"Your computer is infected"Thema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
11.12.2005, 17:34
Ehrenmitglied
 Beiträge: 29434 |
||
 
|
|
|
|
11.12.2005, 20:21
Member
Beiträge: 21 |
#47
Hallo Sabina,
lieben Dank für die schnelle Hilfe. Ich habe alles soweit durchgeführt. Hier ist der scanreport von Kaspersky: KASPERSKY ON-LINE SCANNER REPORT Sunday, December 11, 2005 19:27:25 Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600) Kaspersky On-line Scanner version: 5.0.67.0 Kaspersky Anti-Virus database last update: 11/12/2005 Kaspersky Anti-Virus database records: 154550 ------------------------------------------------------------------------------- Scan Settings: Scan using the following antivirus database: standard Scan Archives: true Scan Mail Bases: true Scan Target - Critical Areas: C:\WINDOWS C:\DOKUME~1\Biggi\LOKALE~1\Temp\ Scan Statistics: Total number of scanned objects: 18573 Number of viruses found: 0 Number of infected objects: 0 Number of suspicious objects: 0 Duration of the scan process: 483 sec No malware has been detected. The sections that have been scanned are CLEAN. Scan process completed. Ach, noch etwas. Mein Antivir meldet ímmer wieder folgende Warnungen: C:\SYSTEM VOLUME INFORMATION\_RESTORE{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP88\A0028716.EXE 11.12.2005,19:46:12 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.WN.5! C:\SYSTEM VOLUME INFORMATION\_RESTORE{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP71\A0026945.EXE 11.12.2005,19:46:27 [WARNUNG] Ist das Trojanische Pferd TR/Click.Spywad.l! C:\SYSTEM VOLUME INFORMATION\_RESTORE{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP73\A0027024.EXE 11.12.2005,19:46:51 [WARNUNG] Ist das Trojanische Pferd TR/Click.Spywad.l! C:\SYSTEM VOLUME INFORMATION\_RESTORE{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP88\A0028716.EXE 11.12.2005,19:46:55 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Age.wn.33.B! C:\SYSTEM VOLUME INFORMATION\_RESTORE{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP89\A0028746.EXE 11.12.2005,19:46:57 [WARNUNG] Ist das Trojanische Pferd TR/Click.Spywad.l! C:\SYSTEM VOLUME INFORMATION\_RESTORE{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP89\A0028747.EXE 11.12.2005,19:46:59 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Small.DG.9! C:\SYSTEM VOLUME INFORMATION\_RESTORE{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP89\A0028748.EXE 11.12.2005,20:15:27 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.WN.5! F:\SYSTEM VOLUME INFORMATION\_RESTORE{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP71\A0026951.EXE Ist das Trojanische Pferd TR/Dldr.Agent.WN.5 Was hat das zu bedeuten? Lieben Gruß Brigitte Dieser Beitrag wurde am 11.12.2005 um 20:32 Uhr von lara20 editiert.
|
|
|
|
|
|
|
11.12.2005, 23:18
Ehrenmitglied
Beiträge: 29434 |
#48
http://virus-protect.org/systemwiederherstellung.html
deaktiviere die Systemwiederherstellung (dann aktiviere sie wieder) danch scanne noch mal __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
12.12.2005, 13:21
Member
Beiträge: 21 |
#49
Hallo Sabina,
vielen lieben Dank für die Hilfe. Es scheint alles wieder sauber zu sein. Liebe Grüße lara20 |
|
|
|
|
|
|
12.12.2005, 16:15
...neu hier
Beiträge: 4 |
#50
Hallo erstmal ich hab zwar versucht aus dem Thread schlau zu werden aber ich weis leider nicht was ich machen soll bzw wie ich an die Berichte ran komme die ihr gepostet habt?!
Bei mir kamm heute mittag plötzlich in der startleiste die meldung "Your Computer is infected" 1. ich kreig die da um verrecken nicht aus kein process der drauf hinweist hab schon versucht alles prozesse zu schließen war keiner von denen die nicht kritisch sind 2. hat sie eine software installiert die heist "Spyexe" die kann ich nur bis zum nächsten neustart löschen danach ist sie wieder drauf Ist ja schon halber peinlich als Angewander Informatiker da nicht weiter zu kommen aber für irgendwas Studiert man ja!  da hab ich noch einen hijack log machen können wenns so weiter geht krieg ichs doch noch hin ^^ Logfile of HijackThis v1.99.1 Scan saved at 16:25:28, on 12.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS.0\System32\smss.exe C:\WINDOWS.0\system32\winlogon.exe C:\WINDOWS.0\system32\services.exe C:\WINDOWS.0\system32\lsass.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS.0\Explorer.EXE C:\WINDOWS.0\system32\spoolsv.exe C:\Programme\PowerAntiVirus XP\AVKService.exe C:\Programme\PowerAntiVirus XP\AVKWCtl.exe C:\WINDOWS.0\System32\svchost.exe C:\WINDOWS.0\System32\svchost.exe C:\Programme\Opera\Opera.exe C:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\RADEK~1.HIT\LOKALE~1\Temp\RootkitRevealer.exe C:\Programme\CCleaner\ccleaner.exe C:\DOKUME~1\RADEK~1.HIT\LOKALE~1\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.accoona.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.accoona.com/search_assistant/accoona_search_assistant.jsp?&utm_id= 400011&utm_content=leftnav &utm_source=wdz1&utm_medium=bund&utm_campaign=wdz0605a R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - C:\Programme\Accoona\ASearchAssist.dll (file missing) O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\PowerAntiVirus XP\AVKPOP.EXE" O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS.0\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKCU\..\RunOnce: [DAEMON Tools 4.00 Setup] "C:\Dokumente und Einstellungen\Radek.HITMAN\Desktop\daemon400.exe" O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097247714794 O17 - HKLM\System\CCS\Services\Tcpip\..\{E02D20E3-78D5-4854-88CB-DA2F48AFFBA9}: NameServer = 192.168.178.1 O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\PowerAntiVirus XP\AVKService.exe O23 - Service: PAV Wächter (AVKWCtl) - Unknown owner - C:\Programme\PowerAntiVirus XP\AVKWCtl.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: TJKXTCSTLZ - Unknown owner - C:\DOKUME~1\RADEK~1.HIT\LOKALE~1\Temp\TJKXTCSTLZ.exe (file missing) Würde mich wirklich über jetweilige hilfe freunen das ich hier schon seit ca 3 Stunden mir in 100 Foren einer ablese und das das einzige ist das eine Hilfe stellung bietet ist ! Danke schonmal Radek Dieser Beitrag wurde am 12.12.2005 um 16:27 Uhr von Radek_AI editiert.
|
|
|
|
|
|
|
12.12.2005, 16:40
Ehrenmitglied
Beiträge: 29434 |
#51
Radek_AI
wende CleanUp an http://virus-protect.org/cleanup.html kopiere hier die 4 Textdateien (3 Monate vom Datum her genuegen) http://virus-protect.org/datfindbat.html Download Registry Search by Bobbi Flekman http://www.bleepingcomputer.com/files/regsearch.php und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) SpyAxe in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
12.12.2005, 18:56
...neu hier
Beiträge: 4 |
#52
hmm also cleanup ist duch und hat satte 280 MB frei gemacht ^^
dann noch Datentr„ger in Laufwerk C: ist Radek Volumeseriennummer: C0C4-6A49 Verzeichnis von C:\WINDOWS.0\system32 12.12.2005 18:40 180 ncompat.tlb 12.12.2005 18:32 9.780 mssearchnet.exe 12.12.2005 18:29 24.064 ld639C.tmp 12.12.2005 15:23 4.286 ot.ico 12.12.2005 15:23 4.286 ts.ico 12.12.2005 14:42 98.304 ioctrl.dll 12.12.2005 00:24 14.528 mscornet.exe 04.12.2005 22:02 21.840 SIntfNT.dll 04.12.2005 22:02 17.212 SIntf32.dll 04.12.2005 22:02 12.067 SIntf16.dll 25.11.2005 14:00 2.206 wpa.dbl 22.11.2005 18:45 43.520 CmdLineExt03.dll 13.11.2005 16:21 98.304 CmdLineExt.dll 13.11.2005 15:47 27 mcheck.mhf 09.11.2005 20:03 115.768 FNTCACHE.DAT 02.11.2005 06:34 2.377.568 MRT.exe 30.10.2005 23:27 311.604 perfh009.dat 30.10.2005 23:27 316.594 perfh007.dat 30.10.2005 23:27 48.156 perfc007.dat 30.10.2005 23:27 39.992 perfc009.dat 30.10.2005 23:27 723.744 PerfStringBackup.INI 06.10.2005 04:18 280.064 gdi32.dll 06.10.2005 04:08 1.839.616 win32k.sys 04.10.2005 16:26 3.013.120 mshtml.dll 23.09.2005 04:06 8.491.520 shell32.dll 10.09.2005 02:54 2.067.968 cdosys.dll 03.09.2005 00:53 664.064 wininet.dll 03.09.2005 00:53 39.424 pngfilt.dll 03.09.2005 00:53 146.432 msrating.dll 03.09.2005 00:53 1.484.288 shdocvw.dll 03.09.2005 00:53 474.112 shlwapi.dll 03.09.2005 00:53 605.696 urlmon.dll 03.09.2005 00:53 205.312 dxtrans.dll 03.09.2005 00:53 530.432 mstime.dll 03.09.2005 00:53 251.392 iepeers.dll 03.09.2005 00:53 96.768 inseng.dll 03.09.2005 00:53 55.808 extmgr.dll 03.09.2005 00:53 448.512 mshtmled.dll 03.09.2005 00:53 1.019.904 browseui.dll 03.09.2005 00:53 1.055.744 danim.dll __________________________________________________________ Datentr„ger in Laufwerk C: ist Radek Volumeseriennummer: C0C4-6A49 Verzeichnis von C:\DOKUME~1\RADEK~1.HIT\LOKALE~1\Temp ____________________________________________________________ Datentr„ger in Laufwerk C: ist Radek Volumeseriennummer: C0C4-6A49 Verzeichnis von C:\WINDOWS.0 12.12.2005 18:29 50 wiaservc.log 12.12.2005 18:29 1.125.979 WindowsUpdate.log 12.12.2005 18:29 157 wiadebug.log 12.12.2005 18:29 2.048 bootstat.dat 12.12.2005 16:34 32.544 SchedLgU.Txt 12.12.2005 15:11 1.501 win.ini 12.12.2005 15:11 227 system.ini 11.12.2005 19:47 116 NeroDigital.ini 12.10.2005 13:18 316.640 WMSysPr9.prx 24.09.2005 01:48 737.280 iun6002.exe 08.07.2005 18:55 97 acc1.txt 01.07.2005 12:25 99.970 UninstallFirefox.exe 01.07.2005 12:24 3.553 mozver.dat 23.06.2005 17:59 225.892 spawn1.jpg 20.06.2005 20:42 77.824 SOUNDMAN.EXE 02.06.2005 15:43 200.704 alcrmv.exe 02.06.2005 15:31 294.912 alcupd.exe 27.05.2005 00:22 10.752 hh.exe 17.05.2005 21:48 155 winamp.ini 27.03.2005 12:19 84 StyleBuilder.INI 22.03.2005 15:15 0 nsreg.dat 07.02.2005 16:36 409 ODBC.INI 07.02.2005 16:36 59 vbaddin.ini 03.02.2005 14:54 233.891 evamendez.jpg 03.02.2005 14:53 341.520 Xp001.jpg 26.01.2005 20:01 50.688 NDNuninstall6_38.exe 07.01.2005 09:35 1.750.687 setupapi.log.0.old 01.01.2005 15:45 10 WININIT.INI 30.10.2004 10:42 331 CoDUO.INI 17.10.2004 00:18 733 CoD.INI 16.10.2004 22:19 996 eReg.dat 16.10.2004 14:54 29.673 hpoins03.dat 07.10.2004 18:44 0 Sti_Trace.log 07.10.2004 17:56 8.192 REGLOCS.OLD 07.10.2004 17:53 0 control.ini 07.10.2004 17:53 299.552 WMSysPrx.prx 07.10.2004 17:53 4.249 ODBCINST.INI 07.10.2004 17:52 749 WindowsShell.Manifest 07.10.2004 17:51 36 vb.ini ______________________________________________________ Datentr„ger in Laufwerk C: ist Radek Volumeseriennummer: C0C4-6A49 Verzeichnis von C:\ 12.12.2005 18:44 0 sys.txt 12.12.2005 18:42 4.143 system.txt 12.12.2005 18:42 131 systemtemp.txt 12.12.2005 18:41 103.502 system32.txt 12.12.2005 18:29 805.306.368 pagefile.sys 12.12.2005 16:32 3.143 winzip.log 12.12.2005 15:11 214 boot.ini 06.12.2005 11:45 0 BHO.log 04.12.2005 21:38 365 array.txt 14.02.2005 12:22 215 BOOT.BKK 09.10.2004 18:45 47.564 NTDETECT.COM 09.10.2004 18:45 251.184 ntldr 07.10.2004 17:53 0 MSDOS.SYS 07.10.2004 17:53 0 CONFIG.SYS 07.10.2004 17:53 0 AUTOEXEC.BAT 07.10.2004 17:53 0 IO.SYS 18.08.2001 13:00 4.952 bootfont.bin hoffe das war gemeint ! und noch das letzte log REGEDIT4 ; Registry Search by Bobbi Flekman ; Version: 1.0.2.1 ; Results at 12.12.2005 18:51:22 for strings: ; 'spyaxe' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\SpyAxe.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{70F17C8C-1744-41B6-9D07-575DB448DCC5}] @="SpyAxe" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2BB3BCBF-411A-4C67-8E69-F4BB301DC333}\1.0] @="SpyAxe 1.0 Type Library" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2BB3BCBF-411A-4C67-8E69-F4BB301DC333}\1.0\0\win32] @="C:\\Programme\\SpyAxe\\spyaxe.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2BB3BCBF-411A-4C67-8E69-F4BB301DC333}\1.0\HELPDIR] @="C:\\Programme\\SpyAxe\\" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpyAxe] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpyAxe] "item"="spyaxe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpyAxe] "command"="C:\\Programme\\SpyAxe\\spyaxe.exe /h" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\spyaxe.exe] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\spyaxe.exe] @="C:\\Programme\\SpyAxe\\spyaxe.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpyAxe"="C:\\Programme\\SpyAxe\\spyaxe.exe /h" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyAxe] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyAxe] "DisplayName"="SpyAxe 3.0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyAxe] "UninstallString"="C:\\Programme\\SpyAxe\\uninst.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyAxe] "DisplayIcon"="C:\\Programme\\SpyAxe\\spyaxe.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyAxe] "NSIS:StartMenuDir"="SpyAxe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyAxe] "URLInfoAbout"="http://www.spyaxe.com" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyAxe] "Publisher"="SpyAxe" [HKEY_LOCAL_MACHINE\SOFTWARE\SpyAxe] [HKEY_USERS\S-1-5-21-1390067357-1336601894-839522115-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\WINDOWS.0\\TEMP\\sa4.exe"="SpyAxe Software Installer" [HKEY_USERS\S-1-5-21-1390067357-1336601894-839522115-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\Programme\\SpyAxe\\spyaxe.exe"="Anti-spyware software" [HKEY_USERS\S-1-5-21-1390067357-1336601894-839522115-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\DOKUME~1\\RADEK~1.HIT\\LOKALE~1\\Temp\\~nsu.tmp\\Au_.exe"="SpyAxe Software Installer" [HKEY_USERS\S-1-5-21-1390067357-1336601894-839522115-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\DOKUME~1\\RADEK~1.HIT\\LOKALE~1\\Temp\\sa1.exe"="SpyAxe Software Installer" ; End Of The Log... und vielen dank für die Hilfe das Teil ist wirklich fürchbar Stressig |
|
|
|
|
|
|
13.12.2005, 00:04
Ehrenmitglied
Beiträge: 29434 |
#53
Radek_AI
mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm http://virus-protect.org/reg/mcor.reg rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm. http://virus-protect.org/reg/spyaxe.reg ------------------------------------------------------------------------------------ KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot / Process all in List )--> anhaken reinkopieren: und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS.0\system32\ncompat.tlb C:\WINDOWS.0\system32\mssearchnet.exe C:\WINDOWS.0\system32\ld639C.tmp C:\WINDOWS.0\system32\ot.ico C:\WINDOWS.0\system32\ts.ico C:\WINDOWS.0\system32\ioctrl.dll C:\WINDOWS.0\system32\mscornet.exe C:\WINDOWS.0\iun6002.exe C:\WINDOWS.0\NDNuninstall6_38.exe starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg spyaxe.reg doppelt --> fuege sie mit "ja" oder "yes" der Registry bei ----------------------------------------------------------------------- öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.accoona.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.accoona.com/search_assistant/accoona_search_assistant.jsp?&utm_id= 400011&utm_content=leftnav &utm_source=wdz1&utm_medium=bund&utm_campaign=wdz0605a R3 - Default URLSearchHook is missing O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - C:\Programme\Accoona\ASearchAssist.dll (file missing) O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h PC neustarten deinstalliere: SpyAxe loesche: C:\Programme\SpyAxe C:\Program Files\SpyAxe C:\WINDOWS\system32\1024 C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url C:\Dokumente und Einstellungen\Username\Favoriten\Take It Here - Daily Updated Porn Links.url C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url C:\Dokumente und Einstellungen\Username\Favoriten\Antivirus Test Online.url SmitRem2.8 http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und kopiere die Textdatei in den Thread dann sehen wir weiter __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
13.12.2005, 01:00
...neu hier
Beiträge: 4 |
#54
hmm scheint weg zu sein hier noch das file
Kann mich nur für den schnellen und guten support bedanken und ich bin sehr dankbar hab so ein hartnäckiges teil noch nie gesehen ^^ smitRem © log file version 2.8 by noahdfear Microsoft Windows XP [Version 5.1.2600] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! spyaxe uninstaller NOT present ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ msvol.tlb ld****.tmp nvctrl.exe hp***.tmp logfiles ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 828 'explorer.exe' Starting registry repairs Deleting files Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ CLEAN! 
|
|
|
|
|
|
|
13.12.2005, 01:17
Ehrenmitglied
Beiträge: 29434 |
#55
Radek_AI
scanne: http://virus-protect.org/microtrend.html deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder) http://virus-protect.org/systemwiederherstellung.html scanne mit Kaspersky --> loesche dann manuell, was gefunden wird http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
13.12.2005, 22:32
...neu hier
Beiträge: 4 |
#56
Also nach den ersten sachen kams schon nicht mehr wieder mach das andere jetzt noch aber sollte sich jetzt erlidigt haben vielen dank !!
MfG Radek |
|
|
|
|
|
|
21.12.2005, 20:20
Member
Beiträge: 64 |
#57
Hallo Sabina,
kann es sein, dass der Link zur spyaxe.reg (die dann auf dem Desktop kommt und die ich dann doppelklicke) nicht mehr aktuell ist? Wenn ich nach obiger Beschreibung vorgehe dann ist Spyaxe nicht registriert. Gruß, Silvia |
|
|
|
|
|
|
21.12.2005, 21:45
Ehrenmitglied
Beiträge: 29434 |
#58
Zitat danielsch postetedieses Tool Spyaxe.exe , nicht die spyaxe.reg...denn letztere funktioniert ) ist inzwischen enthalten in: SmitRem2.8 http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
22.12.2005, 14:11
Member
Beiträge: 11 |
#59
hi sabina,
ich hatte dir ja schon ne PM geschickt hier meine hijack log files : Logfile of HijackThis v1.99.1 Scan saved at 14:08:15, on 22.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\PowerTower\Desktop\HijackThis.exe R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Class - {A66DF143-F487-E2C9-232E-3D99CC47A72F} - C:\WINDOWS\system32\appaq.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Advanced Message Server] rundll32.exe usb496.dat,Execute O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0EE3667B-CB10-40B7-8101-23D967FC8CC6} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0EE3667B-CB10-40B7-8101-23D967FC8CC6} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133369726375 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe (file missing) O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe gruss , hell.boy |
|
|
|
|
|
|
22.12.2005, 16:11
Ehrenmitglied
Beiträge: 29434 |
#60
hell.boy
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\appaq.dll  --------------- kopiere hier den scanreport von Option 1 http://virus-protect.org/l2mfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html
Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
C:\WINDOWS\system32\paytime.exe
C:\WINDOWS\tool2.exe
C:\WINDOWS\kl.exe
C:\WINDOWS\uniq
PC neustarten
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.
Kaspersky
http://virus-protect.org/onlinescan.html
kopiere hier den scanreport
---------------------------------------------------------------------
Info:
http://virus-protect.org/artikel/spyware/secure_32.html
__________
MfG Sabina
rund um die PC-Sicherheit