Spyaxe (Hijack und datfind.bat logs enthalten)

#1 Hallo

Nachdem ich cleanup und spyaxefix drüberlaufen lassen hab siehts so aus:

Logfile of HijackThis v1.99.1
Scan saved at 13:18:33, on 06.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
C:\Programme\MSI\Core Center\CoreCenter.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vol.at/
R3 - Default URLSearchHook is missing
O2 - BHO: HomepageBHO - {724510c3-f3c8-4fb7-879a-d99f29008a2f} - C:\WINDOWS\system32\hp6726.tmp
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Cleanup] C:\DOKUME~1\Admin\LOKALE~1\Temp\2005126122516_mcappins.exe /v=3 /cleanup
O4 - HKLM\..\Run: [msci] C:\DOKUME~1\Admin\LOKALE~1\Temp\2005126122512_mcinfo.exe /insfin
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4642/mcfscan.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe



datfind:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A8E6-E30B

Verzeichnis von C:\WINDOWS\system32

06.12.2005 13:11 5.128 ncompat.tlb
06.12.2005 12:49 5.632 msvol.tlb
06.12.2005 12:49 19.968 hp6726.tmp
06.12.2005 10:22 4.286 ts.ico
06.12.2005 10:22 4.286 ot.ico
06.12.2005 10:22 13.892 nvctrl.exe
05.12.2005 16:44 13.646 wpa.dbl
02.12.2005 18:10 7.006 jupdate-1.5.0_06-b05.log
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
09.11.2005 12:19 95.864 FNTCACHE.DAT
02.11.2005 06:34 2.377.568 MRT.exe
30.10.2005 19:14 16.832 amcompat.tlb
30.10.2005 19:14 23.392 nscompat.tlb
30.10.2005 19:13 2.272 w95inf16.dll
30.10.2005 19:13 4.608 w95inf32.dll
30.10.2005 10:54 52.900 perfc009.dat
30.10.2005 10:54 380.486 perfh009.dat
30.10.2005 10:54 391.330 perfh007.dat
30.10.2005 10:54 63.784 perfc007.dat
30.10.2005 10:54 897.954 PerfStringBackup.INI
29.10.2005 06:52 307.200 atiiiexx.dll
29.10.2005 06:13 258.048 ATIDEMGR.dll
29.10.2005 05:32 6.684.672 atioglx1.dll
29.10.2005 04:27 4.866.048 atioglxx.dll
29.10.2005 04:12 247.296 ati2dvag.dll
29.10.2005 04:08 110.592 atipdlxx.dll
29.10.2005 04:07 77.824 Oemdspif.dll
29.10.2005 04:07 26.112 Ati2mdxx.exe
29.10.2005 04:07 40.960 ati2edxx.dll
29.10.2005 04:07 47.616 ati2evxx.dll
29.10.2005 04:06 389.120 ati2evxx.exe
29.10.2005 04:06 53.248 ATIDDC.DLL
29.10.2005 03:58 2.491.808 ati3duag.dll
29.10.2005 03:52 603.040 ativvaxx.dll
29.10.2005 03:40 151.552 atikvmag.dll
29.10.2005 03:21 17.408 atitvo32.dll
29.10.2005 03:16 237.568 ati2cqag.dll
28.10.2005 21:05 520.192 ati2sgag.exe
18.10.2005 11:08 349.760 mcinsctl.dll
17.10.2005 15:15 110.293 atiicdxx.dat
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
04.10.2005 16:26 3.013.120 mshtml.dll
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 474.112 shlwapi.dll
03.09.2005 00:53 55.808 extmgr.dll
03.09.2005 00:53 39.424 pngfilt.dll
03.09.2005 00:53 1.484.288 shdocvw.dll
03.09.2005 00:53 146.432 msrating.dll
03.09.2005 00:53 96.768 inseng.dll
03.09.2005 00:53 205.312 dxtrans.dll
03.09.2005 00:53 448.512 mshtmled.dll
03.09.2005 00:53 605.696 urlmon.dll
03.09.2005 00:53 530.432 mstime.dll
03.09.2005 00:53 251.392 iepeers.dll
03.09.2005 00:53 1.055.744 danim.dll
03.09.2005 00:53 1.019.904 browseui.dll
03.09.2005 00:53 152.064 cdfview.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A8E6-E30B

Verzeichnis von C:\DOKUME~1\Admin\LOKALE~1\Temp

06.12.2005 12:59 206 jusched.log
06.12.2005 12:50 16.384 Perflib_Perfdata_a90.dat
06.12.2005 12:50 16.384 Perflib_Perfdata_a98.dat
06.12.2005 12:50 16.384 Perflib_Perfdata_758.dat
02.12.2005 18:07 120 0FD1A8EB.TMP

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A8E6-E30B

Verzeichnis von C:\WINDOWS

06.12.2005 12:50 0 0.log
06.12.2005 12:50 50 wiaservc.log
06.12.2005 12:50 1.860.244 WindowsUpdate.log
06.12.2005 12:50 159 wiadebug.log
06.12.2005 12:49 2.048 bootstat.dat
06.12.2005 12:48 32.630 SchedLgU.Txt
06.12.2005 12:25 797.439 setupapi.log
06.12.2005 10:49 335 nsreg.dat
13.11.2005 16:59 13.299 wmsetup.log
09.11.2005 07:05 43.432 iis6.log
09.11.2005 07:05 109.100 comsetup.log
09.11.2005 07:05 67.169 ntdtcsetup.log
09.11.2005 07:05 17.270 ocmsn.log
09.11.2005 07:05 1.374 imsins.log
09.11.2005 07:05 121.606 tsoc.log
09.11.2005 07:05 11.800 KB896424.log
09.11.2005 07:05 175.707 ocgen.log
09.11.2005 07:05 15.859 msgsocm.log
09.11.2005 07:05 291.910 FaxSetup.log
09.11.2005 07:05 20.375 updspapi.log
07.11.2005 00:40 1.409 QTFont.for
07.11.2005 00:40 54.156 QTFont.qfn
05.11.2005 02:02 335 GEARInstall.log
05.11.2005 01:17 192.000 spongebob.scr
05.11.2005 01:17 545.280 flashax.exe
05.11.2005 01:17 12.288 impborl.dll
05.11.2005 01:13 638.428 Bobsaver.exe
05.11.2005 01:13 362.880 Bobsaver.scr
05.11.2005 01:13 29.696 mickey32.dll
05.11.2005 01:13 263 system.ini
30.10.2005 19:25 587 videoimp.ini
30.10.2005 19:16 608 win.ini
30.10.2005 14:55 181.874 setupact.log
16.10.2005 02:01 22.562 KB901017.log
16.10.2005 02:01 24.894 KB902400.log
16.10.2005 02:00 15.465 KB896688.log
16.10.2005 02:00 14.113 KB905414.log
16.10.2005 02:00 13.823 KB900725.log
16.10.2005 02:00 11.231 KB904706.log
16.10.2005 02:00 11.826 KB905749.log
30.08.2005 10:26 316.640 WMSysPr9.prx

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A8E6-E30B

Verzeichnis von C:\

06.12.2005 13:14 0 sys.txt
06.12.2005 13:14 7.635 system.txt
06.12.2005 13:14 528 systemtemp.txt
06.12.2005 13:13 92.134 system32.txt
06.12.2005 12:49 1.207.959.552 pagefile.sys
30.10.2005 19:24 230.424 img1-001.raw
14.07.2005 01:04 211 boot.ini
14.07.2005 01:00 47.564 NTDETECT.COM
14.07.2005 01:00 251.184 ntldr
14.07.2005 00:40 0 IO.SYS
14.07.2005 00:40 0 CONFIG.SYS
14.07.2005 00:40 0 AUTOEXEC.BAT
14.07.2005 00:40 0 MSDOS.SYS
29.08.2002 21:00 4.952 bootfont.bin


Das weiße Kreuz mit rotem Kreis ist nun weg, aber trotzdem noch störende Popups und Startseitenveränderung auf www.updateyouresystem.com

Übrigens toll Sabina, dass du hier sovielen hilfst Wirklich sehr lobenswert.

mfg

Greg83

#2 Greg83

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen

http://virus-protect.org/reg/mcor.reg

------------------------------------------------------------------------------
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\hp6726.tmp
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\nvctrl.exe

PC neustarten
starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg doppelt --> fuege sie mit " ja" der Registry bei


öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R3 - Default URLSearchHook is missing
O2 - BHO: HomepageBHO - {724510c3-f3c8-4fb7-879a-d99f29008a2f} - C:\WINDOWS\system32\hp6726.tmp
O4 - HKLM\..\Run: [Cleanup] C:\DOKUME~1\Admin\LOKALE~1\Temp\2005126122516_mcappins.exe /v=3 /cleanup
O4 - HKLM\..\Run: [msci] C:\DOKUME~1\Admin\LOKALE~1\Temp\2005126122512_mcinfo.exe /insfin

PC neustarten

Direktdownload SpyAxeFix.exe http://noahdfear.geekstogo.com/click%20counter/click.php?id=8

-->> schliesse alle anderen Programme
-->> doppeltklicken SpyAxeFix.exe
-->> SpyAxeFix map
-->> SpyAxeFix.bat
-->> wenn deas Tool abgearbeitet ist, wird der PC neustarten

kopiere die spyaxe.txt ab und ins Sicherheitsforum, wo du einen Thread eroeffnet hast.

loesche:
C:\Programme\SpyAxe
C:\WINDOWS\system32\1024
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url

deaktiviere die Systemwiederherstellung (dann wieder aktivieren)
http://virus-protect.org/systemwiederherstellung.html

scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

-------------------

WO HAST DU DIR DAS EINGEFANGEN ????????????
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina.

Hab das ganze schon gemacht, bevor du mir die Antwort erstellt hast und bekomme jetzt weder Pop-Ups noch sonstiges Da ich momentan nicht an meinem PC sitze bzw. auch nicht in dem Ort bin, kann ich keine Logs posten.

Eingefangen hab ich mir das Zeugs höchstwahrscheinlich bei einer Verlinkung einer xxx-Seite.

Mfg

Gregor