Home » Spyware & Browser Hijacker Support Forum » Der zweite Rechner Sabina » Themenansicht

Der zweite Rechner Sabina
#0
04.01.2006, 21:31
cipro1
...neu hier

Beiträge: 4
#1 Hallo Sabina,
nun folgt der zweite Rechner mit dem fürchterlichen SpyAxe 3.0! Ich hoffe und bete zum lieben Herrgott, dass es auch mit diesem Rechner so gut läuft, wie mit dem ersten. Ich danke Dir im Vorraus und melde mich später noch einmal per PN. Hätte da eine Kleinigkeit für Dich! ;) Es folgen die Logfiles!

---------------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 21:20:48, on 04.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\nvctrl.exe
D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\WINDOWS\system32\RunDll32.exe
D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
D:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Messenger\msmsgs.exe
D:\WINDOWS\NCLAUNCH.EXe
D:\Programme\Microsoft Office\Office\FINDFAST.EXE
D:\Programme\Microsoft Office\Office\OSA.EXE
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\DOKUME~1\Gilles\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cipro.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R3 - Default URLSearchHook is missing
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - D:\WINDOWS\system32\hp63AB.tmp (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [DeviceDiscovery] D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] D:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SpyAxe] D:\Programme\SpyAxe\spyaxe.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NCLaunch] D:\WINDOWS\NCLAUNCH.EXe
O4 - Startup: Microsoft-Indexerstellung.lnk = D:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = D:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://d:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://d:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://d:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://d:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://d:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{293A80A2-749E-4CDD-9745-30E5D2B9BF3A}: NameServer = 217.237.151.225 217.237.150.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{293A80A2-749E-4CDD-9745-30E5D2B9BF3A}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE

---------------------------------------------------------------------------

Sabina, reicht es um fortzufahren?! Ich warte auf Dich! ;)

---------------------------------------------------------------------------

Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: 24B4-A40B

Verzeichnis von D:\WINDOWS\system32

04.01.2006 21:06 22.043 FFASTLOG.TXT
03.01.2006 18:00 5.076 ncompat.tlb
01.01.2006 16:09 13.692 wpa.dbl
31.12.2005 04:25 102.400 wbeconm.dll
31.12.2005 04:25 4.286 ot.ico
31.12.2005 04:25 4.286 ts.ico
31.12.2005 04:25 15.520 nvctrl.exe
31.12.2005 04:23 14.680 mscornet.exe
09.12.2005 01:21 2.723.680 MRT.exe
06.12.2005 20:30 7.006 jupdate-1.5.0_06-b05.log
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
10.11.2005 23:15 117.360 FNTCACHE.DAT
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
30.10.2005 05:15 39.992 perfc009.dat
30.10.2005 05:15 311.604 perfh009.dat
30.10.2005 05:15 316.594 perfh007.dat
30.10.2005 05:15 48.156 perfc007.dat
30.10.2005 05:15 723.744 PerfStringBackup.INI
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 55.808 extmgr.dll
20.10.2005 23:25 1.094.144 esent.dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys

---------------------------------------------------------------------------

Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: 24B4-A40B

Verzeichnis von D:\DOKUME~1\Gilles\LOKALE~1\Temp

04.01.2006 21:35 342 ~WRD0000.doc
04.01.2006 21:34 512 ~DFC045.tmp
04.01.2006 21:18 16.384 ~DFAB84.tmp
04.01.2006 21:06 133 hpotdd001.log
4 Datei(en) 17.371 Bytes
0 Verzeichnis(se), 26.318.987.264 Bytes frei

---------------------------------------------------------------------------

Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: 24B4-A40B

Verzeichnis von D:\WINDOWS

04.01.2006 20:48 1.658.208 WindowsUpdate.log
04.01.2006 20:47 0 0.log
04.01.2006 20:46 2.048 bootstat.dat
04.01.2006 07:50 32.540 SchedLgU.Txt
04.01.2006 07:40 191.855 setupact.log
03.01.2006 17:59 216 wiadebug.log
03.01.2006 17:02 50 wiaservc.log
01.01.2006 12:20 7.817 Gilles8.xlb
01.01.2006 12:20 567.296 offitems.log
31.12.2005 17:42 71.406 wmsetup.log
31.12.2005 15:32 637.817 setupapi.log
15.12.2005 17:29 113.819 comsetup.log
15.12.2005 17:29 68.250 ntdtcsetup.log
15.12.2005 17:29 47.427 iis6.log
15.12.2005 17:29 17.502 ocmsn.log
15.12.2005 17:29 1.393 imsins.log
15.12.2005 17:29 123.154 tsoc.log
15.12.2005 17:29 9.424 KB910437.log
15.12.2005 17:29 15.962 msgsocm.log
15.12.2005 17:29 163.112 ocgen.log
15.12.2005 17:29 306.965 FaxSetup.log
15.12.2005 17:29 21.761 updspapi.log
15.12.2005 17:29 19.261 KB905915.log
27.11.2005 09:34 99.970 UninstallFirefox.exe
27.11.2005 09:34 4.899 mozver.dat
20.11.2005 08:37 116 NeroDigital.ini
10.11.2005 08:36 11.949 KB896424.log
22.10.2005 07:46 21.151 KB901017.log
22.10.2005 07:45 24.804 KB902400.log
22.10.2005 07:45 15.227 KB896688.log
22.10.2005 07:44 13.691 KB905414.log
22.10.2005 07:44 13.731 KB900725.log
22.10.2005 07:44 11.314 KB904706.log
22.10.2005 07:44 11.961 KB905749.log

---------------------------------------------------------------------------

Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: 24B4-A40B

Verzeichnis von D:\

04.01.2006 21:47 0 sys.txt
04.01.2006 21:46 7.507 system.txt
04.01.2006 21:46 443 systemtemp.txt
04.01.2006 21:44 90.980 system32.txt
04.01.2006 20:46 301.989.888 pagefile.sys
01.01.2006 12:17 5.014 ffastun.ffa
01.01.2006 12:17 102.400 ffastun.ffo
01.01.2006 12:17 303.104 ffastun.ffl
01.01.2006 12:17 1.433.600 ffastun0.ffx
9 Datei(en) 303.932.936 Bytes
0 Verzeichnis(se), 26.318.979.072 Bytes frei
__________
Carpe diem,
cipro1
Dieser Beitrag wurde am 04.01.2006 um 21:49 Uhr von cipro1 editiert.
Seitenanfang Seitenende
05.01.2006, 01:04
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 cipro1

auf diesem PC gibt es mehr Malware, als den SpyAxe.....

--------------------------------------------------------------------------
mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm

http://virus-protect.org/reg/mcor.reg

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg

-----------------------------------------------------------------------
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R3 - Default URLSearchHook is missing
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - D:\WINDOWS\system32\hp63AB.tmp (file missing)
O4 - HKLM\..\Run: [SpyAxe] D:\Programme\SpyAxe\spyaxe.exe /h
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

-------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

D:\WINDOWS\system32\ncompat.tlb
D:\WINDOWS\system32\wbeconm.dll
D:\WINDOWS\system32\ot.ico
D:\WINDOWS\system32\ts.ico
D:\WINDOWS\system32\nvctrl.exe
D:\WINDOWS\system32\mscornet.exe

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an
und klicke die

mcor.reg
spyaxe.reg

doppelt --> fuege sie mit "ja" oder "yes" der Registry bei

--------------
loeschen:
D:\Programme\SpyAxe

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

---------------------------------------------------------------------
deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
http://virus-protect.org/systemwiederherstellung.html

---------------------------------------------------------------
multiavtool.
http://virus-protect.org/multiavtool.html
klicke "3" McAfee -- es erscheint ein leeres DOS-Fenster.
- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\



scanne mit Kaspersky und etrust --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html

scanne mit Panda --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1