mal wieder spyaxe |
||
---|---|---|
#0
| ||
03.01.2006, 22:12
...neu hier
Beiträge: 2 |
||
|
||
04.01.2006, 15:06
Ehrenmitglied
Beiträge: 29434 |
#2
goodtime
Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" stelle den Cleaner genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html kopiere die 4 Textdateien http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.01.2006, 21:52
...neu hier
Themenstarter Beiträge: 2 |
#3
hi,
danke für die antwort: hier die savelogs: wobei ich diesen dann nach anweisung gelöscht habe O2 - BHO: (no name) - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - (no file) und die anderen anweisungen auch befolgt habe. Antivir hat trotz gestriger löschung mal wieder einen Trojaner gefunden: C:\SYSTEM VOLUME INFORMATION\_RESTORE{32402E38-D589-41E2-8D08-0B9456A1BAA1}\RP375\A0052733.TLB Ist das Trojanische Pferd TR/Dldr.Zlob.DR Weiterhin versucht der pc sich des öfteren ins internet zu wählen. "Schluchz......ich glaube ich muß wohl den rechner platt machen und wieder neu aufbauen lassen *heul* deprimierte grüße goodtime z.zt. wohl eher badtime Logfile of HijackThis v1.99.1 Scan saved at 20:38:16, on 04.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\System32\mnmsrvc.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sony\vaio media music server\SSSvr.exe C:\Programme\sony\photo server 20\appsrv\PicAppSrv.exe C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe C:\WINDOWS\system32\cidaemon.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Trend Micro\Tmas\Tmas.exe C:\Programme\Sony\click to dvd\ctdatsvr.exe C:\DOKUME~1\Dirk\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe C:\WINDOWS\ISW\netcol.dsl\signup\NcDial.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.koeln.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von NetCologne O2 - BHO: (no name) - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [mmtask] C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Startprogramm für Click to DVD-Automatikmodus.lnk = C:\Programme\Sony\click to dvd\ctdatsvr.exe O4 - Global Startup: Microsoft Office.lnk.disabled O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Programme\Trend Micro\Tmas\Tmas.exe O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.internetcologne.de O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O15 - Trusted Zone: *.musicmatch.com (HKLM) O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe O23 - Service: VAIO Media Music Server (Application) (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Programme\Sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (Application) (file missing) O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing) O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe O23 - Service: VAIO Media Photo Server (Application) (VAIOMediaPlatform-PhotoServer-AppServer) - Unknown owner - C:\Programme\sony\photo server 20\appsrv\PicAppSrv.exe O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing) O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe Datentr„ger in Laufwerk C: ist VAIO Volumeseriennummer: 0831-49AA Verzeichnis von C:\WINDOWS\system32 04.01.2006 20:58 17.145 nvapps.xml 03.01.2006 20:48 1.158 wpa.dbl 03.01.2006 20:44 2.158 tmmute.ini 03.01.2006 19:07 4.286 ot.ico 03.01.2006 19:07 9.792 mssearchnet.exe 03.01.2006 19:07 15.732 nvctrl.exe 02.01.2006 21:13 41.494 perfc009.dat 02.01.2006 21:13 314.730 perfh009.dat 02.01.2006 21:13 320.218 perfh007.dat 02.01.2006 21:13 49.976 perfc007.dat 02.01.2006 21:13 733.904 PerfStringBackup.INI 31.12.2005 02:19 102.400 wbeconm.dll 31.12.2005 02:16 14.664 mscornet.exe 12.12.2005 11:59 16.832 amcompat.tlb 12.12.2005 11:59 23.392 nscompat.tlb 09.12.2005 01:21 2.723.680 MRT.exe 01.12.2005 04:31 1.492.480 shdocvw.dll 24.11.2005 00:58 3.013.632 mshtml.dll 24.11.2005 00:58 1.022.464 browseui.dll 11.11.2005 20:10 173.872 FNTCACHE.DAT 05.11.2005 04:16 606.208 urlmon.dll 05.11.2005 04:16 1.056.256 danim.dll 21.10.2005 04:40 664.064 wininet.dll 21.10.2005 04:40 474.112 shlwapi.dll 21.10.2005 04:40 530.944 mstime.dll 21.10.2005 04:40 39.424 pngfilt.dll 21.10.2005 04:40 146.432 msrating.dll 21.10.2005 04:40 448.512 mshtmled.dll 21.10.2005 04:40 96.768 inseng.dll 21.10.2005 04:40 55.808 extmgr.dll 21.10.2005 04:40 251.392 iepeers.dll 21.10.2005 04:40 205.312 dxtrans.dll 21.10.2005 04:40 152.064 cdfview.dll 20.10.2005 23:25 1.094.144 esent.dll 13.10.2005 00:11 15.584 spmsg.dll 13.10.2005 00:11 118.784 sirenacm.dll 06.10.2005 04:18 280.064 gdi32.dll 06.10.2005 04:08 1.839.616 win32k.sys Datentr„ger in Laufwerk C: ist VAIO Volumeseriennummer: 0831-49AA Verzeichnis von C:\DOKUME~1\Dirk\LOKALE~1\Temp 04.01.2006 20:58 136 hpotdd001.log 04.01.2006 20:39 136 hpotdd000.log 2 Datei(en) 272 Bytes 0 Verzeichnis(se), 7.467.458.560 Bytes frei Datentr„ger in Laufwerk C: ist VAIO Volumeseriennummer: 0831-49AA Verzeichnis von C:\ 04.01.2006 21:00 0 sys.txt 04.01.2006 21:00 9.729 system.txt 04.01.2006 21:00 335 systemtemp.txt 04.01.2006 20:59 111.529 system32.txt 04.01.2006 20:58 536.268.800 hiberfil.sys 04.01.2006 20:58 805.306.368 pagefile.sys 04.01.2006 20:55 1.542 smitfiles.txt 04.01.2006 19:52 2.754 hpfr5100.log 28.01.2005 18:05 211 boot.ini 28.01.2005 17:59 47.564 NTDETECT.COM 29.08.2004 17:20 251.184 ntldr 07.06.2003 08:42 0 IO.SYS 07.06.2003 08:42 0 CONFIG.SYS 07.06.2003 08:42 0 AUTOEXEC.BAT 07.06.2003 08:42 0 MSDOS.SYS 29.08.2002 13:00 4.952 bootfont.bin 16 Datei(en) 1.342.004.968 Bytes 0 Verzeichnis(se), 7.467.401.216 Bytes frei Datentr„ger in Laufwerk C: ist VAIO Volumeseriennummer: 0831-49AA Verzeichnis von C:\WINDOWS 04.01.2006 20:59 0 0.log 04.01.2006 20:59 1.157.555 WindowsUpdate.log 04.01.2006 20:59 50 wiaservc.log 04.01.2006 20:59 159 wiadebug.log 04.01.2006 20:56 7.348 setupact.log 04.01.2006 20:52 563.066 ntbtlog.txt 04.01.2006 20:51 32.622 SchedLgU.Txt 03.01.2006 21:16 915.512 setupapi.log 31.12.2005 23:48 3.834 ModemLog_Agere Systems AC'97 Modem.txt 31.12.2005 13:35 105.791 iis6.log 31.12.2005 13:35 136.992 comsetup.log 31.12.2005 13:35 1.943 imsins.log 31.12.2005 13:35 400.183 ocgen.log 31.12.2005 13:35 287.559 tsoc.log 31.12.2005 13:35 34.475 ocmsn.log 31.12.2005 13:35 150.438 ntdtcsetup.log 31.12.2005 13:35 36.795 msgsocm.log 31.12.2005 13:35 688.100 FaxSetup.log 29.12.2005 05:21 31.651 wmsetup.log 15.12.2005 19:01 1.393 imsins.BAK 15.12.2005 19:01 10.395 KB910437.log 15.12.2005 19:01 23.275 updspapi.log 15.12.2005 19:01 16.283 KB905915.log 12.12.2005 12:00 324 wmsetup10.log 12.12.2005 11:58 316.640 WMSysPr9.prx 25.11.2005 22:27 3.681 Active Setup Log.txt 25.11.2005 22:27 3.389 awprotoc.txt 25.11.2005 22:25 8.733 netcfg.log 25.11.2005 22:01 3.677 Active Setup Log.BAK 25.11.2005 22:00 61 awerror.txt 20.11.2005 14:40 304 nsw.log 20.11.2005 13:43 84 RobotError.log 11.11.2005 19:57 11.798 KB896424.log 05.11.2005 08:00 11.498 KB896688.log 29.10.2005 02:10 20.669 KB902400.log 29.10.2005 02:10 13.127 KB900725.log 29.10.2005 02:09 12.070 KB905749.log 28.10.2005 09:11 10.929 KB901017.log 26.10.2005 19:58 11.914 KB905414.log 26.10.2005 19:58 10.738 KB904706.log [/i] |
|
|
||
04.01.2006, 22:55
Ehrenmitglied
Beiträge: 29434 |
#4
goodtime
mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm http://virus-protect.org/reg/mcor.reg rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm. http://virus-protect.org/reg/spyaxe.reg ---------------------------------------------------------------- öffne das HijackThis --> -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe --> das ist ein BLASTER.E WORM. ------------------------------------------------------------------ KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot / Process all in List )--> anhaken reinkopieren: und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\tmmute.ini C:\WINDOWS\system32\ot.ico C:\WINDOWS\system32\mssearchnet.exe C:\WINDOWS\system32\nvctrl.exe C:\WINDOWS\system32\wbeconm.dll C:\WINDOWS\system32\mscornet.exe starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg spyaxe.reg doppelt --> fuege sie mit "ja" oder "yes" der Registry bei loeschen: C:\Dokumente und Einstellungen\Username\Favoriten\Securitytroubleshooting.url C:\Dokumente und Einstellungen\Username\Favoriten\Online Security Guide.url -------------------------------------------------------------- SmitRem2.8 http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) ----------------------------------------------------------------- http://virus-protect.org/multiavtool.html klicke "3" McAfee -- es erscheint ein leeres DOS-Fenster. - man muss eingeben, was gescannt werden soll - C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen: - C:\Windows - C:\ scanne mit dem Stinger http://vil.nai.com/vil/stinger/ W32.Blaster.E.Worm -Removal http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.e.worm.html ---------------------------------------------------------------------- deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder) http://virus-protect.org/systemwiederherstellung.html scanne mit Kaspersky und etrust --> loesche dann manuell, was gefunden wird http://virus-protect.org/onlinescan.html scanne mit Panda --> loesche dann manuell, was gefunden wird http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ich gehöre leider auch zu den bemitleidenswerten spyaxe "infizierten". habe eure anleitung zur entfernung durchgeführt. scheint auch wohl geklappt zu haben (kann man sich da aber überhaupt sicher sein?) gibt es zur zeit keinen handelsüblichen freeware virenscaner, der spyaxe erkennt?
leider hat bei mir auch antivir, adaware, spybot u.ä. versagt.
nun habe ich folgende fragen.
1. spyaxe erstellt wohl auch 2 icons auf das desktop
Securitytroubleshooting.url
Online security guide.url
hätten diese nicht auch durch die gepostete anleitung automatisch entfernt werden müssen?
bei der manuellen durchsicht der windows datein (wie von euch gepostet) ist mir nichts aufgefallen.
Ich habe diese dateien aber manuel aus dem ordner autostart entfernen müssen
2. steht der trojaner zlob mit spyaxe in verbindung?
obwohl antivir beim scan meiner dateien nichts gemeldet hat, pop ab und an die meldung auf, dass sich dieser trojaner sich im windows 32 befindet
03.01.2006,21:18:43 [WARNUNG] Ist das Trojanische Pferd TR/Zlob.FG.2.C!
C:\WINDOWS\SYSTEM32\HP79E3.TMP
[INFO] Die Datei wurde gelöscht!
03.01.2006,21:19:24 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Zlob.DQ!
C:\WINDOWS\SYSTEM32\LD78F8.TMP
[INFO] Die Datei wurde gelöscht!
03.01.2006,21:20:14 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Zlob.DR!
C:\WINDOWS\SYSTEM32\MSVOL.TLB
[INFO] Die Datei wurde gelöscht!
3. zur zeit benutze ich den microsoft internet explorer. bin ich z.b. mit firefox besser besser bedient?
ich hoffe, dass meine fragen nicht zu blöd sind.
besten dank für eure antwort.
p.s. ich fühle mit jedem der sich diesen mist eingefangen hat....