Home » Spyware & Browser Hijacker Support Forum » SpyAxe - bin infiziert - Suche Hilfe » Themenansicht
SpyAxe - bin infiziert - Suche HilfeThema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
11.12.2005, 23:14
Ehrenmitglied
 Beiträge: 29434 |
||
 
|
|
|
|
11.12.2005, 23:21
Member
Beiträge: 12 |
#32
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC05-5CBC Verzeichnis von C:\WINDOWS\system32 11.12.2005 23:15 7.275 nvapps.xml 11.12.2005 23:15 24.064 ldE1A.tmp 11.12.2005 22:46 5.096 ncompat.tlb 11.12.2005 22:37 24.064 ldE31C.tmp 11.12.2005 22:11 24.064 ld7704.tmp 11.12.2005 22:10 1.080 settingsbkup.sfm 11.12.2005 22:10 1.080 settings.sfm 11.12.2005 22:10 384 DVCState-{00000003-00000000-00000004-00001102-00000004-20061102}.dat 11.12.2005 22:10 384 DVCStateBkp-{00000003-00000000-00000004-00001102-00000004-20061102}.dat 11.12.2005 22:10 30.528 BMXBkpCtrlState-{00000003-00000000-00000004-00001102-00000004-20061102}.rfx 11.12.2005 22:10 30.528 BMXCtrlState-{00000003-00000000-00000004-00001102-00000004-20061102}.rfx 11.12.2005 22:10 31.056 BMXStateBkp-{00000003-00000000-00000004-00001102-00000004-20061102}.rfx 11.12.2005 22:10 31.056 BMXState-{00000003-00000000-00000004-00001102-00000004-20061102}.rfx 11.12.2005 22:06 314.508 perfh009.dat 11.12.2005 22:06 40.836 perfc009.dat 11.12.2005 22:06 49.174 perfc007.dat 11.12.2005 22:06 320.094 perfh007.dat 11.12.2005 22:06 732.342 PerfStringBackup.INI 11.12.2005 22:04 2.206 wpa.dbl 11.12.2005 22:04 146.016 FNTCACHE.DAT 11.12.2005 22:04 507.392 winlogon.exe 11.12.2005 22:03 287 $winnt$.inf 11.12.2005 22:00 16.832 amcompat.tlb 11.12.2005 22:00 23.392 nscompat.tlb 11.12.2005 21:59 488 logonui.exe.manifest 11.12.2005 21:59 488 WindowsLogon.manifest 11.12.2005 21:59 749 ncpa.cpl.manifest 11.12.2005 21:59 749 sapi.cpl.manifest 11.12.2005 21:59 749 wuaucpl.cpl.manifest 11.12.2005 21:59 749 nwc.cpl.manifest 11.12.2005 21:59 749 cdplayer.exe.manifest 11.12.2005 21:59 22.880 emptyregdb.dat 11.12.2005 18:05 36.864 intercept.dll 11.12.2005 12:33 98.304 ioctrl.dll 09.12.2005 15:38 14.460 mscornet.exe 29.11.2005 11:46 147.495 rmoc3260.dll 29.11.2005 11:46 5.632 pndx5032.dll 29.11.2005 11:46 6.656 pndx5016.dll 29.11.2005 11:46 278.528 pncrt.dll 23.11.2005 17:32 24.576 msbd32.dll 20.11.2005 00:19 184 e000001.dat 20.11.2005 00:05 998 nmp.log 20.11.2005 00:01 269 _nvidia_xxx_.log 19.11.2005 23:57 3.157 jupdate-1.4.2_03-b02.log 19.11.2005 23:15 2.951 CONFIG.NT 19.11.2005 23:11 0 h323log.txt 15.11.2005 12:12 126.680 GCCollection.dll 15.11.2005 12:12 117.976 hashlib.dll 15.11.2005 12:12 95.448 gcUnCompress.dll 10.11.2005 21:17 2.377.568 MRT.exe 04.11.2005 16:27 534.280 LegitCheckControl.DLL Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: DC05-5CBC Verzeichnis von C:\DOKUME~1\MAXIMI~1\LOKALE~1\Temp Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: DC05-5CBC Verzeichnis von C:\WINDOWS 11.12.2005 23:15 364.480 WindowsUpdate.log 11.12.2005 23:15 4.932.819 {00000003-00000000-00000004-00001102-00000004-20061102}.CDF 11.12.2005 23:12 47 wiaservc.log 11.12.2005 23:11 289.951 setupapi.log 11.12.2005 22:26 2.048 bootstat.dat 11.12.2005 22:12 0 0.log 11.12.2005 22:11 159 wiadebug.log 11.12.2005 22:10 1.456 COM+.log 11.12.2005 22:10 32.506 SchedLgU.Txt 11.12.2005 22:08 49 NeroDigital.ini 11.12.2005 22:07 18.242 comsetup.log 11.12.2005 22:07 664.391 setuplog.txt 11.12.2005 22:03 34.360 iis6.log 11.12.2005 22:03 56.570 ntdtcsetup.log 11.12.2005 22:03 4.438 imsins.log 11.12.2005 22:03 13.056 ocmsn.log 11.12.2005 22:03 95.222 tsoc.log 11.12.2005 22:03 65.973 setupact.log 11.12.2005 22:01 1.606 wmsetup.log 11.12.2005 22:00 316.640 WMSysPr9.prx 11.12.2005 22:00 443 OEWABLog.txt 11.12.2005 22:00 4.161 ODBCINST.INI 11.12.2005 21:59 749 WindowsShell.Manifest 11.12.2005 21:59 573 win.ini 11.12.2005 21:59 11.995 msgsocm.log 11.12.2005 21:59 14.685 ocgen.log 11.12.2005 21:59 227.103 FaxSetup.log 11.12.2005 21:59 120 DtcInstall.log 11.12.2005 21:59 2.065 sessmgr.setup.log 11.12.2005 21:58 373 cmsetacl.log 11.12.2005 21:52 2.480 regopt.log 11.12.2005 21:52 231 system.ini 11.12.2005 21:50 829.454 ntbtlog.txt 11.12.2005 20:18 1.450 setupapi.old 11.12.2005 18:05 36.864 intercept.dll 09.12.2005 23:32 550 KB893803v2Uninst.log 09.12.2005 18:57 304 VideodeLuxe.INI 07.12.2005 09:30 46 mxcdr.INI 20.11.2005 09:26 400 ODBC.INI Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: DC05-5CBC Verzeichnis von C:\ 11.12.2005 23:21 0 sys.txt 11.12.2005 23:20 7.008 system.txt 11.12.2005 23:19 136 systemtemp.txt 11.12.2005 23:16 96.071 system32.txt 11.12.2005 22:26 320 boot.ini 11.12.2005 22:11 2.145.386.496 pagefile.sys 19.11.2005 23:15 0 AUTOEXEC.BAT 19.11.2005 23:15 0 IO.SYS 19.11.2005 23:15 0 MSDOS.SYS 19.11.2005 23:15 0 CONFIG.SYS 04.08.2004 13:00 4.952 bootfont.bin 04.08.2004 13:00 47.564 NTDETECT.COM 04.08.2004 13:00 251.184 ntldr 13 Datei(en) 2.145.793.731 Bytes 0 Verzeichnis(se), 188.653.158.400 Bytes frei |
|
|
|
|
|
|
12.12.2005, 00:07
Ehrenmitglied
Beiträge: 29434 |
#33
032295
hier gibt es ein Problem: diese winlogon.exe ist verseucht...wir koennen sie aber nicht einfach so loeschen: Log Dich mit Deiner E-Mail Adresse bei Malwareupload ein http://www.malwareupload.com/ und lade die suspekte Datei hoch. Du wirst so schnell wie möglich per E-Mail darüber informiert, ob die Datei wirklich schädlich ist und um welchen Schädling es sich handelt. C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\intercept.dll C:\WINDOWS\system32\ioctrl.dll ------------------------------------------------------------------------------------------ Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\intercept.dll C:\WINDOWS\system32\ioctrl.dll  ----------------------------------------------------------------------- wenn wir die Ergebnisse haben...sehen wir weiter  Verzeichnis von C:\WINDOWS\system32 11.12.2005 23:15 7.275 nvapps.xml 11.12.2005 23:15 24.064 ldE1A.tmp 11.12.2005 22:46 5.096 ncompat.tlb 11.12.2005 22:37 24.064 ldE31C.tmp 11.12.2005 22:11 24.064 ld7704.tmp 11.12.2005 22:04 507.392 winlogon.exe 11.12.2005 18:05 36.864 intercept.dll 11.12.2005 12:33 98.304 ioctrl.dll 09.12.2005 15:38 14.460 mscornet.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
12.12.2005, 01:56
Member
Beiträge: 12 |
#34
Hallo Sabina,
die Datei ist zu groß um sie hochzuladen!!! Allerdings wird in der Datei inzwischen auch von Norton ein Trojaner erkannt. Allerdings kann ich ihn nicht entfernen... Hallo Sabina, habe die unteren zwei Dateien hochladen können. Leider kann man auf der Seite das Ergebnis nicht kopiern, deshalb habe ich die Links zu der Seite angegeben. http://www.virustotal.com/flash/respuesta_sav/resultado?fdcaabc8bcef7e26e2647981271c2a44:eng http://www.virustotal.com/flash/respuesta_sav/resultado?1491ac32e16f02ceb9e4efb62ea10af6:eng Gruss, 032295 Dieser Beitrag wurde am 12.12.2005 um 10:52 Uhr von 032295 editiert.
|
|
|
|
|
|
|
12.12.2005, 11:05
Ehrenmitglied
Beiträge: 29434 |
#35
032295
ja, nun habe ein wir ein Problem, wegen der winlogon.exe. (man kann sie nicht loeschen, sie muss ersetzt werden und der Downloader gefunden werden, der sie verseucht) Ich werde raman um Hilfe bitten. Gedulde dich bitte, bis er nachschaut. Inzwischen: Donwload in ein eigenes Verzeichnis: http://de.trendmicro-europe.com/file_downloads/common/tsc/sysclean.com In das selbe Verzeichnis downloaden und entpacken: http://de.trendmicro-europe.com/global/file_downloads/common/pattern/opr/lpt859.zip In den abgesicherten Modus booten und laufen lassen. Das Log bitte posten ---------------------------------------------------------------------------- @raman , erinnerst du dich???? Ich habe es damals hier festgehalten http://virus-protect.org/artikel/spyware/winlogonexe.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
12.12.2005, 11:44
Member
Beiträge: 12 |
#36
Hallo Sabina,
kannst du mir vielleicht etwas genauer sagen was du damit meinst? Bin nicht gerade ein PC Profi... "In den abgesicherten Modus booten und laufen lassen. Das Log bitte posten" Ich habe die beiden Dateien heruntergeladen. Wenn ich jetzt das sysclean anklicke und ausführe, erscheint diese Meldung: "Pattern file "LPTVPN.*" is missing, Please download a copy". Dieser Beitrag wurde am 12.12.2005 um 12:11 Uhr von 032295 editiert.
|
|
|
|
|
|
|
12.12.2005, 12:30
Ehrenmitglied
Beiträge: 29434 |
#37
dann musst du die lpt859.zip
(ist im zweiten Download ja enthalten) in das sysclean Verzeichnis entpacken Zitat Donwload in ein eigenes Verzeichnis: nenne es syscleanabgesicherter Modus: den PC neustarten, waehrend er hochfaehrt, die Taste F8 gedrueckt halten, so erscheint das Menue, wo du den abgesicherten Modus waehlst. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
12.12.2005, 12:34
Moderator
Beiträge: 7805 |
#38
Zitat ch habe esJa, leider ist der Link bei Virustotal schon abgelaufen. Welche Malware wird denn in der Winlogon.exe gefunden? Zitat Wenn ich jetzt das sysclean anklicke und ausführe, erscheint diese Meldung:Diese Datei befindet sich in diesem Archiv: http://de.trendmicro-europe.com/global/file_downloads/common/pattern/opr/lpt859.zip Einfach in das Verzeichniss entpacken, in der sich auch die sysclean.com befindet. Schicke die C:\WINDOWS\system32\Winlogon.exe C:\WINDOWS\system32\intercept.dll C:\WINDOWS\system32\ioctrl.dll einfach an virus@protecus.de __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
12.12.2005, 12:41
Ehrenmitglied
Beiträge: 29434 |
#39
ich weiss nicht, womit die winlogon.exe verseucht ist, aber Erstellungszeit...komischerweise zusammen mit dem SpyAxe...laesst mich boeses ahnen....
11.12.2005 23:15 7.275 nvapps.xml 11.12.2005 23:15 24.064 ldE1A.tmp 11.12.2005 22:46 5.096 ncompat.tlb 11.12.2005 22:37 24.064 ldE31C.tmp 11.12.2005 22:11 24.064 ld7704.tmp 11.12.2005 22:04 2.206 wpa.dbl 11.12.2005 22:04 146.016 FNTCACHE.DAT 11.12.2005 22:04 507.392 winlogon.exe 11.12.2005 22:03 287 $winnt$.inf 11.12.2005 22:00 16.832 amcompat.tlb 11.12.2005 22:00 23.392 nscompat.tlb 11.12.2005 21:59 488 logonui.exe.manifest 11.12.2005 21:59 488 WindowsLogon.manifest 11.12.2005 21:59 749 ncpa.cpl.manifest 11.12.2005 21:59 749 sapi.cpl.manifest 11.12.2005 21:59 749 wuaucpl.cpl.manifest 11.12.2005 21:59 749 nwc.cpl.manifest 11.12.2005 21:59 749 cdplayer.exe.manifest 11.12.2005 21:59 22.880 emptyregdb.dat 11.12.2005 18:05 36.864 intercept.dll <--- ??????????? 11.12.2005 12:33 98.304 ioctrl.dll<--- ??????????? 09.12.2005 15:38 14.460 mscornet.exe 29.11.2005 11:46 147.495 rmoc3260.dll 29.11.2005 11:46 5.632 pndx5032.dll ----------------------------------------------------------------------- p.s. soll der User die Dateien nicht zippen, bevor er sie schickt ??? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
12.12.2005, 12:47
Moderator
Beiträge: 7805 |
#40
Ja, packen waere nicht schlecht. Am aller besten noch mit Passwort (infected) versehen!
 __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
12.12.2005, 12:53
Ehrenmitglied
Beiträge: 29434 |
#41
11.12.2005 12:33 98.304 ioctrl.dll<--- ???????????
 Endlich wurde es mal erkannt.... http://board.protecus.de/t20592-lastpage.htm#bottom Zitat Avast 4.6.695.0 12.10.2005 Win32:Hoaxalarm-Mdie intercept.dll ist auch nicht koscher..... 11.12.2005 18:05 36.864 intercept.dll <--- ??????????? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
12.12.2005, 13:37
Member
Beiträge: 12 |
#42
Hallo Sabina,
also habe das Programm drüberlaufen lassen, aber leider konnte man den Log wieder nicht kopieren. Er hat aber 1 Virus gefunden. Die Mail habe ich gesendet, allerdings lässt sich diese schei... winlogon.exe weder einpacken noch so mitmailen. Was soll ich machen??? |
|
|
|
|
|
|
12.12.2005, 13:57
Ehrenmitglied
Beiträge: 29434 |
#43
kannst du sie nicht zippen ?
---------------------------------------------------------------------- und es gibt einen scanreport , ich weiss es, denn wir haben schon damit gearbeitet. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
12.12.2005, 14:01
Ehrenmitglied
Beiträge: 29434 |
#44
032295
beginnen wir also mit dem SpyAxe mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm http://virus-protect.org/reg/mcor.reg rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm. http://virus-protect.org/reg/spyaxe.reg ------------------------------------------------------------------- KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot / Process all in List )--> anhaken reinkopieren: C:\WINDOWS\system32\nvapps.xml C:\WINDOWS\system32\ldE1A.tmp C:\WINDOWS\system32\ncompat.tlb C:\WINDOWS\system32\ldE31C.tmp C:\WINDOWS\system32\ld7704.tmp C:\WINDOWS\system32\intercept.dll C:\WINDOWS\system32\ioctrl.dll C:\WINDOWS\system32\mscornet.exe C:\WINDOWS\intercept.dll starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg spyaxe.reg doppelt --> fuege sie mit "ja" oder "yes" der Registry bei ----------------------------------------------------------------------- SmitRem2.8 http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und kopiere die Textdatei in den Thread SpyAxeFix.exe http://noahdfear.geekstogo.com/click%20counter/click.php?id=8 -->> schliesse alle anderen Programme -->> doppeltklicken SpyAxeFix.exe -->> SpyAxeFix.bat -->> wenn deas Tool abgearbeitet ist, wird der PC neustarten kopiere die spyaxe.txt ab und ins Sicherheitsforum, __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
12.12.2005, 14:34
Member
Beiträge: 12 |
#45
Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren: Den Button Process all in List kann ich nirgends finden. So jetzt: smitRem © log file version 2.8 by noahdfear Microsoft Windows XP [Version 5.1.2600] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! spyaxe uninstaller NOT present ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ SpyAxe ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ 1024 dir ld****.tmp ncompat.tlb mscornet.exe ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 728 'explorer.exe' Killing PID 728 'explorer.exe' Starting registry repairs Deleting files Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ CLEAN! SpyAxeFix © by noahdfear Microsoft Windows XP [Version 5.1.2600] Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 172 'explorer.exe' Killing PID 172 'explorer.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Error, Cannot find a process with an image name of rundll32.exe REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" "{C1A8B6A1-2C81-1C3D-A3C6-A1CCDB10B47F}"="Windows Update" Also so wie es jetzt aussieht, scheint spyaxe weg zu sein. Aber der Trojaner... Ich kann die winlogon.exe Datei nicht mailen, weil er ständig den Virus findet... Dieser Beitrag wurde am 12.12.2005 um 15:42 Uhr von 032295 editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
wende CleanUp an
http://virus-protect.org/cleanup.html
kopiere hier die 4 Textdateien (2 Monate genuegen)
http://virus-protect.org/datfindbat.html
__________
__________
MfG Sabina
rund um die PC-Sicherheit