SpyAxe infiziert (HijackThis! Logfile)

Thema ist geschlossen!
Thema ist geschlossen!
#0
07.01.2006, 22:33
...neu hier

Beiträge: 7
#1 Sorry, ich war vorher im falschen Forum...

Hallo, ich habe meinen Rechner leider auch mit dem SpyAxe Virus infiziert. Bitte daher um Hilfe. Hier ist mein HiJackThis! Logfile. Vielen Dank im Voraus.

Logfile of HijackThis v1.99.1
Scan saved at 22:04:24, on 07.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\SpywareStrike\SpywareStrike.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SpywareStrike\SpywareStrike.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX05.766\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0407/bl8.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/0407/bl7.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0407/bl8.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/0407/bl7.asp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.compaq.com/1Q00CDT/0407/bl7.asp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: HomepageBHO - {27150f81-0877-42e9-af13-55e5a3439a26} - C:\WINDOWS\system32\hp2BDE.tmp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Lwinst Run Profiler] .\Lwtest.exe /detect /quiet /launch ".\Lwpevntm.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpywareStrike] C:\Programme\SpywareStrike\SpywareStrike.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk.disabled
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk.disabled
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4620BC29-8B8E-4F4E-9D92-1DB6633D6793} (SurferNETWORK Plugin) - http://rd1.surfernetwork.com/surferplugin.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123321485000
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123322371819
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB1CFFF6-AAC4-4590-827D-A8698489A0A8}: NameServer = 194.25.2.129
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Und hier sind meine Datfiles:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8420-9E48

Verzeichnis von C:\WINDOWS\system32

07.01.2006 22:16 5.052 ncompat.tlb
07.01.2006 21:59 29.204 nvapps.xml
07.01.2006 21:58 20.992 ldAE8F.tmp
07.01.2006 21:52 4.286 ot.ico
07.01.2006 21:52 4.286 ts.ico
07.01.2006 19:23 102.400 netwrap.dll
07.01.2006 19:23 9.196 mssearchnet.exe
07.01.2006 19:23 10.039 hp2BDE.tmp
07.01.2006 19:23 15.768 nvctrl.exe
07.01.2006 19:16 13.808 mscornet.exe

29.12.2005 03:54 280.064 gdi32.dll
29.12.2005 00:18 1.158 wpa.dbl
25.12.2005 19:10 133.280 FNTCACHE.DAT
14.12.2005 20:44 1.205 lvcoinst.log
09.12.2005 01:21 2.723.680 MRT.exe
05.12.2005 12:39 176.167 rmoc3260.dll
05.12.2005 12:39 5.632 pndx5032.dll
05.12.2005 12:39 6.656 pndx5016.dll
05.12.2005 12:39 278.528 pncrt.dll
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
20.11.2005 02:26 9.728 ff_vfw.dll
05.11.2005 17:46 537 ff_vfw.dll.manifest
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
03.11.2005 20:48 316.594 perfh007.dat
03.11.2005 20:48 39.992 perfc009.dat
03.11.2005 20:48 48.156 perfc007.dat
03.11.2005 20:48 311.604 perfh009.dat
03.11.2005 20:48 723.568 PerfStringBackup.INI

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8420-9E48

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

07.01.2006 22:03 16.384 ~DFF69.tmp
07.01.2006 21:59 659 LVCOMSX.LOG
07.01.2006 21:59 31.692 SSLanguage.ini
07.01.2006 21:59 204 jusched.log
03.01.2006 04:38 123 3FCA41B8.TMP
03.11.2005 20:43 24.576 IadHide4.dll
6 Datei(en) 73.638 Bytes
0 Verzeichnis(se), 6.540.955.648 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8420-9E48

Verzeichnis von C:\WINDOWS

07.01.2006 21:59 0 0.log
07.01.2006 21:59 1.726.874 WindowsUpdate.log
07.01.2006 21:59 159 wiadebug.log
07.01.2006 21:59 50 wiaservc.log
07.01.2006 21:58 2.048 bootstat.dat
07.01.2006 21:57 12.996 SchedLgU.Txt
07.01.2006 20:29 2.909 KB893803v2Uninst.log
07.01.2006 20:29 574.021 iis6.log
07.01.2006 20:29 84.000 ntdtcsetup.log
07.01.2006 20:29 139.775 comsetup.log
07.01.2006 20:29 24.838 tabletoc.log
07.01.2006 20:29 1.355 imsins.log
07.01.2006 20:29 226.951 tsoc.log
07.01.2006 20:29 17.756 ocmsn.log
07.01.2006 20:29 247.950 ocgen.log
07.01.2006 20:29 24.198 msgsocm.log
07.01.2006 20:29 84.010 netfxocm.log
07.01.2006 20:29 20.563 medctroc.Log
07.01.2006 20:29 473.956 FaxSetup.log
07.01.2006 20:29 156.652 msmqinst.log
07.01.2006 19:44 583 win.ini
07.01.2006 00:31 62.567 wmsetup.log
06.01.2006 20:39 54.156 QTFont.qfn
05.01.2006 22:36 1.355 imsins.BAK
05.01.2006 22:36 11.003 KB912919.log
05.01.2006 22:36 26.438 updspapi.log
30.12.2005 19:08 139 KPCMS.INI
29.12.2005 19:24 1.409 QTFont.for
16.12.2005 20:01 10.260 KB910437.log
16.12.2005 20:01 16.736 KB905915.log
14.12.2005 20:55 214.317 setupact.log
14.12.2005 20:55 972.611 setupapi.log
05.12.2005 16:20 500 GEARInstall.log
05.12.2005 12:49 24 cdplayer.ini
22.11.2005 18:36 49 StreamRipper32.INI
22.11.2005 18:36 322 sripper.ini
22.11.2005 01:22 155 winamp.ini
08.11.2005 19:43 11.799 KB896424.log
03.11.2005 20:44 101 msxmlcab.log
03.11.2005 20:44 316.640 WMSysPr9.prx
03.11.2005 20:43 81.920 bwUnin-6.1.4.68-8876480L.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8420-9E48

Verzeichnis von C:\

07.01.2006 22:23 0 sys.txt
07.01.2006 22:22 8.858 system.txt
07.01.2006 22:22 544 systemtemp.txt
07.01.2006 22:18 108.860 system32.txt
07.01.2006 21:58 804.835.328 hiberfil.sys
07.01.2006 21:58 1.195.376.640 pagefile.sys
03.11.2005 20:43 183 LogiSetup.log
22.10.2005 07:22 9.345.054 AVG7DB_F.DAT
08.08.2005 07:00 12.360.689 AVG7QT.DAT
06.08.2005 12:16 211 boot.ini
06.08.2005 12:10 47.564 NTDETECT.COM
06.08.2005 12:10 251.184 ntldr
18.07.2005 17:29 0 MSDOS.SYS
18.07.2005 17:29 0 IO.SYS
02.04.2003 03:00 4.952 bootfont.bin
15 Datei(en) 2.022.340.067 Bytes
0 Verzeichnis(se), 6.540.939.264 Bytes frei

Danke schonmal für die Hilfe. :o)

Gruß
Stefan
Seitenanfang Seitenende
08.01.2006, 00:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Brettner

Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

SpywareStrike

Press 'OK'

---------------------

danach beginnt die Reinigung ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.01.2006, 00:25
...neu hier

Themenstarter

Beiträge: 7
#3 Hi Sabina,

danke, das habe ich jetzt gemacht. Nun hat er mir folgendes Protokoll ausgeworfen:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "SpywareStrike" 08.01.2006 00:24:17

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\SpywareStrike.EXE]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C1A4C0C9-DBD0-493A-93F8-0B05EDC96224}\1.0]
@="SpywareStrike 1.0 Type Library"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C1A4C0C9-DBD0-493A-93F8-0B05EDC96224}\1.0\0\win32]
@="C:\\Programme\\SpywareStrike\\SpywareStrike.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C1A4C0C9-DBD0-493A-93F8-0B05EDC96224}\1.0\HELPDIR]
@="C:\\Programme\\SpywareStrike\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SpywareStrike.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SpywareStrike.exe]
@="C:\\Programme\\SpywareStrike\\SpywareStrike.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpywareStrike"="C:\\Programme\\SpywareStrike\\SpywareStrike.exe /h"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareStrike]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareStrike]
"DisplayName"="SpywareStrike 2.5"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareStrike]
"UninstallString"="C:\\Programme\\SpywareStrike\\uninst.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareStrike]
"DisplayIcon"="C:\\Programme\\SpywareStrike\\SpywareStrike.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareStrike]
"NSIS:StartMenuDir"="SpywareStrike"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareStrike]
"URLInfoAbout"="http://www.spywarestrike.com"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareStrike]
"Publisher"="SpywareStrike"

[HKEY_LOCAL_MACHINE\SOFTWARE\SpywareStrike]

[HKEY_USERS\S-1-5-21-3315439567-2066019876-1478148448-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\SpywareStrike]

[HKEY_USERS\S-1-5-21-3315439567-2066019876-1478148448-500\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\TEMP\\sa664.exe"="SpywareStrike Software Installer"

[HKEY_USERS\S-1-5-21-3315439567-2066019876-1478148448-500\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\SpywareStrike\\SpywareStrike.exe"="Anti-spyware software"

[HKEY_USERS\S-1-5-21-3315439567-2066019876-1478148448-500\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\SpywareStrike\\uninst.exe"="SpywareStrike Software Installer"

[HKEY_USERS\S-1-5-21-3315439567-2066019876-1478148448-500\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\~nsu.tmp\\Au_.exe"="SpywareStrike Software Installer"

[HKEY_USERS\S-1-5-21-3315439567-2066019876-1478148448-500\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\sa12B.exe"="SpywareStrike Software Installer"

[HKEY_USERS\S-1-5-21-3315439567-2066019876-1478148448-500\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\sa2.exe"="SpywareStrike Software Installer"

[HKEY_USERS\S-1-5-21-3315439567-2066019876-1478148448-500\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\sa11.exe"="SpywareStrike Software Installer"

Was muss ich nun machen ?

LG
Stefan
Seitenanfang Seitenende
08.01.2006, 00:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 warte...es ist eine neue Variante von spyaxe und ich muss erst eine reg-Datei erstellen.... 10 Minuten ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.01.2006, 00:56
...neu hier

Themenstarter

Beiträge: 7
#5 Nur keine Hektik. Freue mich, dass ich um diese Uhrzeit überhaupt noch geholfen bekomme. ;)
Seitenanfang Seitenende
08.01.2006, 00:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 sorry, ich brauche noch dieses Log:
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.01.2006, 01:02
...neu hier

Themenstarter

Beiträge: 7
#7 Da kommt bei mir das hier:

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Yahoo! Pager" = "C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet" ["Yahoo! Inc."]
"LDM" = "C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" ["Logitech"]
"LogitechSoftwareUpdate" = "C:\Programme\Logitech\Video\ManifestEngine.exe boot" ["Logitech Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"wininet.dll" = "mscornet.exe" [null data]
"kernel32.dll" = "C:\WINDOWS\system32\mssearchnet.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"IgfxTray" = "C:\WINDOWS\System32\igfxtray.exe" ["Intel Corporation"]
"HotKeysCmds" = "C:\WINDOWS\System32\hkcmd.exe" ["Intel Corporation"]
"Smapp" = "C:\Programme\Analog Devices\SoundMAX\SMTray.exe" ["Analog Devices, Inc."]
"DrvLsnr" = "C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe" ["adi"]
"srmclean" = "C:\Cpqs\Scom\srmclean.exe" [null data]
"SetRefresh" = "C:\Programme\Compaq\SetRefresh\SetRefresh.exe" ["Hewlett-Packard Company"]
"AVG7_CC" = "C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."]
"AVG7_EMC" = "C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe" ["GRISOFT, s.r.o."]
"Lwinst Run Profiler" = ".\Lwtest.exe /detect /quiet /launch ".\Lwpevntm.exe"" [file not found]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_04\bin\jusched.exe" ["Sun Microsystems, Inc."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"LVCOMSX" = "C:\WINDOWS\system32\LVCOMSX.EXE" ["Logitech Inc."]
"LogitechVideoRepair" = "C:\Programme\Logitech\Video\ISStart.exe " ["Logitech Inc."]
"LogitechVideoTray" = "C:\Programme\Logitech\Video\LogiTray.exe" ["Logitech Inc."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"SpywareStrike" = "C:\Programme\SpywareStrike\SpywareStrike.exe /h" ["SpywareStrike.com"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{27150f81-0877-42e9-af13-55e5a3439a26}\(Default) = "HomepageBHO" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hp2BDE.tmp" [null data]


HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]


Ist das das richtige ?

Gruß
Stefan
Seitenanfang Seitenende
08.01.2006, 01:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Brettner

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm

http://virus-protect.org/reg/mcor.reg

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine strike.reg auf dem Bildschirm.

http://virus-protect.org/reg/strike.reg

------------------------------------------------------------------------

öffne das HijackThis-- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

O2 - BHO: HomepageBHO - {27150f81-0877-42e9-af13-55e5a3439a26} - C:\WINDOWS\system32\hp2BDE.tmp --> die Zahlenfolge variiert
O4 - HKLM\..\Run: [SpywareStrike] C:\Programme\SpywareStrike\SpywareStrike.exe /h


KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
reinkopieren:
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\ldAE8F.tmp
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\netwrap.dll
C:\WINDOWS\system32\mssearchnet.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\SSLanguage.ini
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\LVCOMSX.LOG
C:\WINDOWS\TEMP\sa664.exe
C:\WINDOWS\system32\hp2BDE.tmp
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mscornet.exe

starten den PC neu
--> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an
und klicke die

mcor.reg
strike.reg

doppelt --> fuege sie mit "ja" oder "yes" der Registry bei

--------------------------------------------------------------------
loesche:
C:\WINDOWS\system32\1024

deinstalliere-loesche: SpywareStrike
C:\Programme\SpywareStrike

--------------------------------------------------------------------
SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt

--------------------------------------------------------------------------

deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
http://virus-protect.org/systemwiederherstellung.html

scanne mit Kaspersky und etrust --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.01.2006, 01:46
...neu hier

Themenstarter

Beiträge: 7
#9 Kommando zurück. Habe die strike.reg datei nochmal neu kopiert und jetzt hat es funktioniert.

mcor.reg konnte ich einfügen, aber bei strike.reg bekomme ich als Fehlermeldung, dass dies keine Registrierungsdatei sei. ?!

Gruß
Stefan
Dieser Beitrag wurde am 08.01.2006 um 01:52 Uhr von Brettner editiert.
Seitenanfang Seitenende
08.01.2006, 11:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 ich hatte sie auch in den naechsten 10 Minuten noch veraendert...es war alles so schnell gemacht und es hatte sich ein Fehler eingeschlichen bei REGEDIT4

wie stehts? kopiere hier den scanreport vom Kaspersky
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.01.2006, 14:16
...neu hier

Themenstarter

Beiträge: 7
#11 Guten Morgen Sabina,

hm... das Logfile von Kaspersky hab ich leider nicht mehr... es wurde noch ein Virus gefunden, und die Datei habe ich dann manuell gelöscht.

etrust hatte mir nur noch ein paar P2P Dateien genannt, sowas wie emule, Kazaa und Xobox...

Muss ich jetzt noch was zusätzlich machen ? Der Rechner scheint nämlich jetzt wieder sauber zu sein.

Vielen Dank nochmal !

LG
Stefan
Seitenanfang Seitenende
08.01.2006, 14:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 wenn du die angefuehrte Datei (Kaspersky) geloescht hast, dann ist wieder alles in Ordnung ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.01.2006, 15:25
...neu hier

Themenstarter

Beiträge: 7
#13 Prima, vielen Dank ! Hatte Dir auch noch ne PN geschrieben. ;)

Thread kann dann geschlossen werden. ;)

Gruß
Stefan
Seitenanfang Seitenende