SpyAxe-LogFile vonHiJack-Welche Sachen kann ich löschen?Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
09.01.2006, 21:53
...neu hier
Beiträge: 4 |
||
|
||
10.01.2006, 16:20
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo
falls sie sich als schädlich herausstellen. So leistest Du einen aktiven Beitrag im Kampf gegen Malware! http://www.malwareupload.com/ Log Dich mit Deiner E-Mail Adresse bei Malwareupload ein und lade die suspekte Datei hoch. Du wirst so schnell wie möglich per E-Mail darüber informiert, ob die Datei wirklich schädlich ist und um welchen Schädling es sich handelt. C:\WINDOWS\RNapxs.exe --> Kindersicherung-Programm ???? ----------------------------------------------------------------------- kopiere bitte hier die 4 Textdateien http://virus-protect.org/datfindbat.html 2 Monate vom Datum er genuegen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.01.2006, 19:49
...neu hier
Themenstarter Beiträge: 4 |
#3
Hallo Sabina, vielen Dank für die schnelle Antwort
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D417-2172 Verzeichnis von C:\WINDOWS\system32 11.01.2006 19:44 236 ncompat.tlb 11.01.2006 19:12 5.632 msvol.tlb 11.01.2006 19:12 10.034 hp4FB6.tmp 11.01.2006 13:35 2.206 wpa.dbl 08.01.2006 11:57 9.196 mssearchnet.exe 08.01.2006 11:57 15.756 nvctrl.exe 05.01.2006 04:41 2.836.320 MRT.exe 03.01.2006 14:56 102.400 wbeconm.dll 03.01.2006 14:56 4.286 ts.ico 03.01.2006 14:56 4.286 ot.ico 29.12.2005 03:54 280.064 gdi32.dll 01.12.2005 04:31 1.492.480 shdocvw.dll 24.11.2005 00:58 3.013.632 mshtml.dll 24.11.2005 00:58 1.022.464 browseui.dll 22.11.2005 16:27 391.000 perfh007.dat 22.11.2005 16:27 52.764 perfc009.dat 22.11.2005 16:27 380.350 perfh009.dat 22.11.2005 16:27 63.580 perfc007.dat 22.11.2005 16:27 872.024 PerfStringBackup.INI 17.11.2005 12:46 4.620 ModemLog_AVM ISDN FAX (G3).txt 17.11.2005 12:46 4.162 ModemLog_AVM ISDN Custom Config.txt 17.11.2005 12:46 4.632 ModemLog_AVM ISDN Mailbox (X.75).txt 17.11.2005 12:46 4.672 ModemLog_AVM ISDN SoftCompression X.75-V.42bis.txt 17.11.2005 12:46 4.652 ModemLog_AVM ISDN Internet (PPP over ISDN).txt 17.11.2005 12:46 4.642 ModemLog_AVM ISDN RAS (PPP over ISDN).txt 12.11.2005 16:53 142.832 FNTCACHE.DAT 05.11.2005 04:16 606.208 urlmon.dll Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D417-2172 Verzeichnis von C:\DOKUME~1\Gisela\LOKALE~1\Temp 11.01.2006 19:12 16.384 ~DFA2B4.tmp 11.01.2006 19:12 31.692 SALanguage.ini 11.01.2006 19:12 16.384 ~DF94A2.tmp 11.01.2006 13:36 18.741 GRD$LOGFILE.LOG 11.01.2006 13:35 16.384 ~DF9C89.tmp 11.01.2006 13:35 16.384 ~DF929B.tmp 10.01.2006 12:31 16.384 ~DFC29B.tmp 10.01.2006 12:31 16.384 ~DF2BED.tmp 09.01.2006 22:00 16.384 ~DFE882.tmp 09.01.2006 22:00 16.384 ~DFD4E3.tmp 09.01.2006 21:56 2.602.495 sa10.exe 09.01.2006 21:55 0 sa10.tmp 09.01.2006 21:13 16.384 ~DF933D.tmp 09.01.2006 21:13 16.384 ~DF8393.tmp 08.01.2006 00:32 120 0FD1A8EB.TMP 15 Datei(en) 2.816.888 Bytes 0 Verzeichnis(se), 6.196.334.592 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D417-2172 Verzeichnis von C:\WINDOWS 11.01.2006 19:23 1.156.266 WindowsUpdate.log 11.01.2006 19:18 3.304 KB908519.log 11.01.2006 19:14 258.826 setupapi.log 11.01.2006 19:14 0 0.log 11.01.2006 19:12 45.056 mdmps32.exe ????? 11.01.2006 19:12 2.048 bootstat.dat 10.01.2006 13:37 32.644 SchedLgU.Txt 10.01.2006 12:43 296 system.ini 08.01.2006 11:59 9.836 KB912919.log 08.01.2006 11:59 127.861 tsoc.log 08.01.2006 11:59 70.881 ntdtcsetup.log 08.01.2006 11:59 1.355 imsins.log 08.01.2006 11:59 118.193 comsetup.log 08.01.2006 11:59 49.636 iis6.log 08.01.2006 11:59 18.366 ocmsn.log 08.01.2006 11:59 169.717 ocgen.log 08.01.2006 11:59 16.579 msgsocm.log 08.01.2006 11:59 319.328 FaxSetup.log 08.01.2006 11:59 22.630 updspapi.log 04.01.2006 14:20 51.076 wmsetup.log 28.12.2005 13:56 50 wiaservc.log 28.12.2005 13:56 215 wiadebug.log 28.12.2005 13:55 14.437 DirectX.log 17.12.2005 12:04 1.393 imsins.BAK 17.12.2005 12:04 9.371 KB910437.log 17.12.2005 12:04 15.551 KB905915.log 22.11.2005 16:28 1.456 COM+.log 11.11.2005 14:02 11.747 KB896424.log 18.10.2005 12:31 16.371 KB901017.log Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D417-2172 Verzeichnis von C:\ 11.01.2006 19:49 0 sys.txt 11.01.2006 19:49 8.727 system.txt 11.01.2006 19:48 981 systemtemp.txt 11.01.2006 19:45 94.483 system32.txt 11.01.2006 19:12 1.610.612.736 pagefile.sys 20.11.2004 12:30 211 boot.ini 20.11.2004 12:26 47.564 NTDETECT.COM 20.11.2004 12:26 251.184 ntldr 20.11.2004 11:13 0 IO.SYS 20.11.2004 11:13 0 CONFIG.SYS 20.11.2004 11:13 0 AUTOEXEC.BAT 20.11.2004 11:13 0 MSDOS.SYS 21.07.2003 21:50 4.952 bootfont.bin 13 Datei(en) 1.611.020.838 Bytes 0 Verzeichnis(se), 6.196.318.208 Bytes frei Vielen, vielen Dank, bis bald Fabian Dieser Beitrag wurde am 11.01.2006 um 19:51 Uhr von FabianAxmann editiert.
|
|
|
||
11.01.2006, 20:23
Ehrenmitglied
Beiträge: 29434 |
#4
hast du ein Prog fuer die Kindersicherung installiert?
------------------------------------------------------------------------ Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum http://www.virustotal.com/flash/index_en.html C:\WINDOWS\mdmps32.exe ---------------------------------------------------------------------- KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken reinkopieren: C:\WINDOWS\system32\ncompat.tlb C:\WINDOWS\system32\msvol.tlb C:\WINDOWS\system32\hp4FB6.tmp C:\WINDOWS\system32\mssearchnet.exe C:\WINDOWS\system32\nvctrl.exe C:\WINDOWS\system32\wbeconm.dll C:\DOKUME~1\Gisela\LOKALE~1\Temp\SALanguage.ini C:\DOKUME~1\Gisela\LOKALE~1\Temp\sa10.exe C:\DOKUME~1\Gisela\LOKALE~1\Temp\sa10.tmp C:\WINDOWS\system32\ts.ico C:\WINDOWS\system32\ot.ico und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" dann arbeite das bitte ab http://virus-protect.org/artikel/bfu/spyaxebfu.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.01.2006, 21:40
...neu hier
Themenstarter Beiträge: 4 |
#5
Hi Sabina
Du bist echt klasse - vielen Dank. Leider schaffe ich es heute nicht mehr, dies abzuarbeiten. Ich werde leider erst wieder am Wochenende dazukommen. PS: Ja, ich habe eine Kindersicherung von 1&1 installiert. Diese ist aber immer deaktiviert. Bis dann, liebe Grüße Fabian |
|
|
||
11.01.2006, 23:35
Ehrenmitglied
Beiträge: 29434 |
#6
o.k. dann arbeite alles ab und berichte (morgen)
------- p.s. ich verstehe nicht, wieso diese Kindersicherung im gleichen moment wie der spyaxe geladen wurde. 11.01.2006 19:12 45.056 mdmps32.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.01.2006, 19:01
...neu hier
Themenstarter Beiträge: 4 |
#7
Hi Sabina
Vielen herzlichen Dank für deine Hilfe. Mein Rechner scheint nun "sauber" zu sein. Nach zig-Neustarts habe ich keine Meldung mehr von dieser schei.... SpyAxe mehr gesehen. Die Kindersicherung von meinem Provider 1&1 habe ich lange vor der "Infektion" installiert. Der malware Befall erfolgte erst sehr viel später. Nochmals ein dickes DANKE und mach weiter so ;-) |
|
|
||
Wer kann mir dabei helfen, welche Dateien ich bedenkenlos löschen kann.
Laut Anleitung von HiJackThis soll ich dieses Logfile ins Forum stellen und auf
Hilfe von euch warten.
Im Voraus schon mal recht herzlichen Dank.
Logfile of HijackThis v1.99.1
Scan saved at 21:34:19, on 09.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
C:\Programme\avmclient\AvmObexService.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\mdmprs32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\Creative\SBLive\Diagnostics\diagent.exe
C:\Programme\avmclient\bluefritz.exe
C:\Programme\avmclient\AvmObex.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\avmclient\AvmObex.exe
C:\WINDOWS\RNapxs.exe
C:\Programme\AVPersonal\AVSCHED32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\mdmps32.exe --->Soll laut Google zu einer Kindersicherung (Puresight
PC) gehören
C:\Programme\Messenger\msmsgs.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\Programme\Microsoft Works\WksWP.exe
C:\Programme\Microsoft Works\MSWorks.exe
C:\Programme\Microsoft Works\wkgdcach.exe
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Gisela\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
O2 - BHO: HomepageBHO - {27150f81-0877-42e9-af13-55e5a3439a26} - C:\WINDOWS\system32\hpBE6E.tmp
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)
O4 - HKLM\..\Run: [diagent] C:\Programme\Creative\SBLive\Diagnostics\diagent.exe startup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [LnkSet] C:\WINDOWS\RNapxs.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B158427-C47C-453A-A6B5-B51911DFC445}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1287E4E-9D22-4C45-8A69-8CDCE7DC8090}: NameServer = 217.237.151.161 217.237.151.33
O17 - HKLM\System\CCS\Services\Tcpip\..\{C66E3DBB-1794-41DC-BF81-ADA892042BEA}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{4B158427-C47C-453A-A6B5-B51911DFC445}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: WinSock Extention Manager (WsEm Srv) - Unknown owner - C:\WINDOWS\mdmprs32.exe