Problem bei der Spyaxe-Entfernung |
||
---|---|---|
#0
| ||
06.01.2006, 21:09
...neu hier
Beiträge: 1 |
||
|
||
07.01.2006, 01:20
Ehrenmitglied
Beiträge: 29434 |
#2
Bastelhannes
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" O2 - BHO: HomepageBHO - {27150f81-0877-42e9-af13-55e5a3439a26} - C:\WINDOWS\System32\hpAC51.tmp O4 - HKLM\..\Run: [dflnl.exe] C:\WINDOWS\System32\dflnl.exe O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot / Process all in List )--> anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\ncompat.tlb C:\WINDOWS\system32\ld31D4.tmp C:\WINDOWS\system32\ot.ico C:\WINDOWS\system32\ts.ico C:\WINDOWS\system32\amcompat.tlb C:\WINDOWS\system32\nscompat.tlb C:\WINDOWS\system32\hpAC51.tmp C:\WINDOWS\system32\netwrap.dll C:\WINDOWS\system32\mssearchnet.exe C:\WINDOWS\system32\1024\ld54D1.tmp C:\WINDOWS\system32\1024\ldA1FA.tmp C:\WINDOWS\system32\nvctrl.exe C:\WINDOWS\system32\svchosts.dll_tobedeleted C:\WINDOWS\system32\mscornet.exe C:\WINDOWS\System32\hgqhp.exe C:\WINDOWS\System32\dflnl.exe PC neustarten C:\WINDOWS\system32\1024 <-loeschen SmitRem2.8 http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) -------------------------------------------------------------------------- Registry Search Tool http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren Doppelklick:regsrch.vbs reinkopieren: spywarestrike Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) ---------------------------------------------------------------------------- da ist noch eine Wareout-Verseuchung drauf...deine Internetverbindung (017)..verstellt: also: Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine log-datei auf dem Desktop: kopiere sie in deinen Thread Zitat inetnum: 85.255.112.0 - 85.255.127.255 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
Ich habe versucht die Anleitung von Sabina abzuarbeiten, aber jetzt habe ich folgendes Problem:
Nachdem ich mit HijackThis den log-File erstellt habe und diesen durchsucht habe, finde ich nichts mit Spyaxe. Das blöde Icon von Spyaxe ist aber munter inmeiner Taskleiste am blinken und der Rechner will stänig ins Internet. Wer kann mir bitte weiterhelfen?
Hier der Log-File:
Logfile of HijackThis v1.99.1
Scan saved at 20:52:28, on 06.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\mssearchnet.exe
C:\Programme\QKeys\QKeys.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\MSTMON_S.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe
C:\Programme\Siemens\Gigaset USB Stick 54\Gcc.exe
C:\Programme\Nikon\NkView5\NkvMon.exe
C:\Programme\Siemens\Gigaset USB Stick 54\OdHost.exe
C:\Dokumente und Einstellungen\Norman\Desktop\hijackthis\HijackThis.exe
O2 - BHO: HomepageBHO - {27150f81-0877-42e9-af13-55e5a3439a26} - C:\WINDOWS\System32\hpAC51.tmp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QKeys] C:\Programme\QKeys\QKeys.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KONICA MINOLTA magicolor 2400W STD] C:\WINDOWS\System32\MSTMON_S.EXE STARTUP
O4 - HKLM\..\Run: [dflnl.exe] C:\WINDOWS\System32\dflnl.exe
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Stick 54\Gcc.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136497876862
O17 - HKLM\System\CCS\Services\Tcpip\..\{04328ACD-FAE0-4B73-9D2D-169E815106DB}: NameServer = 85.255.115.4,85.255.112.16
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B6A5134-D058-4F1D-A0EF-D27238BD8F71}: NameServer = 85.255.115.4,85.255.112.16
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2923A79-9F4F-4048-B812-A1DCF0D33C61}: NameServer = 85.255.115.4,85.255.112.16
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5932F4D-4734-4F0B-8146-F5784A8FA862}: NameServer = 85.255.115.4,85.255.112.16
O17 - HKLM\System\CS1\Services\Tcpip\..\{04328ACD-FAE0-4B73-9D2D-169E815106DB}: NameServer = 85.255.115.4,85.255.112.16
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
Und hier sind die Ergebnisse von datFind.bat:
Verzeichnis von C:\WINDOWS\system32
06.01.2006 21:23 5.096 ncompat.tlb
06.01.2006 20:39 24.064 ld31D4.tmp
06.01.2006 00:57 311.938 perfh009.dat
06.01.2006 00:57 40.326 perfc009.dat
06.01.2006 00:57 317.168 perfh007.dat
06.01.2006 00:57 48.552 perfc007.dat
06.01.2006 00:57 723.744 PerfStringBackup.INI
06.01.2006 00:55 2.206 wpa.dbl
06.01.2006 00:53 251 spupdwxp.log
06.01.2006 00:52 218.136 FNTCACHE.DAT
05.01.2006 22:44 4.286 ot.ico
05.01.2006 22:44 4.286 ts.ico
05.01.2006 22:34 16.832 amcompat.tlb
05.01.2006 22:34 23.392 nscompat.tlb
05.01.2006 20:17 10.028 hpAC51.tmp
05.01.2006 19:28 102.400 netwrap.dll
05.01.2006 19:28 9.800 mssearchnet.exe
05.01.2006 18:58 15.752 nvctrl.exe
05.01.2006 00:23 98.304 svchosts.dll_tobedeleted
05.01.2006 00:14 14.676 mscornet.exe
04.01.2006 08:17 13.312 Thumbs.db
08.12.2005 16:25 2.723.680 MRT.exe
15.11.2005 12:12 117.976 hashlib.dll
15.11.2005 12:12 126.680 GCCollection.dll
15.11.2005 12:12 95.448 gcUnCompress.dll
04.11.2005 16:27 534.280 LegitCheckControl.DLL
04.11.2005 16:27 23.304 GWFSPidGen.DLL
Verzeichnis von C:\DOKUME~1\Norman\LOKALE~1\Temp
06.01.2006 20:41 16.384 ~DFE5FA.tmp
06.01.2006 20:39 32.768 ~DF111.tmp
06.01.2006 20:39 32.768 ~DFC7D1.tmp
06.01.2006 20:39 206 jusched.log
4 Datei(en) 82.126 Bytes
0 Verzeichnis(se), 5.727.940.608 Bytes frei
Verzeichnis von C:\WINDOWS
06.01.2006 20:39 21.651 MSTMON_S.INI
06.01.2006 20:39 155.557 WindowsUpdate.log
06.01.2006 20:39 159 wiadebug.log
06.01.2006 20:38 50 wiaservc.log
06.01.2006 20:38 0 0.log
06.01.2006 20:38 2.048 bootstat.dat
06.01.2006 20:37 32.536 SchedLgU.Txt
06.01.2006 00:58 29.281 spupdsvc.log
06.01.2006 00:57 360 DtcInstall.log
06.01.2006 00:57 24.021 wmsetup.log
06.01.2006 00:57 316.640 WMSysPr9.prx
06.01.2006 00:56 1.510 OEWABLog.txt
06.01.2006 00:56 20.034 iis6.log
06.01.2006 00:56 62.315 comsetup.log
06.01.2006 00:56 38.982 ntdtcsetup.log
06.01.2006 00:56 67.136 tsoc.log
06.01.2006 00:56 8.116 ocmsn.log
06.01.2006 00:56 4.635 imsins.log
06.01.2006 00:56 96.064 ocgen.log
06.01.2006 00:56 8.486 msgsocm.log
06.01.2006 00:56 149.743 FaxSetup.log
06.01.2006 00:56 203.805 setupapi.log
06.01.2006 00:54 694.283 setuplog.txt
06.01.2006 00:50 1.355 imsins.BAK
06.01.2006 00:50 440.320 svcpack.log
06.01.2006 00:45 200 cmsetacl.log
06.01.2006 00:45 652 win.ini
06.01.2006 00:44 1.330 sessmgr.setup.log
05.01.2006 23:20 28.294 xpsp1hfm.log
05.01.2006 23:20 36.220 KB835732.log
05.01.2006 23:20 1.065.748 setupapi.log.0.old
05.01.2006 23:19 51.102 Q810833.log
05.01.2006 23:18 23.644 KB834707-IE6SP1-20040929.091901.log
05.01.2006 23:17 24.056 KB828741.log
05.01.2006 23:16 14.315 Q329834.log
05.01.2006 23:16 40.341 KB823559.log
05.01.2006 23:15 39.898 Q817606.log
05.01.2006 23:13 39.453 Q329441.log
05.01.2006 23:12 36.076 Q810577.log
05.01.2006 23:11 33.006 Q811630.log
05.01.2006 23:09 29.223 Q329170.log
05.01.2006 23:08 2.758 Q329115.log
05.01.2006 23:07 2.395 Q329390.log
05.01.2006 23:07 2.099 Q323255.log
05.01.2006 23:07 1.114 Q329048.log
05.01.2006 22:55 6.242 KB842773.log
05.01.2006 22:55 174.980 setupact.log
05.01.2006 22:45 1.088 KB905915-IE6SP1-20051122.175908.log
05.01.2006 22:34 22.513 Active Setup Log.txt
05.01.2006 21:15 79.360 Thumbs.db
05.01.2006 21:14 49 NeroDigital.ini
09.12.2005 21:35 12.862 EPISMG00.SWB
01.11.2005 17:43 15.868 ModemLog_Smart Link 56K Modem.txt
01.11.2005 13:06 1.906 ModemLog_Uni_mod_64K.txt
Verzeichnis von C:\
06.01.2006 21:28 0 sys.txt
06.01.2006 21:27 8.603 system.txt
06.01.2006 21:26 439 systemtemp.txt
06.01.2006 21:24 94.910 system32.txt
06.01.2006 20:38 805.306.368 pagefile.sys
06.01.2006 00:45 211 boot.ini
06.01.2006 00:30 47.564 NTDETECT.COM
06.01.2006 00:30 251.184 ntldr
05.01.2006 21:20 10.240 Thumbs.db
09.09.2005 18:54 26.488 MDacLog.txt
So, ich hoffe damit kann jemand etwas anfangen.
Ich werde da nicht draus schlau!
Schonmal verschärften Dank für die Hilfe!
Gruß Norman
So, habe gerade den Kaspersky Online Scanner genutzt.
Hier das Ergebnis:
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Friday, January 06, 2006 23:21:03
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 6/01/2006
Kaspersky Anti-Virus database records: 159191
-------------------------------------------------------------------------------
Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true
Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
Scan Statistics:
Total number of scanned objects: 62480
Number of viruses found: 6
Number of infected objects: 8
Number of suspicious objects: 0
Duration of the scan process: 3149 sec
Infected Object Name - Virus Name
C:\WINDOWS\system32\1024\ld54D1.tmp Infected: Trojan-Downloader.Win32.Zlob.dd
C:\WINDOWS\system32\1024\ldA1FA.tmp Infected: Trojan-Downloader.Win32.Zlob.dd
C:\WINDOWS\system32\ld31D4.tmp Infected: Trojan-Downloader.Win32.Zlob.ea
C:\WINDOWS\system32\mscornet.exe Infected: Trojan-Downloader.Win32.Zlob.dy
C:\WINDOWS\system32\mssearchnet.exe Infected: Trojan-Downloader.Win32.Zlob.ea
C:\WINDOWS\system32\netwrap.dll Infected: not-virus:Hoax.Win32.Renos.am
C:\WINDOWS\system32\nvctrl.exe Infected: Trojan-Downloader.Win32.Zlob.dz
C:\WINDOWS\system32\svchosts.dll_tobedeleted Infected: not-virus:Hoax.Win32.Renos.af
Scan process completed.
mscornet.exe und mssearchnet.exe lassen sich manuell nicht entfernen.
Ich bekomme den Hinweis, dass die Datei gerade genutzt wird und nicht geändert werden kann.