Spy Axe- bin infiziert! incl. HJT-Log, smitfiles und rtb

#0
12.12.2005, 17:46
...neu hier

Beiträge: 1
#1 Hallo,

hab mir gestern auch Spy Trooper/Spy Axe eingefangen. Ad-Aware SE kann mir nicht weiterhelfen, ich habe nach wie vor das blinkende Symbol in der Taskleiste und beim Start des Internet Explorer lande auch auf updateyoursystem.com. Anbei mein heutiges Logfile von Hijackthis, hoffe ihr könnt mir helfen. Wie von Sabina empfohlen, habe ich gestern CleanUp schon angewendet. Wie verfahre ich weiter?

Schon mal vielen, vielen Dank im voraus

Malte

Logfile of HijackThis v1.99.1
Scan saved at 17:39:36, on 12.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\SOINTGR.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\system32\PL15Co2K.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\umonit.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\MALTEH~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: HomepageBHO - {1ca480cd-c0e5-4548-874e-b85b17905b3a} - C:\WINDOWS\system32\hp5498.tmp
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [HI-SPEED USB DEVICE Coinstaller] PL15Co2K.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\System32\umonit.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O9 - Extra button: AOL 7.0 - {FC38ED9F-BCF8-4E1D-AAE6-D4C40A94A8EF} - C:\Programme\AOL 7.0\aol.exe (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9E5B167-8134-43A1-8A4D-A56CEFC47CC4}: NameServer = 212.7.148.65 212.7.148.97
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Ich habe die Schritte, die Sabina empfohlen hat noch befolgt: Die mcor.reg und die Spyaxe.reg habe ich im abgesicherten Modus der Registrierung hinzugefügt. Danach habe ich RunThis.bat laufen lassen. Hier die smitfiles.txt für Euch:


smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

spyaxe uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~

SpyAxe


~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1164 'explorer.exe'
Killing PID 1164 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~

SpyAxe


~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN! ;)

Und hier wäre auch noch die datfindbat:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 58C9-3001

Verzeichnis von C:\WINDOWS\system32

12.12.2005 20:34 35.879 vsconfig.xml
11.12.2005 22:30 98.304 ioctrl.dll
24.11.2005 20:18 4.212 zllictbl.dat
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
11.11.2005 21:19 119.744 FNTCACHE.DAT
02.11.2005 06:34 2.377.568 MRT.exe
30.10.2005 14:56 357.448 perfh009.dat
30.10.2005 14:56 43.176 perfc009.dat
30.10.2005 14:56 364.244 perfh007.dat
30.10.2005 14:56 52.304 perfc007.dat
30.10.2005 14:56 825.300 PerfStringBackup.INI
17.10.2005 20:58 65.536 QuickTimeVR.qtx
17.10.2005 20:57 49.152 QuickTime.qts
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
04.10.2005 16:26 3.013.120 mshtml.dll
23.09.2005 04:06 8.491.520 shell32.dll
20.09.2005 17:54 2.206 wpa.dbl
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 530.432 mstime.dll
03.09.2005 00:53 146.432 msrating.dll
03.09.2005 00:53 1.484.288 shdocvw.dll
03.09.2005 00:53 39.424 pngfilt.dll
03.09.2005 00:53 55.808 extmgr.dll
03.09.2005 00:53 474.112 shlwapi.dll
03.09.2005 00:53 448.512 mshtmled.dll
03.09.2005 00:53 605.696 urlmon.dll
03.09.2005 00:53 205.312 dxtrans.dll
03.09.2005 00:53 96.768 inseng.dll
03.09.2005 00:53 251.392 iepeers.dll
03.09.2005 00:53 152.064 cdfview.dll
03.09.2005 00:53 1.055.744 danim.dll
03.09.2005 00:53 1.019.904 browseui.dll

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 58C9-3001

Verzeichnis von C:\DOKUME~1\MALTEH~1\LOKALE~1\Temp

12.12.2005 20:36 0 sa3.tmp
1 Datei(en) 0 Bytes
0 Verzeichnis(se), 6.908.067.840 Bytes frei

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 58C9-3001

Verzeichnis von C:\WINDOWS

12.12.2005 20:37 226.634 setupact.log
12.12.2005 20:34 0 0.log
12.12.2005 20:33 1.157.138 WindowsUpdate.log
12.12.2005 20:33 159 wiadebug.log
12.12.2005 20:33 50 wiaservc.log
12.12.2005 20:33 2.048 bootstat.dat
12.12.2005 20:32 32.618 SchedLgU.Txt
12.12.2005 20:29 0 setuperr.log
12.12.2005 20:17 96.986 ntbtlog.txt
11.12.2005 20:55 6.832 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
08.12.2005 20:45 2.841 cdPlayer.ini
03.12.2005 16:47 410.163 setupapi.log
02.12.2005 21:20 269.460 wmsetup.log
11.11.2005 08:21 72.635 iis6.log
11.11.2005 08:21 163.822 comsetup.log
11.11.2005 08:21 184.565 tsoc.log
11.11.2005 08:21 23.319 ocmsn.log
11.11.2005 08:21 98.751 ntdtcsetup.log
11.11.2005 08:21 1.393 imsins.log
11.11.2005 08:21 11.823 KB896424.log
11.11.2005 08:21 240.569 ocgen.log
11.11.2005 08:21 23.500 msgsocm.log
11.11.2005 08:21 471.251 FaxSetup.log
11.11.2005 08:21 21.551 updspapi.log
02.11.2005 20:35 754 WORDPAD.INI
02.11.2005 20:03 522 GEARInstall.log
15.10.2005 12:54 1.393 imsins.BAK
15.10.2005 12:54 23.077 KB901017.log
15.10.2005 12:54 25.533 KB902400.log
15.10.2005 12:54 15.947 KB896688.log
15.10.2005 12:53 14.119 KB905414.log
15.10.2005 12:53 13.867 KB900725.log
15.10.2005 12:53 11.233 KB904706.log
15.10.2005 12:53 11.895 KB905749.log
14.10.2005 20:15 36 Netloc.ini
27.09.2005 20:10 165 lohnsteuertabellen.INI
27.09.2005 20:08 26 _sms457.cab

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 58C9-3001

Verzeichnis von C:\

12.12.2005 20:55 0 sys.txt
12.12.2005 20:55 10.940 system.txt
12.12.2005 20:54 282 systemtemp.txt
12.12.2005 20:54 95.084 system32.txt
12.12.2005 20:32 267.968.512 hiberfil.sys
12.12.2005 20:32 419.430.400 pagefile.sys
01.04.2005 11:58 1.317 INSTALL.LOG


Ich hoffe, ihr könnt mit den Daten was anfangen. Ich wäre Euch super verbunden, wenn ihr mir weiterhelfen könnt. Denn das blinkende Kreuz habe ich immer noch in meiner Taskleiste. Immerhin ist meine "normale" Startseite anscheinend wieder da und nicht updateyoursystem.com

Vielen, vielen Dank schon mal im voraus.

Malte
Dieser Beitrag wurde am 12.12.2005 um 20:59 Uhr von Malte Hansen editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: