Meine Logs *** zu SpyAxe 3.0

#0
03.01.2006, 16:29
...neu hier

Beiträge: 4
#1 Logfile of HijackThis v1.99.1
Scan saved at 16:26:50, on 03.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe

C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\SpyAxe\spyaxe.exe
C:\Programme\SpyAxe\spyaxe.exe

C:\Programme\CleanUp XP\CleanUp.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Heinz\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hpEACD.tmp (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [zzzHPSETUP] E:\Setup.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Zahlungserinnerung.lnk = C:\PROFI\wzed.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {BE95EB50-BF4C-11D2-AD93-0060087E046C} (debitel KundenService) - https://kundenservice.debitel.com/sccicci172.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

--------------------------------------------------------------------------

Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: DC1D-6711

Verzeichnis von C:\WINDOWS\system32

03.01.2006 16:31 5.088 ncompat.tlb
03.01.2006 16:01 5.632 msvol.tlb
03.01.2006 16:00 24.064 $$@$$.del
03.01.2006 15:48 15.736 nvctrl.exe
03.01.2006 14:16 2.206 wpa.dbl
02.01.2006 11:04 102.400 wbeconm.dll
02.01.2006 11:04 4.286 ot.ico
02.01.2006 11:04 4.286 ts.ico
02.01.2006 11:04 9.796 mssearchnet.exe
02.01.2006 11:02 14.664 mscornet.exe

09.12.2005 01:21 2.723.680 MRT.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
09.11.2005 15:54 112.584 FNTCACHE.DAT
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
30.10.2005 08:04 380.350 perfh009.dat
30.10.2005 08:04 391.000 perfh007.dat
30.10.2005 08:04 52.764 perfc009.dat
30.10.2005 08:04 63.580 perfc007.dat
30.10.2005 08:04 897.954 PerfStringBackup.INI
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 55.808 extmgr.dll
20.10.2005 23:25 1.094.144 esent.dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
05.10.2005 15:38 2.266 qtplugin.log
05.10.2005 15:37 28.672 qttask.exe
05.10.2005 15:37 361 QuickTime.qtp
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll

------------------------------------------------------------------------

Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: DC1D-6711

Verzeichnis von C:\DOKUME~1\Heinz\LOKALE~1\Temp

03.01.2006 16:14 49.152 ~DF1C2F.tmp
03.01.2006 16:01 31.692 SALanguage.ini

03.01.2006 16:01 464 WCESCOMM.LOG
3 Datei(en) 81.308 Bytes
0 Verzeichnis(se), 44.323.385.344 Bytes frei


Mehr war nicht zu holen!!

-------------------------------------------------------------------------

Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: DC1D-6711

Verzeichnis von C:\WINDOWS

03.01.2006 16:00 159 wiadebug.log
03.01.2006 16:00 2.088.192 WindowsUpdate.log
03.01.2006 16:00 50 wiaservc.log
03.01.2006 16:00 2.048 bootstat.dat
03.01.2006 15:59 32.630 SchedLgU.Txt
03.01.2006 14:17 833 win.ini
02.01.2006 10:40 54.156 QTFont.qfn
28.12.2005 13:12 284.886 wmsetup.log
18.12.2005 16:12 1.409 QTFont.for
15.12.2005 17:33 103.179 iis6.log
15.12.2005 17:33 255.544 comsetup.log
15.12.2005 17:33 155.728 ntdtcsetup.log
15.12.2005 17:33 1.393 imsins.log
15.12.2005 17:33 278.954 tsoc.log
15.12.2005 17:33 33.739 ocmsn.log
15.12.2005 17:33 9.378 KB910437.log
15.12.2005 17:33 34.463 msgsocm.log
15.12.2005 17:33 338.518 ocgen.log
15.12.2005 17:33 670.144 FaxSetup.log
15.12.2005 17:33 277.917 setupapi.log
15.12.2005 17:33 21.913 updspapi.log
15.12.2005 17:33 15.487 KB905915.log
09.11.2005 10:41 11.889 KB896424.log
15.10.2005 11:04 21.014 KB901017.log
15.10.2005 11:04 23.460 KB902400.log
15.10.2005 11:03 14.122 KB896688.log
15.10.2005 11:03 13.604 KB905414.log
15.10.2005 11:03 13.437 KB900725.log
15.10.2005 11:02 11.242 KB904706.log
15.10.2005 11:02 11.927 KB905749.log
05.10.2005 15:38 940 disney.ini

--------------------------------------------------------------------------

Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: DC1D-6711

Verzeichnis von C:\

03.01.2006 16:36 0 sys.txt
03.01.2006 16:36 10.227 system.txt
03.01.2006 16:34 391 systemtemp.txt
03.01.2006 16:32 96.406 system32.txt
03.01.2006 16:00 402.653.184 pagefile.sys
10.02.2005 14:10 211 boot.ini
10.02.2005 13:56 47.564 NTDETECT.COM
10.02.2005 13:56 251.184 ntldr
02.09.2002 21:59 0 IO.SYS
02.09.2002 21:59 0 CONFIG.SYS
02.09.2002 21:59 0 AUTOEXEC.BAT
02.09.2002 21:59 0 MSDOS.SYS
18.08.2001 13:00 4.952 bootfont.bin
13 Datei(en) 403.064.119 Bytes
0 Verzeichnis(se), 44.323.344.384 Bytes frei
-------------------------------------------------------------------------
Liebe Mods, war das alles, was ich kopiert habe?? Wie muss ich nun vorgehen??
__________
Carpe diem,
cipro1
Dieser Beitrag wurde am 03.01.2006 um 16:37 Uhr von cipro1 editiert.
Seitenanfang Seitenende
04.01.2006, 03:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@cipro1

http://www.malwareupload.com/
Log Dich mit Deiner E-Mail Adresse bei Malwareupload ein und lade die suspekte Datei hoch. Du wirst so schnell wie möglich per E-Mail darüber informiert, ob die Datei wirklich schädlich ist und um welchen Schädling es sich handelt.

C:\WINDOWS\system32\$$@$$.del

--> neue Variante vom Spyaxe, lade die datei also unbedingt hoch ;)

------------------------------------------------------------------------
mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm

http://virus-protect.org/reg/mcor.reg

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg

----------------------------------------------------------------------

öffne das HijackThis-- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

O2 - BHO: (no name) - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hpEACD.tmp (file missing)
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h

------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\$$@$$.del
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\wpa.dbl
C:\WINDOWS\system32\wbeconm.dll
C:\DOKUME~1\Heinz\LOKALE~1\Temp\SALanguage.ini
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\Programme\SpyAxe\spyaxe.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\mscornet.exe

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an
und klicke die

mcor.reg
spyaxe.reg

doppelt --> fuege sie mit "ja" oder "yes" der Registry bei

----------------------------------------------------------------------

SmitRem2.8

http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

loeschen

C:\Programme\SpyAxe\

deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
http://virus-protect.org/systemwiederherstellung.html

scanne mit Kaspersky --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html

scanne mit Panda --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.01.2006, 13:34
...neu hier

Themenstarter

Beiträge: 4
#3 Hallo Sabina,
wir danken Dir von Herzen. Es scheint so, als hätte es funktioniert. Leider haben wir noch einen PC mit dem Selben Problem. Doch dieser steht in Münster und ich werde die Logs zu einem späteren Zeitpunkt hier posten. Vielen, vielen Dank für die Hilfe und alles Gute!!!
__________
Carpe diem,
cipro1
Seitenanfang Seitenende
04.01.2006, 13:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 geht in Ordnung ;)

wenn du dann Nachricht bekommst von
http://www.malwareupload.com/ berichte bitte.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.01.2006, 14:10
...neu hier

Themenstarter

Beiträge: 4
#5 HAllo Sabina,
tja ... so ganz sind wir wohl doch noch nicht aus dem Schneider, denn Panda wurde fündig. Da Panda noch am scannen ist, werde ich mich zu den Fundstücken später äußern. Es folgt die Antwort von "malwareupload":

Hallo,
Wir haben Ihre Datei $$@$$.del überprüft und kamen zu folgendem Ergebnis:
Trojan-Downloader.Zlob


Muss ich noch etwas besonderes durchführen, oder wird es reichen, wenn ich nach dem scannen von Panda die gefundenen Files lösche?

-------------------------------------------------------------------------
Hallo Sabina,
anbei das Ergebnis von Onkel PAnda:

Incident Status Location

Potentially unwanted tool:application/spyaxe Not disinfected C:\Dokumente und Einstellungen\Heinz\Anwendungsdaten\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\SpyAxe 3.0.lnk
Spyware:Cookie/2o7.net Not disinfected C:\Dokumente und Einstellungen\Heinz\Cookies\heinz@2o7[2].txt
Spyware:Cookie/adultfriendfinder Not disinfected C:\Dokumente und Einstellungen\Heinz\Cookies\heinz@adultfriendfinder[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Heinz\Cookies\heinz@as-eu.falkag[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Heinz\Cookies\heinz@as1.falkag[1].txt
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Heinz\Cookies\heinz@mediaplex[1].txt
Spyware:Cookie/WinFixer Not disinfected C:\Dokumente und Einstellungen\Heinz\Cookies\heinz@winfixer[2].txt
Adware:Adware/SecurityError Not disinfected C:\!KillBox\$$@$$.del
Potentially unwanted tool:Application/SpyAxe Not disinfected C:\!KillBox\SpyAxe.exe
Adware:Adware/SpyAxe Not disinfected C:\!KillBox\wbeconm.dll
Spyware:Cookie/2o7.net Not disinfected C:\Dokumente und Einstellungen\Heinz\Cookies\heinz@2o7[2].txt
Spyware:Cookie/adultfriendfinder Not disinfected C:\Dokumente und Einstellungen\Heinz\Cookies\heinz@adultfriendfinder[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Heinz\Cookies\heinz@as-eu.falkag[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Heinz\Cookies\heinz@as1.falkag[1].txt
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Heinz\Cookies\heinz@mediaplex[1].txt
Spyware:Cookie/WinFixer Not disinfected C:\Dokumente und Einstellungen\Heinz\Cookies\heinz@winfixer[2].txt
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Heinz\Eigene Dateien\Download\smitRem\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Heinz\Eigene Dateien\Download\smitRem.exe[Process.exe]
Adware:Adware/SecurityError Not disinfected C:\Programme\CleanUp XP\Backup\03.01.2006 16.12.541.zip[220]
Adware:Adware/SpyAxe Not disinfected C:\Programme\CleanUp XP\Backup\03.01.2006 16.12.541.zip[221]


---------------------------------------------------------------------------

Hallo Sabina,
ich habe wie von Dir beschrieben, sämtliche Befunde von Panda mit der HAnd gelöscht. Wie schaut es aus? Bin ich nun befreit?! ICh wünsche es mir, denn es nervt!!! ;)
__________
Carpe diem,
cipro1
Dieser Beitrag wurde am 04.01.2006 um 14:46 Uhr von cipro1 editiert.
Seitenanfang Seitenende
05.01.2006, 00:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 danke, dass du die datei hast ueberpruefen lassen...ich dachte mir schon, dass es eine voellig neue Varainte vom SpyAxe ist ;)

loesche:

C:\Dokumente und Einstellungen\Heinz\Anwendungsdaten\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\SpyAxe 3.0.lnk

C:\Dokumente und Einstellungen\Heinz\Cookies\heinz@winfixer[2].txt

C:\!KillBox\$$@$$.del
C:\!KillBox\SpyAxe.exe
C:\!KillBox\wbeconm.dll

C:\Programme\CleanUp XP\Backup\03.01.2006 16.12.541.zip
C:\Programme\CleanUp XP\Backup\03.01.2006 16.12.541.zip


gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken

Internet - Explorer -- Menü Extras -- Internetoptionen -- Sicherheit
Delete Cookies:
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: