SpyAxe und weitere Probleme (hijackthis logfile liegt bei)

#1 hallo
Das Problem mit spyaxe bin ich glaub ich losgeworden.
Habe aber immer noch pop ups ohne den IE geöffnet zu haben und ein gelbes Dreieck mit Ausrufezeichen unten rechts in der Ecke, dass mir "your computer is infected... ".

Bin für jede Hilfe dankbar!!!!!!
Logfile of HijackThis v1.99.1
Scan saved at 16:51:46, on 03.12.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\wanmpsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\nvctrl.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\WINNT\system32\internat.exe
C:\WINNT\NCLAUNCH.EXe
C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
C:\Programme\Palm\HOTSYNC.EXE
C:\WINNT\system32\mssearchnet.exe
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
D:\Alternation\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINNT\system32\hp77EA.tmp
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINNT\NCLAUNCH.EXe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131734971093
O17 - HKLM\System\CCS\Services\Tcpip\..\{566C1477-6B76-4D03-96BC-DEE4EB7C550E}: NameServer = 205.188.146.145
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Workstation NetLogon Service (O?’ŽrtñåȲ$Ó) - Unknown owner - C:\WINNT\mfcbl32.exe (file missing)
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINNT\wanmpsvc.exe

#2 Treibholz

wende Cleanup an
http://virus-protect.org/cleanup.html

kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html

Start -> Ausfuehren --> schreib rein: notepad -- klicke OK.
oder , falls das kommando nicht stimmt, oeffne den Editor....

Dann kopiere folgenden Text rein:

sc stop Workstation NetLogon Service
sc delete Workstation NetLogon Service
del delete.bat

Auf dem Desktop abspeichern...Gebe bei Dateityp 'Alle Dateien' an..... als "delete.bat". --> Doppeltklicken


Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

O?’ŽrtñåȲ$Ó

Press 'OK'

warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Danke erst mal!!!!!

Cleanup hab ich gemacht

Hier die 4 Texte

Verzeichnis von C:\WINNT\system32

03.12.2005 19:16 5.456 ncompat.tlb
03.12.2005 18:57 5.632 msvol.tlb
03.12.2005 18:56 20.480 hpF411.tmp
03.12.2005 18:56 24.064 ldF3F1.tmp
03.12.2005 16:20 9.728 mssearchnet.exe
02.12.2005 19:57 4.286 ot.ico
02.12.2005 19:57 4.286 ts.ico
02.12.2005 19:57 13.964 nvctrl.exe
02.12.2005 19:55 14.568 mscornet.exe
01.12.2005 17:29 43.520 CmdLineExt03.dll
26.11.2005 17:23 16.384 Perflib_Perfdata_388.dat
15.11.2005 21:23 29.184 sstunst2.exe ???
07.09.2005 12:17 173.872 FNTCACHE.DAT

Verzeichnis von C:\DOKUME~1\STEGEM~1\LOKALE~1\Temp

03.12.2005 19:19 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}20389.html
03.12.2005 19:19 512 ~DF5EA.tmp
03.12.2005 19:19 16.384 ~DF5FB.tmp
03.12.2005 19:19 512 ~DF60E.tmp
03.12.2005 19:19 16.384 ~DF5D8.tmp
03.12.2005 19:19 16.384 ~DF61F.tmp
03.12.2005 19:19 16.384 ~DF642.tmp
03.12.2005 19:19 512 ~DF631.tmp
03.12.2005 19:19 512 ~DF654.tmp
03.12.2005 19:12 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}30378.html
03.12.2005 18:58 16.384 ~DF3B7F.tmp
03.12.2005 18:58 16.384 ~DF2F43.tmp
03.12.2005 18:58 512 ~DF2F77.tmp
13 Datei(en) 102.825 Bytes
0 Verzeichnis(se), 41.458.200.576 Bytes frei

03.12.2005 19:07 1.254 win.ini
03.12.2005 18:52 145.118 WindowsUpdate.log
03.12.2005 18:50 0 Lic.xxx
03.12.2005 18:44 32.632 SchedLgU.Txt
03.12.2005 00:59 54.156 QTFont.qfn
02.12.2005 23:42 1.737 SetupPestPatrolBeta.mif
02.12.2005 23:41 32 thxcfg.ini
02.12.2005 19:15 155 winamp.ini
30.11.2005 19:43 1.409 QTFont.for
15.11.2005 21:29 40.960 NCLAUNCH.EXe
15.11.2005 21:29 45.056 NCUNINST.EXe
15.11.2005 21:21 12 dirsaver.ini
15.11.2005 21:21 28.672 gscr.dll
14.11.2005 20:06 73.216 cadkasdeinst01.exe
18.10.2005 15:11 382 sierra.ini
18.10.2005 15:11 0 g
14.10.2005 21:38 316.640 WMSysPr9.prx
02.10.2005 19:21 0 iPlayer.INI

das mit dem registry search tool geht nicht.
da kommt ne Alert meldung:"Symantec Script Blocking has prevented a script action that could be harmful to you."

das mir der delte.bat hat aber funktioniert:

#4 Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren
__________
MfG Sabina

rund um die PC-Sicherheit

#5 ich moechte doch die datfindbat-Daten bis September sehen....poste sie also noch mal.....
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Ja aber nach der fehlermeldung kann ich nur ok klicken.
Danach erscheint ein 2. Fenster Windows Script Host:
... Fehler: Das Objekt unterstützt diese eigenschaft oder methode nicht.:'Run'
Code:800A01B06
Quelle: Laufzeitfehler im Microsoft VBScript
kann nur ok klicken und dann passiert nichts weiter.

edit:
zu spät gelesen hier nochmal
Verzeichnis von C:\WINNT\system32

03.12.2005 20:36 5.456 ncompat.tlb
03.12.2005 18:57 5.632 msvol.tlb
03.12.2005 18:56 20.480 hpF411.tmp
03.12.2005 18:56 24.064 ldF3F1.tmp
03.12.2005 16:20 9.728 mssearchnet.exe
02.12.2005 19:57 4.286 ot.ico
02.12.2005 19:57 4.286 ts.ico
02.12.2005 19:57 13.964 nvctrl.exe
02.12.2005 19:55 14.568 mscornet.exe
01.12.2005 17:29 43.520 CmdLineExt03.dll
26.11.2005 17:23 16.384 Perflib_Perfdata_388.dat
15.11.2005 21:23 29.184 sstunst2.exe
07.09.2005 12:17 173.872 FNTCACHE.DAT
05.08.2005 20:05 516.096 ati2sgag.exe

Verzeichnis von C:\DOKUME~1\STEGEM~1\LOKALE~1\Temp

da stand jetzt gar nichts mehr

Verzeichnis von C:\WINNT

03.12.2005 20:29 1.254 win.ini
03.12.2005 20:04 155 winamp.ini
03.12.2005 18:52 145.118 WindowsUpdate.log
03.12.2005 18:50 0 Lic.xxx
03.12.2005 18:44 32.632 SchedLgU.Txt
03.12.2005 00:59 54.156 QTFont.qfn
02.12.2005 23:42 1.737 SetupPestPatrolBeta.mif
02.12.2005 23:41 32 thxcfg.ini
30.11.2005 19:43 1.409 QTFont.for
15.11.2005 21:29 40.960 NCLAUNCH.EXe
15.11.2005 21:29 45.056 NCUNINST.EXe
15.11.2005 21:21 12 dirsaver.ini
15.11.2005 21:21 28.672 gscr.dll
14.11.2005 20:06 73.216 cadkasdeinst01.exe
18.10.2005 15:11 382 sierra.ini
18.10.2005 15:11 0 g
14.10.2005 21:38 316.640 WMSysPr9.prx
02.10.2005 19:21 0 iPlayer.INI
05.08.2005 19:56 7.942 cdplayer.ini

Verzeichnis von C:\

03.12.2005 20:39 0 sys.txt
03.12.2005 20:38 7.690 system.txt
03.12.2005 20:38 141 systemtemp.txt
03.12.2005 20:37 98.178 system32.txt
03.12.2005 18:51 805.306.368 pagefile.sys
03.12.2005 18:50 2 AVPCallback.log
31.10.2005 18:52 98.348 01-test-.wav
10.07.2005 20:09 2.081.630 Bilder.rar

#7 Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

O?’ŽrtñåȲ$Ó

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

#8 REGEDIT4

; Registry Search by Bobbi Flekman
; Version: 1.0.2.1

; Results at 04.12.2005 13:56:35 for strings:
; 'o?’ŽrtñåȲ$Ó'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

#9 Treibholz

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\WINNT\cadkasdeinst01.exe
C:\WINNT\gscr.dll
C:\WINNT\system32\sstunst2.exe
---------------------------------------------------------------------------
mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen

http://virus-protect.org/reg/mcor.reg

---------------------------------------------------------------------------
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINNT\system32\ncompat.tlb
C:\WINNT\system32\msvol.tlb
C:\WINNT\system32\hpF411.tmp
C:\WINNT\system32\hp77EA.tmp
C:\WINNT\system32\ldF3F1.tmp
C:\WINNT\system32\mssearchnet.exe
C:\WINNT\system32\ot.ico
C:\WINNT\system32\ts.ico
C:\WINNT\system32\nvctrl.exe
C:\WINNT\system32\mscornet.exe

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg doppelt --> fuege sie mit " ja" der Registry bei

öffne das HijackThis
-- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINNT\system32\hp77EA.tmp
O23 - Service: Workstation NetLogon Service (O?’ŽrtñåȲ$Ó) - Unknown owner - C:\WINNT\mfcbl32.exe (file missing)

PC neustarten

loesche:
C:\Programme\SpyAxe
C:\WINDOWS\system32\1024
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
C:\Dokumente und Einstellungen\STEGEM~1\Favoriten\Free XXX Sites List.url

ADSSpy
http://bilder.informationsarchiv.net/Nikitas_Tools/ADSSpy.exe
scanne und poste den scanreport (nichts loeschen)

scanne mit Panda--> poste hier den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#10 So die virustotal.de lädt nicht

Hier der scanbericht von panda:

Incident Status Location

Adware:adware/ist.istbar Not desinfected C:\PROGRAMME\GEMEINSAME DATEIEN\Totem Shared ---->gelöscht
Adware:adware/weblookup Not desinfected C:\PROGRAMME\Weblookup -------->gelöscht
Virus:Eicar.Mod Not desinfected C:\Programme\FSI\F-Prot\fpav-help.chm[prob-scan-ok.html]
Virus:Eicar.Mod Not desinfected C:\Programme\FSI\F-Prot\fpw-help.chm[prob-scan-ok.html]
Virus:Eicar.Mod Not desinfected C:\Programme\InstallShield Installation Information\{AD82E13F-2CB3-11D5-A9FA-005004F60359}\data1.cab[prob-scan-ok.html]
Virus:Eicar.Mod Not desinfected C:\Programme\PestPatrol\Help.chm[HowCanITestDetection.html]

Ich denke mal nichts beunruhigendes.

Ich möchte mich nochmal für die schnelle und super Hilfe bedanken!!!!!!!!!!!!!!!!!!!!!!!!!!!
Danke!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

#11 Treibholz

hier ist mehr auf dem System als der SpyAxe

Die unbekannte Datei erscheint immer suspekt. Wo kann ich die Datei prüfen lassen? oder Mein Virenscanner erkennt die gefundene Malware nicht! Wie kann ich sie dem Hersteller zukommen lassen? Malware wird längst nicht von allen Virenscannern gefunden. Besonders bei (noch) wenig verbreiteten Schädlingen kann es passieren, dass nur wenige oder gar kein Scanner den Schädling erkennt.
http://www.malwareupload.com/

C:\WINNT\cadkasdeinst01.exe
C:\WINNT\gscr.dll
C:\WINNT\system32\sstunst2.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#12 ich habs mal hochgeladen.
poste die ergebnisse, wenn ich sie hab

#13 gut, wenn du sie hast...dann poste sie hier, denn C:\PROGRAMME\GEMEINSAME DATEIEN\Totem Shared
weist auf mehr als den SpyAxe hin.

inzwischen scanne mit.
http://virus-protect.org/cureit.html
und poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit

#14 also der hat 9 Trojaner in C:\WINNT gefunden und gelöscht.
kann bericht nicht kopiren

#15 da hab ich mich alo nicht geirrt

SCANNE MIT KASPERSKY und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit