Die DEUTSCHEN Trojaner-Seiten

Entfernung des Trojaners Smitfraud.c

Entfernung des Trojaners Smitfraud.c

Bei diesem Text handelt es sich um eine Beschreibung zur Entfernung des Trojaners "Smitfraud.c". Sophos führt diesen unter dem Namen Troj/FakeAle-c.

Es handelt sich hierbei weitestgehend um eine Übersetzung des Posts von Pieter_Arntz aus den Wilders Security Forums, welche leicht auf Trojaner-Info.de zugeschnitten wurde.

Alle Vorschläge müssen im abgesicherten Modus Modus durchgeführt werden. Nutzer von Windows XP oder ME sollten auch noch, wie im vorherigen Link beschrieben, die Systemwiederherstellung abschalten.

Zuallererst sollten folgende Programme über Systemsteuerung->Software falls vorhanden deinstalliert werden:

Security IGuard
Virtual Maid
Search Maid


Wichtig : Bitte beachten, dass für die nächsten Schritte alle Dateien angezeigt werden müssen:

Zitat:
Windows Explorer starten (Win Taste +E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Als nächstes ist der Taskmanager über die Tastenkombination Strg+Alt+Entf aufzurufen.
Sollten die etwas weiter unten genannten Prozesse laufen, sind diese zu beenden.
Mittels Killbox sind nun folgende Dateien zu löschen:

C:\wp.exe
C:\wp.bmp
C:\Windows\sites.ini
C:\Windows\popuper.exe
C:\Windows\System32\helper.exe
C:\Windows\System32\intmonp.exe
C:\Windows\System32\msmsgs.exe
C:\Windows\System32\ole32vbs.exe
C:\Windows\system32\msole32.exe
C:\bsw.exe


Dazu sollte wie folgt vorgegangen werden:

Zitat: Lade und öffne KillBox. Kopiere den Pfad der Malware Datei z.B. C:\wp.exe -> füge diesen in KillBox ein -> wähle die Option 'Delete on reboot' -> rotes X anklicken -> die zwei folgenden Fragen mit 'JA' und 'NEIN' beantworten -> nächsten Pfad einfügen usw. -> wenn du bei der letzten Datei angekommen bist, dann beantworte beide Fragen mit 'JA' und ein Neustart deines Systems wird durchgeführt.

Nach dem Neustart ist wieder -wie oben beschrieben- in den abgesicherten Modus zu wechseln. Hier bitte auch wieder vergewissern, dass alle Dateien (s.o.) angezeigt werden.
Falls vorhanden, sind jetzt noch folgende Ordner zu löschen:

C:\Program Files\Search Maid
C:\Program Files\Virtual Maid
C:\Windows\System32\Log Files
C:\Program Files\Security IGuard


Eine Reg.Datei, welche die meisten Registry-Veränderungen rückgängig macht, befindet sich hier. Dazu Rechtsklick auf diesen Link, 'speichern unter' wählen, danach die gespeicherte Datei aufrufen. Die folgende Frage mit 'JA' beantworten. Die erforderlichen Veränderungen werden jetzt vorgenommen.

Ist dieser Punkt abgearbeitet muss der Computer neugestartet werden. Wieder in den abgesicherten Modus wechseln. Nun das Programm Hoster öffnen. "Restore Original Hosts" wählen, mit OK bestätigen.

Abschliessend, die hier von unserem Foren-Moderator Cidre genannten Vorschläge durchführen, das Programm CleanUp laufen lassen und ein Antivirenprogramm über das System laufen lassen, am besten Escan.

Nachtrag:

In einer neueren Version werden noch folgende Ordner im Systemordner erstellt (z.B: C:\Windows\System32)

%systemroot%\system32\shnlog.exe
%systemroot%\system32\intmon.exe
%systemroot%\system32\msmsgs.exe
%systemroot%\system32\hhk.dll
%systemroot%\system32\hp***.tmp
<- *** sind zufällig generierte Zeichen.

Der .tmp Ordner wird als BHO (Browser Helper Object) installiert und „hijacked“ den Browser nach quicknavigate.com .

Nachdem es sich selbst installiert hat, werden alle vorhandenen BHOs gelöscht.
Demzufolge müssen auch die Programme, wie z.B. Acrobat Reader, neu installiert werden, damit diese wieder voll funktionsfähig sind.


Mittlerweile sind weitere Arten dieses Trojaners aufgetaucht. Aktuelle Informationen sind in unserem Forum in diesem Beitrag zu finden.

Für die Übersetzung und Anpassung dieser Anleitung bedanke ich mich bei unserem Forenmitglied cronos

Lutz (lk) 16.05.2005