mal wieder spyaxe

#0
03.01.2006, 22:12
...neu hier

Beiträge: 2
#1 hi,
ich gehöre leider auch zu den bemitleidenswerten spyaxe "infizierten". habe eure anleitung zur entfernung durchgeführt. scheint auch wohl geklappt zu haben (kann man sich da aber überhaupt sicher sein?) gibt es zur zeit keinen handelsüblichen freeware virenscaner, der spyaxe erkennt?

leider hat bei mir auch antivir, adaware, spybot u.ä. versagt.

nun habe ich folgende fragen.

1. spyaxe erstellt wohl auch 2 icons auf das desktop
Securitytroubleshooting.url
Online security guide.url
hätten diese nicht auch durch die gepostete anleitung automatisch entfernt werden müssen?

bei der manuellen durchsicht der windows datein (wie von euch gepostet) ist mir nichts aufgefallen.
Ich habe diese dateien aber manuel aus dem ordner autostart entfernen müssen

2. steht der trojaner zlob mit spyaxe in verbindung?
obwohl antivir beim scan meiner dateien nichts gemeldet hat, pop ab und an die meldung auf, dass sich dieser trojaner sich im windows 32 befindet

03.01.2006,21:18:43 [WARNUNG] Ist das Trojanische Pferd TR/Zlob.FG.2.C!
C:\WINDOWS\SYSTEM32\HP79E3.TMP
[INFO] Die Datei wurde gelöscht!
03.01.2006,21:19:24 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Zlob.DQ!
C:\WINDOWS\SYSTEM32\LD78F8.TMP
[INFO] Die Datei wurde gelöscht!
03.01.2006,21:20:14 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Zlob.DR!
C:\WINDOWS\SYSTEM32\MSVOL.TLB
[INFO] Die Datei wurde gelöscht!

3. zur zeit benutze ich den microsoft internet explorer. bin ich z.b. mit firefox besser besser bedient?

ich hoffe, dass meine fragen nicht zu blöd sind.

besten dank für eure antwort.

p.s. ich fühle mit jedem der sich diesen mist eingefangen hat....
Seitenanfang Seitenende
04.01.2006, 15:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 goodtime

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

kopiere die 4 Textdateien
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.01.2006, 21:52
...neu hier

Themenstarter

Beiträge: 2
#3 hi,

danke für die antwort:


hier die savelogs:

wobei ich diesen dann nach anweisung gelöscht habe
O2 - BHO: (no name) - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - (no file)

und die anderen anweisungen auch befolgt habe.

Antivir hat trotz gestriger löschung mal wieder einen Trojaner gefunden:

C:\SYSTEM VOLUME INFORMATION\_RESTORE{32402E38-D589-41E2-8D08-0B9456A1BAA1}\RP375\A0052733.TLB

Ist das Trojanische Pferd TR/Dldr.Zlob.DR

Weiterhin versucht der pc sich des öfteren ins internet zu wählen.

"Schluchz......ich glaube ich muß wohl den rechner platt machen und wieder neu aufbauen lassen *heul*

deprimierte grüße
goodtime z.zt. wohl eher badtime


Logfile of HijackThis v1.99.1
Scan saved at 20:38:16, on 04.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\mnmsrvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sony\vaio media music server\SSSvr.exe
C:\Programme\sony\photo server 20\appsrv\PicAppSrv.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Trend Micro\Tmas\Tmas.exe
C:\Programme\Sony\click to dvd\ctdatsvr.exe
C:\DOKUME~1\Dirk\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\ISW\netcol.dsl\signup\NcDial.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.koeln.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von NetCologne
O2 - BHO: (no name) - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [mmtask] C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Startprogramm für Click to DVD-Automatikmodus.lnk = C:\Programme\Sony\click to dvd\ctdatsvr.exe
O4 - Global Startup: Microsoft Office.lnk.disabled
O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Programme\Trend Micro\Tmas\Tmas.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.internetcologne.de
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: VAIO Media Music Server (Application) (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Programme\Sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (Application) (file missing)
O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)
O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Photo Server (Application) (VAIOMediaPlatform-PhotoServer-AppServer) - Unknown owner - C:\Programme\sony\photo server 20\appsrv\PicAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe


Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 0831-49AA

Verzeichnis von C:\WINDOWS\system32

04.01.2006 20:58 17.145 nvapps.xml
03.01.2006 20:48 1.158 wpa.dbl
03.01.2006 20:44 2.158 tmmute.ini
03.01.2006 19:07 4.286 ot.ico
03.01.2006 19:07 9.792 mssearchnet.exe
03.01.2006 19:07 15.732 nvctrl.exe
02.01.2006 21:13 41.494 perfc009.dat
02.01.2006 21:13 314.730 perfh009.dat
02.01.2006 21:13 320.218 perfh007.dat
02.01.2006 21:13 49.976 perfc007.dat
02.01.2006 21:13 733.904 PerfStringBackup.INI
31.12.2005 02:19 102.400 wbeconm.dll
31.12.2005 02:16 14.664 mscornet.exe
12.12.2005 11:59 16.832 amcompat.tlb
12.12.2005 11:59 23.392 nscompat.tlb
09.12.2005 01:21 2.723.680 MRT.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
11.11.2005 20:10 173.872 FNTCACHE.DAT
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 152.064 cdfview.dll
20.10.2005 23:25 1.094.144 esent.dll
13.10.2005 00:11 15.584 spmsg.dll
13.10.2005 00:11 118.784 sirenacm.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys

Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 0831-49AA

Verzeichnis von C:\DOKUME~1\Dirk\LOKALE~1\Temp

04.01.2006 20:58 136 hpotdd001.log
04.01.2006 20:39 136 hpotdd000.log
2 Datei(en) 272 Bytes
0 Verzeichnis(se), 7.467.458.560 Bytes frei


Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 0831-49AA

Verzeichnis von C:\

04.01.2006 21:00 0 sys.txt
04.01.2006 21:00 9.729 system.txt
04.01.2006 21:00 335 systemtemp.txt
04.01.2006 20:59 111.529 system32.txt
04.01.2006 20:58 536.268.800 hiberfil.sys
04.01.2006 20:58 805.306.368 pagefile.sys
04.01.2006 20:55 1.542 smitfiles.txt
04.01.2006 19:52 2.754 hpfr5100.log
28.01.2005 18:05 211 boot.ini
28.01.2005 17:59 47.564 NTDETECT.COM
29.08.2004 17:20 251.184 ntldr
07.06.2003 08:42 0 IO.SYS
07.06.2003 08:42 0 CONFIG.SYS
07.06.2003 08:42 0 AUTOEXEC.BAT
07.06.2003 08:42 0 MSDOS.SYS
29.08.2002 13:00 4.952 bootfont.bin
16 Datei(en) 1.342.004.968 Bytes
0 Verzeichnis(se), 7.467.401.216 Bytes frei

Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 0831-49AA

Verzeichnis von C:\WINDOWS

04.01.2006 20:59 0 0.log
04.01.2006 20:59 1.157.555 WindowsUpdate.log
04.01.2006 20:59 50 wiaservc.log
04.01.2006 20:59 159 wiadebug.log
04.01.2006 20:56 7.348 setupact.log
04.01.2006 20:52 563.066 ntbtlog.txt
04.01.2006 20:51 32.622 SchedLgU.Txt
03.01.2006 21:16 915.512 setupapi.log
31.12.2005 23:48 3.834 ModemLog_Agere Systems AC'97 Modem.txt
31.12.2005 13:35 105.791 iis6.log
31.12.2005 13:35 136.992 comsetup.log
31.12.2005 13:35 1.943 imsins.log
31.12.2005 13:35 400.183 ocgen.log
31.12.2005 13:35 287.559 tsoc.log
31.12.2005 13:35 34.475 ocmsn.log
31.12.2005 13:35 150.438 ntdtcsetup.log
31.12.2005 13:35 36.795 msgsocm.log
31.12.2005 13:35 688.100 FaxSetup.log
29.12.2005 05:21 31.651 wmsetup.log
15.12.2005 19:01 1.393 imsins.BAK
15.12.2005 19:01 10.395 KB910437.log
15.12.2005 19:01 23.275 updspapi.log
15.12.2005 19:01 16.283 KB905915.log
12.12.2005 12:00 324 wmsetup10.log
12.12.2005 11:58 316.640 WMSysPr9.prx
25.11.2005 22:27 3.681 Active Setup Log.txt
25.11.2005 22:27 3.389 awprotoc.txt
25.11.2005 22:25 8.733 netcfg.log
25.11.2005 22:01 3.677 Active Setup Log.BAK
25.11.2005 22:00 61 awerror.txt
20.11.2005 14:40 304 nsw.log
20.11.2005 13:43 84 RobotError.log
11.11.2005 19:57 11.798 KB896424.log
05.11.2005 08:00 11.498 KB896688.log
29.10.2005 02:10 20.669 KB902400.log
29.10.2005 02:10 13.127 KB900725.log
29.10.2005 02:09 12.070 KB905749.log
28.10.2005 09:11 10.929 KB901017.log
26.10.2005 19:58 11.914 KB905414.log
26.10.2005 19:58 10.738 KB904706.log


[/i]
Seitenanfang Seitenende
04.01.2006, 22:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 goodtime

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm

http://virus-protect.org/reg/mcor.reg

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg

----------------------------------------------------------------
öffne das HijackThis -->
-- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" --


O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe --> das ist ein BLASTER.E WORM.

------------------------------------------------------------------

KILLBOX - Pocket KillBox

http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\tmmute.ini
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\wbeconm.dll
C:\WINDOWS\system32\mscornet.exe

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an
und klicke die

mcor.reg
spyaxe.reg

doppelt --> fuege sie mit "ja" oder "yes" der Registry bei


loeschen:
C:\Dokumente und Einstellungen\Username\Favoriten\Securitytroubleshooting.url
C:\Dokumente und Einstellungen\Username\Favoriten\Online Security Guide.url
--------------------------------------------------------------

SmitRem2.8

http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

-----------------------------------------------------------------
http://virus-protect.org/multiavtool.html
klicke "3" McAfee -- es erscheint ein leeres DOS-Fenster.
- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

scanne mit dem Stinger
http://vil.nai.com/vil/stinger/

W32.Blaster.E.Worm -Removal
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.e.worm.html

----------------------------------------------------------------------

deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
http://virus-protect.org/systemwiederherstellung.html

scanne mit Kaspersky und etrust --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html

scanne mit Panda --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende