spyaxe, entfernt oder nicht? |
||
---|---|---|
#0
| ||
04.12.2005, 19:28
...neu hier
Beiträge: 4 |
#1
ich hatte und hab auch spyaxe auf meinem computer und ich muss leider sagen, dass ich nicht so furchtbar viel davon verstehen. na ja, ich hab auf jeden fall alles gemacht, was so in diesem forum gesagt wurde und es scheint auch so, als wenn jetzt wieder alles in ordnung ist. komischer weise konnte ich mein antivir programm nicht mehr aktivieren als ich fertig war. hab mir das dann neu runtergeladen und neu installiert und nun ist es auch wieder aktiv. ich kann auch keine spyaxe dateien mehr finden und das rote x ist auch weg. ich wollte eigentlich fragen, wie ich sicher gehen kann, dass es jetzt komplett von meinem pc entfernt ist.
|
|
|
||
04.12.2005, 20:34
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@susie
Hijackthis http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" wende Cleanup an http://virus-protect.org/cleanup.html kopiere hier die 4 Textdateien http://virus-protect.org/datfindbat.html ----------------- gesammelte Werke SpyAxe http://virus-protect.org/artikel/spyware/spyaxe.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.12.2005, 21:32
...neu hier
Themenstarter Beiträge: 4 |
#3
Logfile of HijackThis v1.99.1
Scan saved at 21:26:59, on 04.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\CleanUp!\Cleanup.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\DOKUME~1\Ingrid\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37460.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Volume in Laufwerk C: hat keine Bezeichnung. Verzeichnis von C:\WINDOWS\system32 04.12.2005 21:08 5.384 ncompat.tlb 04.12.2005 19:37 35.870 vsconfig.xml 04.12.2005 19:36 21.828 nvapps.xml 04.12.2005 19:36 24.064 ld4630.tmp 04.12.2005 19:35 4.212 zllictbl.dat 04.12.2005 16:33 0 asfiles.txt 04.12.2005 16:29 2.550 Uninstall.ico 04.12.2005 16:29 1.406 Help.ico 04.12.2005 16:29 1.718 Open.ico 04.12.2005 16:29 1.406 AddQuit.ico 04.12.2005 16:29 5.350 IE.ico 04.12.2005 16:29 9.470 Desktop.ico 04.12.2005 16:29 1.718 Quick.ico 04.12.2005 13:57 14.568 mscornet.exe 02.12.2005 19:44 13.646 wpa.dbl 15.11.2005 00:51 71.440 zlcommdb.dll 15.11.2005 00:51 79.624 zlcomm.dll 15.11.2005 00:51 100.104 vsxml.dll 15.11.2005 00:51 382.728 vsutil.dll 15.11.2005 00:51 71.440 vsregexp.dll 15.11.2005 00:50 227.088 vspubapi.dll 15.11.2005 00:50 104.208 vsmonapi.dll 15.11.2005 00:50 141.064 vsinit.dll 15.11.2005 00:50 372.816 vsdatant.sys 15.11.2005 00:50 83.720 vsdata.dll 15.11.2005 00:34 54.960 vsutil_loc0407.dll Volume in Laufwerk C: hat keine Bezeichnung. Verzeichnis von C:\DOKUME~1\Ingrid\LOKALE~1\Temp 04.12.2005 19:38 16.384 ~DFFF26.tmp 1 Datei(en) 16.384 Bytes 0 Verzeichnis(se), 68.001.275.904 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Verzeichnis von C:\WINDOWS 04.12.2005 19:37 0 0.log 04.12.2005 19:37 1.950.194 WindowsUpdate.log 04.12.2005 19:36 2.048 bootstat.dat 04.12.2005 19:36 32.642 SchedLgU.Txt 04.12.2005 19:31 598.921 setupapi.log 04.12.2005 18:34 362.026 ntbtlog.txt 04.12.2005 17:27 555 win.ini 04.12.2005 16:36 4 RM_RESULT.DAT 04.12.2005 16:36 679 TSC.ini 04.12.2005 16:35 170 GetServer.ini 04.12.2005 15:47 0 nsreg.dat 01.12.2005 13:18 16.655.063 lpt$vpn.981 01.12.2005 13:18 16.655.063 VPTNFILE.981 29.11.2005 21:22 2.459.627 tsc.ptn 28.11.2005 14:42 28.606 yacs.log 28.11.2005 14:34 67 StationRipper.INI 19.11.2005 00:09 47 wiaservc.log 19.11.2005 00:09 216 wiadebug.log 15.11.2005 20:12 45.764 wmsetup.log 09.11.2005 22:05 66.889 iis6.log 09.11.2005 22:05 137.936 comsetup.log 09.11.2005 22:05 84.002 ntdtcsetup.log 09.11.2005 22:05 175.941 tsoc.log 09.11.2005 22:05 20.298 ocmsn.log 09.11.2005 22:05 1.374 imsins.log 09.11.2005 22:05 11.811 KB896424.log 09.11.2005 22:05 247.186 ocgen.log 09.11.2005 22:05 22.832 msgsocm.log 09.11.2005 22:05 437.168 FaxSetup.log 09.11.2005 22:05 20.909 updspapi.log 09.11.2005 00:40 47.098 TMVAmain.ptn 09.11.2005 00:35 181.880 TMVAINFO.xml 19.10.2005 22:22 1.142.784 TMUPDATE.DLL 19.10.2005 22:22 69.689 UNZIP.DLL 19.10.2005 22:22 208.896 PATCH.EXE 15.10.2005 18:58 22.046 KB901017.log 15.10.2005 18:58 24.500 KB902400.log 15.10.2005 18:57 15.079 KB896688.log 15.10.2005 18:57 14.121 KB905414.log 15.10.2005 18:57 13.869 KB900725.log 15.10.2005 18:57 11.242 KB904706.log 15.10.2005 18:57 19.527 KB905749.log 02.10.2005 12:32 16 wininit.ini 01.10.2005 23:12 3.386.984 tmadce.ptn 25.09.2005 21:28 99.970 UninstallFirefox.exe 25.09.2005 21:28 7.956 mozver.dat 14.09.2005 17:09 240 BUHL.INI Volume in Laufwerk C: hat keine Bezeichnung. Verzeichnis von C:\ 04.12.2005 21:30 0 sys.txt 04.12.2005 21:29 8.459 system.txt 04.12.2005 21:29 293 systemtemp.txt 04.12.2005 21:24 93.584 system32.txt 04.12.2005 19:36 536.399.872 hiberfil.sys 04.12.2005 19:36 805.306.368 pagefile.sys |
|
|
||
05.12.2005, 00:06
Ehrenmitglied
Beiträge: 29434 |
#4
susie
mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen http://virus-protect.org/reg/mcor.reg ----------------------------------------------------------------------- KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot / Process all in List )--> anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\ncompat.tlb C:\WINDOWS\system32\vsconfig.xml C:\WINDOWS\system32\nvapps.xml C:\WINDOWS\system32\ld4630.tmp C:\WINDOWS\system32\mscornet.exe starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg doppelt --> fuege sie mit " ja" der Registry bei LOESCHEN: C:\Programme\SpyAxe C:\WINDOWS\system32\1024 C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url scanne mit Panda--> POSTE DEN SCANREPORT http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.12.2005, 02:20
...neu hier
Themenstarter Beiträge: 4 |
#5
Panda hat bei mir nichts gefunden. Heißt das, dass jetzt alles weg ist ?
|
|
|
||
05.12.2005, 11:51
Ehrenmitglied
Beiträge: 29434 |
#6
wenn Panda nichts mehr gefunden hat, scanne noch mit kaspersky, wahrscheinlich musst du die Systemwiederherstellung deaktivieren (dort hat sich der Schaedling festgesetzt)
http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.12.2005, 13:49
...neu hier
Themenstarter Beiträge: 4 |
#7
Also ich hab das jetzt mit kaspersky noch mal gemacht und wie du schon gesagt hast, war da auch noch was undzwar dieser report:
Scan Settings: Scan using the following antivirus database: standard Scan Archives: true Scan Mail Bases: true Scan Target - My Computer: A:\ C:\ D:\ Scan Statistics: Total number of scanned objects: 38549 Number of viruses found: 5 Number of infected objects: 13 Number of suspicious objects: 0 Duration of the scan process: 1890 sec Infected Object Name - Virus Name C:\!KillBox\ld4630.tmp Infected: Trojan-Downloader.Win32.Zlob.bz C:\!KillBox\mscornet.exe Infected: Trojan-Downloader.Win32.Zlob.bz C:\!KillBox\msvol.tlb Infected: Trojan-Downloader.Win32.Zlob.cb C:\System Volume Information\_restore{0665D84B-D4B7-4F70-A9BC-72A2AD25D482}\RP178\A0024164.tlb Infected: Trojan.Win32.Puper.bp C:\System Volume Information\_restore{0665D84B-D4B7-4F70-A9BC-72A2AD25D482}\RP178\A0024226.tlb Infected: Trojan.Win32.Puper.bp C:\System Volume Information\_restore{0665D84B-D4B7-4F70-A9BC-72A2AD25D482}\RP178\A0024231.exe Infected: Trojan.Win32.Puper.bp C:\System Volume Information\_restore{0665D84B-D4B7-4F70-A9BC-72A2AD25D482}\RP178\A0024366.tlb Infected: Trojan-Downloader.Win32.Zlob.cb C:\System Volume Information\_restore{0665D84B-D4B7-4F70-A9BC-72A2AD25D482}\RP178\A0024370.exe Infected: Trojan-Downloader.Win32.Zlob.by C:\System Volume Information\_restore{0665D84B-D4B7-4F70-A9BC-72A2AD25D482}\RP178\A0024428.exe Infected: Trojan-Downloader.Win32.Zlob.ca C:\System Volume Information\_restore{0665D84B-D4B7-4F70-A9BC-72A2AD25D482}\RP178\A0024429.exe Infected: Trojan-Downloader.Win32.Zlob.cb C:\System Volume Information\_restore{0665D84B-D4B7-4F70-A9BC-72A2AD25D482}\RP178\A0024495.tlb Infected: Trojan-Downloader.Win32.Zlob.cb C:\System Volume Information\_restore{0665D84B-D4B7-4F70-A9BC-72A2AD25D482}\RP179\A0026715.exe Infected: Trojan-Downloader.Win32.Zlob.bz C:\System Volume Information\_restore{0665D84B-D4B7-4F70-A9BC-72A2AD25D482}\RP179\A0026718.exe Infected: Trojan-Downloader.Win32.Zlob.bz Scan process completed. daraufhin hab ich dann die systemwiederherstellung deaktiviert und den killbox ordner gelöscht. dann hab ich noch mal gescannt und jetzt findet er nichts mehr. ich muss jetzt erst noch mal danke sagen, weil ich das ganze ohne hilfe überhaupt gar nicht hinbekommen hätte.... ich hab noch eine frage, da du dich ja ganz gut auszukennen scheinst. ich hab im moment antivir als antivirusprogramm auf meinem PC. ich überlege aber schon lange mir mal norton zuzulegen.wollte mal fragen, ob du das für sinnvoll hälst... |
|
|
||
05.12.2005, 14:06
Ehrenmitglied
Beiträge: 29434 |
#8
antivirus ist o.k. (ich halte nichts vom Norton)
dann mache folgendes: Microsoft Windows Antispy + Guard aktivieren http://virus-protect.org/ms.html Eingeschränktes Benutzerkonto/Administratorrechte unter Windows http://virus-protect.org/administrator.html alles Gute fuer dich + PC __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||