Meine Logs *** zu SpyAxe 3.0 |
||
---|---|---|
#0
| ||
03.01.2006, 16:29
...neu hier
Beiträge: 4 |
||
|
||
04.01.2006, 03:00
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@cipro1
http://www.malwareupload.com/ Log Dich mit Deiner E-Mail Adresse bei Malwareupload ein und lade die suspekte Datei hoch. Du wirst so schnell wie möglich per E-Mail darüber informiert, ob die Datei wirklich schädlich ist und um welchen Schädling es sich handelt. C:\WINDOWS\system32\$$@$$.del --> neue Variante vom Spyaxe, lade die datei also unbedingt hoch ------------------------------------------------------------------------ mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm http://virus-protect.org/reg/mcor.reg rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm. http://virus-protect.org/reg/spyaxe.reg ---------------------------------------------------------------------- öffne das HijackThis-- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" O2 - BHO: (no name) - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hpEACD.tmp (file missing) O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h ------------------------------------------------------------------ KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot / Process all in List )--> anhaken reinkopieren: und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\ncompat.tlb C:\WINDOWS\system32\msvol.tlb C:\WINDOWS\system32\$$@$$.del C:\WINDOWS\system32\nvctrl.exe C:\WINDOWS\system32\wpa.dbl C:\WINDOWS\system32\wbeconm.dll C:\DOKUME~1\Heinz\LOKALE~1\Temp\SALanguage.ini C:\WINDOWS\system32\ot.ico C:\WINDOWS\system32\ts.ico C:\Programme\SpyAxe\spyaxe.exe C:\WINDOWS\system32\mssearchnet.exe C:\WINDOWS\system32\mscornet.exe starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg spyaxe.reg doppelt --> fuege sie mit "ja" oder "yes" der Registry bei ---------------------------------------------------------------------- SmitRem2.8 http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) loeschen C:\Programme\SpyAxe\ deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder) http://virus-protect.org/systemwiederherstellung.html scanne mit Kaspersky --> loesche dann manuell, was gefunden wird http://virus-protect.org/onlinescan.html scanne mit Panda --> loesche dann manuell, was gefunden wird http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.01.2006, 13:34
...neu hier
Themenstarter Beiträge: 4 |
#3
Hallo Sabina,
wir danken Dir von Herzen. Es scheint so, als hätte es funktioniert. Leider haben wir noch einen PC mit dem Selben Problem. Doch dieser steht in Münster und ich werde die Logs zu einem späteren Zeitpunkt hier posten. Vielen, vielen Dank für die Hilfe und alles Gute!!! __________ Carpe diem, cipro1 |
|
|
||
04.01.2006, 13:55
Ehrenmitglied
Beiträge: 29434 |
#4
geht in Ordnung
wenn du dann Nachricht bekommst von http://www.malwareupload.com/ berichte bitte. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.01.2006, 14:10
...neu hier
Themenstarter Beiträge: 4 |
#5
HAllo Sabina,
tja ... so ganz sind wir wohl doch noch nicht aus dem Schneider, denn Panda wurde fündig. Da Panda noch am scannen ist, werde ich mich zu den Fundstücken später äußern. Es folgt die Antwort von "malwareupload": Hallo, Wir haben Ihre Datei $$@$$.del überprüft und kamen zu folgendem Ergebnis: Trojan-Downloader.Zlob Muss ich noch etwas besonderes durchführen, oder wird es reichen, wenn ich nach dem scannen von Panda die gefundenen Files lösche? ------------------------------------------------------------------------- Hallo Sabina, anbei das Ergebnis von Onkel PAnda: Incident Status Location Potentially unwanted tool:application/spyaxe Not disinfected C:\Dokumente und Einstellungen\Heinz\Anwendungsdaten\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\SpyAxe 3.0.lnk Spyware:Cookie/2o7.net Not disinfected C:\Dokumente und Einstellungen\Heinz\Cookies\heinz@2o7[2].txt Spyware:Cookie/adultfriendfinder Not disinfected C:\Dokumente und Einstellungen\Heinz\Cookies\heinz@adultfriendfinder[1].txt Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Heinz\Cookies\heinz@as-eu.falkag[1].txt Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Heinz\Cookies\heinz@as1.falkag[1].txt Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Heinz\Cookies\heinz@mediaplex[1].txt Spyware:Cookie/WinFixer Not disinfected C:\Dokumente und Einstellungen\Heinz\Cookies\heinz@winfixer[2].txt Adware:Adware/SecurityError Not disinfected C:\!KillBox\$$@$$.del Potentially unwanted tool:Application/SpyAxe Not disinfected C:\!KillBox\SpyAxe.exe Adware:Adware/SpyAxe Not disinfected C:\!KillBox\wbeconm.dll Spyware:Cookie/2o7.net Not disinfected C:\Dokumente und Einstellungen\Heinz\Cookies\heinz@2o7[2].txt Spyware:Cookie/adultfriendfinder Not disinfected C:\Dokumente und Einstellungen\Heinz\Cookies\heinz@adultfriendfinder[1].txt Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Heinz\Cookies\heinz@as-eu.falkag[1].txt Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Heinz\Cookies\heinz@as1.falkag[1].txt Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Heinz\Cookies\heinz@mediaplex[1].txt Spyware:Cookie/WinFixer Not disinfected C:\Dokumente und Einstellungen\Heinz\Cookies\heinz@winfixer[2].txt Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Heinz\Eigene Dateien\Download\smitRem\Process.exe Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Heinz\Eigene Dateien\Download\smitRem.exe[Process.exe] Adware:Adware/SecurityError Not disinfected C:\Programme\CleanUp XP\Backup\03.01.2006 16.12.541.zip[220] Adware:Adware/SpyAxe Not disinfected C:\Programme\CleanUp XP\Backup\03.01.2006 16.12.541.zip[221] --------------------------------------------------------------------------- Hallo Sabina, ich habe wie von Dir beschrieben, sämtliche Befunde von Panda mit der HAnd gelöscht. Wie schaut es aus? Bin ich nun befreit?! ICh wünsche es mir, denn es nervt!!! __________ Carpe diem, cipro1 Dieser Beitrag wurde am 04.01.2006 um 14:46 Uhr von cipro1 editiert.
|
|
|
||
05.01.2006, 00:40
Ehrenmitglied
Beiträge: 29434 |
#6
danke, dass du die datei hast ueberpruefen lassen...ich dachte mir schon, dass es eine voellig neue Varainte vom SpyAxe ist
loesche: C:\Dokumente und Einstellungen\Heinz\Anwendungsdaten\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\SpyAxe 3.0.lnk C:\Dokumente und Einstellungen\Heinz\Cookies\heinz@winfixer[2].txt C:\!KillBox\$$@$$.del C:\!KillBox\SpyAxe.exe C:\!KillBox\wbeconm.dll C:\Programme\CleanUp XP\Backup\03.01.2006 16.12.541.zip C:\Programme\CleanUp XP\Backup\03.01.2006 16.12.541.zip gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken Internet - Explorer -- Menü Extras -- Internetoptionen -- Sicherheit Delete Cookies: __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Scan saved at 16:26:50, on 03.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\SpyAxe\spyaxe.exe
C:\Programme\SpyAxe\spyaxe.exe
C:\Programme\CleanUp XP\CleanUp.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Heinz\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hpEACD.tmp (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [zzzHPSETUP] E:\Setup.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Zahlungserinnerung.lnk = C:\PROFI\wzed.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {BE95EB50-BF4C-11D2-AD93-0060087E046C} (debitel KundenService) - https://kundenservice.debitel.com/sccicci172.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
--------------------------------------------------------------------------
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: DC1D-6711
Verzeichnis von C:\WINDOWS\system32
03.01.2006 16:31 5.088 ncompat.tlb
03.01.2006 16:01 5.632 msvol.tlb
03.01.2006 16:00 24.064 $$@$$.del
03.01.2006 15:48 15.736 nvctrl.exe
03.01.2006 14:16 2.206 wpa.dbl
02.01.2006 11:04 102.400 wbeconm.dll
02.01.2006 11:04 4.286 ot.ico
02.01.2006 11:04 4.286 ts.ico
02.01.2006 11:04 9.796 mssearchnet.exe
02.01.2006 11:02 14.664 mscornet.exe
09.12.2005 01:21 2.723.680 MRT.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
09.11.2005 15:54 112.584 FNTCACHE.DAT
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
30.10.2005 08:04 380.350 perfh009.dat
30.10.2005 08:04 391.000 perfh007.dat
30.10.2005 08:04 52.764 perfc009.dat
30.10.2005 08:04 63.580 perfc007.dat
30.10.2005 08:04 897.954 PerfStringBackup.INI
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 55.808 extmgr.dll
20.10.2005 23:25 1.094.144 esent.dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
05.10.2005 15:38 2.266 qtplugin.log
05.10.2005 15:37 28.672 qttask.exe
05.10.2005 15:37 361 QuickTime.qtp
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll
------------------------------------------------------------------------
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: DC1D-6711
Verzeichnis von C:\DOKUME~1\Heinz\LOKALE~1\Temp
03.01.2006 16:14 49.152 ~DF1C2F.tmp
03.01.2006 16:01 31.692 SALanguage.ini
03.01.2006 16:01 464 WCESCOMM.LOG
3 Datei(en) 81.308 Bytes
0 Verzeichnis(se), 44.323.385.344 Bytes frei
Mehr war nicht zu holen!!
-------------------------------------------------------------------------
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: DC1D-6711
Verzeichnis von C:\WINDOWS
03.01.2006 16:00 159 wiadebug.log
03.01.2006 16:00 2.088.192 WindowsUpdate.log
03.01.2006 16:00 50 wiaservc.log
03.01.2006 16:00 2.048 bootstat.dat
03.01.2006 15:59 32.630 SchedLgU.Txt
03.01.2006 14:17 833 win.ini
02.01.2006 10:40 54.156 QTFont.qfn
28.12.2005 13:12 284.886 wmsetup.log
18.12.2005 16:12 1.409 QTFont.for
15.12.2005 17:33 103.179 iis6.log
15.12.2005 17:33 255.544 comsetup.log
15.12.2005 17:33 155.728 ntdtcsetup.log
15.12.2005 17:33 1.393 imsins.log
15.12.2005 17:33 278.954 tsoc.log
15.12.2005 17:33 33.739 ocmsn.log
15.12.2005 17:33 9.378 KB910437.log
15.12.2005 17:33 34.463 msgsocm.log
15.12.2005 17:33 338.518 ocgen.log
15.12.2005 17:33 670.144 FaxSetup.log
15.12.2005 17:33 277.917 setupapi.log
15.12.2005 17:33 21.913 updspapi.log
15.12.2005 17:33 15.487 KB905915.log
09.11.2005 10:41 11.889 KB896424.log
15.10.2005 11:04 21.014 KB901017.log
15.10.2005 11:04 23.460 KB902400.log
15.10.2005 11:03 14.122 KB896688.log
15.10.2005 11:03 13.604 KB905414.log
15.10.2005 11:03 13.437 KB900725.log
15.10.2005 11:02 11.242 KB904706.log
15.10.2005 11:02 11.927 KB905749.log
05.10.2005 15:38 940 disney.ini
--------------------------------------------------------------------------
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: DC1D-6711
Verzeichnis von C:\
03.01.2006 16:36 0 sys.txt
03.01.2006 16:36 10.227 system.txt
03.01.2006 16:34 391 systemtemp.txt
03.01.2006 16:32 96.406 system32.txt
03.01.2006 16:00 402.653.184 pagefile.sys
10.02.2005 14:10 211 boot.ini
10.02.2005 13:56 47.564 NTDETECT.COM
10.02.2005 13:56 251.184 ntldr
02.09.2002 21:59 0 IO.SYS
02.09.2002 21:59 0 CONFIG.SYS
02.09.2002 21:59 0 AUTOEXEC.BAT
02.09.2002 21:59 0 MSDOS.SYS
18.08.2001 13:00 4.952 bootfont.bin
13 Datei(en) 403.064.119 Bytes
0 Verzeichnis(se), 44.323.344.384 Bytes frei
-------------------------------------------------------------------------
Liebe Mods, war das alles, was ich kopiert habe?? Wie muss ich nun vorgehen??
__________
Carpe diem,
cipro1