mssearchnet.exe/SpyAxe/TR/Drop.Zlob.BK.1 |
||
---|---|---|
#0
| ||
30.11.2005, 18:01
Ehrenmitglied
Beiträge: 29434 |
||
|
||
13.12.2005, 14:38
Ehrenmitglied
Beiträge: 29434 |
#17
Zitat Hallo Sabina, __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.12.2005, 14:40
Ehrenmitglied
Beiträge: 29434 |
#18
dee-zet
fixe mit dem HijackThis: O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h neustarten mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm http://virus-protect.org/reg/mcor.reg rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm. http://virus-protect.org/reg/spyaxe.reg ------------------------------------------------------------------------- SpyAxeFix.exe http://virus-protect.org/artikel/tools/SpyAxeFix.exe -->> schliesse alle anderen Programme -->> doppeltklicken SpyAxeFix.exe -->> SpyAxeFix.bat -->> wenn deas Tool abgearbeitet ist, wird der PC neustarten starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg spyaxe.reg doppelt --> fuege sie mit "ja" oder "yes" der Registry bei -------------------------------------------------------------------------------- wende cleanUp an, genauso, wie auf der Seite erklaert http://virus-protect.org/cleanup.html SmitRem2.8 http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und kopiere die Textdatei in den Thread kopiere hier die 4 Textdateien http://virus-protect.org/datfindbat.html --------------------- SpyAxe http://virus-protect.org/artikel/spyware/spyaxe.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.12.2005, 12:22
Member
Themenstarter Beiträge: 14 |
#19
Hallo Sabina,
vielen Dank für deine Hilfe, leider startet der Scan von smitrem nicht, ein textfile ist aber trotzdem vorhanden. smitRem © log file version 2.8 by noahdfear Microsoft Windows XP [Version 5.1.2600] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! spyaxe uninstaller NOT present ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ SpyAxe ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 744 'explorer.exe' Killing PID 744 'explorer.exe' Starting registry repairs Deleting files Remaining Post-run Files ~~~ Program Files ~~~ SpyAxe ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ CLEAN! hier die datfind logs: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 947B-5DE5 Verzeichnis von C:\WINDOWS\system32 11.12.2005 16:30 16.832 amcompat.tlb 11.12.2005 16:30 23.392 nscompat.tlb 09.12.2005 15:20 7.006 jupdate-1.5.0_06-b05.log 09.12.2005 15:10 95 productregistry 09.12.2005 09:45 2.206 wpa.dbl 11.11.2005 11:08 111.784 FNTCACHE.DAT 10.11.2005 13:03 127.078 javaws.exe 10.11.2005 13:03 49.265 jpicpl32.cpl 24.01.2005 16:23 5.120 TFTP1436 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 947B-5DE5 Verzeichnis von C:\DOKUME~1\TAMMY~1.TAM\LOKALE~1\Temp 14.12.2005 12:15 16.384 ~DFCAC5.tmp 1 Datei(en) 16.384 Bytes 0 Verzeichnis(se), 13.423.648.768 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 947B-5DE5 Verzeichnis von C:\WINDOWS 14.12.2005 12:22 1.854.792 WindowsUpdate.log 14.12.2005 12:15 0 0.log 14.12.2005 12:13 2.048 bootstat.dat 14.12.2005 11:59 170.731 setupact.log 14.12.2005 11:58 421.088 ntbtlog.txt 14.12.2005 11:56 32.576 SchedLgU.Txt 12.12.2005 11:55 10.758 ModemLog_Smart Link 56K Modem.txt 12.12.2005 11:24 6.080 wmsetup.log 11.12.2005 16:31 379 wmsetup10.log 11.12.2005 16:30 39.558 setupapi.log 11.12.2005 16:28 316.640 WMSysPr9.prx 08.12.2005 09:55 83 RobotError.log 15.11.2005 23:23 50 wiaservc.log 15.11.2005 23:23 216 wiadebug.log 10.11.2005 10:08 613.500 iis6.log 10.11.2005 10:08 149.716 comsetup.log 10.11.2005 10:08 94.555 ntdtcsetup.log 10.11.2005 10:08 242.319 tsoc.log 10.11.2005 10:08 1.393 imsins.log 10.11.2005 10:08 19.931 ocmsn.log 10.11.2005 10:08 25.783 tabletoc.log 10.11.2005 10:08 11.904 KB896424.log 10.11.2005 10:08 89.532 netfxocm.log Verzeichnis von C:\ 14.12.2005 12:24 0 sys.txt 14.12.2005 12:23 8.473 system.txt 14.12.2005 12:23 298 systemtemp.txt 14.12.2005 12:20 98.828 system32.txt 14.12.2005 12:13 352.321.536 pagefile.sys 14.12.2005 11:59 1.290 smitfiles.txt 18.08.2005 18:25 82 RobotError.log 02.07.2005 11:47 211 boot.ini 02.07.2005 11:20 47.564 NTDETECT.COM 02.07.2005 11:20 251.184 ntldr 05.05.2004 19:35 12 win2.log 04.10.2003 20:59 234.409.984 hiberfil.sys 03.10.2003 18:44 348 FixBlast.log 20.08.2003 23:36 143.040 FixBlast.exe 27.07.2002 13:03 328 IPH.PH 27.07.2002 12:45 365 SiSSetup.txt 27.07.2002 12:45 14.839 SiSSetup1.ini 27.07.2002 12:45 3.789 SiSUnist.ini 27.07.2002 11:44 0 MSDOS.SYS 27.07.2002 11:44 0 IO.SYS 27.07.2002 11:44 0 CONFIG.SYS 27.07.2002 11:44 0 AUTOEXEC.BAT 18.08.2001 20:00 4.952 bootfont.bin 23 Datei(en) 587.307.123 Bytes 0 Verzeichnis(se), 13.423.624.192 Bytes frei Gruß d Dieser Beitrag wurde am 14.12.2005 um 12:27 Uhr von dee-zet editiert.
|
|
|
||
14.12.2005, 12:57
Ehrenmitglied
Beiträge: 29434 |
#20
Zitat Sabina postete __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.12.2005, 13:02
Member
Themenstarter Beiträge: 14 |
#21
Antivirus Version Update Result
AntiVir 6.33.0.61 12.14.2005 no virus found Avast 4.6.695.0 12.13.2005 no virus found AVG 718 12.08.2005 no virus found Avira 6.33.0.61 12.14.2005 no virus found BitDefender 7.2 12.14.2005 no virus found CAT-QuickHeal 8.00 12.13.2005 no virus found ClamAV devel-20051108 12.12.2005 no virus found DrWeb 4.33 12.14.2005 Win32.HLLW.MyBot eTrust-Iris 7.1.194.0 12.14.2005 no virus found eTrust-Vet 12.3.3.0 12.14.2005 no virus found Fortinet 2.54.0.0 12.14.2005 suspicious F-Prot 3.16c 12.13.2005 no virus found Ikarus 0.2.59.0 12.14.2005 Backdoor.Win32.Rbot.SH Kaspersky 4.0.2.24 12.14.2005 no virus found McAfee 4649 12.13.2005 Generic.k NOD32v2 1.1321 12.13.2005 no virus found Norman 5.70.10 12.14.2005 W32/Spybot.YHP Panda 8.02.00 12.13.2005 Bck/Sdbot.FXK Sophos 4.00.0 12.14.2005 no virus found Symantec 8.0 12.14.2005 no virus found TheHacker 5.9.1.055 12.14.2005 no virus found VBA32 3.10.5 12.13.2005 no virus found VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.> Go to: Home Contact En español -------------------------------------------------------------------------------- www.virustotal.com :: ©Hispasec Sistemas 2004,05 :: e-mail info@virustotal.com |
|
|
||
14.12.2005, 13:07
Ehrenmitglied
Beiträge: 29434 |
#22
ja, ja, das wusste ich, seit 24.01.2005 hast du einen Backdoor + anonymen Server auf dem PC, der vollen Zugriff auf dein System hat....(ich weiss nicht, wo der Rootkit ist...den muessen wir noch suchen)
Loesche also und mache die Scans dr.Web erkennt den Backdoor (Kaspersky nicht.....) http://virus-protect.org/cureit.html scanne also erst mit dr.Web und erst danach mache den Scan mit kaspersky wegen SpyAxe) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.12.2005, 13:19
Member
Themenstarter Beiträge: 14 |
#23
Dr. web findet im Pfad : C:/Windows/System32/ZoneLabs/vsmon.exe einen Backdoor Trojaner und möchte ihn umbenenneb?!?!? ich habe ihn nicht umbenannt, er ist der einzige fund von dr. web...
Ich sitze am Rechner meiner freundin, sie meint Zone Alarm wäre ihre Firewall... PS: ich konnte zwei kollegen nscompat.tlb und msvol.tlb im System 32 nicht finden um sie mit der killbox runterzuhauen... Dieser Beitrag wurde am 14.12.2005 um 13:35 Uhr von dee-zet editiert.
|
|
|
||
14.12.2005, 13:50
Ehrenmitglied
Beiträge: 29434 |
#24
zonealarm ist eine Firewall, aber er kann sehr gut gehackt und modifiziert sein,
Also Zonealarm deinstallieren, mit dr.web scannen (spaeter kann man den Zonealarm neu laden) dann mache die scans mit kaspersky und etrust __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.12.2005, 14:18
Member
Themenstarter Beiträge: 14 |
#25
Problem bei zone alarm ist, dass ich das program nicht besitze...also wenn ich es deinstaliere, habe ich keine chance es wieder neu drauf zu machen...
ich lass die scans so laufen, oder?!?!? |
|
|
||
14.12.2005, 14:27
Ehrenmitglied
Beiträge: 29434 |
#26
ist es denn keine Freeversion (Zonealarm? ) wenn es eine ist, kannst du ihn neu laden.
Wenn es eine gekaufte Version ist, gibt es einen Key. Wenn es eine gecrackte version ist...vergiss es...dann schuetzt Zonealrm nicht. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.12.2005, 15:38
Member
Themenstarter Beiträge: 14 |
#27
ok, der zone alarm hat das zeitliche gesegnet, dr. web findet nun einen verdächtigen bakdoor opener hinter arcor exe, damit gehe ich aber ins internet, kann das was sein??...
der kaperski log: ------------------------------------------------------------------------------- KASPERSKY ON-LINE SCANNER REPORT Wednesday, December 14, 2005 17:13:38 Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Kaspersky On-line Scanner version: 5.0.67.0 Kaspersky Anti-Virus database last update: 14/12/2005 Kaspersky Anti-Virus database records: 155122 ------------------------------------------------------------------------------- Scan Settings: Scan using the following antivirus database: standard Scan Archives: true Scan Mail Bases: true Scan Target - My Computer: C:\ D:\ Scan Statistics: Total number of scanned objects: 68866 Number of viruses found: 6 Number of infected objects: 7 Number of suspicious objects: 0 Duration of the scan process: 5102 sec Infected Object Name - Virus Name C:\Dokumente und Einstellungen\Tammy.TAMMY-1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\outlook.pst/Persönliche Ordner/Gelöschte Objekte/03 Dec 2005 23:12 from DEUTSCHE BANKeutsche Bank Online-Bankin.html Infected: Trojan-Spy.HTML.Bankfraud.ky C:\Dokumente und Einstellungen\Tammy.TAMMY-1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\outlook.pst/Persönliche Ordner/Gelöschte Objekte/08 Dec 2005 19:03 from Deutsche BankEUTSCHE BANK BANKING.html Infected: Trojan-Spy.HTML.Bankfraud.li C:\Dokumente und Einstellungen\Tammy.TAMMY-1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\outlook.pst/Persönliche Ordner/Gelöschte Objekte/09 Dec 2005 15:43 from Deutsche BankEUTSCHE BANK BANKING [Fri,.html Infected: Trojan-Spy.HTML.Bankfraud.ld C:\Dokumente und Einstellungen\Tammy.TAMMY-1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\outlook.pst Infected: Trojan-Spy.HTML.Bankfraud.ld C:\System Volume Information\_restore{17D7B07B-D9B7-48A7-B1D5-D31129291D2D}\RP169\A0084991.exe Infected: Trojan-Downloader.Win32.Small.bqf C:\System Volume Information\_restore{17D7B07B-D9B7-48A7-B1D5-D31129291D2D}\RP169\A0085172.exe Infected: Trojan-Downloader.Win32.Zlob.cm C:\System Volume Information\_restore{17D7B07B-D9B7-48A7-B1D5-D31129291D2D}\RP169\A0085174.exe Infected: Trojan-Downloader.Win32.Zlob.cq Scan process completed. zu etrust kann ich keinen link finden... danke d Dieser Beitrag wurde am 14.12.2005 um 17:18 Uhr von dee-zet editiert.
|
|
|
||
15.12.2005, 12:40
Ehrenmitglied
Beiträge: 29434 |
#28
deaktiviere die Systemwiederherstellung (dann aktiviere sie wieder)
http://virus-protect.org/systemwiederherstellung.html so kann man die Mail restlos aus der Inbox zu entfernen: 1. Mail aus Inbox löschen 2. Mülleimer leeren 3. Inbox komprimieren (Datei-Menü) Hintergrund: Die gesamte Inbox ist auf der Festplatte als eine einzige Datei abgelegt. Darin stehen alle Mails untereinander, und auch die "gelöschten" Mails bleiben stehen (nur sind sie als gelöscht markiert). Erst durch das Komprimieren werden tatsächlich Teile aus der Datei entfernt. http://virus-protect.org/artikel/newsletter/deutbkfraud.html suche auf der seite mit den Onlinescans den Panda, scanne und berichte(die arcor.exe lass, das kann auch ein Fehler von dr.web sein) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
__________
MfG Sabina
rund um die PC-Sicherheit