SpyAxe und weitere Probleme (hijackthis logfile liegt bei)

#0
08.12.2005, 20:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#46 Kappo

editiere bitte....und schreibe die korrekten Pfade oberhalb...damit ich dir alles fuer die Killbox zurechtmachen kann
oder poste noch mal...aber nur die Woche um den 12.12.2004 und von c:\ alles abkopieren

das "rote" sind alles Viren......
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.12.2005, 21:20
Member

Beiträge: 20
#47 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F851-6574

Verzeichnis von C:\WINDOWS\system32

20.12.2004 19:37 53.248 pxhpinst.exe
20.12.2004 19:37 28.672 vxblock.dll
20.12.2004 19:37 319.488 pxdrv.dll
20.12.2004 19:37 286.720 pxwave.dll
20.12.2004 19:37 143.360 pxmas.dll
20.12.2004 19:37 462.848 px.dll
14.12.2004 21:53 47.610 interceptor.sys
14.12.2004 21:53 45.056 WNASPI32.DLL
12.12.2004 19:30 7.140 eInstall.dat
12.12.2004 06:09 0 mcc.exe
12.12.2004 06:09 0 d2kpax.exe
12.12.2004 06:09 0 system32.dll
12.12.2004 06:09 0 winproc32.exe
12.12.2004 06:09 0 services
12.12.2004 06:09 0 d2kpax.dll
12.12.2004 06:09 0 a.exe
12.12.2004 06:09 0 jac.dll
12.12.2004 06:09 0 bridge.dll
12.12.2004 06:09 0 msxslab.dll

07.12.2004 20:33 96.768 srvsvc.dll
02.12.2004 02:05 20.484 SystemsHook.dll
18.11.2004 22:30 249 spupdwxp.log
17.11.2004 18:42 356.352 hypertrm.dll
16.11.2004 22:17 68.608 hlink.dll
29.10.2004 18:19 278.528 mwtsp.dll
28.10.2004 02:23 729.600 lsasrv.dll
21.10.2004 15:00 626.688 contfilt.dll
08.10.2004 11:46 53.248 InstMed.exe
08.10.2004 10:55 77.824 LVCOMCX.dll
08.10.2004 10:52 258.048 LVMAENUM.dll

--------------------------------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F851-6574

Verzeichnis von C:\WINDOWS

15.12.2004 20:55 9.842 KB885836.log
15.12.2004 20:55 9.830 KB873339.log
15.12.2004 20:55 6.102 KB886185.log
15.12.2004 20:55 10.532 KB885835.log
14.12.2004 21:59 417 MININU.LOG
13.12.2004 05:56 4.231 mailremv.log
13.12.2004 05:56 288 INST_TSP.LOG
13.12.2004 05:56 36.869 ESCAN.LOG
13.12.2004 05:52 1.203 frights.log
12.12.2004 20:57 724 MAILINST.LOG
12.12.2004 19:29 117.844 winsbak2.reg
12.12.2004 19:29 16.786 winsbak.reg
12.12.2004 06:09 0 seksdialer.exe
12.12.2004 06:09 0 inetdata
12.12.2004 06:09 0 system.exe
12.12.2004 06:09 0 dl.exe
12.12.2004 06:09 0 dlm.exe
12.12.2004 06:09 0 msstasks.exe
12.12.2004 06:09 0 mstasks1.exe
12.12.2004 06:09 0 mstaskss.exe
12.12.2004 06:09 0 msxmidi.exe
12.12.2004 06:09 0 runwin32.exe
12.12.2004 06:09 0 wininet32.exe
12.12.2004 06:09 0 rocky.exe
12.12.2004 06:09 0 ntldr.exe
12.12.2004 06:09 0 reg33.exe
12.12.2004 06:09 0 cvchost.exe
12.12.2004 06:09 0 mssys.com

04.12.2004 23:00 335 nsreg.dat
04.12.2004 22:57 87.184 NSUninst.exe
21.11.2004 21:34 307 thin-114-1-x-x.exe -->ABetterInternet.Thinstaller
19.11.2004 10:48 8.112 KB834707.log
18.11.2004 22:32 28.966 spupdsvc.log
18.11.2004 22:32 360 DtcInstall.log
18.11.2004 14:01 452.663 svcpack.log
18.11.2004 13:56 200 cmsetacl.log
18.11.2004 13:55 1.330 sessmgr.setup.log
18.11.2004 12:43 3.940 KB840987.log
18.11.2004 12:10 5.899 KB842773.log

--------------------------------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F851-6574

Verzeichnis von C:\

08.12.2005 21:21 0 sys.txt
08.12.2005 21:19 12.430 system.txt
08.12.2005 21:19 488 systemtemp.txt
08.12.2005 21:18 106.405 system32.txt
08.12.2005 18:21 402.653.184 pagefile.sys
08.12.2005 18:06 2.082 smitfiles.txt
13.10.2005 16:45 162 TO_InstallLog.txt
30.09.2005 13:48 183 LogiSetup.log
21.09.2005 16:11 0 AUTOEXEC.BAT
21.09.2005 16:11 0 CONFIG.SYS
25.07.2005 17:11 127 DelUS.bat
16.07.2005 08:28 3.581 TDSLCheck.txt
18.11.2004 13:56 211 boot.ini
18.11.2004 13:41 47.564 NTDETECT.COM
18.11.2004 13:41 251.184 ntldr
06.06.2004 10:50 0 MSDOS.SYS
06.06.2004 10:50 0 IO.SYS
18.08.2001 20:00 4.952 bootfont.bin
18 Datei(en) 403.082.553 Bytes
0 Verzeichnis(se), 30.222.139.392 Bytes frei

--------------------------------------------------------------------------
jetzt seh ich auch, was du mit editieren meintest.... (ich Noob)
Dieser Beitrag wurde am 08.12.2005 um 21:24 Uhr von Kappo editiert.
Seitenanfang Seitenende
08.12.2005, 23:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#48 Kappo

Downloader.Harnig

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\mcc.exe
C:\WINDOWS\system32\d2kpax.exe
C:\WINDOWS\system32\system32.dll
C:\WINDOWS\system32\winproc32.exe
C:\WINDOWS\system32\services
C:\WINDOWS\system32\d2kpax.dll
C:\WINDOWS\system32\a.exe
C:\WINDOWS\system32\jac.dll
C:\WINDOWS\system32\bridge.dll
C:\WINDOWS\system32\msxslab.dll

C:\WINDOWS\seksdialer.exe
C:\WINDOWS\inetdata
C:\WINDOWS\system.exe
C:\WINDOWS\dl.exe
C:\WINDOWS\dlm.exe
C:\WINDOWS\msstasks.exe
C:\WINDOWS\mstasks1.exe
C:\WINDOWS\mstaskss.exe
C:\WINDOWS\msxmidi.exe
C:\WINDOWS\runwin32.exe
C:\WINDOWS\wininet32.exe
C:\WINDOWS\rocky.exe
C:\WINDOWS\ntldr.exe
C:\WINDOWS\reg33.exe
C:\WINDOWS\cvchost.exe
C:\WINDOWS\mssys.com
C:\DelUS.bat
C:\WINDOWS\thin-114-1-x-x.exe

PC neustarten

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

schau, ob du einen Ordner findest:
C:\WINDOWS\Web (---> berichte)

scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

Zitat

# %System%\secure32.txt
# %Windir%\system.exe
# %Windir%\system32\system32.dll
# %Windir%\desktop.exe
# %Windir%\toolbar.exe
# %Windir%\mstasks1.exe (Detected as Backdoor.Jeem)
# %Windir%\mstasks2.exe
# %Windir%\test
# %Windir%\seksdialer.exe
# %Windir%\system32\wintime.exe
# %Windir%\system32\dkdial.exe
# %Windir%\system32\dial32.exe
# %Windir%\Web\i_xx.gif(Where xx is a number between 01 and 20.)
# %Windir%\Web\desktop.html

http://securityresponse.symantec.com/avcenter/venc/data/downloader.harnig.html

-----------------------------------

C:\WINDOWS\thin-114-1-x-x.exe -->ABetterInternet.Thinstaller

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.12.2005, 14:31
Member

Beiträge: 20
#49 hallo Sabina
ja, es existiert ein Ordner in C:\WINDOWS.... dieser beinhaltet Bild Dateien und irgendwelche .htt Dateien, keine Ahnung?
habe im übrigen alles gelöscht, neugestartet und mit Kasperky gescannt, hier das Ergebnis:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Friday, December 09, 2005 14:28:13
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 9/12/2005
Kaspersky Anti-Virus database records: 154180
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
F:\

Scan Statistics:
Total number of scanned objects: 54858
Number of viruses found: 2
Number of infected objects: 6
Number of suspicious objects: 0
Duration of the scan process: 3261 sec

Infected Object Name - Virus Name
C:\System Volume Information\_restore{B33873E1-56D9-4037-BA29-49C99580351C}\RP197\A0098059.tlb Infected: Trojan-Downloader.Win32.Zlob.cb
C:\System Volume Information\_restore{B33873E1-56D9-4037-BA29-49C99580351C}\RP197\A0099053.tlb Infected: Trojan-Downloader.Win32.Zlob.cb
C:\System Volume Information\_restore{B33873E1-56D9-4037-BA29-49C99580351C}\RP197\A0099063.tlb Infected: Trojan-Downloader.Win32.Zlob.cb
C:\System Volume Information\_restore{B33873E1-56D9-4037-BA29-49C99580351C}\RP197\A0099073.tlb Infected: Trojan-Downloader.Win32.Zlob.cb
C:\System Volume Information\_restore{B33873E1-56D9-4037-BA29-49C99580351C}\RP197\A0099076.exe Infected: Trojan-Downloader.Win32.Zlob.cb
C:\System Volume Information\_restore{B33873E1-56D9-4037-BA29-49C99580351C}\RP197\A0099077.exe Infected: Trojan-Downloader.Win32.Zlob.bz

Scan process completed.


Mfg Kappo
Seitenanfang Seitenende
09.12.2005, 14:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#50 deaktiviere die Systemwiederherstellung (dann aktiviere sie wieder)
http://virus-protect.org/systemwiederherstellung.html

dann scanne noch mal mit Kaspersky ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.12.2005, 15:04
Member

Beiträge: 20
#51 : - )) nix gefunden!! Was jetzt? Bin ich sauber? : - ))))
Dieser Beitrag wurde am 09.12.2005 um 15:35 Uhr von Kappo editiert.
Seitenanfang Seitenende
09.12.2005, 15:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#52 ich denke ja (seit dem 12.12.2004 surfst du mit dem Harnig-Trojaner... tzzzz...)

Alles Gute fuer dich+ PC ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.12.2005, 17:44
Member

Beiträge: 20
#53 Na dann vielen vielen Dank Sabina. Schön, dass es Menschen wie dich gibt. Kannst du mir bitte abschließend noch ein gutes Antivirusprogramm + Spyprotector empfehlen? Spielt keine Rolle was die Kosten, Sicherheit geht mir jetzt vor. Und ich denke, mit den beiden Programmen bin ich weitesgehend geschützt, oder brauche ich sonst noch etwas? Wäre dir sehr dankbar für einen Ratschlag.
Mfg Kappo
Seitenanfang Seitenende
09.12.2005, 21:43
...neu hier

Beiträge: 5
#54 Hallo Sabina,

habe alles was du vorgeschlagen hast gemacht, jetzt ist der Virus weg!
ganz lieben Dank! Paypal Beleg Nr: 3020-7710-9409-1648

lg
jimmyjonny
Seitenanfang Seitenende
10.12.2005, 00:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#55 Kappo

also ein Sicherheitspaket ;)

1.
Kaufe die Antivirus Premium-Version, ist nicht teuer und gut.
http://virus-protect.org/antivirus.html
immer wenn du deinen Antivirus Klassik updates, wird es angeboten
mache ab und an einen Scan im abgesicherten Modus

2.
Microsoft Windows Antispy (aktiviere den Guard)
http://virus-protect.org/ms.html

3.
Surfe nur mit dem Firefox (nur mit dem IE machst du die Windowsupdates)
http://virus-protect.org/firefox.html

4
Eingeschraenktes Benutzerkonto
http://virus-protect.org/administrator.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.12.2005, 12:52
Member

Beiträge: 20
#56 ja super Sabina vielen vielen dank dir. Echt lieb von dir.
Seitenanfang Seitenende