SpyAxe - bin infiziert - Suche Hilfe

#1 Hallo liebe Boardmitglieder,

leider wurde ich von spyaxe befallen. Es macht sich insbesondere dadurch bemerkbar, das dies schon vielfach besprochene rot X in der taskline blinkt und ständi die schon bekannte Meldung kommt : "Windows has detected pyware infection...." Außerdem geht beim Öffnen des Internetexplorers ständig die spyaxe-Seite "http://www.updateyoursystem.com/" auf (nachdem erst "res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm" gezeigt wird. Das bekomme ich auch einfach nicht in den Griff!!! Auch spybot oder ad aware konnten mir nicht weiterhelfen. Da ich schon gesehen habe, das hier der eine oder andere Probleme damit hatte, habe ich mir hijackthis installiert.
Ich wußte nicht wie ich den Logfile kleiner bekomme, darum poste ich ihn einfach mal. (könnte ihr mir fürs nächste posten einen Tip geben?)
Vielen Dank vorab schon mal für eure Unterstützung.

Gruß Klaus

Logfile of HijackThis v1.99.1
Scan saved at 14:18:29, on 27.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\ScanSoft\OmniPagePro12.0\Opware12.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Belkin\Belkin Wireless USB Adapter Manager\WlanMonitor.exe
C:\Programme\Sony\VAIO Action Setup\VAServ.exe
C:\Palm\HOTSYNC.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Ariane\Eigene Dateien\Hijackthis\hijackthis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\System32\hpB00C.tmp
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Opware12] "C:\Programme\ScanSoft\OmniPagePro12.0\Opware12.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: USB Manager.lnk = C:\Programme\Belkin\Belkin Wireless USB Adapter Manager\WlanMonitor.exe
O4 - Global Startup: VAIO Action Setup (Server).lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.Sony-europe.com
O15 - Trusted Zone: *.Sonystyle-europe.com
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {9BC681EE-D40C-4A77-B690-5092AA4B1D5B} (MplayActiveX Element) - http://dzt-schulung.net-pioneer.biz/elearning/Mplay.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
[/b]

#2 selukreh

wende Cleanup an
http://virus-protect.org/cleanup.html

kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3

Zitat

Vielen Dank für deine Antwort.
Hier sind nun die Ergebnis. Ich hoffe du kannst mir weiterhelfen.
Vielen Dank
Klaus

Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 782B-BFBC

Verzeichnis von C:\WINDOWS\system32

27.11.2005 16:10 5.384 ncompat.tlb
27.11.2005 15:08 24.064 ldA2E7.tmp
26.11.2005 11:29 5.632 msvol.tlb
26.11.2005 11:29 20.480 hpB00C.tmp
25.11.2005 22:55 4.286 ot.ico
25.11.2005 22:55 4.286 ts.ico
25.11.2005 22:24 13.916 nvctrl.exe
23.11.2005 20:58 5.618 jupdate-1.5.0_05-b05.log
23.11.2005 19:54 98.304 svchosts.dll
23.11.2005 19:49 15.461 mscornet.exe
20.11.2005 08:10 1.136 wpa.dbl
30.10.2005 05:32 40.128 perfc009.dat
30.10.2005 05:32 311.740 perfh009.dat
30.10.2005 05:32 48.354 perfc007.dat
30.10.2005 05:32 316.924 perfh007.dat
30.10.2005 05:32 723.568 PerfStringBackup.INI
26.08.2005 18:14 127.078 javaws.exe
26.08.2005 18:14 49.265 jpicpl32.cpl
26.08.2005 15:55 49.250 javaw.exe
26.08.2005 15:55 49.248 java.exe
28.07.2005 13:52 91.856 S32EVNT1.DLL
08.06.2005 11:36 121.336 FNTCACHE.DAT
26.05.2005 03:16 41.240 wups.dll
26.05.2005 03:16 173.536 wuweb.dll
26.05.2005 03:16 1.343.768 wuaueng.dll
26.05.2005 03:16 18.200 wups2.dll
26.05.2005 03:16 198.424 iuengine.dll
26.05.2005 03:16 75.544 cdm.dll
26.05.2005 03:16 194.840 wuaueng1.dll
26.05.2005 03:16 466.200 wuapi.dll
26.05.2005 03:16 124.696 wuauclt.exe
26.05.2005 03:16 174.872 wuauclt1.exe
26.05.2005 03:16 174.872 wuaucpl.cpl
26.05.2005 03:16 128.280 wucltui.dll
25.05.2005 19:13 1.140 qtplugin.log
05.04.2005 10:17 132.824 SymRedir.dll
05.04.2005 10:17 517.848 SymNeti.dll
07.03.2005 10:52 79.432 GEARAspi.dll
06.03.2005 15:47 43.520 CmdLineExt03.dll
27.01.2005 14:39 466.944 capicom.dll
16.01.2005 11:41 947 vsconfig.xml
04.01.2005 10:25 4.212 zllictbl.dat
08.12.2004 07:40 45.175 plugincpl131_15.cpl
08.12.2004 07:40 36.972 ActPanel.dll
27.10.2004 21:50 16.832 amcompat.tlb
27.10.2004 21:50 23.392 nscompat.tlb
03.10.2004 15:32 818.688 libxml2.dll
30.09.2004 16:03 70.144 QuickTimeCheck.ocx
30.09.2004 16:03 2.017.280 QuickTimeMusicalInstruments.qtx
30.09.2004 16:03 430.592 QuickTimeVR.qtx
30.09.2004 16:03 324.608 QuickTime.cpl
30.09.2004 16:03 6.686.208 QuickTime.qts
29.09.2004 10:03 2.772.992 MSHTML.DLL
23.09.2004 16:13 487.424 URLMON.DLL
22.09.2004 20:22 62.736 zlcommdb.dll
22.09.2004 20:22 70.928 zlcomm.dll
22.09.2004 20:22 99.592 vsxml.dll
22.09.2004 20:22 333.072 vsutil.dll
22.09.2004 20:21 70.928 vsregexp.dll
22.09.2004 20:21 169.232 vspubapi.dll
22.09.2004 20:21 111.888 vsmonapi.dll
22.09.2004 20:21 115.984 vsinit.dll
22.09.2004 20:21 271.344 vsdatant.sys
22.09.2004 20:21 75.024 vsdata.dll
22.09.2004 20:14 50.360 vsutil_loc0407.dll
03.09.2004 06:09 25.065 wmpscheme.xml
27.08.2004 14:57 1.332.224 SHDOCVW.DLL
26.08.2004 11:19 70.144 INSENG.DLL
24.08.2004 21:47 123.392 itss.dll
24.08.2004 21:47 256.512 mstask.dll
24.08.2004 21:47 160.256 schedsvc.dll
24.08.2004 21:47 9.728 mstinit.exe
21.08.2004 08:49 320.000 zipfldr.dll
20.08.2004 22:50 8.268.800 shell32.dll
20.08.2004 22:50 86.016 fldrclnr.dll
20.08.2004 22:50 37.376 ntlanman.dll
20.08.2004 22:50 15.872 linkinfo.dll
20.08.2004 22:40 38.400 grpconv.exe
20.08.2004 14:50 394.240 shlwapi.dll
11.08.2004 19:45 9.216 asferror.dll
11.08.2004 19:45 228.352 wmerror.dll
11.08.2004 19:45 86.016 wmpshell.dll
11.08.2004 19:45 3.407.872 wmploc.dll
11.08.2004 19:45 311.808 MSWMDM.dll
11.08.2004 19:45 482.816 Audiodev.dll
11.08.2004 00:39 2.362.104 wmvcore.dll
11.08.2004 00:39 773.368 wmsdmod.dll
11.08.2004 00:38 871.160 wmvdmod.dll
11.08.2004 00:38 531.192 wmspdmod.dll
11.08.2004 00:38 1.181.944 wmvadvd.dll
11.08.2004 00:38 380.144 wmadmod.dll
11.08.2004 00:38 360.176 MSSCP.dll
11.08.2004 00:38 253.688 drmclien.dll
11.08.2004 00:37 290.816 WMDRMNet.dll
11.08.2004 00:37 344.064 WMDRMdev.dll
11.08.2004 00:36 527.360 drmv2clt.dll
11.08.2004 00:36 233.472 blackbox.dll
11.08.2004 00:36 95.232 drmstor.dll
11.08.2004 00:36 141.312 msnetobj.dll
10.08.2004 23:45 221.184 qasf.dll
10.08.2004 23:45 1.509.376 WMVADVE.DLL
10.08.2004 23:45 169.472 MsPMSP.dll
10.08.2004 23:45 161.792 cewmdm.dll
10.08.2004 23:45 34.304 WMDMPS.dll
10.08.2004 23:45 25.088 MsPMSNSv.dll
10.08.2004 23:45 30.208 WMDMLOG.dll
10.08.2004 23:45 135.168 wmpasf.dll
10.08.2004 23:45 282.624 wmpdxm.dll
10.08.2004 23:45 712.704 wmadmoe.dll
10.08.2004 23:45 1.589.760 wmpencen.dll
10.08.2004 23:45 936.960 wmspdmoe.dll
10.08.2004 23:45 999.424 wmvdmoe2.dll
10.08.2004 23:45 175.104 wmpsrcwp.dll
10.08.2004 23:45 1.116.160 wmsdmoe2.dll
10.08.2004 23:41 5.550.080 wmp.dll
10.08.2004 23:41 1.027.072 wmnetmgr.dll
10.08.2004 23:41 229.376 wmasf.dll
10.08.2004 21:07 6.656 laprxy.dll
10.08.2004 21:07 150.016 wmidx.dll
10.08.2004 21:05 38.912 wpd_ci.dll
10.08.2004 21:05 327.680 wpdsp.dll
10.08.2004 21:05 331.776 wpdmtpdr.dll
10.08.2004 21:05 66.560 wpdmtpus.dll
10.08.2004 21:05 114.176 wpdmtp.dll
10.08.2004 21:05 61.952 wpdconns.dll
10.08.2004 21:05 10.752 wpdtrace.dll
10.08.2004 21:05 47.104 uwdf.exe
10.08.2004 21:05 38.912 wdfmgr.exe
10.08.2004 21:05 15.872 wdfapi.dll
10.08.2004 20:52 360.448 l3codecp.acm
10.08.2004 20:52 20.480 wmpcore.dll
10.08.2004 20:52 20.480 wmp.ocx
10.08.2004 20:52 20.480 wmpcd.dll
10.08.2004 20:52 20.480 wmpui.dll
10.08.2004 20:46 96.768 logagent.exe
06.08.2004 21:06 1.648.512 win32k.sys
29.07.2004 07:19 30.720 xpsp1hfm.exe
01.07.2004 23:08 7.680 bitsprx2.dll
01.07.2004 23:08 331.776 winhttp.dll
01.07.2004 23:08 7.168 bitsprx3.dll
01.07.2004 23:08 17.408 qmgrprxy.dll



Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 782B-BFBC

Verzeichnis von C:\DOKUME~1\Ariane\LOKALE~1\Temp

27.11.2005 16:00 206 jusched.log
1 Datei(en) 206 Bytes
0 Verzeichnis(se), 23.291.215.872 Bytes frei

(hier hatte ich gar nicht die möglichkeit 3 Monate zu kopieren)

Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 782B-BFBC

Verzeichnis von C:\WINDOWS

27.11.2005 16:00 1.830.931 WindowsUpdate.log
27.11.2005 15:08 0 0.log
27.11.2005 15:08 159 wiadebug.log
27.11.2005 15:08 50 wiaservc.log
27.11.2005 15:08 2.048 bootstat.dat
27.11.2005 14:59 32.636 SchedLgU.Txt
25.11.2005 22:56 8.378 ModemLog_Lucent Technologies Soft Modem AMR.txt
25.11.2005 07:00 2.593 BrmfBidi.ini
02.11.2005 00:49 840 untis.INI
17.08.2005 11:35 234 SIERRA.INI
08.06.2005 06:04 509 ODBC.INI
08.06.2005 05:58 4.161 ODBCINST.INI
30.05.2005 07:37 10.304 MSOPrefs.232
30.05.2005 07:37 4.544 MSOClip.232
14.02.2005 05:27 48.128 AKDeInstall.exe
25.12.2004 19:42 0 nsreg.dat
27.10.2004 21:51 599 win.ini
27.10.2004 21:50 316.640 WMSysPr9.prx
24.10.2004 16:05 0 jppc.INI
12.10.2004 03:59 1.030.948 setupapi.log.0.old
16.08.2004 06:38 323 doom3.ini
18.06.2004 13:40 33.280 muninst.exe
03.06.2004 21:58 2.464 $_hpcst$.hpc
17.04.2004 13:25 203 PowerReg.dat
17.04.2004 13:24 0 trace.txt
17.04.2004 12:36 212 IconDes.INI
06.03.2004 14:08 547 MAXLINK.INI
06.03.2004 09:00 231 system.ini
15.09.2003 23:00 2.340 T433.DLL
26.07.2003 00:36 34.304 oeuninst.exe
03.03.2003 15:25 34.304 ieuninst.exe
28.02.2003 17:26 46.352 setdebug.exe
28.02.2003 15:35 6.550 jautoexp.dat
21.09.2002 19:13 10.752 hh.exe
29.03.2002 21:27 61 smscfg.ini
29.03.2002 19:46 8.192 REGLOCS.OLD
29.03.2002 19:18 299.552 WMSysPrx.prx


Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 782B-BFBC

Verzeichnis von C:\

27.11.2005 16:16 0 sys.txt
27.11.2005 16:15 6.774 system.txt
27.11.2005 16:14 284 systemtemp.txt
27.11.2005 16:11 100.104 system32.txt
27.11.2005 15:08 268.013.568 hiberfil.sys
27.11.2005 15:08 536.870.912 pagefile.sys
07.10.2005 06:29 4.556 wiederhergestelltes Dokument.txt
07.10.2005 06:29 4.628 wiederhergestelltes Dokument .txt
02.07.2005 17:32 870 reglog.txt
26.09.2004 17:42 13.030 PDOXUSRS.NET
06.03.2004 09:06 194 boot.ini
15.04.2002 23:11 25 SiSUnist.ini
15.04.2002 23:11 774 SiSSetup.txt
15.04.2002 23:11 435 SiSSetup1.ini
28.03.2002 18:30 0 MSDOS.SYS
28.03.2002 18:30 0 AUTOEXEC.BAT
28.03.2002 18:30 0 IO.SYS
28.03.2002 18:30 0 CONFIG.SYS
18.08.2001 11:00 45.124 NTDETECT.COM
18.08.2001 11:00 224.032 ntldr
18.08.2001 11:00 4.952 bootfont.bin
21 Datei(en) 805.290.262 Bytes
0 Verzeichnis(se), 23.291.203.584 Bytes frei

__________
MfG Sabina

rund um die PC-Sicherheit

#4 selukreh

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen

http://virus-protect.org/reg/mcor.reg

-------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\ldA2E7.tmp
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\hpB00C.tmp
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\svchosts.dll
C:\WINDOWS\system32\mscornet.exe

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg doppelt --> fuege sie mit " ja" der Registry bei

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\System32\hpB00C.tmp

PC neustarten

loesche:
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url
C:\WINDOWS\system32\1024

smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread

scanne mit Panda --> poste den scanreport
http://virus-protect.org/onlinescan.html

scanne mit ewido--> poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo, Leute!

Sohnemanns Computer hat auch diese unsägliche Startseite aufgerissen. Auch der POPUP-Blocker dürfte nicht mehr funktionieren, da allerlei unmöglicher Mist aufpopt.
Vielleicht kann mir jemand helfen. Soll ich das Hijackthis-Logfile senden oder soll ich die datfind.bat_Daten übermitteln?

lg
Manfred

#6 Manfred Hofe

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

wende CleanUp an
http://virus-protect.org/cleanup.html

kopiere hier die 4 Textdateien (2 Monate vom Datum her genuegen.......)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo,

so'n Mist, da surft man einmal wieder länger im Net und schon hat man sich wieder so ne Schei... gefangen.

Habe mir leider auch dieses SpyAxe-Teil gefangen.

Hier mein HIjack-Log:

Logfile of HijackThis v1.99.1
Scan saved at 05:30:55, on 04.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
c:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AOL 8.0\aoltray.exe
C:\Dokumente und Einstellungen\Ralph Ringwald\Eigene Dateien\hijackthis_199\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hpB821.tmp
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Stardate.lnk = C:\Dokumente und Einstellungen\All Users\Dokumente\AOL Downloads\download\Anwendungen\Stardate Neu\stardate.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {98BFD494-F6AD-4794-9038-832C0654CC43} (AOL YGP UPF Ctrl) - http://meinefotos04.aol.de/ygp/aol/plugin/upf/YGPUPF.de-DE.9.2.4.0.cab
O16 - DPF: {D3E33EA6-92BF-444E-9DF3-E7F879F2006F} (TSRFileManagerXControl Control) - http://sims2.thesimsresource.com/TSRInstallationWizard.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Danke für die Hilfe

#8 Schraenky

wende CleanUp an
http://virus-protect.org/cleanup.html

kopiere hier die 4 Textdateien (2 Monate vom Datum her genuegen.......)
http://virus-protect.org/datfindbat.html
__________
__________
MfG Sabina

rund um die PC-Sicherheit

#9 ok,..hier die 4 Dateien:

04.12.2005 13:38 5.456 ncompat.tlb
04.12.2005 13:36 5.632 msvol.tlb
04.12.2005 13:36 20.480 hp938E.tmp
04.12.2005 13:36 24.064 ld8A66.tmp
04.12.2005 05:00 98.304 svchosts.dll
04.12.2005 05:00 4.286 ts.ico
04.12.2005 05:00 4.286 ot.ico
04.12.2005 05:00 9.728 mssearchnet.exe
04.12.2005 05:00 13.964 nvctrl.exe
04.12.2005 04:58 14.568 mscornet.exe
11.11.2005 13:53 287.704 FNTCACHE.DAT
02.11.2005 06:34 2.377.568 MRT.exe
30.10.2005 15:32 382.026 perfh009.dat
30.10.2005 15:32 64.848 perfc007.dat
30.10.2005 15:32 393.086 perfh007.dat
30.10.2005 15:32 53.770 perfc009.dat
30.10.2005 15:31 902.476 PerfStringBackup.INI
20.10.2005 00:43 28.173 gebaw.dll
11.10.2005 16:11 1.158 wpa.dbl
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
06.10.2005 01:47 1.729 Playboy Screensaver.002
04.10.2005 16:26 3.013.120 mshtml.dll

Datentr„ger in Laufwerk C: ist 25_01_42
Volumeseriennummer: C88D-B1CE

Verzeichnis von C:\DOKUME~1\RALPHR~1\LOKALE~1\Temp

04.12.2005 13:37 2.856.926 sa1.exe
04.12.2005 13:36 222 jusched.log
04.12.2005 13:36 0 sa1.tmp
01.12.2005 17:37 108 0FD1A8EB.TMP
4 Datei(en) 2.857.256 Bytes
0 Verzeichnis(se), 18.590.961.664 Bytes frei

Datentr„ger in Laufwerk C: ist 25_01_42
Volumeseriennummer: C88D-B1CE

Verzeichnis von C:\WINDOWS

04.12.2005 13:37 0 0.log
04.12.2005 13:36 797.977 WindowsUpdate.log
04.12.2005 13:36 159 wiadebug.log
04.12.2005 13:36 50 wiaservc.log
04.12.2005 13:36 2.048 bootstat.dat
04.12.2005 13:35 23.458 SchedLgU.Txt
04.12.2005 05:03 132 winamp.ini
04.12.2005 05:01 23.295 setupapi.log
04.12.2005 00:13 756 win.ini
27.11.2005 20:25 4.907 wmsetup.log
25.11.2005 13:44 528 egirllic15
25.11.2005 13:39 116 NeroDigital.ini
23.11.2005 13:51 1.080 AUTOLNCH.REG
13.11.2005 01:10 54.156 QTFont.qfn
12.11.2005 01:14 1.409 QTFont.for
11.11.2005 12:14 999 iis6.log
11.11.2005 12:14 1.247 ntdtcsetup.log
11.11.2005 12:14 2.053 comsetup.log
11.11.2005 12:14 2.359 tsoc.log
11.11.2005 12:14 342 ocmsn.log
11.11.2005 12:14 1.393 imsins.log
11.11.2005 12:14 11.977 KB896424.log
11.11.2005 12:14 2.916 ocgen.log
11.11.2005 12:14 309 msgsocm.log
11.11.2005 12:14 6.158 FaxSetup.log
11.11.2005 12:14 0 setuperr.log
11.11.2005 12:14 0 setupact.log
11.11.2005 12:14 704 updspapi.log
26.10.2005 15:57 2.686 DirectX.log
24.10.2005 05:07 0 Sti_Trace.log
24.10.2005 05:05 84 ntbtlog.txt

Datentr„ger in Laufwerk C: ist 25_01_42
Volumeseriennummer: C88D-B1CE

Verzeichnis von C:\

04.12.2005 13:40 0 sys.txt
04.12.2005 13:39 5.446 system.txt
04.12.2005 13:39 430 systemtemp.txt
04.12.2005 13:38 101.806 system32.txt
04.12.2005 13:36 1.073.139.712 hiberfil.sys
04.12.2005 13:36 1.610.612.736 pagefile.sys
23.11.2005 13:51 0 Log.txt

danke für die hilfe

#10 Schraenky

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen

http://virus-protect.org/reg/mcor.reg

--------------------------------------------------------------
KILLBOX
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\hp938E.tmp
C:\WINDOWS\system32\ld8A66.tmp
C:\WINDOWS\system32\svchosts.dll
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico
C:\DOKUME~1\RALPHR~1\LOKALE~1\Temp\sa1.exe
C:\DOKUME~1\RALPHR~1\LOKALE~1\Temp\sa1.tmp
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mscornet.exe

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg doppelt --> fuege sie mit " ja" der Registry bei

öffne das HijackThis
-- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hpB821.tmp

PC neustarten

loeschen:
C:\Programme\SpyAxe
C:\WINDOWS\system32\1024
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url

scanne mit Panda--> poste den scanbericht
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo Sabina,

so hier der Scanbericht:


Incident Status Location

Adware:adware/p2pnetworking Not desinfected C:\WINDOWS\SYSTEM32\P2P Networking v126.cpl
Spyware:spyware/altnet Not desinfected C:\PROGRAM FILES\Altnet
Adware:adware/securitytoolbar Not desinfected C:\PROGRAMME\Security Toolbar
Adware:adware/antivirus-gold Not desinfected Windows Registry
Spyware:Spyware/Virtumonde Not desinfected C:\WINDOWS\system32\gebaw.dll
Adware:Adware/P2PNetworking Not desinfected C:\WINDOWS\system32\P2P Networking v126.cpl

#12 loesche:

C:\PROGRAMME\Security Toolbar
C:\PROGRAM FILES\Altnet
C:\WINDOWS\system32\gebaw.dll

scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo,

also das Teil scheint weg zu sein. Nochmal vielen lieben Dank für die Hilfe.
hier der Ewido-Scan:

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 21:43:10, 04.12.2005
+ Report-Checksumme: A968B53A

+ Scanergebnis:

HKU\S-1-5-21-4143970251-850424955-3015618976-1008\Software\
Microsoft\Windows\CurrentVersion\Ext\Stats\{7C559105-9ECF-42B8-B3F7-832E75EDD959} -> Spyware.ISTBar : Gesäubert mit Backup

C:\WINDOWS\system32\gebaw.dll -> Downloader.Agent.yf : Gesäubert mit Backup


::Report Ende

#14 Hallo Zusammen,

hab genau das gleiche Problem. Zum kotzen,echt! hab mit hijackthis meine logfiles gescannt. Vielleicht kann mir ja jemand weiterhelfen, wäre echt spitze. Danke schon mal im Vorraus.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\SPAMfighter\SFAgent.exe
D:\Programme\Phone\Skype.exe
D:\Programme\Spyware Doctor\swdoctor.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\mssearchnet.exe
C:\WINDOWS\System32\nvctrl.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\System32\hp6363.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [KAVPersonal50] D:\Programme\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SPAMfighter Agent] "D:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O4 - HKCU\..\Run: [Skype] "D:\Programme\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Spyware Doctor] "D:\Programme\Spyware Doctor\swdoctor.exe" /Q
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\Office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{383B8CB3-1ED5-44C2-9A08-F9930A21A558}: NameServer = 213.191.92.84 213.191.74.12
O18 - Filter: text/html - (no CLSID) - (no file)
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O23 - Service: kavsvc - Kaspersky Lab - D:\Programme\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - C:\WINDOWS\System32\mousecrm.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - D:\Programme\Spyware Doctor\sdhelp.exe

#15 andre1981

wende CleanUp an
http://virus-protect.org/cleanup.html

kopiere hier die 4 Textdateien (2 Monate vom Datum her genuegen.......)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit