SpyAxe infected! datfind.bat logs - wat nu? |
||
---|---|---|
#0
| ||
13.12.2005, 00:14
...neu hier
Beiträge: 4 |
||
|
||
13.12.2005, 15:37
Ehrenmitglied
Beiträge: 29434 |
#2
joeyjoejoe
mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm http://virus-protect.org/reg/mcor.reg rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm. http://virus-protect.org/reg/spyaxe.reg SpyAxeFix.exe http://noahdfear.geekstogo.com/click%20counter/click.php?id=8 -->> schliesse alle anderen Programme -->> doppeltklicken SpyAxeFix.exe -->> SpyAxeFix.bat -->> wenn deas Tool abgearbeitet ist, wird der PC neustarten starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg spyaxe.reg doppelt --> fuege sie mit "ja" oder "yes" der Registry bei ----------------------------------------------------------------- KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot / Process all in List )--> anhaken reinkopieren: und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\ncompat.tlb C:\WINDOWS\system32\msvol.tlb C:\WINDOWS\system32\hpBEB3.tmp C:\WINDOWS\system32\ot.ico C:\WINDOWS\system32\ts.ico C:\WINDOWS\system32\hp1EE6.tmp C:\WINDOWS\system32\1024\ldCFE5.tmp C:\WINDOWS\system32\1024 C:\WINDOWS\system32\nvctrl.exe C:\WINDOWS\system32\ld28E7.tmp C:\WINDOWS\system32\mssearchnet.exe C:\WINDOWS\system32\ioctrl.dll PC neustarten öffne das HijackThis --> -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\system32\1024\ldCFE5.tmp" /m PC neustarten SmitRem2.8 http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) loesche: (falls du es findest) C:\Programme\SpyAxe C:\Program Files\SpyAxe C:\WINDOWS\system32\1024 C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url C:\Dokumente und Einstellungen\Username\Favoriten\Take It Here - Daily Updated Porn Links.url C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url C:\Dokumente und Einstellungen\Username\Favoriten\Antivirus Test Online.url deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder) http://virus-protect.org/systemwiederherstellung.html scanne mit Kaspersky und etrust --> poste die zwei Scanreporte http://virus-protect.org/onlinescan.html -------------------- dann sehen wir weiter __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.12.2005, 17:35
...neu hier
Themenstarter Beiträge: 4 |
#3
hi sabina!
vielen dank schon mal! ich glaub jetzt ist wieder alles gut! nu, fast! etrust konnte nichts verdächtiges finden! und kaspersky lediglich folgendes (ein alter email-wurm...kann ich den eigentlich irgendwie loswerden? is schon ne weile her, dass mir der aufgefallen ist...antivir konnte nicht entfernen, woraufhin ich einfach meine email folders komprimiert habe): KASPERSKY ON-LINE SCANNER REPORT Tuesday, December 13, 2005 15:07:48 Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600) Kaspersky On-line Scanner version: 5.0.67.0 Kaspersky Anti-Virus database last update: 13/12/2005 Kaspersky Anti-Virus database records: 154941 ------------------------------------------------------------------------------- Scan Settings: Scan using the following antivirus database: standard Scan Archives: true Scan Mail Bases: true Scan Target - My Computer: C:\ D:\ E:\ F:\ G:\ Scan Statistics: Total number of scanned objects: 84103 Number of viruses found: 2 Number of infected objects: 6 Number of suspicious objects: 0 Duration of the scan process: 3458 sec Infected Object Name - Virus Name C:\System Volume Information\_restore{B89A9645-F650-437E-A3EB-21D9FE6F34C1}\RP218\A0047295.tlb Infected: Trojan-Downloader.Win32.Zlob.cs C:\System Volume Information\_restore{B89A9645-F650-437E-A3EB-21D9FE6F34C1}\RP218\A0047324.tlb Infected: Trojan-Downloader.Win32.Zlob.cs C:\System Volume Information\_restore{B89A9645-F650-437E-A3EB-21D9FE6F34C1}\RP218\A0047335.tlb Infected: Trojan-Downloader.Win32.Zlob.cs C:\System Volume Information\_restore{B89A9645-F650-437E-A3EB-21D9FE6F34C1}\RP218\A0047336.exe Infected: Trojan-Downloader.Win32.Zlob.cs C:\System Volume Information\_restore{B89A9645-F650-437E-A3EB-21D9FE6F34C1}\RP218\A0047338.exe Infected: Trojan-Downloader.Win32.Zlob.cs C:\System Volume Information\_restore{B89A9645-F650-437E-A3EB-21D9FE6F34C1}\RP218\A0047339.exe Infected: Trojan-Downloader.Win32.Zlob.ct Scan process completed. kaspersky pestscan brachte allerdings folgendes ergebnis: Grokster P2P P2P "Grokster" gefunden in: # key "hkey_classes_root \magnet" Weitere Infos Gabest Media Player Classic Adware Adware "Gabest Media Player Classic" gefunden in: # key "hkey_current_user \software\gabest\media player classic\recent file list" soooo...aber dieses elende skyaxe wär wohl erstma besiegt! vielen dank! lg, gerd. |
|
|
||
13.12.2005, 18:24
Ehrenmitglied
Beiträge: 29434 |
#4
deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
http://virus-protect.org/systemwiederherstellung.html das solltest du tun, dann sieht der scanreport vom Kaspersky um ein vieles besser aus falls du ihn nicht schon hast...lade den Firefox http://virus-protect.org/firefox.html ------------------------------------------------------------ Alles gute fuer dich + PC __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.12.2005, 20:14
...neu hier
Themenstarter Beiträge: 4 |
#5
hallo nochmal!
habe heute mal spybot installiert und der findet den trojaner smitfraud c. kannst mir nochmal weiterhelfen? wie werd ich das ding los? vielen dank schon mal! lg, gerd. |
|
|
||
14.12.2005, 20:41
Ehrenmitglied
Beiträge: 6028 |
||
|
||
14.12.2005, 21:04
...neu hier
Themenstarter Beiträge: 4 |
#7
super! alles wieder klar! vielen dank!
nur noch eins : spybot findet fast bei jedem scan wieder ein tracking cookie names doubleclick im firefox (default)...wisst Ihr dazu noch was? ansonsten bin ich jetzt glaub ich wieder rundum glücklich! danke schon ma! ok, hat sich glaub ich erledigt. hab ne erklärung hierfür ergoogelt... vielend dank nochmal Euch! Dieser Beitrag wurde am 14.12.2005 um 21:11 Uhr von joeyjoejoe editiert.
|
|
|
||
hab eben festgestellt, dass ich mir spyaxe eingefangen habe. habe daraufhin cleanup! ausgeführt, neugestartet, cleanup! nochmal ausgeführt und nu datfind.bat ausgeführt. hier sind die logs (letzte paar monate):
Verzeichnis von C:\WINDOWS\system32
12.12.2005 23:54 5.044 ncompat.tlb
12.12.2005 23:41 6.144 msvol.tlb
12.12.2005 23:41 9.938 hpBEB3.tmp
12.12.2005 23:17 9.780 mssearchnet.exe
12.12.2005 22:42 98.304 ioctrl.dll
12.12.2005 19:09 4.286 ot.ico
12.12.2005 19:09 4.286 ts.ico
12.12.2005 19:08 9.938 hp1EE6.tmp
12.12.2005 19:08 15.504 nvctrl.exe
12.12.2005 17:24 24.064 ld28E7.tmp
12.12.2005 17:24 14.536 mscornet.exe
09.11.2005 03:07 229.592 FNTCACHE.DAT
06.11.2005 22:11 2.206 wpa.dbl
02.11.2005 06:34 2.377.568 MRT.exe
so, dit wars! wat nu? kann mir bitte jemand weiterhelfen?
vielen dank schon mal!
-----------------------------------------------------------------------------
ich bin ja absolut ahnungslos, aber könnte es sein, dass ich einen riesenfehler gemacht habe, als ich unmittelbar nach feststellen des spyaxe einfach mal adaware laufen hab lassen und alle dangerous threats entfernt habe? erst als dann spyaxe immer noch da war hab ich mich auf ins forum gemacht. was mich sehr beunruhigt - aber nochmal: ich hab ja keine ahnung - ist, dass das ding sogar in der taskleiste auftaucht, wenn ich windows im GESICHERTEN MODUS starte!!!
übrigens konnte ich in meinem hijack this log keine der oben aufgeführten registries finden.
hier mein hijack this log, aus dem obigen versuch. jetzt geb ich auf, aber für mein herz ist das nicht gut. ob ich morgen amoklaufe hab ich noch nicht entschieden. hiiiiiiiiiiiiiilllfffffffffeeee!
Logfile of HijackThis v1.99.1
Scan saved at 01:57:33, on 13.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\good_gerd\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AccG160] C:\PROGRA~1\WLANQU~1\AccG160.exe
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [XM2002] C:\Programme\IPPS\XM2002®\XM2002.exe -auto
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\system32\1024\ldCFE5.tmp" /m
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Herunterladen mit Net Transport - C:\Programme\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe (file missing)
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {7288F092-0E1C-48D7-852C-D5718D4EC435} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099254598359
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEA414E7-A6ED-4504-9E02-103E5C03B87C}: NameServer = 145.253.2.11,145.253.2.75
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
achja, mein desktop is aufeinmal auch ganz anders. hintergrundbild is auf einmal wech, dafür blau! booohooohooo. zum heulen!