Spy Axe Infizierung |
||
---|---|---|
#0
| ||
07.12.2005, 00:58
...neu hier
Beiträge: 3 |
||
|
||
07.12.2005, 13:07
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@Bracker
http://board.protecus.de/t20685.htm ----------------- wende CleanUp an http://virus-protect.org/cleanup.html datfindbat--> kopiere hier die 4 Textdateien http://virus-protect.org/datfindbat.html ----------- Info: SpyAxe http://virus-protect.org/artikel/spyware/spyaxe.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.12.2005, 13:34
...neu hier
Themenstarter Beiträge: 3 |
#3
Ok Sabina, also cleanup habe ich gemacht, hier die 4 textdateien:
Datentr„ger in Laufwerk C: ist BBL1 Volumeseriennummer: F8A6-CD8C Verzeichnis von C:\WINDOWS\system32 07.12.2005 10:15 20.480 hp2C94.tmp 07.12.2005 10:14 24.064 ldA052.tmp 06.12.2005 20:31 13.646 wpa.dbl 10.11.2005 11:53 246.312 FNTCACHE.DAT 02.11.2005 06:34 2.377.568 MRT.exe 01.11.2005 07:26 16.832 amcompat.tlb 01.11.2005 07:26 23.392 nscompat.tlb 31.10.2005 07:33 380.350 perfh009.dat 31.10.2005 07:33 52.764 perfc009.dat 31.10.2005 07:33 391.000 perfh007.dat 31.10.2005 07:33 63.580 perfc007.dat 31.10.2005 07:33 897.954 PerfStringBackup.INI 06.10.2005 04:18 280.064 gdi32.dll 06.10.2005 04:08 1.839.616 win32k.sys 05.10.2005 01:26 3.013.120 mshtml.dll 23.09.2005 04:06 8.491.520 shell32.dll 10.09.2005 02:54 2.067.968 cdosys.dll 03.09.2005 00:53 664.064 wininet.dll 03.09.2005 00:53 605.696 urlmon.dll 03.09.2005 00:53 205.312 dxtrans.dll 03.09.2005 00:53 530.432 mstime.dll 03.09.2005 00:53 96.768 inseng.dll 03.09.2005 00:53 448.512 mshtmled.dll 03.09.2005 00:53 474.112 shlwapi.dll 03.09.2005 00:53 55.808 extmgr.dll 03.09.2005 00:53 146.432 msrating.dll 03.09.2005 00:53 251.392 iepeers.dll 03.09.2005 00:53 1.484.288 shdocvw.dll 03.09.2005 00:53 39.424 pngfilt.dll 03.09.2005 00:53 152.064 cdfview.dll 03.09.2005 00:53 1.055.744 danim.dll 03.09.2005 00:53 1.019.904 browseui.dll 01.09.2005 02:44 292.352 winsrv.dll 01.09.2005 02:44 19.968 linkinfo.dll Datentr„ger in Laufwerk C: ist BBL1 Volumeseriennummer: F8A6-CD8C Verzeichnis von C:\DOKUME~1\JBRACK~1.BBL\LOKALE~1\Temp 07.12.2005 12:42 81.920 ~DF8BC9.tmp 07.12.2005 11:13 16.384 ~DF45DF.tmp 2 Datei(en) 98.304 Bytes 0 Verzeichnis(se), 11.160.485.888 Bytes frei Datentr„ger in Laufwerk C: ist BBL1 Volumeseriennummer: F8A6-CD8C Verzeichnis von C:\WINDOWS 07.12.2005 11:12 0 0.log 07.12.2005 11:12 1.173.449 WindowsUpdate.log 07.12.2005 11:12 2.048 bootstat.dat 07.12.2005 11:07 32.606 SchedLgU.Txt 06.12.2005 17:50 73 EurekaLog.ini 29.11.2005 00:52 340.047 wmsetup.log 19.11.2005 22:41 284.761 setupapi.log 11.11.2005 16:35 50 wiaservc.log 11.11.2005 16:35 216 wiadebug.log 10.11.2005 11:47 762.177 iis6.log 10.11.2005 11:47 220.785 comsetup.log 10.11.2005 11:47 133.406 ntdtcsetup.log 10.11.2005 11:47 303.465 tsoc.log 10.11.2005 11:47 1.393 imsins.log 10.11.2005 11:47 33.546 tabletoc.log 10.11.2005 11:47 27.974 ocmsn.log 10.11.2005 11:47 12.025 KB896424.log 10.11.2005 11:47 114.021 netfxocm.log 10.11.2005 11:47 21.227 medctroc.Log 10.11.2005 11:47 334.221 ocgen.log 10.11.2005 11:47 32.532 msgsocm.log 10.11.2005 11:47 647.044 FaxSetup.log 10.11.2005 11:47 210.346 msmqinst.log 10.11.2005 11:47 21.983 updspapi.log 01.11.2005 07:34 378 wmsetup10.log 01.11.2005 07:25 316.640 WMSysPr9.prx 24.10.2005 22:22 4.096 d3dx.dat 12.10.2005 09:17 1.393 imsins.BAK 12.10.2005 09:17 23.415 KB901017.log 12.10.2005 09:16 25.909 KB902400.log 12.10.2005 09:15 17.622 KB899589.log 12.10.2005 09:14 18.004 KB905414.log 12.10.2005 09:14 20.513 KB896688.log 12.10.2005 09:13 14.236 KB900725.log 12.10.2005 09:13 11.493 KB904706.log 12.10.2005 09:13 12.181 KB905749.log 21.09.2005 12:41 3.243 OEWABLog.txt Datentr„ger in Laufwerk C: ist BBL1 Volumeseriennummer: F8A6-CD8C Verzeichnis von C:\ 07.12.2005 13:32 0 sys.txt 07.12.2005 13:32 11.813 system.txt 07.12.2005 13:32 339 systemtemp.txt 07.12.2005 13:29 103.976 system32.txt 07.12.2005 11:12 352.321.536 pagefile.sys 12.08.2005 15:37 211 boot.ini 19.01.2005 18:17 47.564 NTDETECT.COM 19.01.2005 18:17 251.184 ntldr 29.11.2004 06:58 1.310.720 backup08.08.04_publicfolder.pst 08.11.2004 18:49 33.489 sextxsp.chm 04.11.2004 22:08 77.949 BBL-TK_20041104.xi7 24.09.2004 20:37 1.095 wiederhergestelltes Dokument .txt 14.09.2004 20:48 2.535 wiederhergestelltes Dokument.txt 09.08.2004 16:40 377.831.424 backup08.08.04_personalfolder 08.08.2004 11:12 38.518.784 Pers”nliche Ordner.pst 02.08.2004 12:39 372.654.080 backup02.08.04 02.08.2004 12:39 1.310.720 backup02.08.04_publicfolder 29.12.2003 13:19 76.669 BBL-TK.xi7 30.05.2003 08:43 0 ~WRD0004.tmp 10.04.2003 09:09 0 CONFIG.SYS 10.04.2003 09:09 0 IO.SYS 10.04.2003 09:09 0 MSDOS.SYS 10.04.2003 09:09 0 AUTOEXEC.BAT 29.08.2002 13:00 4.952 bootfont.bin 26.03.2001 23:00 53.248 gendel32.exe 25 Datei(en) 1.144.612.288 Bytes 0 Verzeichnis(se), 11.160.469.504 Bytes frei So, ich hoffe, ich habe alles richtig gemacht. Und was sagt die Analyse? Vielen Dank! Gruß B. |
|
|
||
07.12.2005, 13:45
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@Bracker
mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen http://virus-protect.org/reg/mcor.reg KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot / Process all in List )--> anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\hp2C94.tmp C:\WINDOWS\system32\ldA052.tmp C:\WINDOWS\system32\amcompat.tlb C:\WINDOWS\system32\nscompat.tlb C:\sextxsp.chm ---------- starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg doppelt --> fuege sie mit " ja" der Registry bei loesche: C:\Programme\SpyAxe C:\WINDOWS\system32\1024 C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url Direktdownload SpyAxeFix.exe http://noahdfear.geekstogo.com/click%20counter/click.php?id=8 -->> schliesse alle anderen Programme -->> doppeltklicken SpyAxeFix.exe -->> SpyAxeFix map -->> SpyAxeFix.bat -->> wenn deas Tool abgearbeitet ist, wird der PC neustarten kopiere die spyaxe.txt ab und ins Sicherheitsforum, ------------------------------------------------------------------------------ scanne mit Panda --> loesche dann manuell, was gefunden wird http://virus-protect.org/onlinescan.html scanne mit Kaspersky --> loesche dann manuell, was gefunden wird http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.12.2005, 17:27
...neu hier
Themenstarter Beiträge: 3 |
#5
So, ich hoffe, ich habe alles richtig gemacht, hier die spyaxe.txt-Datei:
SpyAxeFix © by noahdfear Microsoft Windows XP [Version 5.1.2600] Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 128 'explorer.exe' Killing PID 128 'explorer.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Error, Cannot find a process with an image name of rundll32.exe REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" Sieht das gut aus? Vielen Dank! Gruß B. |
|
|
||
08.12.2005, 19:05
Ehrenmitglied
Beiträge: 29434 |
#6
fein
rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm. http://virus-protect.org/reg/spyaxe.reg starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die spyaxe.reg doppelt --> fuege sie mit " ja" der Registry bei ----------------------------------------------------------------------------------- deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder) http://virus-protect.org/systemwiederherstellung.html scanne mit Kaspersky --> loesche dann manuell, was gefunden wird http://virus-protect.org/onlinescan.html scanne mit Panda --> loesche dann manuell, was gefunden wird http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Hier mein Hijackthis-Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 00:48:27, on 07.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\htpatch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Daten\komprimierte Dateien\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
O2 - BHO: HomepageBHO - {724510c3-f3c8-4fb7-879a-d99f29008a2f} - C:\WINDOWS\system32\hpDBE8.tmp
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = bbloffice.bbl-law.com
O17 - HKLM\Software\..\Telephony: DomainName = bbloffice.bbl-law.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{51052E1E-E83F-4746-B995-C26BD5E1BD9F}: Domain = bbl-law.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{51052E1E-E83F-4746-B995-C26BD5E1BD9F}: NameServer = 192.168.2.100
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = bbloffice.bbl-law.com
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
Was muß ich jetzt tun?
Ich bin dankbar für jede Hilfe.