SpyAxe? Smitfraud_C.!

#1 Ja, auch ich habe den kleinen roten Kreis mit weißen Kreuz unten in der Taskleiste mit der Systemmeldung "Your Computer is infected! ....". Und auch ich ließ in Unwissenheit erstmal diese Software installieren.

Nun habe ich noch auf meinem Desktop Verknüpfungen zu den Seiten"Security Troubleshooting" und "Online Security Guide".
Spybot findet den Trojaner: Smitfraud_C. kann ihn aber nicht beseitigen.

Ich habe schon gesehen, dass ich nicht der erste Betroffene bin hier im Forum und habe mich fleißig durchgelesen. Dann bin ich auf die Anleitung gestossen und habe "CleanUp" installiert.
In der Anleitung heißt es im ersten Schritt:

Zitat

wende CleanUp an

so sollte geleoscht werden:
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\sa1.exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\sa1.tmp
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\sa133.tmp

Tja neben unzähligen Löschungen wurde u.a. auch "sa1.tmp" gelöscht. Die anderen beiden Einträge allerdings nicht. Liegt es vielleicht daran, dass ich das im abgesicherten Modus gemacht habe? Soll ich trotzdem erst mal weiter machen oder habe ich eine andere Variante des Trojaners? Erst mal den HJ-Log erstellen?

Ein PC-Analphabet bittet um Hilfe! Danke! ;-)

#2 @sleepless74

Arbeite mal weiter

Nur die SpyAxeFix nicht benutzen !
__________
MfG Argus

#3 Der Link in Schritt 3. funktioniert nicht wirklich.

Zitat

3. Schritt

SpyAxeFix.exe
http://noahdfear.geekstogo.com/click%20counter/click.php?id=8

Da steht auf der Seite:

Zitat

You have reached this page instead of getting a
download for SpyAxeFix.exe because I have now
integrated the removal of Spyaxe with my smitRem tool.

You can download that from my homepage link below.

Home

aber ich schätze mal

Zitat

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

bedeutet, ich soll mir diesen Ordner mal ansehen, oder?

#4 SpyAxeFix ist integriert im SmitRem also nicht benutzen!
__________
MfG Argus

#5

Zitat

smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

spyaxe uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~

Online Security Guide.url


~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1560 'explorer.exe'
Killing PID 1560 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~

Online Security Guide.url


~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!

Hey! Die Fehlermeldung erscheint gar nicht mehr! :-) ...aber Spybot findet noch immer Smitfraud-C und kann ihn nicht löschen. Ich mach ma weiter..

*************************************************************

Da man sich leider nicht selbst antworten kann, ich aber die datfind.bat-daten hier posten will, geht es nur über Aktualisierung. Ich hoffe das ist regelkonform? :-)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 48E1-1669

Verzeichnis von C:\WINDOWS\system32

14.12.2005 22:05 11.270 KGyGaAvL.sys
14.12.2005 22:02 7.006 jupdate-1.5.0_06-b05.log
14.12.2005 19:29 2.206 wpa.dbl
08.12.2005 16:25 2.723.680 MRT.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
28.11.2005 22:56 384.930 perfh009.dat
28.11.2005 22:56 54.614 perfc009.dat
28.11.2005 22:56 65.866 perfc007.dat
28.11.2005 22:56 396.586 perfh007.dat
28.11.2005 22:56 905.292 PerfStringBackup.INI
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
17.11.2005 19:29 23.392 nscompat.tlb
17.11.2005 19:29 16.832 amcompat.tlb
13.11.2005 18:03 5.618 jupdate-1.5.0_05-b05.log
11.11.2005 20:04 159.544 FNTCACHE.DAT
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
23.10.2005 16:33 8 ntP2.trk
23.10.2005 15:25 98.304 qttask.exe
23.10.2005 15:24 43.520 CBNDLL.DLL
23.10.2005 15:24 335.872 MPIWIN32.DLL
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 251.392 iepeers.dll
20.10.2005 23:25 1.094.144 esent.dll
14.10.2005 09:36 330 $winnt$.inf
13.10.2005 00:11 15.584 spmsg.dll
12.10.2005 19:13 333 $ncsp$.inf
12.10.2005 18:56 308 results.txt
12.10.2005 18:54 3.099 jupdate-1.4.2_03-b02.log
12.10.2005 18:34 412 OEMINFO.INI
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 48E1-1669

Verzeichnis von C:\DOKUME~1\GTZ~1\LOKALE~1\Temp

15.12.2005 13:32 206 jusched.log
15.12.2005 13:23 284 MSI188c4.LOG
15.12.2005 13:23 284 MSI188c3.LOG
15.12.2005 13:23 284 MSI188c2.LOG
4 Datei(en) 1.058 Bytes
0 Verzeichnis(se), 45.280.555.008 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 48E1-1669

Verzeichnis von C:\

15.12.2005 13:39 0 sys.txt
15.12.2005 13:38 6.963 system.txt
15.12.2005 13:38 442 systemtemp.txt
15.12.2005 13:35 96.324 system32.txt
15.12.2005 13:21 527.892.480 hiberfil.sys
15.12.2005 13:21 792.723.456 pagefile.sys
15.12.2005 13:14 1.330 smitfiles.txt
23.10.2005 15:24 0 VDM17.tmp
23.10.2005 15:24 0 VDM18.tmp
23.10.2005 15:24 0 VDM14.tmp
23.10.2005 15:24 0 VDM13.tmp
23.10.2005 15:22 0 VDM10.tmp
23.10.2005 15:22 0 VDMF.tmp
23.10.2005 15:00 0 VDM23.tmp
23.10.2005 15:00 0 VDM22.tmp
17.10.2005 18:48 4.128 INFCACHE.1
14.10.2005 09:36 211 boot.ini
12.10.2005 18:55 251.712 ntldr
12.10.2005 18:39 4.562 dell.sdr


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 48E1-1669

Verzeichnis von C:\WINDOWS

15.12.2005 13:22 0 0.log
15.12.2005 13:22 1.395.352 WindowsUpdate.log
15.12.2005 13:22 4.148 ModemLog_Conexant D110 MDC V.9x Modem.txt
15.12.2005 13:21 2.048 bootstat.dat
15.12.2005 13:14 1.071 setupact.log
15.12.2005 13:03 272.844 ntbtlog.txt
15.12.2005 13:02 32.560 SchedLgU.Txt
15.12.2005 08:25 47.647 ntdtcsetup.log
15.12.2005 08:25 80.073 comsetup.log
15.12.2005 08:25 31.856 iis6.log
15.12.2005 08:25 84.815 tsoc.log
15.12.2005 08:25 11.688 ocmsn.log
15.12.2005 08:25 1.393 imsins.log
15.12.2005 08:25 9.995 KB910437.log
15.12.2005 08:25 113.540 ocgen.log
15.12.2005 08:25 10.709 msgsocm.log
15.12.2005 08:25 223.237 FaxSetup.log
15.12.2005 08:25 467.385 setupapi.log
15.12.2005 08:25 18.821 updspapi.log
15.12.2005 08:25 1.393 imsins.BAK
15.12.2005 08:25 16.069 KB905915.log
08.12.2005 08:00 36.775 wmsetup.log
04.12.2005 20:18 50 wiaservc.log
04.12.2005 20:18 216 wiadebug.log
17.11.2005 19:30 325 wmsetup10.log
17.11.2005 19:29 316.640 WMSysPr9.prx
13.11.2005 19:58 310 wininit.ini
11.11.2005 19:59 12.065 KB896424.log
08.11.2005 21:10 7.110 CDPLAYER.INI
23.10.2005 15:45 573 win.ini
23.10.2005 15:34 400 ODBC.INI
23.10.2005 14:16 10.304 KB900930.log
23.10.2005 14:16 9.852 KB887797.log
15.10.2005 17:45 154.217 setuplog.txt
15.10.2005 09:38 31.215 KB900725.log
15.10.2005 09:38 31.785 KB905749.log
15.10.2005 09:38 24.373 KB896688.log
15.10.2005 09:37 22.307 KB904706.log
15.10.2005 09:37 23.604 KB905414.log
15.10.2005 09:37 22.788 KB901017.log
15.10.2005 09:37 26.940 KB902400.log
15.10.2005 09:36 17.999 KB894391.log
15.10.2005 09:36 20.000 KB896423.log
15.10.2005 09:36 17.103 KB899587.log
15.10.2005 09:36 16.603 KB899591.log
15.10.2005 09:36 16.718 KB893756.log
15.10.2005 09:36 15.891 KB896358.log
15.10.2005 09:36 16.695 KB890859.log
15.10.2005 09:35 13.926 KB893066.log
15.10.2005 09:35 5.460 KB898458.log
15.10.2005 09:35 13.583 KB896428.log
15.10.2005 09:35 17.098 KB890046.log
15.10.2005 09:35 12.323 KB887742.log
15.10.2005 09:35 11.687 KB888302.log
15.10.2005 09:35 11.099 KB885836.log
15.10.2005 09:35 7.269 KB886185.log
15.10.2005 09:12 4.390 SYMEVENT.LOG
15.10.2005 09:12 7.195 KB898461.log
15.10.2005 09:11 7.247 KB893803v2.log
14.10.2005 09:37 1.174 OEWABLog.txt
14.10.2005 09:34 2.741 sessmgr.setup.log
14.10.2005 09:34 641 DtcInstall.log
14.10.2005 09:32 2.734 regopt.log
14.10.2005 09:30 8.192 REGLOCS.OLD
12.10.2005 19:14 61 smscfg.ini
12.10.2005 19:10 1.042 xpsp1hfm.log
12.10.2005 18:57 665 chipset.log
12.10.2005 18:56 9.180 KB901214.log
12.10.2005 18:55 10.678 KB883939.log
12.10.2005 18:55 3.811 KB885855.log
12.10.2005 18:55 5.386 KB888113.log
12.10.2005 18:55 5.349 KB887472.log
12.10.2005 18:55 5.428 KB891781.log
12.10.2005 18:55 5.366 KB873339.log
12.10.2005 18:55 5.575 KB885835.log
12.10.2005 18:55 4.835 KB890175.log
12.10.2005 18:55 3.411 KB893056.log
12.10.2005 18:55 2.684 KB892627.log
12.10.2005 18:53 3.686 KB888310.log
12.10.2005 18:53 5.580 KB896422.log
12.10.2005 18:53 4.628 KB885250.log
12.10.2005 18:40 0 setuperr.log
12.10.2005 18:34 49.152 setpwrcg.exe


Und? Irgendwie gibt es hier keine "svchosts.dll", " intercept.dll" oder "svchosts.dll"..
Kann mir jemand weiterhelfen? :-)

#6 Gehe in die Registry

Start-->ausfuehren--> regedit

klicke dich durch
und loesche den Eintrag, dann PC neustarten

Zitat

...aber Spybot findet noch immer Smitfraud-C und kann ihn nicht löschen.

__________
MfG Argus

#7

Zitat

klicke dich durch

Das ist jetzt ein Witz oder?
Wieviel Unter-Ordner sind das insgesamt? 2.000? 20.000?

Komisch, aber alle anderen Anleitungen zu diesem Thema klangen so kompliziert und ich darf den Trojaner einfach von Hand suchen und löschen oder wie ist das gemeint?

#8 Wenn du Spybot scannen lässt dan wird doch etwas gefunden
Und wieso Trojaner?
__________
MfG Argus

#9 Tronjaner, weil Smitfraud-C einer ist, oder?
Zumdindest steht das hier:
http://www.trojaner-info.de/hijacker/smitfraud.html

Und ja, Spybot findet eben diesen und zwar hier:

HKEY_USER/S-1-5-21-1895955659-1936548022-138994258-1006/Software/Microsoft/Windows/CurrentVersion/Internet Setting/ZoneMap/Domains/free-spy-cam.net/*!=W=4

Und wie finde ich jetzt diese Datei in den Tausenden von Unterordnern in der Registry?

#10
__________
MfG Argus

#11 Ahhh :-)
Ich glaube, jetzt habe ich das System kapiert!

Ok, bin in diesen Ordner und hab mich durchgeklickt bis zum oben genannten Ordner: ...../ZoneMaps/Domains/Free-spy-cam.net

Ok, hier befinden sich 3 Dateien: (die befinden sich aber in allen Ordnern innerhalb von "Domains"

Standard Typ: Reg_SZ (Wert nicht gesetzt)
http Typ: REG_DWORD (Wert: 0x0000004 (4))
https Typ: REG_DWORD (Wert: 0x0000004 (4))

Was kann ich davon löschen.
Überhaupt befinden sich in dem Ordner "Domains" einige seltsame Namen wie "loadcash.biz" oder "toolbar.biz". Darf ich die auch löschen?



***********************aktualisiert*****************************
Hallo! Bin doch schon fast geheilt! Kann mir jemand noch sagen, wie ich Smitfraud-C löschen kann? Die Fehlermeldung taucht ja nicht mehr auf!

#12 Trend Micro Anti-Spyware (scannen)
http://virus-protect.org/microtrend.html

Zitat

Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\all-tgp.org
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\free-spy-cam.net
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\loadcash.biz
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\s13.tempx.cc
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sex-pics.biz
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\toolbarbiz.biz
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\trackhits.cc
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\tracktraff.cc
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\traff-store.com
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\vparivalka.com
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\win-eto.com
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\windfind4u.com
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\xawm.biz
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\zviframe.biz

scanne mit Kaspersky und kopiere hier den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Zurück aus dem Urlaub und mit einem Scanreport. Danke!

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Friday, December 23, 2005 14:17:31
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 23/12/2005
Kaspersky Anti-Virus database records: 156869
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\

Scan Statistics:
Total number of scanned objects: 40617
Number of viruses found: 3
Number of infected objects: 5
Number of suspicious objects: 0
Duration of the scan process: 3081 sec

Infected Object Name - Virus Name
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\25CA1AF4.tmp Infected: Trojan-Downloader.Win32.Small.bqf
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\5F2A5DDA.zip/BlackBox.class Infected: Exploit.Java.ByteVerify
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\5F2A5DDA.zip/VerifierBug.class Infected: Exploit.Java.ByteVerify
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\5F2A5DDA.zip/Beyond.class Infected: Trojan-Downloader.Java.OpenConnection.aa
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\5F2A5DDA.zip Infected: Trojan-Downloader.Java.OpenConnection.aa

Scan process completed.

#14 sleepless74

wenn du das Quarantine-Verzeichnis vom Norton leeren kannst, dann mache es.
Ansonsten ist wieder alles in Ordnung
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Mein Spybot findet immer noch:

Smitfraud-C.: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, fixing failed)
HKEY_USERS\S-1-5-21-1895955659-1936548022-138994258-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\free-spy-cam.net\*!=W=4

und kanns nicht löschen! Wieso hat Kaspersky den nicht gefunden?