Home » Viren, Trojaner & Malware Forum » Trojaner Zlob/smitfraud auf meinem Pc gefunden » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1

Antworten

Trojaner Zlob/smitfraud auf meinem Pc gefunden

Thema ist geschlossen!

18.04.2006, 09:53

haff

Member

Beiträge: 11

#1 hallo,

ich habe soeben einen Trojaner auf meinem Pc gefunden (ich glaube jedenfalls das es einer ist).
Im Windows Task-Manager ist jedenfalls die mssearchnet.exe, was kann ich machen oder kann mir bitte jemand dabei helfen des Ding wieder los zu werden?
Wäre echt klasse.

Vielen Dank

haff

P.S. wie ich gerade gesehen habe haben noch mehr das selbe Problem, sorry das ich nicht gleich geschaut habe aber vor lauter Hektik denkt man nicht mehr dran. Tortzdem wäre es sehr nett wenn mir jemand helfen (was ich progs brauch usw.), da ich keine Ahnung von dem ganzen Zeugs hab. Danke

Dieser Beitrag wurde am 18.04.2006 um 10:07 Uhr von haff editiert.

18.04.2006, 11:25

raman

Moderator

Beiträge: 7805

#2 Versuche es mal mit dieser Anleitung:
http://siri.geekstogo.com/SmitfraudFix_De.php
__________
MfG Ralf
SEO-Spam Hunter

18.04.2006, 13:07

haff

Member

Themenstarter

Beiträge: 11

#3 Sorry für die schlechte Thread-Beschreibung, in der Eile und Hektik ist das total in die Hose gegangen.
Meine bisherige vorgehensweise war einfach mit der Kaspersy-Software durchzuscannen. Dabei wurden 27Dateien gefunden und gelöscht. Allerdings ist die mssearchnet.exe noch immer da.
Dann habe ich den WinAntiVirus Pro 2006 runtergeladen, ich glaube aber das dies keine besondere Verbesserung erbracht hat.
Wenn ich mich demnächst erst mal nicht melden sollte, nicht wundern, ich muss jetzt erstmal ein wenig schaffen bevor ich mich diesen blöden Problem wieder widmen kann =|.
Ich hoffe mir kann jemand helfen, ich wäre sehr dankbar.
[/url]

18.04.2006, 15:51

raman

Moderator

Beiträge: 7805

#4 Wie oben beschrieben:

Versuche es mal mit dieser Anleitung:
http://siri.geekstogo.com/SmitfraudFix_De.php(abgesicherter Modus ist wichtig).
__________
MfG Ralf
SEO-Spam Hunter

18.04.2006, 23:32

haff

Member

Themenstarter

Beiträge: 11

#5 Vielen Dank schon mal raman!
Das mit deinem link hat ganz gut hingehauen. Die mssearchnet.exe ist nicht mehr im taskmanager zu finden. Hoffentlich wars das auch schon!

Hier der rapport-Bericht:

SmitFraudFix v2.32

Scan done at 23:23:30,27, 18.04.2006
Run from C:\Dokumente und Einstellungen\Marcus\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\dfrgsrv.exe Deleted
C:\WINDOWS\system32\hp????.tmp Deleted
C:\WINDOWS\system32\interf.tlb Deleted
C:\WINDOWS\system32\ld????.tmp Deleted
C:\WINDOWS\system32\mssearchnet.exe Deleted
C:\WINDOWS\system32\ncompat.tlb Deleted
C:\WINDOWS\system32\nvctrl.exe Deleted
C:\WINDOWS\system32\ot.ico Deleted
C:\WINDOWS\system32\ts.ico Deleted
C:\WINDOWS\system32\1024\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» End

Wars das schon oder kommt noch das böse erwachen?
Falls schon alles im Lot ist; ein ganz großes Dankeschön an Dich! Ich hatte den ganzen Tag schon üble Bauchschmerzen

.

Hm, scheint als habe ich mich zu früh gefreut :/
Ich habe nochmal einen Scan mit Kaspersky furchgeführt und dabei stellte sich das heraus das er den Trojaner Zlob wieder gefunden hat. Daraufhin habe ich nocheinmal smitfraud durchlaufen lassen (mit abgesicherten Modus) und der wieder etwas gefunden und auch gelöscht hat. Allerdings bezweifle ich das der Virus jetzt komplett weg ist.
Im Task-Manager sind noch immer merkwürdige Proszesse wie
E_FATIADE.EXE und noch ein paar andere .exen bei denen ich mir auch nicht sicher bin ob Freund oder Feind.
Wenn jemand noch einmal einen Blick darauf werfen könnte oder mir einen Tip geben was ich noch machen kann, das wäre klasse.

Liebe Grüße
haff

2nd editierung:
Tut mir leid das ich hier schon wieder wild rumposte aber irgendwie spinnt heute mein browser ein wenig (opera), bin gewechselt aufn Fox.
Kurz zusammengefasst: ich habe noch den Trojaner Zlob drauf.
Diesmal habe ich aber nicht gleich panischen entsetzens irgendwas gemacht. Hier sind die 4Logs und das hijackthislog wie sie auch in einem anderen Thread gefordert wurden. Davor habe ich mit CleanUp mal alles durchgereinigt.
Sorry das ich schon wieder mit dem Problem ankomme aber ich weiß einfach nicht wo ich sonst hin soll

.

1.Log
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\WINDOWS\system32

18.04.2006 23:36 2 stera.job
18.04.2006 23:20 2 stera.log
17.04.2006 17:53 1.158 wpa.dbl
06.04.2006 21:48 5.143.456 MRT.exe
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
26.03.2006 09:04 201.736 FNTCACHE.DAT
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
14.03.2006 02:26 53.248 ImageOle.dll
12.03.2006 10:21 34.064 lhacm.acm
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 152.064 cdfview.dll
04.03.2006 05:34 1.022.976 browseui.dll
10.02.2006 11:43 287.170 SrchSTS.exe
30.01.2006 10:18 40.998 perfc009.dat
30.01.2006 10:18 728.266 PerfStringBackup.INI
30.01.2006 10:18 318.680 perfh007.dat
30.01.2006 10:18 313.280 perfh009.dat
30.01.2006 10:18 49.424 perfc007.dat
23.01.2006 11:23 1.891 mapisvc.inf
09.01.2006 10:36 40.960 swsc.exe
09.01.2006 10:36 42.496 swreg.exe
09.01.2006 09:56 6.291 EPPICResdb0000
09.01.2006 09:56 117 EPPICResdb
04.01.2006 04:35 68.096 webclnt.dll

2.Log:
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\DOKUME~1\Marcus\LOKALE~1\Temp

19.04.2006 16:37 0 sqlite_AhIaoxnT9Z5ONVj
19.04.2006 16:37 444 jusched.log
2 Datei(en) 444 Bytes
0 Verzeichnis(se), 12.172.591.104 Bytes frei
3.Log:
19.04.2006 16:37 159 wiadebug.log
19.04.2006 16:37 4.234 ModemLog_Agere Systems AC'97 Modem.txt
19.04.2006 16:36 0 0.log
19.04.2006 16:36 2.048 bootstat.dat
19.04.2006 16:35 32.606 SchedLgU.Txt
19.04.2006 16:35 1.281.212 WindowsUpdate.log
19.04.2006 16:35 50 wiaservc.log
19.04.2006 16:15 221.629 setupact.log
19.04.2006 16:14 323.474 ntbtlog.txt
19.04.2006 09:11 28 winafn.dat
19.04.2006 09:11 61 winmail1.dat
15.04.2006 17:27 70.646 War3Unin.dat
12.04.2006 19:10 206.755 tsoc.log
12.04.2006 19:10 26.594 msgsocm.log
12.04.2006 19:10 80.173 setupapi.log
12.04.2006 19:10 111.154 ntdtcsetup.log
12.04.2006 19:10 184.130 comsetup.log
12.04.2006 19:10 269.524 ocgen.log
12.04.2006 19:10 81.464 iis6.log
12.04.2006 19:10 538.815 FaxSetup.log
12.04.2006 19:10 17.261 KB908531.log
12.04.2006 19:10 1.374 imsins.log
12.04.2006 19:10 26.707 ocmsn.log
12.04.2006 19:10 28.700 updspapi.log
12.04.2006 19:10 16.448 KB911562.log
12.04.2006 19:10 1.374 imsins.BAK
12.04.2006 19:09 18.083 KB912812.log
12.04.2006 19:09 12.317 KB911567.log
08.04.2006 14:25 144.968 wmsetup.log
31.03.2006 19:17 69 NeroDigital.ini
18.03.2006 12:47 291 system.ini
12.03.2006 10:25 61 cnerolf.dat
03.03.2006 10:50 38 AviSplitter.INI
17.02.2006 08:24 316.640 WMSysPr9.prx
16.02.2006 08:31 29.777 spupdsvc.log
16.02.2006 08:17 10.713 KB911927.log
16.02.2006 08:17 8.651 KB911564.log
16.02.2006 08:17 9.859 KB901190.log
16.02.2006 08:17 8.896 KB911565.log
16.02.2006 08:16 6.697 KB913446.log
15.02.2006 17:44 744 win.ini
15.02.2006 17:44 291 SIERRA.INI
15.02.2006 14:42 82.956 DirectX.log
09.02.2006 18:34 1.046.297 setupapi.log.1.old
29.01.2006 17:52 72.748 unins000.exe
29.01.2006 17:52 1.066 unins000.dat
23.01.2006 11:35 2.228 epsswt_log.txt
22.01.2006 11:30 737.280 iun6002.exe
20.01.2006 17:10 9.218 ModemLog_GPRS WLAN Combo Card GSM Modem.txt
20.01.2006 16:56 66.756 Sem_GC79Uninstall.exe
20.01.2006 16:56 66.590 Sem_GC75Uninstall.exe
16.01.2006 20:38 12.862 EPISMG00.SWB
11.01.2006 14:57 10.128 KB908519.log
08.01.2006 20:53 97 wininit.ini
07.01.2006 12:57 6.380 EPSTPLOG.TXT
07.01.2006 12:57 62 EPSMTL32.TXT
07.01.2006 12:49 121.784 EPSTPLOG.BAK
07.01.2006 12:48 25 CDE DX4800EFGIPSD.ini
06.01.2006 13:46 40.960 Antares.dll
06.01.2006 13:46 1.494.418 Antares.exe
06.01.2006 13:46 255.904 Antares.scr
06.01.2006 11:54 11.046 KB912919.log

4.Log:
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\

19.04.2006 16:53 0 sys.txt
19.04.2006 16:52 12.658 system.txt
19.04.2006 16:51 344 systemtemp.txt
19.04.2006 16:51 111.662 system32.txt
19.04.2006 16:36 536.399.872 hiberfil.sys
19.04.2006 16:36 805.306.368 pagefile.sys
19.04.2006 16:15 446 rapport.txt
23.01.2006 11:26 26.422 SDSSetup.log

hijackthislog:
Logfile of HijackThis v1.99.1
Scan saved at 17:00:27, on 19.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Cloudmark\SpamNet\OE\snoe.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Opera7\Opera.exe
C:\Dokumente und Einstellungen\Marcus\Desktop\hijackthis\HijackThis.exe

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Automatisch EPSON Stylus DX4800 Series auf MARCUS] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P49 "Automatisch EPSON Stylus DX4800 Series auf MARCUS" /O17 "\\MARCUS\EPSONSty" /M "Stylus DX4800"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ScheduleSync.Siemens.SmartSync.5.2.exe] C:\Programme\Mobile Phone Manager\SmartSync\ScheduleSync.exe
O4 - HKLM\..\Run: [\\MARCUS\EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P35 "\\MARCUS\EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Cloudmark Desktop for Outlook Express.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Poker.com - {6FDD5236-C9F0-49ef-935D-385F5E21991A} - C:\Programme\Poker.com\poker.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{30F9E91A-0C04-4D97-9FE5-B8EB1F6D444A}: NameServer = 192.168.0.254
O18 - Protocol: t-mobile - (no CLSID) - (no file)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

Hoffe alles ist komplett und ein danke schonmal im vorraus!

Dieser Beitrag wurde am 19.04.2006 um 17:18 Uhr von haff editiert.

20.04.2006, 09:55

raman

Moderator

Beiträge: 7805

#6 Das sieht auf die schnell angesehen alles sauber aus. Diese E_FATIADE.EXE gehoert zum Epson Drucker. Wo hat Kaspersky den Zlob denn genau gefunden? BZW was hast du gemacht, kurz bevor er diesen Zlob gefunden hat.
War der Zlob zufaellig in der Systemwiederherstellung, Sprich c:\System Volume Information?
__________
MfG Ralf
SEO-Spam Hunter

20.04.2006, 20:38

haff

Member

Themenstarter

Beiträge: 11

#7 Ja dort finde ich ihn. Was kann ich jetzt machen? Ich hab die Dateien bisher weder gelöscht noch habe ich sie in Quarantäne verbannt.

Vielen Dank das du schon wieder so fix geantwortet hast

. Ich war leider beim schaffen sonst hätte ich mich schon eher gemeldet.

20.04.2006, 21:25

raman

Moderator

Beiträge: 7805

#8 Du musst die systemwiederherstellung abschalten, neu starten und wieder aktiviere.
http://www.tu-berlin.de/www/software/virus/sysres.shtml
__________
MfG Ralf
SEO-Spam Hunter

21.04.2006, 08:47

haff

Member

Themenstarter

Beiträge: 11

#9 Vielen Dank jetzt, passt alles.
Super Forum, bis zum nächsten mal

.

MfG
haff

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1