von Spyaxe befallen wie bekomm ich den entfernt?

#0
31.12.2005, 01:54
Member

Themenstarter

Beiträge: 39
#16

Zitat

Sabina postete
lassen wir es fuer morgen...morgen stelle ich dir eine Reinigung zusammen...heute ist es zu spaet..ich kann mich nicht mehr konzentrieren. Mach den pc aus...bis morgen ;)
ja das ist okay ausserdem hast du eh schon genug zeit verplembert für mich heute ;) wo ich dir aber für danke sabina also dann gute nacht und süsse träume;) hoffe du meldest dich morgen wie es weiter geht! vielen dank noch mal kann es nicht oft genug sagen;)

mfg Tikar
Seitenanfang Seitenende
31.12.2005, 12:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 Tikar

---------------------------------------------------------------------

Download Registry Search by Bobbi Flekman

http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Windows Automatic Updates

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
Press 'OK'

warten, bis die Suche beendet ist. (Ergebnis bitte posten)
-----------------------------------------------------------------------------

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp467D.tmp (file missing)

O4 - HKLM\..\Run: [FNRB32] C:\WINDOWS\6YT1xAIcea3g.exe

O4 - HKLM\..\Run: [Start Page] c:\windows\system32\1.bat
O23 - Service: Windows Automatic Updates - Stanford University - C:\WINDOWS\system32\windowsautomaticupdates.exe

PC neustarten


KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\queue.dat
C:\WINDOWS\system32\wbeconm.dll
C:\WINDOWS\system32\msdd32.exe
C:\WINDOWS\system32\atldc.exe
C:\WINDOWS\system32\mskc32.exe
C:\WINDOWS\system32\addny.exe
C:\WINDOWS\system32\sysrc.exe
C:\WINDOWS\system32\crmc.exe
C:\WINDOWS\system32\iefj32.exe
C:\WINDOWS\system32\ipst.exe
C:\WINDOWS\system32\addow32.exe
C:\WINDOWS\system32\iels.exe
c:\windows\system32\1.bat
C:\WINDOWS\system32\windowsautomaticupdates.exe
C:\WINDOWS\6YT1xAIcea3g.exe

C:\DOKUME~1\Tarik\LOKALE~1\Temp\sa3.tmp
C:\DOKUME~1\Tarik\LOKALE~1\Temp\sa1.tmp

C:\WINDOWS\eyptj.exe
C:\WINDOWS\wingz32.exe
C:\WINDOWS\tomsa.dat
C:\WINDOWS\pmrck.txt
C:\WINDOWS\wnqie.log
C:\WINDOWS\apipq32.exe
C:\WINDOWS\f69f179
C:\WINDOWS\vkhet.log
C:\WINDOWS\sdkwl.exe
C:\WINDOWS\crtf32.exe
C:\WINDOWS\glkxq.log
C:\WINDOWS\ienn32.exe
C:\WINDOWS\sysot.exe
C:\WINDOWS\netrr32.exe
C:\WINDOWS\ntor32.exe
C:\WINDOWS\iehl.exe
C:\WINDOWS\netbo32.exe
C:\WINDOWS\ienp.exe

pc neustarten

poste den scanreport

http://virus-protect.org/artikel/tools/ADSSpy.exe

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt --> poste ihn hier

------------------------

dann gibt es noch mehr zu tun, aber bis hier reicht es .... arbeite alles ab, dann sehen wir weiter

-------------------------


info: (ist fuer mich:
C:\WINDOWS\system32\wingz32.exe infected by "TrojanDownloader.Win32.Agent.bq"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.12.2005, 17:26
Member

Themenstarter

Beiträge: 39
#18 hallo sabina danke für deine viele mühe aber ich komm nicht weiter also wenn ich bei

Start -- Ausführen -- schreib rein: cmd reingehe und dann das sc stop Windows Automatic Updates rein kopier also den pfad

C:\Dokumente und Einstellungen\Tarik>sc stop Windows Automatic Updates

dann kommt nach dem ich enter drück:

C:\Dokumente und Einstellungen\Tarik>sc stop Windows Automatic Updates
[SC] OpenService FAILED 1060:

Der angegebene Dienst ist kein installierter Dienst.

was soll ich machen sabina hab ich es richtig gemacht?

habe noch dieses hier ausgeführt ;)ownload Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)
hier der txt :

REGEDIT4

; Registry Search by Bobbi Flekman
; Version: 1.0.2.1

; Results at 31.12.2005 17:15:50 for strings:
; 'windows automatic updates'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_AUTOMATIC_UPDATES\0000]
"Service"="Windows Automatic Updates"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_AUTOMATIC_UPDATES\0000]
"DeviceDesc"="Windows Automatic Updates"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_AUTOMATIC_UPDATES\0000\Control]
"ActiveService"="Windows Automatic Updates"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Automatic Updates]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Automatic Updates]
"DisplayName"="Windows Automatic Updates"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Automatic Updates\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Automatic Updates\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_AUTOMATIC_UPDATES\0000]
"Service"="Windows Automatic Updates"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_AUTOMATIC_UPDATES\0000]
"DeviceDesc"="Windows Automatic Updates"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Automatic Updates]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Automatic Updates]
"DisplayName"="Windows Automatic Updates"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Automatic Updates\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_AUTOMATIC_UPDATES\0000]
"Service"="Windows Automatic Updates"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_AUTOMATIC_UPDATES\0000]
"DeviceDesc"="Windows Automatic Updates"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_AUTOMATIC_UPDATES\0000\Control]
"ActiveService"="Windows Automatic Updates"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Automatic Updates]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Automatic Updates]
"DisplayName"="Windows Automatic Updates"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Automatic Updates\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Automatic Updates\Enum]

; End Of The Log...
Seitenanfang Seitenende
31.12.2005, 18:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Windows Automatic Updates - Stanford University" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"X " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.12.2005, 18:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 Start -- Ausführen -- regedit (reinschreiben)

bearbeiten--> suchen

WINDOWS AUTOMATIC UPDATES

Sollte man Probleme haben, die Einträge zu löschen,
Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels,
dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen"
Übernehmen, OK
Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_AUTOMATIC_UPDATES\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Automatic Updates]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_AUTOMATIC_UPDATES\0000]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Automatic Updates]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_AUTOMATIC_UPDATES\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Automatic Updates]

---------------------------------------------------
schliesse die registry, kopiere alles in die killbox, was ich oben gepostet hatte.... und starte den pc neu

--------------------------------------------------------
poste den scanreport
http://virus-protect.org/artikel/tools/ADSSpy.exe

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt --> poste ihn hier
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.01.2006, 17:49
Member

Themenstarter

Beiträge: 39
#21 Hallo Sabina wünsche dir erstmal ein frohes neues;)

habe eben im registrierungseditor nach windows automatic updates , legacy und so gesucht aber bei mir findet er keine registrierungs daten von den sachen also scheint das dieses onicht regiestriert ist oder hab ich was falsch gemacht?habe auf jeden fall unter bearbeiten - suche- windows automatic updates eingegeben und häckchen alle an bei den such optionen für schlüssel,werte , und daten aber scheint sich nix zu tun das er was findet

mfg Tikar
Seitenanfang Seitenende
01.01.2006, 17:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 loesche erst einmal alles mit der Killbox, damit die Viren erst mal weg sind ....

-----------------------------------------------------------------------------------
also noch mal:

Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Windows Automatic Updates

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
Press 'OK'

warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.01.2006, 18:40
Member

Themenstarter

Beiträge: 39
#23

Zitat

Sabina postete
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Windows Automatic Updates - Stanford University" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"X " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.
der Windows Automatic Updates - Stanford University dienst war schon auf deaktiviert gesetzt
Seitenanfang Seitenende
01.01.2006, 18:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24

Zitat

Sabina postete
loesche erst einmal alles mit der Killbox, damit die Viren erst mal weg sind ....

-----------------------------------------------------------------------------------
also noch mal:

Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Windows Automatic Updates

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
Press 'OK'

warten, bis die Suche beendet ist. (Ergebnis bitte posten)

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.01.2006, 18:46
Member

Themenstarter

Beiträge: 39
#25

Zitat

Sabina postete
loesche erst einmal alles mit der Killbox, damit die Viren erst mal weg sind ....

-----------------------------------------------------------------------------------
also noch mal:

Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Windows Automatic Updates

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
Press 'OK'

warten, bis die Suche beendet ist. (Ergebnis bitte posten)
so sabina habe jetzt die von dir oben angegeben dateien mit killbox gelöscht hoffe doch das ich richtig gemacht habe jetzt habe ich noch mal text erstellen lassen von regsearch hier das ergebnis:

REGEDIT4

; Registry Search by Bobbi Flekman
; Version: 1.0.2.1

; Results at 01.01.2006 18:42:16 for strings:
; 'windows automatic updates
windows automatic updates
windows automatic updates
windows automatic updates'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...
Seitenanfang Seitenende
01.01.2006, 18:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 poste den scanreport
http://virus-protect.org/artikel/tools/ADSSpy.exe

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt --> poste ihn hier
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.01.2006, 19:17
Member

Themenstarter

Beiträge: 39
#27

Zitat

Sabina postete
poste den scanreport
http://virus-protect.org/artikel/tools/ADSSpy.exe

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt --> poste ihn hier
bei den scanreport mit http://virus-protect.org/artikel/tools/ADSSpy.exe wird da auch eine text datei automatisch erstellt?kann es sein das die history heisst weil weiss nicht wo der report davon ist?
so hier ist der smitfile.txt


smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~

Antivirus Test Online.url


~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 3044 'explorer.exe'
Killing PID 3044 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN! ;)
Seitenanfang Seitenende
01.01.2006, 20:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
Seitenanfang Seitenende
01.01.2006, 23:31
Member

Themenstarter

Beiträge: 39
#29

Zitat

Sabina postete
poste den scanreport
http://virus-protect.org/artikel/tools/ADSSpy.exe
habe den Quik scan gemacht (Windows Base Folder only ) hier der scan .txt

C:\WINDOWS\CompLex4.INI : hhikeo (11801 bytes)
C:\WINDOWS\dahotfix.log : shaphq (35353 bytes)
C:\WINDOWS\extreme.ini : cbdidl (13581 bytes)
C:\WINDOWS\Feder.bmp : ncoszy (3567 bytes)
C:\WINDOWS\GEARInstall.log : gdzyti (66560 bytes)
C:\WINDOWS\KB823182.log : nhklfm (84545 bytes)
C:\WINDOWS\KB824141.log : xiuqzw (11801 bytes)
C:\WINDOWS\winnt256.bmp : jsqha (35353 bytes)
Seitenanfang Seitenende
01.01.2006, 23:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 loesche die Streams :

Zitat

C:\WINDOWS\CompLex4.INI : hhikeo (11801 bytes)
C:\WINDOWS\dahotfix.log : shaphq (35353 bytes)
C:\WINDOWS\extreme.ini : cbdidl (13581 bytes)
C:\WINDOWS\Feder.bmp : ncoszy (3567 bytes)
C:\WINDOWS\GEARInstall.log : gdzyti (66560 bytes)
C:\WINDOWS\KB823182.log : nhklfm (84545 bytes)
C:\WINDOWS\KB824141.log : xiuqzw (11801 bytes)
C:\WINDOWS\winnt256.bmp : jsqha (35353 bytes)
http://virus-protect.org/multiavtool.html
klicke "3" McAfee -- es erscheint ein leeres DOS-Fenster.
- man muss eingeben, was gescannt werden soll

- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

poste die drei scanreporte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: