Rotes Kreuz und Spyaxe wie weiter..? |
|
---|---|
08.12.2005, 23:01
Member
Beiträge: 18 |
|
|
|
09.12.2005, 13:29
...neu hier
Beiträge: 2 |
#2
SpyAxeFix © by noahdfear
Microsoft Windows XP [Version 5.1.2600] Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 1220 'explorer.exe' Killing PID 1220 'explorer.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 992 'rundll32.exe' Killing PID 3232 'rundll32.exe' REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" |
|
|
09.12.2005, 13:50
Ehrenmitglied
Beiträge: 29434 |
#3
bam
1. Schritt wende CleanUp an http://virus-protect.org/cleanup.html 2. Schritt mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm http://virus-protect.org/reg/mcor.reg rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm. http://virus-protect.org/reg/spyaxe.reg 3.Schritt: öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hpAC5D.tmp PC neustarten starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg spyaxe.reg doppelt --> fuege sie mit " ja" oder "yes" der Registry bei ------------------------------------------------- 4. Schritt SmitRem2.8 http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und kopiere die Textdatei hier 5.Schritt datfindbat--> kopiere nur die 1. Textdatei (1 Monat vom Datum her genuegt) http://virus-protect.org/datfindbat.html dann sehen wir weiter __________ MfG Sabina rund um die PC-Sicherheit |
|
|
09.12.2005, 20:47
Member
Themenstarter Beiträge: 18 |
#4
Hey sabine
1.Leider hat nicht alles geklappt :-(. Habe den Virus (W32.Sinnaka.A@mm) immer noch auf dem PC. Folgendes Problem: Beim 3.Schritt im abgesicherten Modus habe die beiden Link "mcor.reg" und "spyaxe.reg" nicht auf dem Desctop! Was mache ich falsch? 2. In 4.Schritt muss ich in welchem Modus arbeiten im "agesicherten Modus" oder im "normalen Modus"? Gruss bam Gruss bam[/img][/url] |
|
|
09.12.2005, 20:53
Ehrenmitglied
Beiträge: 6028 |
#5
4.Im abgesicherten Modus
Hallo Bam Vielleicht kannst du mir per PM mitteilen wie/wo du diese Infektion bekommen hast __________ MfG Argus Dieser Beitrag wurde am 09.12.2005 um 20:57 Uhr von Arnold editiert.
|
|
|
09.12.2005, 22:40
Member
Themenstarter Beiträge: 18 |
#6
Hallo Arnold
Wo genau weiss ich nicht. Ist gut möglich das ich die Infektion per kurzem Videoclip aufgelesen habe. Per Mail vermute ich eher nicht, da ich keine fremde Mails nicht erkennbare Mails lösche und das Vorschau fenster auch nicht geöffnet habe. Komisch ist, dass im abgesicherten Modus das Programm Spybot - Search & Destroy und "mcor.reg" und "spyaxe.reg" nicht ersichtlich ist. Bevor ich die 5 Schritte abgerackert habe, löschte ich zwei verseuchte Dateien "nvctr.exe" und "mssearchnet.exe" bam |
|
|
09.12.2005, 22:48
Ehrenmitglied
Beiträge: 6028 |
|
|
|
09.12.2005, 23:05
Member
Themenstarter Beiträge: 18 |
#8
Hey Arnold
Übriegens habe ich das Spyaxe nicht mehr auf dem Rechner ich konnte es deinstallieren! Auch das weisse Kreuz im roten Kreis ist nicht mehr unter rechts neben der Zeit ersichtlich. Wie kann ich Dir das log von smitrem liefern? Genügt Dir folgendes?: delfiles.cmd process.exe pv.exe replace.cmd runthis.bat swreg.exe Log 5.Schritt Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3439-7AB9 Verzeichnis von C:\WINDOWS\system32 09.12.2005 22:58 5'096 ncompat.tlb 09.12.2005 21:51 24'064 ldC39E.tmp 09.12.2005 21:31 6'144 msvol.tlb 09.12.2005 21:31 20'480 hpFCAA.tmp 09.12.2005 21:23 20'480 hpC763.tmp 09.12.2005 20:04 20'480 hpAB24.tmp 09.12.2005 20:01 4'286 ot.ico 09.12.2005 20:01 4'286 ts.ico 08.12.2005 18:51 2'206 wpa.dbl 04.12.2005 12:22 14'568 mscornet.exe 03.12.2005 15:07 2'050 DslWz.log 03.12.2005 12:29 40'972 perfc009.dat 03.12.2005 12:29 314'644 perfh009.dat 03.12.2005 12:29 320'424 perfh007.dat 03.12.2005 12:29 49'372 perfc007.dat 03.12.2005 12:29 725'674 PerfStringBackup.INI 02.12.2005 22:35 83'208 S32EVNT1.DLL 02.12.2005 22:35 124'167 SYMEVNT.386 02.12.2005 22:11 241'536 FNTCACHE.DAT 02.12.2005 12:18 253 spupdwxp.log 02.12.2005 11:42 25'065 wmpscheme.xml 02.12.2005 11:17 261 $winnt$.inf 02.12.2005 11:14 2'951 CONFIG.NT 02.12.2005 11:14 16'832 amcompat.tlb 02.12.2005 11:14 23'392 nscompat.tlb 02.12.2005 11:12 488 logonui.exe.manifest 02.12.2005 11:12 488 WindowsLogon.manifest 02.12.2005 11:12 749 nwc.cpl.manifest 02.12.2005 11:12 749 wuaucpl.cpl.manifest 02.12.2005 11:12 749 cdplayer.exe.manifest 02.12.2005 11:12 749 sapi.cpl.manifest 02.12.2005 11:12 749 ncpa.cpl.manifest 02.12.2005 11:10 21'740 emptyregdb.dat 02.12.2005 10:55 0 h323log.txt 15.11.2005 12:12 126'680 GCCollection.dll 15.11.2005 12:12 117'976 hashlib.dll 15.11.2005 12:12 95'448 gcUnCompress.dll 22.04.2005 11:58 328'128 gcTypLibA.tlb 04.08.2004 01:12 1'788 dcache.bin 04.08.2004 01:00 333'312 netsetup.exe 04.08.2004 00:58 87'176 rdpwsx.dll 04.08.2004 00:58 92'168 rdpdd.dll 04.08.2004 00:58 12'168 tsddd.dll |
|
|
09.12.2005, 23:40
Ehrenmitglied
Beiträge: 6028 |
#9
Klicke auf runthis.bat dan wird ein Dos-fenster öffnen folge die anweisungen
Dein Rechner wird neu gestartet suche dan auf C:\ nach smitfiles.txt und poste den inhalt Und dan nochmal den 5.Schritt __________ MfG Argus Dieser Beitrag wurde am 09.12.2005 um 23:46 Uhr von Arnold editiert.
|
|
|
10.12.2005, 00:04
Member
Themenstarter Beiträge: 18 |
#10
Nach dem Klick auf runthis.bat sind einige Fehlermeldungen vom Programm Spybot - Search & Destroy aufgegangen immer wieder die gleichen. Wenn ich das Internet öffne errscheint die Startseite und nicht den Virus W32.Sinnaka.A@mm !
wie gewünscht... Log vom smitfiles.txt smitRem © log file version 2.8 by noahdfear Microsoft Windows XP [Version 5.1.2600] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! spyaxe uninstaller NOT present ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ shopping ~~~ system32 folder ~~~ ld****.tmp ncompat.tlb mscornet.exe hp***.tmp ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 2184 'explorer.exe' Killing PID 2184 'explorer.exe' Starting registry repairs Deleting files Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ shopping ~~~ system32 folder ~~~ ld****.tmp ncompat.tlb mscornet.exe hp***.tmp ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ CLEAN! Log von 5.Schritt. nur bis zum Datum 4.8.2004 zurück. Brauchst Du noch weiter zurück. Es sind Total 1909 Dateien Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3439-7AB9 Verzeichnis von C:\WINDOWS\system32 09.12.2005 23:55 5'096 ncompat.tlb 09.12.2005 23:48 24'064 ldD67A.tmp 09.12.2005 23:45 0 present1.txt 09.12.2005 23:45 0 present.txt 09.12.2005 21:31 20'480 hpFCAA.tmp 08.12.2005 18:51 2'206 wpa.dbl 04.12.2005 12:22 14'568 mscornet.exe 03.12.2005 15:07 2'050 DslWz.log 03.12.2005 12:29 314'644 perfh009.dat 03.12.2005 12:29 40'972 perfc009.dat 03.12.2005 12:29 320'424 perfh007.dat 03.12.2005 12:29 49'372 perfc007.dat 03.12.2005 12:29 725'674 PerfStringBackup.INI 02.12.2005 22:35 124'167 SYMEVNT.386 02.12.2005 22:35 83'208 S32EVNT1.DLL 02.12.2005 22:11 241'536 FNTCACHE.DAT 02.12.2005 12:18 253 spupdwxp.log 02.12.2005 11:42 25'065 wmpscheme.xml 02.12.2005 11:17 261 $winnt$.inf 02.12.2005 11:14 2'951 CONFIG.NT 02.12.2005 11:14 16'832 amcompat.tlb 02.12.2005 11:14 23'392 nscompat.tlb 02.12.2005 11:12 488 WindowsLogon.manifest |
|
|
10.12.2005, 00:11
Ehrenmitglied
Beiträge: 6028 |
#11
Das beste ist es um auf Sabina zu warten die ist die Beste Virenkiller(in) die ich kenne
Es hat sich nämlich nichts geändert __________ MfG Argus |
|
|
10.12.2005, 00:30
Member
Themenstarter Beiträge: 18 |
#12
Danke mal vorerst. Ich habe noch das Programm Spybot - Search & Destroy laufen lassen. Folgende Virus/Spam... kann das Programm nicht löschen
samitfraud-C. Vielen Dank vorerst. Würde mich freuen wenn Sabina noch die logs nach Viren scanen könnte.... Gruss bam |
|
|
10.12.2005, 18:05
Ehrenmitglied
Beiträge: 29434 |
#13
bam
mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm http://virus-protect.org/reg/mcor.reg rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm. http://virus-protect.org/reg/spyaxe.reg KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot / Process all in List )--> anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\ncompat.tlb C:\WINDOWS\system32\ldD67A.tmp C:\WINDOWS\system32\present1.txt C:\WINDOWS\system32\present.txt C:\WINDOWS\system32\hpFCAA.tmp C:\WINDOWS\system32\mscornet.exe PC neustarten starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg spyaxe.reg doppelt --> fuege sie mit " ja" oder "yes" der Registry bei ---------------------------------------------------------- SpyAxeFix.exe http://noahdfear.geekstogo.com/click%20counter/click.php?id=8 -->> schliesse alle anderen Programme -->> doppeltklicken SpyAxeFix.exe -->> SpyAxeFix.bat -->> wenn deas Tool abgearbeitet ist, wird der PC neustarten loesche: C:\Programme\SpyAxe C:\Program Files\SpyAxe C:\WINDOWS\system32\1024 C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder) http://virus-protect.org/systemwiederherstellung.html scanne mit Kaspersky --> kopiere hier den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
11.12.2005, 11:04
Member
Themenstarter Beiträge: 18 |
#14
Sabina
Folgendes Problem: im abgesicherten Modus habe die beiden Link "mcor.reg" und "spyaxe.reg" nicht auf dem Desctop! -C:\WINDOWS\system32\ldD67A.tmp und C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url habe ich nicht gefunden Please wait to update the virus definitions... Downloading from url: http://eu1h.kaspersky-labs.com Downloading remote file: master.xml |
|
|
11.12.2005, 13:13
Ehrenmitglied
Beiträge: 29434 |
#15
das ist nicht der Scan vom Kaspersky (also der das Endergebnis anzeigt)
und die reg-Dateien musst du beim Laden gleich auf dem Desktop abspeichern, sonst sind sie...logisch...woanders. lade, scanne und poste den scanreport http://virus-protect.org/microtrend.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
Wäre um jede Antwort dankbar
Gruss
bam
Logfile of HijackThis v1.99.1
Scan saved at 23:00:03, on 08.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rmctrl.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\INTEL\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hpAC5D.tmp
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe