spyaxe!! bin infiziert!! |
||
---|---|---|
#0
| ||
11.12.2005, 17:27
Ehrenmitglied
Beiträge: 29434 |
||
|
||
11.12.2005, 19:47
...neu hier
Beiträge: 7 |
#32
danke für die schnelle antwort.
hier ist das ergebnis von HijackThis: Logfile of HijackThis v1.99.1 Scan saved at 19:29:03, on 11.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\nvctrl.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\Dit.exe C:\WINDOWS\mHotkey.exe C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe C:\WINDOWS\system32\PRISMSTA.EXE C:\Programme\Microsoft IntelliPoint\point32.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\TwinMOS\Mobile Disk V3.0\MobMon.exe C:\Programme\TwinMOS\Mobile Disk V3.0\UsbTD.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\DitExp.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\WINDOWS\system\CmSNXeye.exe C:\WINDOWS\system\CmSNXeye.exe C:\Programme\klickTel\klickInvers Frühjahr 2005\KMON.EXE C:\WINDOWS\CNYHKey.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE C:\Dokumente und Einstellungen\All Users\Dokumente\1&1 Internet\Profi-Dialer\ProfiDialer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\...\Desktop\hij\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seite.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG O2 - BHO: HomepageBHO - {1ca480cd-c0e5-4548-874e-b85b17905b3a} - C:\WINDOWS\system32\hpAB82.tmp O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing) O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84" O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [UFD Monitor] C:\Programme\TwinMOS\Mobile Disk V3.0\MobMon.exe O4 - HKLM\..\Run: [UFD Utility] C:\Programme\TwinMOS\Mobile Disk V3.0\UsbTD.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\system32\1024\ld1519.tmp" /m O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [InversMonitor] "C:\Programme\klickTel\klickInvers Frühjahr 2005\KMON.EXE" /MONITOR O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Brockhaus-Direktsuche.lnk = C:\Programme\Brockhaus Multimedia\Brockhaus multimedial\PGBMM.exe O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/ O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6E389B76-1702-43B0-8FFF-07046F351EFA}: NameServer = 217.237.151.161 217.237.151.33 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe und mein ergebnis von datfindbat: Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 882C-5933 Verzeichnis von C:\WINDOWS\system32 11.12.2005 19:34 5.088 ncompat.tlb 11.12.2005 18:52 51.814 perfc009.dat 11.12.2005 18:52 376.016 perfh009.dat 11.12.2005 18:52 386.338 perfh007.dat 11.12.2005 18:52 62.578 perfc007.dat 11.12.2005 18:52 886.752 PerfStringBackup.INI 11.12.2005 18:48 6.144 msvol.tlb 11.12.2005 18:48 9.932 hpAB82.tmp 11.12.2005 18:48 24.064 ldAB05.tmp 11.12.2005 16:22 9.932 hpB9DA.tmp 11.12.2005 16:02 2.206 wpa.dbl 10.12.2005 16:00 15.484 nvctrl.exe 08.12.2005 19:44 100 LuResult.txt 08.12.2005 08:51 14.464 mscornet.exe 17.11.2005 06:27 241.536 FNTCACHE.DAT 04.11.2005 16:27 534.280 LegitCheckControl.DLL mfg Pi |
|
|
||
11.12.2005, 23:04
Ehrenmitglied
Beiträge: 29434 |
#33
mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm
http://virus-protect.org/reg/mcor.reg rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm. http://virus-protect.org/reg/spyaxe.reg KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot / Process all in List )--> anhaken reinkopieren: und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\ncompat.tlb C:\WINDOWS\system32\msvol.tlb C:\WINDOWS\system32\hpAB82.tmp C:\WINDOWS\system32\ldAB05.tmp C:\WINDOWS\system32\hpB9DA.tmp C:\WINDOWS\system32\wpa.dbl C:\WINDOWS\system32\nvctrl.exe C:\WINDOWS\system32\LuResult.txt C:\WINDOWS\system32\1024\ld1519.tmp C:\WINDOWS\system32\mscornet.exe starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg spyaxe.reg doppelt --> fuege sie mit "ja" oder "yes" der Registry bei loeschen: C:\WINDOWS\system32\1024 ------------------------------------------------------------------------ wende CleanUp an http://virus-protect.org/cleanup.html öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: HomepageBHO - {1ca480cd-c0e5-4548-874e-b85b17905b3a} - C:\WINDOWS\system32\hpAB82.tmp O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\system32\1024\ld1519.tmp" /m PC neustarten SpyAxeFix.exe http://noahdfear.geekstogo.com/click%20counter/click.php?id=8 -->> schliesse alle anderen Programme -->> doppeltklicken SpyAxeFix.exe -->> SpyAxeFix.bat -->> wenn deas Tool abgearbeitet ist, wird der PC neustarten SmitRem2.8 http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und kopiere die Textdatei hier __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.12.2005, 14:30
...neu hier
Beiträge: 7 |
#34
danke habe die Schritte so ausgeführt wie beschrieben. jedoch war anstelle von dieser datei
O2 - BHO: HomepageBHO - {1ca480cd-c0e5-4548-874e-b85b17905b3a} - C:\WINDOWS\system32\hpAB82.tmp folgende O2 - BHO: HomepageBHO - {1ca480cd-c0e5-4548-874e-b85b17905b3a} - C:\WINDOWS\system32\hpB517.tmp habe diese dann auch gefixt. das Ergebnis von smitrem: smitRem © log file version 2.8 by noahdfear Microsoft Windows XP [Version 5.1.2600] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! spyaxe uninstaller NOT present ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ld****.tmp mssearchnet.exe ncompat.tlb ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 1780 'explorer.exe' Killing PID 1780 'explorer.exe' Starting registry repairs Deleting files Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ CLEAN! |
|
|
||
12.12.2005, 15:48
Ehrenmitglied
Beiträge: 29434 |
#35
-Pi
loesche: Zitat ~~~ system32 folder ~~~scanne http://virus-protect.org/microtrend.html dann kopiere hier noch mal die Logs von datfind (alle 4 Textdateien) ---------------------------------------------- Spyaxe http://virus-protect.org/artikel/spyware/spyaxe.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.12.2005, 19:52
...neu hier
Beiträge: 7 |
#36
danke für die schnelle antwort.habe die unteren beiden Datein gelöscht. konnte jedoch diese datei weder finden noch löschen( auch mit veränderter zahlenfolge) C:\WINDOWS\system32\ldAB05.tmp
habe den scann 2 mal hintereinander ausgeführt bei dem ersten mal hatte es noch eine datei gefunden, welche ich dann mit hilfe von dem programm entfernt habe. beim 2 mal jedoch nichts mehr. Eregnis von datfind 12.12.2005 18:51 376.016 perfh009.dat 12.12.2005 18:51 386.338 perfh007.dat 12.12.2005 18:51 51.814 perfc009.dat 12.12.2005 18:51 62.578 perfc007.dat 12.12.2005 18:51 886.752 PerfStringBackup.INI 12.12.2005 14:45 2.148 wpa.dbl 17.11.2005 06:27 241.536 FNTCACHE.DAT 04.11.2005 16:27 534.280 LegitCheckControl.DLL mfg Pi |
|
|
||
13.12.2005, 00:12
Ehrenmitglied
Beiträge: 29434 |
#37
-Pi
deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder) http://virus-protect.org/systemwiederherstellung.html scanne mit Kaspersky --> loesche dann manuell, was gefunden wird (poste hier den scanreport) http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.12.2005, 12:17
...neu hier
Beiträge: 1 |
#38
Hallo zusammen...
Ich habe mich eben extra angemeldet, weil auch ich ein Problem mit dem fiesen Spyaxe Malwareprog hatte. Doch ich habe gleich diese Seite hier gefunden und mir intensiv die Anleitungen von Sabrina ins Hirn gematert. Was soll ich sagen? DANKE!!!! für Deine allumfassende Hilfe All denen, die genau wie ich wegen einer Hilfestellung zu Spyaxe hierher gefunden haben, denen sei geraten: Lest Euch die Anleitungen genau durch und arbeitet sie ab. Dann wird Euch geholfen. Mein Rechner war sowas von vermüllert, ich konnte nichtmal mehr auch nur meinen Browser starten. Hab mir die Tutorials auf einem anderen Rechner gespeichert, mir die Programme auf CD und regs auf CD gezogen und dann alles nach und nach durchgeackert... Und tataaaa... Meine kleine Rechnermaus ist wieder ganz gesund Deswegen noch einmal: Vielen Dank für Deine ausführlichen Informationen, der Arbeit, die Du Dir hier machst und das alles auch noch für kostenlos. Wirklich... extremster Viele Grüsse... derMaxe |
|
|
||
13.12.2005, 15:09
...neu hier
Beiträge: 7 |
#39
der scan ergab folgendes ergebnis:
KASPERSKY ON-LINE SCANNER REPORT Tuesday, December 13, 2005 14:58:35 Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600) Kaspersky On-line Scanner version: 5.0.67.0 Kaspersky Anti-Virus database last update: 13/12/2005 Kaspersky Anti-Virus database records: 154941 ------------------------------------------------------------------------------- Scan Settings: Scan using the following antivirus database: standard Scan Archives: true Scan Mail Bases: true Scan Target - My Computer: C:\ D:\ E:\ F:\ G:\ H:\ I:\ J:\ K:\ Scan Statistics: Total number of scanned objects: 60934 Number of viruses found: 2 Number of infected objects: 5 Number of suspicious objects: 0 Duration of the scan process: 2684 sec Infected Object Name - Virus Name C:\!KillBox\hpB9DA.tmp Infected: Trojan-Downloader.Win32.Zlob.co C:\!KillBox\mscornet.exe Infected: Trojan-Downloader.Win32.Zlob.cj C:\!KillBox\msvol.tlb Infected: Trojan-Downloader.Win32.Zlob.co C:\!KillBox\nvctrl.exe Infected: Trojan-Downloader.Win32.Zlob.co C:\Dokumente und Einstellungen\User\Desktop\hij\backups\backup-20051212-141203-387.dll Infected: Trojan-Downloader.Win32.Zlob.co Scan process completed. mit manuell löschen meinst du rechtsklicken auf die datei und dann löschen oder? danke für die Hilfe. mfg PI |
|
|
||
13.12.2005, 15:24
Ehrenmitglied
Beiträge: 29434 |
#40
Zitat Infected Object Name - Virus Nameja, loesche alle Dateien, die noch in der Killbox gespeichert sind und das backup vom HijackThis dann: scanne mit:Etrust Onlinescanner von Pestscan http://virus-protect.org/onlinescan.html und poste den scanbericht __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.12.2005, 15:55
...neu hier
Beiträge: 7 |
#41
folgende datein hat es gefunden:
expand all collapse all Level Pests Type Advertising.com Tracking Cookie Tracking Cookie "Advertising.com" found in: Cookie "User@advertising[1].txt" File "C:\Dokumente und Einstellungen\User\Cookies\user@advertising[1].txt" More Info As1.falkag.de Tracking Cookie Tracking Cookie "As1.falkag.de" found in: Cookie "User@as1.falkag[2].txt" File "C:\Dokumente und Einstellungen\User\Cookies\User@as1.falkag[2].txt" More Info Hijacker "ISTbar" found in: File "C:\WINDOWS\system32\mciwndx.ocx" More Info mfg Pi |
|
|
||
13.12.2005, 16:06
Ehrenmitglied
Beiträge: 29434 |
#42
-Pi
loesche (manuell oder mit der Killbox: ) C:\WINDOWS\system32\mciwndx.ocx TuneUp 2006 (30 Tage free) Shareware http://virus-protect.org/reinigungstoolsregistry.html wende an: Cleanup repair -- TuneUp Diskcleaner Cleanup repair -- Registry Cleaner lade den Firefox http://virus-protect.org/firefox.html dann muesste wieder alles in Ordnung sein __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.12.2005, 17:19
...neu hier
Beiträge: 3 |
#43
Hallo all,
mistigerweise hab ich mir den spyaxe eingefangen, leider komme ich mit der Löscherei nicht weiter, da ich nicht weiß was, habe schon CleanUp, SmitRem2.8, SpyAxeFix.bat und datfindbat benutzt datfind.bat log: Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2496-AFED Verzeichnis von C:\WINDOWS\system32 13.12.2005 14:58 376.016 perfh009.dat 13.12.2005 14:58 51.814 perfc009.dat 13.12.2005 14:58 386.338 perfh007.dat 13.12.2005 14:58 62.578 perfc007.dat 13.12.2005 14:58 886.752 PerfStringBackup.INI 13.12.2005 00:35 5.128 ncompat.tlb 13.12.2005 00:34 17.810 lckfldservicelog.txt 12.12.2005 19:17 7.322 eInstall.dat 12.12.2005 18:52 55 mslck.dat 12.12.2005 18:05 6.144 msvol.tlb 12.12.2005 15:57 4.286 ts.ico 12.12.2005 15:57 4.286 ot.ico 12.12.2005 15:57 9.780 mssearchnet.exe 12.12.2005 15:57 15.512 nvctrl.exe 12.12.2005 15:50 14.532 mscornet.exe 01.12.2005 19:17 7.006 jupdate-1.5.0_06-b05.log 26.11.2005 14:59 842.512 FNTCACHE.DAT 10.11.2005 13:03 127.078 javaws.exe 10.11.2005 13:03 49.265 jpicpl32.cpl Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2496-AFED Verzeichnis von C:\DOKUME~1\TREVOR~1\LOKALE~1\Temp 13.12.2005 14:40 0 sa3.tmp 1 Datei(en) 0 Bytes 0 Verzeichnis(se), 24.213.311.488 Bytes frei Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2496-AFED Verzeichnis von C:\WINDOWS 13.12.2005 15:11 1.110.980 ntbtlog.txt 13.12.2005 14:53 2.048 bootstat.dat 13.12.2005 14:52 1.587.637 WindowsUpdate.log 13.12.2005 14:43 227.829 setupact.log 13.12.2005 00:34 0 0.log 13.12.2005 00:34 159 wiadebug.log 13.12.2005 00:34 3.922 ModemLog_Creatix V.9X DSP Data Fax Modem.txt 13.12.2005 00:34 50 wiaservc.log 13.12.2005 00:34 11.207 ESCAN.LOG 13.12.2005 00:34 3.305 win.ini 13.12.2005 00:34 1.005 frights.log 12.12.2005 19:44 6.149.480 REGBK00.ZIP 12.12.2005 19:30 32.638 SchedLgU.Txt 12.12.2005 19:28 361 MAILINST.LOG hijackthis log: Logfile of HijackThis v1.99.0 Scan saved at 16:50:00, on 13.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Trevor Schmitz\Eigene Dateien\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O1 - Hosts: 68.16.15.244 l2testauthd.lineage2.com O2 - BHO: (no name) - {1FB3E571-4CDA-CA7C-228F-B429E0F74225} - (no file) O2 - BHO: (no name) - {E70DDD5F-982D-7B3B-ED7E-1018F2C2CCAF} - (no file) O2 - BHO: (no name) - {FDAECE87-BFA9-CCCE-1280-145CDC679A68} - (no file) O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE" O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE O4 - HKCU\..\Run: [GMX Upload-Manager] "C:\PROGRA~1\GMX\GMXUPL~1\GMXUPL~1.EXE" HIDE O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office englisch\Office10\OSA.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZCxdm338 O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MIB36E~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra button: 50 FREE MP3s! - {686C970F-1D7D-4469-85D1-4B35763B56CC} - http://www.emusic.com?fref=149133 (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://www.popfile.de/myplaylist/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{9E761073-861E-4DF2-83B2-2E3DC71852B2}: NameServer = 169.255.255.15,169.255.255.16 O17 - HKLM\System\CCS\Services\Tcpip\..\{BC0F0655-5333-4BDD-B691-959C3414F55C}: NameServer = 192.168.0.1 O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: BitDefender Scan Server - Unknown - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: CA-Lizenz-Client - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: eScan Server-Updater - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE O23 - Service: InstallDriver Table Manager - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: eScan Monitor Service - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe O23 - Service: LckFldService - Unknown - C:\WINDOWS\system32\LckFldService.exe O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe O23 - Service: BitDefender Communicator - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe ..kann mir vielleicht jemand weiter helfen???? *winsel* lg Knaller |
|
|
||
13.12.2005, 20:30
...neu hier
Beiträge: 7 |
||
|
||
14.12.2005, 11:29
Ehrenmitglied
Beiträge: 29434 |
#45
Hallo@Knaller
die Reinigung ist kein Problem, allerdings moechte ich dich vorher um etwas bitten: rechtsklick auf die dat--> oeffnen mit Editor , kopiere ab, was du findest. C:\WINDOWS\system32\eInstall.dat C:\WINDOWS\system32\mslck.dat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
kopiere dur das erste Log von der datfindbat
http://virus-protect.org/datfindbat.html
+
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina
rund um die PC-Sicherheit