SpyAxe und weitere Probleme (hijackthis logfile liegt bei) |
||
---|---|---|
#0
| ||
06.12.2005, 18:23
Member
Beiträge: 20 |
||
|
||
06.12.2005, 23:52
Ehrenmitglied
Beiträge: 29434 |
#32
Kappo
C:\WINDOWS\system32\svchosts.dll --> Trojan-Downloader.Spax mich interssieren die anderen ! ..das sind Viren !!!! Nur...welche ? C:\q250204.exe C:\soundmx.exe C:\ntldr.exe C:\q.exe C:\p.exe C:\m.exe C:\mssys.com C:\winspec.dat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.12.2005, 23:54
Ehrenmitglied
Beiträge: 29434 |
#33
jimmyjonny
wende Cleanup an http://virus-protect.org/cleanup.html kopiere hier die 4 Textdateien http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.12.2005, 13:21
...neu hier
Beiträge: 5 |
#34
Hallo Sabina,
vielen Dank für Deine Hilfe. ich aheb dummerweise das cleanup zuerst mit den falschen options laufen lassen :-( also 2 mal insgesamt... hier sind die Textdateien von datfind.bat: Volume in drive C has no label. Volume Seri*hier nicht!* Number is C8A1-8EF7 Directory of C:\WINNT\system32 07.12.2005 13:15 5.104 ncompat.tlb 07.12.2005 12:42 5.632 msvol.tlb 07.12.2005 12:42 19.968 hp44B7.tmp 07.12.2005 12:42 24.064 ld41E6.tmp 07.12.2005 12:41 24 fwlog.txt 06.12.2005 11:26 16.384 Perflib_Perfdata_81c.dat 05.12.2005 20:01 98.304 svchosts.dll 05.12.2005 20:01 4.286 ot.ico 05.12.2005 20:01 4.286 ts.ico 05.12.2005 20:01 9.736 mssearchnet.exe 05.12.2005 20:01 13.892 nvctrl.exe 05.12.2005 14:45 14.396 mscornet.exe 01.12.2005 11:31 16.384 Perflib_Perfdata_468.dat 29.11.2005 19:47 16.384 Perflib_Perfdata_798.dat 18.11.2005 13:49 16.384 Perflib_Perfdata_684.dat 15.11.2005 13:49 768 d3d8caps.dat 15.11.2005 09:40 96.664 FNTCACHE.DAT 02.11.2005 19:19 4.322 jupdate-1.4.2_10-b03.log 02.11.2005 10:49 2.368.864 MRT.exe 02.11.2005 08:11 16.384 Perflib_Perfdata_2c4.dat 18.10.2005 12:54 1.044.480 roboex32.dll 18.10.2005 12:54 49.152 inetwh32.dll 14.10.2005 19:20 16.384 Perflib_Perfdata_654.dat 10.10.2005 16:29 61.555 jpicpl32.cpl 10.10.2005 15:09 45.163 javaw.exe 10.10.2005 15:09 45.161 java.exe 10.10.2005 00:31 13.536 spmsg.dll 07.10.2005 07:19 233.744 GDI32.DLL 07.10.2005 07:04 4.212 zllictbl.dat 06.10.2005 10:33 1.638.672 WIN32K.SYS 04.10.2005 11:19 2.700.288 MSHTML.DLL 28.09.2005 15:35 226.832 ddBACCTM.cpl 28.09.2005 15:35 751.120 Ddbaccpl.cpl 27.09.2005 17:30 16.384 Perflib_Perfdata_660.dat 25.09.2005 18:56 16.384 Perflib_Perfdata_6dc.dat 23.09.2005 12:03 1.120.016 webvw.dll |
|
|
||
07.12.2005, 13:54
Ehrenmitglied
Beiträge: 29434 |
#35
die Dateien aus dem 19.Jahrhundert interessieren mich nicht so sehr....es war von max. 3Monaten die Rede...poste noch die anderen 3 Textdatein
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.12.2005, 15:46
...neu hier
Beiträge: 5 |
#36
Hallo Sabina,
sorry, hier nochmal: 07.12.2005 15:43 5.104 ncompat.tlb 07.12.2005 15:38 5.632 msvol.tlb 07.12.2005 15:38 19.968 hp5646.tmp 07.12.2005 15:38 24.064 ld52F3.tmp 07.12.2005 15:36 234 fwlog.txt 06.12.2005 11:26 16.384 Perflib_Perfdata_81c.dat 05.12.2005 20:01 98.304 svchosts.dll 05.12.2005 20:01 4.286 ot.ico 05.12.2005 20:01 4.286 ts.ico 05.12.2005 20:01 9.736 mssearchnet.exe 05.12.2005 20:01 13.892 nvctrl.exe 05.12.2005 14:45 14.396 mscornet.exe 01.12.2005 11:31 16.384 Perflib_Perfdata_468.dat 29.11.2005 19:47 16.384 Perflib_Perfdata_798.dat 18.11.2005 13:49 16.384 Perflib_Perfdata_684.dat 15.11.2005 13:49 768 d3d8caps.dat 15.11.2005 09:40 96.664 FNTCACHE.DAT 02.11.2005 19:19 4.322 jupdate-1.4.2_10-b03.log 02.11.2005 10:49 2.368.864 MRT.exe 02.11.2005 08:11 16.384 Perflib_Perfdata_2c4.dat 18.10.2005 12:54 1.044.480 roboex32.dll 18.10.2005 12:54 49.152 inetwh32.dll 14.10.2005 19:20 16.384 Perflib_Perfdata_654.dat 10.10.2005 16:29 61.555 jpicpl32.cpl 10.10.2005 15:09 45.163 javaw.exe 10.10.2005 15:09 45.161 java.exe 10.10.2005 00:31 13.536 spmsg.dll 07.10.2005 07:19 233.744 GDI32.DLL 07.10.2005 07:04 4.212 zllictbl.dat 06.10.2005 10:33 1.638.672 WIN32K.SYS 04.10.2005 11:19 2.700.288 MSHTML.DLL 28.09.2005 15:35 226.832 ddBACCTM.cpl 28.09.2005 15:35 751.120 Ddbaccpl.cpl 27.09.2005 17:30 16.384 Perflib_Perfdata_660.dat 25.09.2005 18:56 16.384 Perflib_Perfdata_6dc.dat 23.09.2005 12:03 1.120.016 webvw.dll 23.09.2005 12:03 245.008 WINSRV.DLL 23.09.2005 12:03 17.680 linkinfo.dll 23.09.2005 12:03 2.360.592 SHELL32.DLL 22.09.2005 12:18 16.384 Perflib_Perfdata_6b0.dat 12.09.2005 05:00 409.088 shlwapi.dll 05.09.2005 09:18 122.640 mtxoci.dll 05.09.2005 09:18 71.440 stclient.dll 05.09.2005 09:18 35.600 mtxlegih.dll 05.09.2005 09:18 19.216 xolehlp.dll 05.09.2005 09:18 153.872 msdtcui.dll 05.09.2005 09:18 52.496 mtxclu.dll 05.09.2005 09:18 726.288 msdtcprx.dll 05.09.2005 09:18 1.200.400 msdtctm.dll 05.09.2005 09:18 26.896 mtxdm.dll 05.09.2005 09:18 625.936 comuid.dll 05.09.2005 09:18 1.471.248 comsvcs.dll 05.09.2005 09:18 96.016 msdtclog.dll 05.09.2005 09:18 69.392 olecli32.dll 05.09.2005 09:18 97.552 comrepl.dll 05.09.2005 09:18 36.624 OLECNV32.DLL 05.09.2005 09:18 595.728 catsrvut.dll 05.09.2005 09:18 97.040 clbcatex.dll 05.09.2005 09:18 165.648 catsrv.dll 05.09.2005 09:18 41.744 colbact.dll 05.09.2005 09:18 551.184 clbcatq.dll 05.09.2005 09:18 398.608 txfaux.dll 05.09.2005 09:18 212.240 rpcss.dll 05.09.2005 09:18 242.448 es.dll ------------------ Volume in drive C has no label. Volume Seri*hier nicht!* Number is C8A1-8EF7 Directory of C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp 07.12.2005 15:39 31.520 SALanguage.ini 07.12.2005 15:38 216 jusched.log 03.12.2005 20:58 120 0FD1A8EB.TMP 3 File(s) 31.856 bytes 0 Dir(s) 6.669.684.736 bytes free ---------------- Directory of C:\WINNT 07.12.2005 15:41 3.039 ModemLog_cFos DSL, Internet, PPPoE.txt 07.12.2005 15:36 2.081.843 WindowsUpdate.log 07.12.2005 13:25 32.556 SchedLgU.Txt 07.12.2005 13:24 1.017.628 ShellIconCache 05.12.2005 12:52 476.923 setupapi.log 05.12.2005 10:41 7.996 gte.ini 02.12.2005 17:17 942 ODBC.INI 28.11.2005 10:49 459 win.ini 23.11.2005 11:11 408 wincmd.ini 23.11.2005 11:05 321 wcx_ftp.ini 22.11.2005 10:30 60.486 CFSETUP.TXT 15.11.2005 08:26 455.462 iis5.log 15.11.2005 08:26 194.942 comsetup.log 15.11.2005 08:26 1.429 imsins.log 15.11.2005 08:26 14.093 KB896424.log 15.11.2005 08:26 166.173 ocgen.log 15.11.2005 08:26 12.955 ockodak.log 15.11.2005 08:25 50.836 updspapi.log 15.11.2005 08:25 26.972 KB904706.log 10.11.2005 15:50 87.112 DirectX.log 05.11.2005 13:22 24.292 KB905414.log 05.11.2005 13:21 23.606 KB905749.log 05.11.2005 13:20 11.014 KB896688-IE6SP1-20051004.130236.log 05.11.2005 13:19 25.239 KB902400.log 05.11.2005 13:17 15.920 KB901017.log 05.11.2005 13:16 5.344 KB904368.log 04.11.2005 13:18 14.874 KB900725.log 04.11.2005 13:16 16.726 KB899589.log 04.11.2005 13:16 3.403 KB905495-IE6SP1-20050805.184113.log 07.09.2005 12:48 2.385 ModemLog_Bluetooth Modem.txt ------------------ Volume in drive C has no label. Volume Seri*hier nicht!* Number is C8A1-8EF7 Directory of C:\ 07.12.2005 15:47 0 sys.txt 07.12.2005 15:46 8.374 system.txt 07.12.2005 15:46 383 systemtemp.txt 07.12.2005 15:44 92.607 system32.txt 07.12.2005 15:36 805.306.368 pagefile.sys 07.09.2005 13:00 137 BcBtRmv.log Danke! jimmyjonny |
|
|
||
07.12.2005, 16:02
...neu hier
Beiträge: 3 |
#37
REGEDIT4
; RegSrch.vbs © Bill James ; Registry search results for string "SpyAxe" 07.12.2005 15:55:24 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\SpyAxe.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{70F17C8C-1744-41B6-9D07-575DB448DCC5}] @="SpyAxe" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2BB3BCBF-411A-4C67-8E69-F4BB301DC333}\1.0] @="SpyAxe 1.0 Type Library" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2BB3BCBF-411A-4C67-8E69-F4BB301DC333}\1.0\0\win32] @="C:\\Programme\\SpyAxe\\spyaxe.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2BB3BCBF-411A-4C67-8E69-F4BB301DC333}\1.0\HELPDIR] @="C:\\Programme\\SpyAxe\\" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpyAxe] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpyAxe] "item"="spyaxe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpyAxe] "command"="C:\\Programme\\SpyAxe\\spyaxe.exe /h" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\spyaxe.exe] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\spyaxe.exe] @="C:\\Programme\\SpyAxe\\spyaxe.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpyAxe"="C:\\Programme\\SpyAxe\\spyaxe.exe /h" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyAxe] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyAxe] "DisplayName"="SpyAxe 3.0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyAxe] "UninstallString"="C:\\Programme\\SpyAxe\\uninst.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyAxe] "DisplayIcon"="C:\\Programme\\SpyAxe\\spyaxe.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyAxe] "NSIS:StartMenuDir"="SpyAxe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyAxe] "URLInfoAbout"="http://www.spyaxe.com" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyAxe] "Publisher"="SpyAxe" [HKEY_LOCAL_MACHINE\SOFTWARE\SpyAxe] [HKEY_USERS\S-1-5-21-1606980848-299502267-725345543-1003\Software\Microsoft\Search Assistant\ACMru\5603] "001"="spyaxe" [HKEY_USERS\S-1-5-21-1606980848-299502267-725345543-1003\Software\Microsoft\Windows\CurrentVersion\ Explorer\ComDlg32\OpenSaveMRU\*] "j"="C:\\Dokumente und Einstellungen\\Simo\\Desktop\\SpyAxeFix.exe" [HKEY_USERS\S-1-5-21-1606980848-299502267-725345543-1003\Software\Microsoft\Windows\CurrentVersion \Explorer\ComDlg32\OpenSaveMRU\exe] "i"="C:\\Dokumente und Einstellungen\\Simo\\Desktop\\SpyAxeFix.exe" [HKEY_USERS\S-1-5-21-1606980848-299502267-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\SpyAxe] [HKEY_USERS\S-1-5-21-1606980848-299502267-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\Programme\\SpyAxe\\spyaxe.exe"="Anti-spyware software" [HKEY_USERS\S-1-5-21-1606980848-299502267-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\DOKUME~1\\Simo\\LOKALE~1\\Temp\\sa9.exe"="SpyAxe Software Installer" [HKEY_USERS\S-1-5-21-1606980848-299502267-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\Programme\\SpyAxe\\uninst.exe"="SpyAxe Software Installer" [HKEY_USERS\S-1-5-21-1606980848-299502267-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\DOKUME~1\\Simo\\LOKALE~1\\Temp\\~nsu.tmp\\Au_.exe"="SpyAxe Software Installer" [HKEY_USERS\S-1-5-21-1606980848-299502267-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\DOKUME~1\\Simo\\LOKALE~1\\Temp\\sa4.exe"="SpyAxe Software Installer" |
|
|
||
07.12.2005, 17:21
Ehrenmitglied
Beiträge: 29434 |
#38
simeon
mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen http://virus-protect.org/reg/mcor.reg rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm. http://virus-protect.org/reg/spyaxe.reg KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot / Process all in List )--> anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINNT\system32\ncompat.tlb C:\WINNT\system32\msvol.tlb C:\WINNT\system32\hp5646.tmp C:\WINNT\system32\ld52F3.tmp C:\WINNT\system32\fwlog.txt C:\WINNT\system32\svchosts.dll C:\WINNT\system32\ot.ico C:\WINNT\system32\ts.ico C:\WINNT\system32\mssearchnet.exe C:\WINNT\system32\nvctrl.exe C:\WINNT\system32\mscornet.exe starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg spyaxe.reg doppelt --> fuege sie mit " ja" der Registry bei ------------------------------------------------------------------------------ Direktdownload SpyAxeFix.exe http://noahdfear.geekstogo.com/click%20counter/click.php?id=8 -->> schliesse alle anderen Programme -->> doppeltklicken SpyAxeFix.exe -->> SpyAxeFix map -->> SpyAxeFix.bat -->> wenn deas Tool abgearbeitet ist, wird der PC neustarten kopiere die spyaxe.txt ab -------------------------------------------------------------------------------- gehe in die Registry Start-->Ausfuehren--> regedit bearbeiten--> suchen--> spyaxe loesche alles, was noch da ist. zum Beispiel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpyAxe öffne das HijackThis --> laden: http://computercops.biz/zx/Merijn/hijackthis.zip -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINNT\system32\hp5646.tmp O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h pc neustarten deinstalliere Spyaxe loesche: C:\Programme\SpyAxe C:\WINNT\system32\1024 C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url wende CleanUp an http://virus-protect.org/cleanup.html scanne mit Kaspersky --> loesche dann manuell, was gefunden wird http://virus-protect.org/onlinescan.html scanne mit Panda --> loesche dann manuell, was gefunden wird http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.12.2005, 02:23
Member
Beiträge: 20 |
#39
hallo Sabina,
ich kann wie schon gesagt, die besagten Dateien nicht finden?? |
|
|
||
08.12.2005, 10:33
...neu hier
Beiträge: 5 |
#40
Hallo Sabina,
bitte guck doch naochmal in meine Textdateien und gib mir einen Tipp! Danke im Voraus jimmyjonny |
|
|
||
08.12.2005, 11:33
Ehrenmitglied
Beiträge: 29434 |
#41
jimmyjonny
Direkt download SmitRem2.8 http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 scanne und poste den scanreport Zitat öffne smitRem folder,Doppelklick: RunThis.bat---------------------------------------------------------------------------- mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen http://virus-protect.org/reg/mcor.reg rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm. http://virus-protect.org/reg/spyaxe.reg ----------------------------------------------------------------------------------- KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot / Process all in List )--> anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINNT\system32\ncompat.tlb C:\WINNT\system32\msvol.tlb C:\WINNT\system32\hp5646.tmp C:\WINNT\system32\hpE574.tmp C:\WINNT\system32\ld52F3.tmp C:\WINNT\system32\fwlog.txt C:\WINNT\system32\svchosts.dll C:\WINNT\system32\ot.ico C:\WINNT\system32\ts.ico C:\WINNT\system32\mssearchnet.exe C:\WINNT\system32\\nvctrl.exe C:\WINNT\system32\mscornet.exe C:\WINNT\ShellIconCache starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg spyaxe.reg doppelt --> fuege sie mit " ja" der Registry bei ----------------------------------------------------------------------- öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINNT\system32\hpE574.tmp O4 - HKLM\..\Run: [SpyAxe] C:\Program Files\SpyAxe\spyaxe.exe /h PC neustarten ------------------------------------------------------------------------------ Direktdownload SpyAxeFix.exe http://noahdfear.geekstogo.com/click%20counter/click.php?id=8 -->> schliesse alle anderen Programme -->> doppeltklicken SpyAxeFix.exe -->> SpyAxeFix.bat -->> wenn deas Tool abgearbeitet ist, wird der PC neustarten kopiere die spyaxe.txt ab ------------------------------------------------------------------ deinstalliere Spyaxe loesche: C:\Program Files\SpyAxe C:\WINNT\system32\1024 C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url wende CleanUp an http://virus-protect.org/cleanup.html scanne mit Kaspersky --> loesche dann manuell, was gefunden wird http://virus-protect.org/onlinescan.html scanne mit Panda --> loesche dann manuell, was gefunden wird http://virus-protect.org/onlinescan.html __________ Zitat
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.12.2005, 12:17
Ehrenmitglied
Beiträge: 29434 |
#42
Kappo
ich brauche noch mal die datfindbat-Daten : vom Dezember 2004 --> 12.12.2004 ---------------------------------------------------------------------- SmitRem2.8 http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 scanne und poste den scanreport öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread --------------------------------------------------------------------------------- mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen http://virus-protect.org/reg/mcor.reg rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm. http://virus-protect.org/reg/spyaxe.reg ------------------------------------------------------------------------------ KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot / Process all in List )--> anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\svchosts.dll C:\q250204.exe C:\soundmx.exe C:\ntldr.exe C:\q.exe C:\p.exe C:\m.exe C:\mssys.com C:\winspec.dat starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg spyaxe.reg doppelt --> fuege sie mit " ja" der Registry bei öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h PC neustarten deinstalliere (falls es noch da ist) SpyAxe loesche: C:\Programme\SpyAxe C:\WINNT\system32\1024 C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url scanne und berichte, was gefunden wurde http://virus-protect.org/cureit.html Zitat
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.12.2005, 19:39
Member
Beiträge: 20 |
#43
Hallo Sabina : - )
hier der "smitfiles.txt" : smitRem © log file version 2.8 by noahdfear Microsoft Windows XP [Version 5.1.2600] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ SpyAxeFix © by noahdfear spyaxe directory present spyaxe uninstaller present Starting spyaxe uninstaller REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ SpyAxe ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ svchosts.dll ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 1192 'explorer.exe' Killing PID 1192 'explorer.exe' Starting registry repairs Deleting files Remaining Post-run Files ~~~ Program Files ~~~ SpyAxe ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ CLEAN! ~~~ Upon reboot ~~~ wininet.old present! oleadm.dll not present! oleext.dll not present! ~~~ Upon completion ~~~ wininet.old not present! oleadm.dll not present! oleext.dll not present! ~~~~ Rechecking C:\WINDOWS\system32\wininet.dll for infection ~~~~ ~~~~ C:\WINDOWS\system32\wininet.dll Clean! ~~~~ Bin dann alles Punkt für Punkt durchgegangen. Dieser Eintrag fehlte beim Scan mit HijackThis: O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h und auch dieses brauchte ich nicht zu löschen, da es nicht vorhanden war: C:\Programme\SpyAxe C:\WINNT\system32\1024 den Rest hab ich gelöscht g* Und hier das Ergebnis vom Scan (ich musste es abschreiben, da es sich nicht kopieren ließ) BERICHT: A0081510.dll -> Trojan.PWS.Banker.238 -> Gelöscht A0099074.exe -> Trojan.Popuper -> Gelöscht A0099436.dll -> Trojan.Fakealert -> Gelöscht Anbei eine Frage, was ist eigentlich der Unterschied zwischen infizierte Datei "umbennen" und "desinfizieren" ? Es ist nämlich so, dass in dem Dr. Web Link beschrieben wird, man soll eine infizierte Datei "umbenennen"! Als ich den Dr. Web aber scannen ließ, wurde ich nicht dazu aufgefordert, Infizierte Dateien umzubennen, sondern hatte nur die eine Option zur Auswahl, diese zu "desinfizieren"..... also tat ich das auch, in der Hoffnung, dass es auf etwa das selbe hinausläuft? Bitte gib mir hierzu eine Hilfestellung, damit ich in Zukunft endlich ma Klarheit hab, denn bei meinem Antivirusprogramm (Antivir), bin ich mir auch nie sicher, was ich mit infizierten Dateien machen soll, ob löschen, umbennen, überschreiben und was es da noch so alles an Optionen gibt... ?! Keine Ahnung. Vielen Dank dir Sabina : - ) Mfg Kappo[/u] |
|
|
||
08.12.2005, 19:48
Ehrenmitglied
Beiträge: 29434 |
#44
es gibt Viren, die sollten nur desinfiziert werden oder werden umbenannt, wie: wininet.old.... und sind somit nicht mehr gefaehrlich, andere kann man gleich loeschen lassen, da es aber nicht immer moeglich ist, benennen die scanner um
ich brauche noch mal die datfindbat-Daten : (alle 4 Textdateien) vom Dezember 2004 --> 12.12.2004 das ist wichtig __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.12.2005, 20:02
Member
Beiträge: 20 |
#45
ouh mann, ich hoff ich hab die richtigen kopiert, ansonsten wird das jetzt ne sehr peinlich Nummer werden. das nämlich verdammt viel:
windows/system 32 ???? 20.12.2004 19:37 53.248 pxhpinst.exe 20.12.2004 19:37 28.672 vxblock.dll 20.12.2004 19:37 319.488 pxdrv.dll 20.12.2004 19:37 286.720 pxwave.dll 20.12.2004 19:37 143.360 pxmas.dll 20.12.2004 19:37 462.848 px.dll 14.12.2004 21:53 47.610 interceptor.sys 14.12.2004 21:53 45.056 WNASPI32.DLL 12.12.2004 19:30 7.140 eInstall.dat 12.12.2004 06:09 0 mcc.exe 12.12.2004 06:09 0 d2kpax.exe 12.12.2004 06:09 0 system32.dll 12.12.2004 06:09 0 winproc32.exe 12.12.2004 06:09 0 services 12.12.2004 06:09 0 d2kpax.dll 12.12.2004 06:09 0 a.exe 12.12.2004 06:09 0 jac.dll 12.12.2004 06:09 0 bridge.dll 12.12.2004 06:09 0 msxslab.dll 07.12.2004 20:33 96.768 srvsvc.dll 02.12.2004 02:05 20.484 SystemsHook.dll 18.11.2004 22:30 249 spupdwxp.log 17.11.2004 18:42 356.352 hypertrm.dll 16.11.2004 22:17 68.608 hlink.dll 29.10.2004 18:19 278.528 mwtsp.dll 28.10.2004 02:23 729.600 lsasrv.dll 21.10.2004 15:00 626.688 contfilt.dll 08.10.2004 11:46 53.248 InstMed.exe 08.10.2004 10:55 77.824 LVCOMCX.dll 08.10.2004 10:52 258.048 LVMAENUM.dll 08.10.2004 10:52 221.184 LVCOMSX.EXE 24.09.2004 15:56 77.824 mwnsp.dll 26.08.2004 11:25 163.840 cmuda.dll 11.08.2004 20:45 9.216 asferror.dll 11.08.2004 20:45 228.352 wmerror.dll windows ?? 15.12.2004 20:55 9.842 KB885836.log 15.12.2004 20:55 9.830 KB873339.log 15.12.2004 20:55 6.102 KB886185.log 15.12.2004 20:55 10.532 KB885835.log 14.12.2004 21:59 417 MININU.LOG 13.12.2004 05:56 4.231 mailremv.log 13.12.2004 05:56 288 INST_TSP.LOG 13.12.2004 05:56 36.869 ESCAN.LOG 13.12.2004 05:52 1.203 frights.log 12.12.2004 20:57 724 MAILINST.LOG 12.12.2004 19:29 117.844 winsbak2.reg 12.12.2004 19:29 16.786 winsbak.reg 12.12.2004 06:09 0 seksdialer.exe 12.12.2004 06:09 0 inetdata 12.12.2004 06:09 0 system.exe 12.12.2004 06:09 0 dl.exe 12.12.2004 06:09 0 dlm.exe 12.12.2004 06:09 0 msstasks.exe 12.12.2004 06:09 0 mstasks1.exe 12.12.2004 06:09 0 mstaskss.exe 12.12.2004 06:09 0 msxmidi.exe 12.12.2004 06:09 0 runwin32.exe 12.12.2004 06:09 0 wininet32.exe 12.12.2004 06:09 0 rocky.exe 12.12.2004 06:09 0 ntldr.exe 12.12.2004 06:09 0 reg33.exe 12.12.2004 06:09 0 cvchost.exe 12.12.2004 06:09 0 mssys.com 04.12.2004 23:00 335 nsreg.dat 04.12.2004 22:57 87.184 NSUninst.exe 21.11.2004 21:34 307 thin-114-1-x-x.exe 19.11.2004 10:48 8.112 KB834707.log 18.11.2004 22:32 28.966 spupdsvc.log C:\ 18.11.2004 13:56 211 boot.ini 18.11.2004 13:41 47.564 NTDETECT.COM 18.11.2004 13:41 251.184 ntldr 06.06.2004 10:50 0 MSDOS.SYS 06.06.2004 10:50 0 IO.SYS *duck :-) |
|
|
||
hier auch die Antwort von Malewareupload:
Hallo,
Wir haben Ihre Datei svchosts.dll überprüft und kamen zu folgendem
Ergebnis:
Trojan-Downloader.Spax
:-(
gruss Kappo