SpyAxe und weitere Probleme (hijackthis logfile liegt bei) |
||
---|---|---|
#0
| ||
03.12.2005, 16:51
Member
Beiträge: 12 |
||
|
||
03.12.2005, 18:39
Ehrenmitglied
Beiträge: 29434 |
#2
Treibholz
wende Cleanup an http://virus-protect.org/cleanup.html kopiere hier die 4 Textdateien http://virus-protect.org/datfindbat.html Start -> Ausfuehren --> schreib rein: notepad -- klicke OK. oder , falls das kommando nicht stimmt, oeffne den Editor.... Dann kopiere folgenden Text rein: sc stop Workstation NetLogon Service sc delete Workstation NetLogon Service del delete.bat Auf dem Desktop abspeichern...Gebe bei Dateityp 'Alle Dateien' an..... als "delete.bat". --> Doppeltklicken Registry Search Tool http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren Doppelklick:regsrch.vbs reinkopieren: O?’ŽrtñåȲ$Ó Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.12.2005, 19:28
Member
Themenstarter Beiträge: 12 |
#3
Danke erst mal!!!!!
Cleanup hab ich gemacht Hier die 4 Texte Verzeichnis von C:\WINNT\system32 03.12.2005 19:16 5.456 ncompat.tlb 03.12.2005 18:57 5.632 msvol.tlb 03.12.2005 18:56 20.480 hpF411.tmp 03.12.2005 18:56 24.064 ldF3F1.tmp 03.12.2005 16:20 9.728 mssearchnet.exe 02.12.2005 19:57 4.286 ot.ico 02.12.2005 19:57 4.286 ts.ico 02.12.2005 19:57 13.964 nvctrl.exe 02.12.2005 19:55 14.568 mscornet.exe 01.12.2005 17:29 43.520 CmdLineExt03.dll 26.11.2005 17:23 16.384 Perflib_Perfdata_388.dat 15.11.2005 21:23 29.184 sstunst2.exe ??? 07.09.2005 12:17 173.872 FNTCACHE.DAT Verzeichnis von C:\DOKUME~1\STEGEM~1\LOKALE~1\Temp 03.12.2005 19:19 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}20389.html 03.12.2005 19:19 512 ~DF5EA.tmp 03.12.2005 19:19 16.384 ~DF5FB.tmp 03.12.2005 19:19 512 ~DF60E.tmp 03.12.2005 19:19 16.384 ~DF5D8.tmp 03.12.2005 19:19 16.384 ~DF61F.tmp 03.12.2005 19:19 16.384 ~DF642.tmp 03.12.2005 19:19 512 ~DF631.tmp 03.12.2005 19:19 512 ~DF654.tmp 03.12.2005 19:12 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}30378.html 03.12.2005 18:58 16.384 ~DF3B7F.tmp 03.12.2005 18:58 16.384 ~DF2F43.tmp 03.12.2005 18:58 512 ~DF2F77.tmp 13 Datei(en) 102.825 Bytes 0 Verzeichnis(se), 41.458.200.576 Bytes frei 03.12.2005 19:07 1.254 win.ini 03.12.2005 18:52 145.118 WindowsUpdate.log 03.12.2005 18:50 0 Lic.xxx 03.12.2005 18:44 32.632 SchedLgU.Txt 03.12.2005 00:59 54.156 QTFont.qfn 02.12.2005 23:42 1.737 SetupPestPatrolBeta.mif 02.12.2005 23:41 32 thxcfg.ini 02.12.2005 19:15 155 winamp.ini 30.11.2005 19:43 1.409 QTFont.for 15.11.2005 21:29 40.960 NCLAUNCH.EXe 15.11.2005 21:29 45.056 NCUNINST.EXe 15.11.2005 21:21 12 dirsaver.ini 15.11.2005 21:21 28.672 gscr.dll 14.11.2005 20:06 73.216 cadkasdeinst01.exe 18.10.2005 15:11 382 sierra.ini 18.10.2005 15:11 0 g 14.10.2005 21:38 316.640 WMSysPr9.prx 02.10.2005 19:21 0 iPlayer.INI das mit dem registry search tool geht nicht. da kommt ne Alert meldung:"Symantec Script Blocking has prevented a script action that could be harmful to you." das mir der delte.bat hat aber funktioniert: |
|
|
||
03.12.2005, 20:25
Ehrenmitglied
Beiträge: 29434 |
#4
Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.12.2005, 20:26
Ehrenmitglied
Beiträge: 29434 |
#5
ich moechte doch die datfindbat-Daten bis September sehen....poste sie also noch mal.....
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.12.2005, 20:31
Member
Themenstarter Beiträge: 12 |
#6
Ja aber nach der fehlermeldung kann ich nur ok klicken.
Danach erscheint ein 2. Fenster Windows Script Host: ... Fehler: Das Objekt unterstützt diese eigenschaft oder methode nicht.:'Run' Code:800A01B06 Quelle: Laufzeitfehler im Microsoft VBScript kann nur ok klicken und dann passiert nichts weiter. edit: zu spät gelesen hier nochmal Verzeichnis von C:\WINNT\system32 03.12.2005 20:36 5.456 ncompat.tlb 03.12.2005 18:57 5.632 msvol.tlb 03.12.2005 18:56 20.480 hpF411.tmp 03.12.2005 18:56 24.064 ldF3F1.tmp 03.12.2005 16:20 9.728 mssearchnet.exe 02.12.2005 19:57 4.286 ot.ico 02.12.2005 19:57 4.286 ts.ico 02.12.2005 19:57 13.964 nvctrl.exe 02.12.2005 19:55 14.568 mscornet.exe 01.12.2005 17:29 43.520 CmdLineExt03.dll 26.11.2005 17:23 16.384 Perflib_Perfdata_388.dat 15.11.2005 21:23 29.184 sstunst2.exe 07.09.2005 12:17 173.872 FNTCACHE.DAT 05.08.2005 20:05 516.096 ati2sgag.exe Verzeichnis von C:\DOKUME~1\STEGEM~1\LOKALE~1\Temp da stand jetzt gar nichts mehr Verzeichnis von C:\WINNT 03.12.2005 20:29 1.254 win.ini 03.12.2005 20:04 155 winamp.ini 03.12.2005 18:52 145.118 WindowsUpdate.log 03.12.2005 18:50 0 Lic.xxx 03.12.2005 18:44 32.632 SchedLgU.Txt 03.12.2005 00:59 54.156 QTFont.qfn 02.12.2005 23:42 1.737 SetupPestPatrolBeta.mif 02.12.2005 23:41 32 thxcfg.ini 30.11.2005 19:43 1.409 QTFont.for 15.11.2005 21:29 40.960 NCLAUNCH.EXe 15.11.2005 21:29 45.056 NCUNINST.EXe 15.11.2005 21:21 12 dirsaver.ini 15.11.2005 21:21 28.672 gscr.dll 14.11.2005 20:06 73.216 cadkasdeinst01.exe 18.10.2005 15:11 382 sierra.ini 18.10.2005 15:11 0 g 14.10.2005 21:38 316.640 WMSysPr9.prx 02.10.2005 19:21 0 iPlayer.INI 05.08.2005 19:56 7.942 cdplayer.ini Verzeichnis von C:\ 03.12.2005 20:39 0 sys.txt 03.12.2005 20:38 7.690 system.txt 03.12.2005 20:38 141 systemtemp.txt 03.12.2005 20:37 98.178 system32.txt 03.12.2005 18:51 805.306.368 pagefile.sys 03.12.2005 18:50 2 AVPCallback.log 31.10.2005 18:52 98.348 01-test-.wav 10.07.2005 20:09 2.081.630 Bilder.rar Dieser Beitrag wurde am 03.12.2005 um 20:37 Uhr von Treibholz editiert.
|
|
|
||
03.12.2005, 23:28
Ehrenmitglied
Beiträge: 29434 |
#7
Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) O?’ŽrtñåȲ$Ó in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.12.2005, 13:54
Member
Themenstarter Beiträge: 12 |
#8
REGEDIT4
; Registry Search by Bobbi Flekman ; Version: 1.0.2.1 ; Results at 04.12.2005 13:56:35 for strings: ; 'o?’ŽrtñåȲ$Ó' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... |
|
|
||
04.12.2005, 14:46
Ehrenmitglied
Beiträge: 29434 |
#9
Treibholz
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum http://www.virustotal.com/flash/index_en.html C:\WINNT\cadkasdeinst01.exe C:\WINNT\gscr.dll C:\WINNT\system32\sstunst2.exe --------------------------------------------------------------------------- mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen http://virus-protect.org/reg/mcor.reg --------------------------------------------------------------------------- KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot / Process all in List )--> anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINNT\system32\ncompat.tlb C:\WINNT\system32\msvol.tlb C:\WINNT\system32\hpF411.tmp C:\WINNT\system32\hp77EA.tmp C:\WINNT\system32\ldF3F1.tmp C:\WINNT\system32\mssearchnet.exe C:\WINNT\system32\ot.ico C:\WINNT\system32\ts.ico C:\WINNT\system32\nvctrl.exe C:\WINNT\system32\mscornet.exe starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg doppelt --> fuege sie mit " ja" der Registry bei öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: (no name) - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINNT\system32\hp77EA.tmp O23 - Service: Workstation NetLogon Service (O?’ŽrtñåȲ$Ó) - Unknown owner - C:\WINNT\mfcbl32.exe (file missing) PC neustarten loesche: C:\Programme\SpyAxe C:\WINDOWS\system32\1024 C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url C:\Dokumente und Einstellungen\STEGEM~1\Favoriten\Free XXX Sites List.url ADSSpy http://bilder.informationsarchiv.net/Nikitas_Tools/ADSSpy.exe scanne und poste den scanreport (nichts loeschen) scanne mit Panda--> poste hier den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.12.2005, 18:18
Member
Themenstarter Beiträge: 12 |
#10
So die virustotal.de lädt nicht
Hier der scanbericht von panda: Incident Status Location Adware:adware/ist.istbar Not desinfected C:\PROGRAMME\GEMEINSAME DATEIEN\Totem Shared ---->gelöscht Adware:adware/weblookup Not desinfected C:\PROGRAMME\Weblookup -------->gelöscht Virus:Eicar.Mod Not desinfected C:\Programme\FSI\F-Prot\fpav-help.chm[prob-scan-ok.html] Virus:Eicar.Mod Not desinfected C:\Programme\FSI\F-Prot\fpw-help.chm[prob-scan-ok.html] Virus:Eicar.Mod Not desinfected C:\Programme\InstallShield Installation Information\{AD82E13F-2CB3-11D5-A9FA-005004F60359}\data1.cab[prob-scan-ok.html] Virus:Eicar.Mod Not desinfected C:\Programme\PestPatrol\Help.chm[HowCanITestDetection.html] Ich denke mal nichts beunruhigendes. Ich möchte mich nochmal für die schnelle und super Hilfe bedanken!!!!!!!!!!!!!!!!!!!!!!!!!!! Danke!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Dieser Beitrag wurde am 04.12.2005 um 18:21 Uhr von Treibholz editiert.
|
|
|
||
04.12.2005, 19:08
Ehrenmitglied
Beiträge: 29434 |
#11
Treibholz
hier ist mehr auf dem System als der SpyAxe Die unbekannte Datei erscheint immer suspekt. Wo kann ich die Datei prüfen lassen? oder Mein Virenscanner erkennt die gefundene Malware nicht! Wie kann ich sie dem Hersteller zukommen lassen? Malware wird längst nicht von allen Virenscannern gefunden. Besonders bei (noch) wenig verbreiteten Schädlingen kann es passieren, dass nur wenige oder gar kein Scanner den Schädling erkennt. http://www.malwareupload.com/ C:\WINNT\cadkasdeinst01.exe C:\WINNT\gscr.dll C:\WINNT\system32\sstunst2.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.12.2005, 19:45
Member
Themenstarter Beiträge: 12 |
#12
ich habs mal hochgeladen.
poste die ergebnisse, wenn ich sie hab |
|
|
||
04.12.2005, 20:19
Ehrenmitglied
Beiträge: 29434 |
#13
gut, wenn du sie hast...dann poste sie hier, denn C:\PROGRAMME\GEMEINSAME DATEIEN\Totem Shared
weist auf mehr als den SpyAxe hin. inzwischen scanne mit. http://virus-protect.org/cureit.html und poste den scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.12.2005, 21:16
Member
Themenstarter Beiträge: 12 |
#14
also der hat 9 Trojaner in C:\WINNT gefunden und gelöscht.
kann bericht nicht kopiren |
|
|
||
05.12.2005, 01:01
Ehrenmitglied
Beiträge: 29434 |
#15
da hab ich mich alo nicht geirrt
SCANNE MIT KASPERSKY und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Das Problem mit spyaxe bin ich glaub ich losgeworden.
Habe aber immer noch pop ups ohne den IE geöffnet zu haben und ein gelbes Dreieck mit Ausrufezeichen unten rechts in der Ecke, dass mir "your computer is infected... ".
Bin für jede Hilfe dankbar!!!!!!
Logfile of HijackThis v1.99.1
Scan saved at 16:51:46, on 03.12.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\wanmpsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\nvctrl.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\WINNT\system32\internat.exe
C:\WINNT\NCLAUNCH.EXe
C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
C:\Programme\Palm\HOTSYNC.EXE
C:\WINNT\system32\mssearchnet.exe
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
D:\Alternation\hijackthis\HijackThis.exe
O2 - BHO: (no name) - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINNT\system32\hp77EA.tmp
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINNT\NCLAUNCH.EXe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131734971093
O17 - HKLM\System\CCS\Services\Tcpip\..\{566C1477-6B76-4D03-96BC-DEE4EB7C550E}: NameServer = 205.188.146.145
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Workstation NetLogon Service (O?’ŽrtñåȲ$Ó) - Unknown owner - C:\WINNT\mfcbl32.exe (file missing)
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINNT\wanmpsvc.exe