mssearchnet.exe/SpyAxe/TR/Drop.Zlob.BK.1

#16 die cookies und alles was sich ewig wiederholt, brauchst du hier nicht mit abzukopieren..oder nur einen Teil
__________
MfG Sabina

rund um die PC-Sicherheit

#17

Zitat

Hallo Sabina,
mein PC ist mittlerweile nicht mehr Internetfähig, meine Post habe ich aktualisiert, schade dass du dich nicht mehr gemeldet hast. Mittlerweile tritt das Spy.Axe Problem auch auf dem PC meiner Freundin auf...Ich bin hilflos und habe einen neuen Thread eröffnet...Es wäre sehr nett wenn du mir weiter helfen würdest!

Der Hikack Log:

Logfile of HijackThis v1.99.1
Scan saved at 14:04:59, on 12.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\MSTMON_N.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\DOKUME~1\TAMMY~1.TAM\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KONICA MINOLTA PagePro 1300WStatusDisplay] C:\WINDOWS\System32\MSTMON_N.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NAVNet] "C:\Dokumente und Einstellungen\Tammy.TAMMY-1\Startmenü\Programme\Autostart\ms.exe" /m
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C612A787-0D58-4BD9-8151-8E75CAF7EDC8}: NameServer = 195.50.140.252 195.50.140.114
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\System32\ZoneLabs\vsmon.exe

Ich habe auch versucht den SmitRem laufen zu lassen, doch wenn das Programm einen Scan durchführen will, fährt der Rechner runter...

Ich bin echt am durchdrehen...
Vielen Dank
d

__________
MfG Sabina

rund um die PC-Sicherheit

#18 dee-zet

fixe mit dem HijackThis:
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h

neustarten

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm

http://virus-protect.org/reg/mcor.reg

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg

-------------------------------------------------------------------------
SpyAxeFix.exe
http://virus-protect.org/artikel/tools/SpyAxeFix.exe

-->> schliesse alle anderen Programme
-->> doppeltklicken SpyAxeFix.exe
-->> SpyAxeFix.bat
-->> wenn deas Tool abgearbeitet ist, wird der PC neustarten

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an
und klicke die

mcor.reg
spyaxe.reg

doppelt --> fuege sie mit "ja" oder "yes" der Registry bei

--------------------------------------------------------------------------------

wende cleanUp an, genauso, wie auf der Seite erklaert
http://virus-protect.org/cleanup.html

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und kopiere die Textdatei in den Thread


kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html

---------------------

SpyAxe
http://virus-protect.org/artikel/spyware/spyaxe.html
__________
MfG Sabina

rund um die PC-Sicherheit

#19 Hallo Sabina,

vielen Dank für deine Hilfe, leider startet der Scan von smitrem nicht, ein textfile ist aber trotzdem vorhanden.
smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

spyaxe uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~

SpyAxe


~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 744 'explorer.exe'
Killing PID 744 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~

SpyAxe


~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!


hier die datfind logs:


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 947B-5DE5

Verzeichnis von C:\WINDOWS\system32

11.12.2005 16:30 16.832 amcompat.tlb
11.12.2005 16:30 23.392 nscompat.tlb
09.12.2005 15:20 7.006 jupdate-1.5.0_06-b05.log
09.12.2005 15:10 95 productregistry
09.12.2005 09:45 2.206 wpa.dbl
11.11.2005 11:08 111.784 FNTCACHE.DAT
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl

24.01.2005 16:23 5.120 TFTP1436

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 947B-5DE5

Verzeichnis von C:\DOKUME~1\TAMMY~1.TAM\LOKALE~1\Temp

14.12.2005 12:15 16.384 ~DFCAC5.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 13.423.648.768 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 947B-5DE5

Verzeichnis von C:\WINDOWS

14.12.2005 12:22 1.854.792 WindowsUpdate.log
14.12.2005 12:15 0 0.log
14.12.2005 12:13 2.048 bootstat.dat
14.12.2005 11:59 170.731 setupact.log
14.12.2005 11:58 421.088 ntbtlog.txt
14.12.2005 11:56 32.576 SchedLgU.Txt
12.12.2005 11:55 10.758 ModemLog_Smart Link 56K Modem.txt
12.12.2005 11:24 6.080 wmsetup.log
11.12.2005 16:31 379 wmsetup10.log
11.12.2005 16:30 39.558 setupapi.log
11.12.2005 16:28 316.640 WMSysPr9.prx
08.12.2005 09:55 83 RobotError.log
15.11.2005 23:23 50 wiaservc.log
15.11.2005 23:23 216 wiadebug.log
10.11.2005 10:08 613.500 iis6.log
10.11.2005 10:08 149.716 comsetup.log
10.11.2005 10:08 94.555 ntdtcsetup.log
10.11.2005 10:08 242.319 tsoc.log
10.11.2005 10:08 1.393 imsins.log
10.11.2005 10:08 19.931 ocmsn.log
10.11.2005 10:08 25.783 tabletoc.log
10.11.2005 10:08 11.904 KB896424.log
10.11.2005 10:08 89.532 netfxocm.log


Verzeichnis von C:\

14.12.2005 12:24 0 sys.txt
14.12.2005 12:23 8.473 system.txt
14.12.2005 12:23 298 systemtemp.txt
14.12.2005 12:20 98.828 system32.txt
14.12.2005 12:13 352.321.536 pagefile.sys
14.12.2005 11:59 1.290 smitfiles.txt
18.08.2005 18:25 82 RobotError.log
02.07.2005 11:47 211 boot.ini
02.07.2005 11:20 47.564 NTDETECT.COM
02.07.2005 11:20 251.184 ntldr
05.05.2004 19:35 12 win2.log
04.10.2003 20:59 234.409.984 hiberfil.sys
03.10.2003 18:44 348 FixBlast.log
20.08.2003 23:36 143.040 FixBlast.exe
27.07.2002 13:03 328 IPH.PH
27.07.2002 12:45 365 SiSSetup.txt
27.07.2002 12:45 14.839 SiSSetup1.ini
27.07.2002 12:45 3.789 SiSUnist.ini
27.07.2002 11:44 0 MSDOS.SYS
27.07.2002 11:44 0 IO.SYS
27.07.2002 11:44 0 CONFIG.SYS
27.07.2002 11:44 0 AUTOEXEC.BAT
18.08.2001 20:00 4.952 bootfont.bin
23 Datei(en) 587.307.123 Bytes
0 Verzeichnis(se), 13.423.624.192 Bytes frei

Gruß
d

#20

Zitat

Sabina postete
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\SYSTEM32\TFTP1436



---------------------------------------------------------------------
loesche:
C:\Programme\SpyAxe
C:\Program Files\SpyAxe

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\SYSTEM32\productregistry
C:\WINDOWS\SYSTEM32\ncompat.tlb
C:\WINDOWS\SYSTEM32\msvol.tlb
C:\WINDOWS\SYSTEM32\TFTP1436

PC neustarten

scanne mit Kaspersky und etrust --> poste die scanreporte
http://virus-protect.org/onlinescan.html

__________
MfG Sabina

rund um die PC-Sicherheit

#21 Antivirus Version Update Result
AntiVir 6.33.0.61 12.14.2005 no virus found
Avast 4.6.695.0 12.13.2005 no virus found
AVG 718 12.08.2005 no virus found
Avira 6.33.0.61 12.14.2005 no virus found
BitDefender 7.2 12.14.2005 no virus found
CAT-QuickHeal 8.00 12.13.2005 no virus found
ClamAV devel-20051108 12.12.2005 no virus found
DrWeb 4.33 12.14.2005 Win32.HLLW.MyBot
eTrust-Iris 7.1.194.0 12.14.2005 no virus found
eTrust-Vet 12.3.3.0 12.14.2005 no virus found
Fortinet 2.54.0.0 12.14.2005 suspicious
F-Prot 3.16c 12.13.2005 no virus found
Ikarus 0.2.59.0 12.14.2005 Backdoor.Win32.Rbot.SH
Kaspersky 4.0.2.24 12.14.2005 no virus found
McAfee 4649 12.13.2005 Generic.k
NOD32v2 1.1321 12.13.2005 no virus found
Norman 5.70.10 12.14.2005 W32/Spybot.YHP
Panda 8.02.00 12.13.2005 Bck/Sdbot.FXK
Sophos 4.00.0 12.14.2005 no virus found
Symantec 8.0 12.14.2005 no virus found
TheHacker 5.9.1.055 12.14.2005 no virus found
VBA32 3.10.5 12.13.2005 no virus found



VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.> Go to: Home Contact En español
--------------------------------------------------------------------------------
www.virustotal.com :: ©Hispasec Sistemas 2004,05 :: e-mail info@virustotal.com

#22 ja, ja, das wusste ich, seit 24.01.2005 hast du einen Backdoor + anonymen Server auf dem PC, der vollen Zugriff auf dein System hat....(ich weiss nicht, wo der Rootkit ist...den muessen wir noch suchen)

Loesche also und mache die Scans

dr.Web erkennt den Backdoor (Kaspersky nicht.....)
http://virus-protect.org/cureit.html

scanne also erst mit dr.Web und erst danach mache den Scan mit kaspersky wegen SpyAxe)
__________
MfG Sabina

rund um die PC-Sicherheit

#23 Dr. web findet im Pfad : C:/Windows/System32/ZoneLabs/vsmon.exe einen Backdoor Trojaner und möchte ihn umbenenneb?!?!? ich habe ihn nicht umbenannt, er ist der einzige fund von dr. web...

Ich sitze am Rechner meiner freundin, sie meint Zone Alarm wäre ihre Firewall...



PS: ich konnte zwei kollegen nscompat.tlb und msvol.tlb im System 32 nicht finden um sie mit der killbox runterzuhauen...

#24 zonealarm ist eine Firewall, aber er kann sehr gut gehackt und modifiziert sein,
Also Zonealarm deinstallieren, mit dr.web scannen (spaeter kann man den Zonealarm neu laden)

dann mache die scans mit kaspersky und etrust
__________
MfG Sabina

rund um die PC-Sicherheit

#25 Problem bei zone alarm ist, dass ich das program nicht besitze...also wenn ich es deinstaliere, habe ich keine chance es wieder neu drauf zu machen...

ich lass die scans so laufen, oder?!?!?

#26 ist es denn keine Freeversion (Zonealarm? ) wenn es eine ist, kannst du ihn neu laden.
Wenn es eine gekaufte Version ist, gibt es einen Key.
Wenn es eine gecrackte version ist...vergiss es...dann schuetzt Zonealrm nicht.
__________
MfG Sabina

rund um die PC-Sicherheit

#27 ok, der zone alarm hat das zeitliche gesegnet, dr. web findet nun einen verdächtigen bakdoor opener hinter arcor exe, damit gehe ich aber ins internet, kann das was sein??...


der kaperski log:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Wednesday, December 14, 2005 17:13:38
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 14/12/2005
Kaspersky Anti-Virus database records: 155122
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\

Scan Statistics:
Total number of scanned objects: 68866
Number of viruses found: 6
Number of infected objects: 7
Number of suspicious objects: 0
Duration of the scan process: 5102 sec

Infected Object Name - Virus Name
C:\Dokumente und Einstellungen\Tammy.TAMMY-1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\outlook.pst/Persönliche Ordner/Gelöschte Objekte/03 Dec 2005 23:12 from DEUTSCHE BANKeutsche Bank Online-Bankin.html Infected: Trojan-Spy.HTML.Bankfraud.ky
C:\Dokumente und Einstellungen\Tammy.TAMMY-1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\outlook.pst/Persönliche Ordner/Gelöschte Objekte/08 Dec 2005 19:03 from Deutsche BankEUTSCHE BANK BANKING.html Infected: Trojan-Spy.HTML.Bankfraud.li
C:\Dokumente und Einstellungen\Tammy.TAMMY-1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\outlook.pst/Persönliche Ordner/Gelöschte Objekte/09 Dec 2005 15:43 from Deutsche BankEUTSCHE BANK BANKING [Fri,.html Infected: Trojan-Spy.HTML.Bankfraud.ld
C:\Dokumente und Einstellungen\Tammy.TAMMY-1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\outlook.pst Infected: Trojan-Spy.HTML.Bankfraud.ld
C:\System Volume Information\_restore{17D7B07B-D9B7-48A7-B1D5-D31129291D2D}\RP169\A0084991.exe Infected: Trojan-Downloader.Win32.Small.bqf
C:\System Volume Information\_restore{17D7B07B-D9B7-48A7-B1D5-D31129291D2D}\RP169\A0085172.exe Infected: Trojan-Downloader.Win32.Zlob.cm
C:\System Volume Information\_restore{17D7B07B-D9B7-48A7-B1D5-D31129291D2D}\RP169\A0085174.exe Infected: Trojan-Downloader.Win32.Zlob.cq

Scan process completed.

zu etrust kann ich keinen link finden...

danke
d

#28 deaktiviere die Systemwiederherstellung (dann aktiviere sie wieder)
http://virus-protect.org/systemwiederherstellung.html

so kann man die Mail restlos aus der Inbox zu entfernen:
1. Mail aus Inbox löschen
2. Mülleimer leeren
3. Inbox komprimieren (Datei-Menü)

Hintergrund: Die gesamte Inbox ist auf der Festplatte als eine einzige Datei abgelegt. Darin stehen alle Mails untereinander, und auch die "gelöschten" Mails bleiben stehen (nur sind sie als gelöscht markiert). Erst durch das Komprimieren werden tatsächlich Teile aus der Datei entfernt.
http://virus-protect.org/artikel/newsletter/deutbkfraud.html

suche auf der seite mit den Onlinescans den Panda, scanne und berichte(die arcor.exe lass, das kann auch ein Fehler von dr.web sein)
__________
MfG Sabina

rund um die PC-Sicherheit