqlCRaJt4RHS5LutGJae7g9VJnpWCNJbW:KcG6xlCRaJKGOA7SHJ

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2509
timedatestamp.....: 0x48025bc0 (Sun Apr 13 19:15:12 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2c00 0x2c00 6.29 48331595af9d9d52b478844a07357653
.data 0x4000 0x210 0x200 1.62 cbd504e46c836e09e8faabdcfbabaec2
.rsrc 0x5000 0x408 0x600 2.51 dcede0c303bbb48c6875eb64477e5882

( 4 imports )
> ADVAPI32.dll: RegQueryValueExW, SetSecurityDescriptorDacl, SetEntriesInAclW, SetSecurityDescriptorGroup, SetSecurityDescriptorOwner, InitializeSecurityDescriptor, GetTokenInformation, OpenProcessToken, OpenThreadToken, SetServiceStatus, RegisterServiceCtrlHandlerW, RegCloseKey, RegOpenKeyExW, StartServiceCtrlDispatcherW
> KERNEL32.dll: HeapFree, GetLastError, WideCharToMultiByte, lstrlenW, LocalFree, GetCurrentProcess, GetCurrentThread, GetProcAddress, LoadLibraryExW, LeaveCriticalSection, HeapAlloc, EnterCriticalSection, LCMapStringW, FreeLibrary, lstrcpyW, ExpandEnvironmentStringsW, lstrcmpiW, ExitProcess, GetCommandLineW, InitializeCriticalSection, GetProcessHeap, SetErrorMode, SetUnhandledExceptionFilter, RegisterWaitForSingleObject, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, LocalAlloc, lstrcmpW, DelayLoadFailureHook
> ntdll.dll: NtQuerySecurityObject, RtlFreeHeap, NtOpenKey, wcscat, wcscpy, RtlAllocateHeap, RtlCompareUnicodeString, RtlInitUnicodeString, RtlInitializeSid, RtlLengthRequiredSid, RtlSubAuthoritySid, NtClose, RtlSubAuthorityCountSid, RtlGetDaclSecurityDescriptor, RtlQueryInformationAcl, RtlGetAce, RtlImageNtHeader, wcslen, RtlUnhandledExceptionFilter, RtlCopySid
> RPCRT4.dll: RpcServerUnregisterIfEx, RpcMgmtWaitServerListen, RpcMgmtSetServerStackSize, RpcServerUnregisterIf, RpcServerListen, RpcServerUseProtseqEpW, RpcServerRegisterIf, I_RpcMapWin32Status, RpcMgmtStopServerListening

( 0 exports )

RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: Generic Host Process for Win32 Services
original name: svchost.exe
internal name: svchost.exe
file version.: 5.1.2600.5512 (xpsp.080413-2111)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
 
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:23:03, on 23.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\CardReader2.0\CRBroadCasting.exe
D:\Programme\HP\HP Software Update\HPWuSchd2.exe
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
D:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\VIA\RAID\raid_tool.exe
D:\Programme\Windows Desktop Search\WindowsSearch.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
D:\Programme\Avira\AntiVir Desktop\avguard.exe
D:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
D:\WINDOWS\System32\svchost.exe
E:\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
D:\Programme\CardReader2.0\OTiReader.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Analog Devices\SoundMAX\SMAgent.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\SearchIndexer.exe
E:\VLC\vlc.exe
D:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
D:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
D:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
D:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
D:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
D:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
D:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\progs\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ASUS Probe] D:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [routcnf] D:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [CRBroadCasting] D:\Programme\CardReader2.0\CRBroadCasting.exe
O4 - HKLM\..\Run: [HP Software Update] D:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [StartCCC] "D:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "D:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ToADiMon.exe] D:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HKLM] D:\WINDOWS\System\svchost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [HKCU] D:\WINDOWS\System\svchost.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] D:\WINDOWS\System\svchost.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] D:\WINDOWS\System\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = D:\Programme\VIA\RAID\raid_tool.exe
O4 - Global Startup: Windows Search.lnk = D:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - D:\Programme\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - D:\Programme\ICQ7.0\ICQ.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1271855332279
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C9DE2F9-A9CA-4685-8779-6F3B3B49C099}: NameServer = 217.0.43.177 217.0.43.161
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\System32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - D:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - E:\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
O23 - Service: OTi Card Reader Service - Unknown owner - D:\Programme\CardReader2.0\OTiReader.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - D:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 8147 bytes
 
Du hast die Falsche Datei hochgeladen.


Es haette diese sein muessen
D:\WINDOWS\System\svchost.exe
Du hast wahrscheinlich
D:\WINDOWS\System32\svchost.exe

geprueft.


Deaktiviere bitte den Teatimer und hake in Hijackthis bitte folgende Eintraege an und druecke fix checked:

O4 - HKLM\..\Run: [HKLM] D:\WINDOWS\System\svchost.exe
O4 - HKCU\..\Run: [HKCU] D:\WINDOWS\System\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] D:\WINDOWS\System\svchost.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] D:\WINDOWS\System\svchost.exe

starte neu und schaue, ob die Eintraege verschwunden sind.

Aktualisiere dein Antivir und mache einen Kontrollscan mit Antivir und Mbam:

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Lade es herunter, installiere es und wähle bei Reiter:

-> “Update“> “Suche nach Aktualisierungen“
-> “Einstellungen“> “Beende Internet Explorer während des Löschvorgangs“
-> “Scanner”> "Quickscan durchfuehren".

Wenn am Ende Infizierungen gefunden werden, diese anhaken und entfernen lassen. Starte dein Rechner neu

Poste bitte den erstellten Report...
 
ja hab die falsche datei hochgeladen, da kein system ordner existiert (die verstecken datein lasse ich mir schon anzeigen). :-/

wie deaktiviere ich den teatimer?
 
raman said:
Deaktiviere bitte den Teatimer und hake in Hijackthis bitte folgende Eintraege an und druecke fix checked:

O4 - HKLM\..\Run: [HKLM] D:\WINDOWS\System\svchost.exe
O4 - HKCU\..\Run: [HKCU] D:\WINDOWS\System\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] D:\WINDOWS\System\svchost.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] D:\WINDOWS\System\svchost.exe

starte neu und schaue, ob die Eintraege verschwunden sind.
Click to expand...
einträge waren noch da

Aktualisiere dein Antivir und mache einen Kontrollscan mit Antivir und Mbam:

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Lade es herunter, installiere es und wähle bei Reiter:

-> “Update“> “Suche nach Aktualisierungen“
-> “Einstellungen“> “Beende Internet Explorer während des Löschvorgangs“
-> “Scanner”> "Quickscan durchfuehren".

Wenn am Ende Infizierungen gefunden werden, diese anhaken und entfernen lassen. Starte dein Rechner neu

Poste bitte den erstellten Report...
Click to expand...
ist nach bericht alles runter

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4024

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

23.04.2010 13:42:13
mbam-log-2010-04-23 (13-42-13).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 104618
Laufzeit: 4 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{47470qd8-6542-3wse-26p1-6u0yv0233cu6} (Generic.Bot.H) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hklm (Backdoor.SpyNet.M) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hkcu (Backdoor.SpyNet.M) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Backdoor.SpyNet.M) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Backdoor.SpyNet.M) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\WINDOWS\system\svchost.exe (Generic.Bot.H) -> Delete on reboot.
D:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\xxxyyyzzz.dat (Malware.Trace) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\IELOGIN.abc (Malware.Trace) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\cglogs.dat (Malware.Trace) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\MSN.abc (Malware.Trace) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\IEPASS.abc (Malware.Trace) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\XxX.xXx (Malware.Trace) -> Delete on reboot.
 
Das ganze sieht doch schon sehr boese und nicht nach nur einem "Smifraud" aus. :(

Es ist davon auszugehen, das der spynet Backdoor dir alles an Passworte, die du gespeichert oder genutzt hat geklaut hat.

Im Grunde sollte man hier komplett den Rechner neu aufsetzen, um zu vermeiden, das man evtl. Malware uebersehen haben koennte....

Auf jeden Fall ist ein Passwortwechsel von einem sauberen Rechner aus, sehr wichtig und sollte nicht so lange aufgeschoben werden...
 
ok, danke sehr.
was gibt es noch für optionen, außer den pc zu formatieren ?


zu den passworten die ich benutze habe in der zeit in der ich die malware drauf hatte wahrscheinlich, oder ?
 
Last edited:
Alle Passworte, die du genutzt und die auf deinem Rechner gespeichert sind (Email/Onlinebanking/Onlinespiele usw)

Formatieren ist definitiv die sicherste Methode. Ansonsten bleiben dir vieleicht noch Kontrollscans mitDrweb oder Kasperskys AVP Tool:

http://board.protecus.de/t38113.htm
http://board.protecus.de/t37785.htm
http://board.protecus.de/t29350.htm

Mache aber ersteinmal einen scan mit Gmer:
Lade es von hier http://www.gmer.net/download.php starte die Datei, druecke im Reiter Rootkits auf scan. Nach ende des Scans bitte mit Hilfe von Copy den Report in den eigenen Thread einfuegen...
 
Hallo raman,

O4 - HKLM\..\Run: [HKLM] D:\WINDOWS\System\svchost.exe
O4 - HKCU\..\Run: [HKCU] D:\WINDOWS\System\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] D:\WINDOWS\System\svchost.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] D:\WINDOWS\System\svchost.exe
Click to expand...
Spybot erkennt diesen Schädling als Spyware.Spynet.

Hast du diese Variante bereits an Markus und Jochen weitergeleitet oder soll ich es in meine nächste SBI datei mit aufnehmen? :)

P.S.: Schön wieder hier zu sein.
 
Spybot erkennt die Datei ja, es kann sie nur nicht loeschen. Du kannst es aber gerne noch hinzufuegen.....
 
raman said:
Spybot erkennt die Datei ja, es kann sie nur nicht loeschen. Du kannst es aber gerne noch hinzufuegen.....
Click to expand...
Ja, aber fälschlicherweise als Smitfraud. Als Spyware.Spynet wohl nicht. Habe die vier Einträge in "New Malware #105" hinzugefügt und bereits verschickt. :bigthumb:

Danke für deine Auskunft.
 
Last edited:
You must log in or register to reply here.
Back
Top