Spy Axe Infizierung

#0
07.12.2005, 00:58
...neu hier

Beiträge: 3
#1 Habe mir Spy Axe eingefangen...

Hier mein Hijackthis-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 00:48:27, on 07.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\htpatch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Daten\komprimierte Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
O2 - BHO: HomepageBHO - {724510c3-f3c8-4fb7-879a-d99f29008a2f} - C:\WINDOWS\system32\hpDBE8.tmp
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = bbloffice.bbl-law.com
O17 - HKLM\Software\..\Telephony: DomainName = bbloffice.bbl-law.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{51052E1E-E83F-4746-B995-C26BD5E1BD9F}: Domain = bbl-law.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{51052E1E-E83F-4746-B995-C26BD5E1BD9F}: NameServer = 192.168.2.100
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = bbloffice.bbl-law.com
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Was muß ich jetzt tun?

Ich bin dankbar für jede Hilfe.
Seitenanfang Seitenende
07.12.2005, 13:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@Bracker

http://board.protecus.de/t20685.htm
-----------------
wende CleanUp an
http://virus-protect.org/cleanup.html

datfindbat--> kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html

-----------
Info: SpyAxe
http://virus-protect.org/artikel/spyware/spyaxe.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.12.2005, 13:34
...neu hier

Themenstarter

Beiträge: 3
#3 Ok Sabina, also cleanup habe ich gemacht, hier die 4 textdateien:

Datentr„ger in Laufwerk C: ist BBL1
Volumeseriennummer: F8A6-CD8C

Verzeichnis von C:\WINDOWS\system32

07.12.2005 10:15 20.480 hp2C94.tmp
07.12.2005 10:14 24.064 ldA052.tmp

06.12.2005 20:31 13.646 wpa.dbl
10.11.2005 11:53 246.312 FNTCACHE.DAT
02.11.2005 06:34 2.377.568 MRT.exe
01.11.2005 07:26 16.832 amcompat.tlb
01.11.2005 07:26 23.392 nscompat.tlb

31.10.2005 07:33 380.350 perfh009.dat
31.10.2005 07:33 52.764 perfc009.dat
31.10.2005 07:33 391.000 perfh007.dat
31.10.2005 07:33 63.580 perfc007.dat
31.10.2005 07:33 897.954 PerfStringBackup.INI
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
05.10.2005 01:26 3.013.120 mshtml.dll
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 605.696 urlmon.dll
03.09.2005 00:53 205.312 dxtrans.dll
03.09.2005 00:53 530.432 mstime.dll
03.09.2005 00:53 96.768 inseng.dll
03.09.2005 00:53 448.512 mshtmled.dll
03.09.2005 00:53 474.112 shlwapi.dll
03.09.2005 00:53 55.808 extmgr.dll
03.09.2005 00:53 146.432 msrating.dll
03.09.2005 00:53 251.392 iepeers.dll
03.09.2005 00:53 1.484.288 shdocvw.dll
03.09.2005 00:53 39.424 pngfilt.dll
03.09.2005 00:53 152.064 cdfview.dll
03.09.2005 00:53 1.055.744 danim.dll
03.09.2005 00:53 1.019.904 browseui.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll


Datentr„ger in Laufwerk C: ist BBL1
Volumeseriennummer: F8A6-CD8C

Verzeichnis von C:\DOKUME~1\JBRACK~1.BBL\LOKALE~1\Temp

07.12.2005 12:42 81.920 ~DF8BC9.tmp
07.12.2005 11:13 16.384 ~DF45DF.tmp
2 Datei(en) 98.304 Bytes
0 Verzeichnis(se), 11.160.485.888 Bytes frei



Datentr„ger in Laufwerk C: ist BBL1
Volumeseriennummer: F8A6-CD8C

Verzeichnis von C:\WINDOWS

07.12.2005 11:12 0 0.log
07.12.2005 11:12 1.173.449 WindowsUpdate.log
07.12.2005 11:12 2.048 bootstat.dat
07.12.2005 11:07 32.606 SchedLgU.Txt
06.12.2005 17:50 73 EurekaLog.ini
29.11.2005 00:52 340.047 wmsetup.log
19.11.2005 22:41 284.761 setupapi.log
11.11.2005 16:35 50 wiaservc.log
11.11.2005 16:35 216 wiadebug.log
10.11.2005 11:47 762.177 iis6.log
10.11.2005 11:47 220.785 comsetup.log
10.11.2005 11:47 133.406 ntdtcsetup.log
10.11.2005 11:47 303.465 tsoc.log
10.11.2005 11:47 1.393 imsins.log
10.11.2005 11:47 33.546 tabletoc.log
10.11.2005 11:47 27.974 ocmsn.log
10.11.2005 11:47 12.025 KB896424.log
10.11.2005 11:47 114.021 netfxocm.log
10.11.2005 11:47 21.227 medctroc.Log
10.11.2005 11:47 334.221 ocgen.log
10.11.2005 11:47 32.532 msgsocm.log
10.11.2005 11:47 647.044 FaxSetup.log
10.11.2005 11:47 210.346 msmqinst.log
10.11.2005 11:47 21.983 updspapi.log
01.11.2005 07:34 378 wmsetup10.log
01.11.2005 07:25 316.640 WMSysPr9.prx
24.10.2005 22:22 4.096 d3dx.dat
12.10.2005 09:17 1.393 imsins.BAK
12.10.2005 09:17 23.415 KB901017.log
12.10.2005 09:16 25.909 KB902400.log
12.10.2005 09:15 17.622 KB899589.log
12.10.2005 09:14 18.004 KB905414.log
12.10.2005 09:14 20.513 KB896688.log
12.10.2005 09:13 14.236 KB900725.log
12.10.2005 09:13 11.493 KB904706.log
12.10.2005 09:13 12.181 KB905749.log
21.09.2005 12:41 3.243 OEWABLog.txt


Datentr„ger in Laufwerk C: ist BBL1
Volumeseriennummer: F8A6-CD8C

Verzeichnis von C:\

07.12.2005 13:32 0 sys.txt
07.12.2005 13:32 11.813 system.txt
07.12.2005 13:32 339 systemtemp.txt
07.12.2005 13:29 103.976 system32.txt
07.12.2005 11:12 352.321.536 pagefile.sys
12.08.2005 15:37 211 boot.ini
19.01.2005 18:17 47.564 NTDETECT.COM
19.01.2005 18:17 251.184 ntldr
29.11.2004 06:58 1.310.720 backup08.08.04_publicfolder.pst
08.11.2004 18:49 33.489 sextxsp.chm
04.11.2004 22:08 77.949 BBL-TK_20041104.xi7
24.09.2004 20:37 1.095 wiederhergestelltes Dokument .txt
14.09.2004 20:48 2.535 wiederhergestelltes Dokument.txt
09.08.2004 16:40 377.831.424 backup08.08.04_personalfolder
08.08.2004 11:12 38.518.784 Pers”nliche Ordner.pst
02.08.2004 12:39 372.654.080 backup02.08.04
02.08.2004 12:39 1.310.720 backup02.08.04_publicfolder
29.12.2003 13:19 76.669 BBL-TK.xi7
30.05.2003 08:43 0 ~WRD0004.tmp
10.04.2003 09:09 0 CONFIG.SYS
10.04.2003 09:09 0 IO.SYS
10.04.2003 09:09 0 MSDOS.SYS
10.04.2003 09:09 0 AUTOEXEC.BAT
29.08.2002 13:00 4.952 bootfont.bin
26.03.2001 23:00 53.248 gendel32.exe
25 Datei(en) 1.144.612.288 Bytes
0 Verzeichnis(se), 11.160.469.504 Bytes frei


So, ich hoffe, ich habe alles richtig gemacht. Und was sagt die Analyse? Vielen Dank!

Gruß B.
Seitenanfang Seitenende
07.12.2005, 13:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@Bracker

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen

http://virus-protect.org/reg/mcor.reg

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\hp2C94.tmp
C:\WINDOWS\system32\ldA052.tmp
C:\WINDOWS\system32\amcompat.tlb
C:\WINDOWS\system32\nscompat.tlb
C:\sextxsp.chm

----------
starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg doppelt --> fuege sie mit " ja" der Registry bei

loesche:

C:\Programme\SpyAxe
C:\WINDOWS\system32\1024
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url

Direktdownload SpyAxeFix.exe http://noahdfear.geekstogo.com/click%20counter/click.php?id=8

-->> schliesse alle anderen Programme
-->> doppeltklicken SpyAxeFix.exe
-->> SpyAxeFix map
-->> SpyAxeFix.bat
-->> wenn deas Tool abgearbeitet ist, wird der PC neustarten

kopiere die spyaxe.txt ab und ins Sicherheitsforum,



------------------------------------------------------------------------------
scanne mit Panda --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html

scanne mit Kaspersky --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.12.2005, 17:27
...neu hier

Themenstarter

Beiträge: 3
#5 So, ich hoffe, ich habe alles richtig gemacht, hier die spyaxe.txt-Datei:


SpyAxeFix © by noahdfear


Microsoft Windows XP [Version 5.1.2600]




Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 128 'explorer.exe'
Killing PID 128 'explorer.exe'


Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of rundll32.exe


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"


Sieht das gut aus?

Vielen Dank!

Gruß
B.
Seitenanfang Seitenende
08.12.2005, 19:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 fein ;)

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die spyaxe.reg doppelt --> fuege sie mit " ja" der Registry bei

-----------------------------------------------------------------------------------

deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
http://virus-protect.org/systemwiederherstellung.html

scanne mit Kaspersky --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html

scanne mit Panda --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: