SpyAxe-LogFile vonHiJack-Welche Sachen kann ich löschen?

Thema ist geschlossen!
Thema ist geschlossen!
#0
09.01.2006, 21:53
...neu hier

Beiträge: 4
#1 Hallo zusammen.
Wer kann mir dabei helfen, welche Dateien ich bedenkenlos löschen kann.
Laut Anleitung von HiJackThis soll ich dieses Logfile ins Forum stellen und auf
Hilfe von euch warten.

Im Voraus schon mal recht herzlichen Dank.

Logfile of HijackThis v1.99.1
Scan saved at 21:34:19, on 09.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
C:\Programme\avmclient\AvmObexService.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\mdmprs32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe

C:\Programme\Creative\SBLive\Diagnostics\diagent.exe
C:\Programme\avmclient\bluefritz.exe
C:\Programme\avmclient\AvmObex.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\avmclient\AvmObex.exe
C:\WINDOWS\RNapxs.exe
C:\Programme\AVPersonal\AVSCHED32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\mdmps32.exe --->Soll laut Google zu einer Kindersicherung (Puresight
PC) gehören


C:\Programme\Messenger\msmsgs.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\Programme\Microsoft Works\WksWP.exe
C:\Programme\Microsoft Works\MSWorks.exe
C:\Programme\Microsoft Works\wkgdcach.exe
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Gisela\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: HomepageBHO - {27150f81-0877-42e9-af13-55e5a3439a26} - C:\WINDOWS\system32\hpBE6E.tmp
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)
O4 - HKLM\..\Run: [diagent] C:\Programme\Creative\SBLive\Diagnostics\diagent.exe startup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [LnkSet] C:\WINDOWS\RNapxs.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B158427-C47C-453A-A6B5-B51911DFC445}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1287E4E-9D22-4C45-8A69-8CDCE7DC8090}: NameServer = 217.237.151.161 217.237.151.33
O17 - HKLM\System\CCS\Services\Tcpip\..\{C66E3DBB-1794-41DC-BF81-ADA892042BEA}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{4B158427-C47C-453A-A6B5-B51911DFC445}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: WinSock Extention Manager (WsEm Srv) - Unknown owner - C:\WINDOWS\mdmprs32.exe
Seitenanfang Seitenende
10.01.2006, 16:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo

falls sie sich als schädlich herausstellen. So leistest Du einen aktiven Beitrag im Kampf gegen Malware!
http://www.malwareupload.com/

Log Dich mit Deiner E-Mail Adresse bei Malwareupload ein und lade die suspekte Datei hoch. Du wirst so schnell wie möglich per E-Mail darüber informiert, ob die Datei wirklich schädlich ist und um welchen Schädling es sich handelt.

C:\WINDOWS\RNapxs.exe
--> Kindersicherung-Programm ????

-----------------------------------------------------------------------

kopiere bitte hier die 4 Textdateien

http://virus-protect.org/datfindbat.html
2 Monate vom Datum er genuegen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.01.2006, 19:49
...neu hier

Themenstarter

Beiträge: 4
#3 Hallo Sabina, vielen Dank für die schnelle Antwort

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D417-2172

Verzeichnis von C:\WINDOWS\system32

11.01.2006 19:44 236 ncompat.tlb
11.01.2006 19:12 5.632 msvol.tlb
11.01.2006 19:12 10.034 hp4FB6.tmp

11.01.2006 13:35 2.206 wpa.dbl
08.01.2006 11:57 9.196 mssearchnet.exe
08.01.2006 11:57 15.756 nvctrl.exe

05.01.2006 04:41 2.836.320 MRT.exe
03.01.2006 14:56 102.400 wbeconm.dll
03.01.2006 14:56 4.286 ts.ico
03.01.2006 14:56 4.286 ot.ico

29.12.2005 03:54 280.064 gdi32.dll
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
22.11.2005 16:27 391.000 perfh007.dat
22.11.2005 16:27 52.764 perfc009.dat
22.11.2005 16:27 380.350 perfh009.dat
22.11.2005 16:27 63.580 perfc007.dat
22.11.2005 16:27 872.024 PerfStringBackup.INI
17.11.2005 12:46 4.620 ModemLog_AVM ISDN FAX (G3).txt
17.11.2005 12:46 4.162 ModemLog_AVM ISDN Custom Config.txt
17.11.2005 12:46 4.632 ModemLog_AVM ISDN Mailbox (X.75).txt
17.11.2005 12:46 4.672 ModemLog_AVM ISDN SoftCompression X.75-V.42bis.txt
17.11.2005 12:46 4.652 ModemLog_AVM ISDN Internet (PPP over ISDN).txt
17.11.2005 12:46 4.642 ModemLog_AVM ISDN RAS (PPP over ISDN).txt
12.11.2005 16:53 142.832 FNTCACHE.DAT
05.11.2005 04:16 606.208 urlmon.dll



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D417-2172

Verzeichnis von C:\DOKUME~1\Gisela\LOKALE~1\Temp

11.01.2006 19:12 16.384 ~DFA2B4.tmp
11.01.2006 19:12 31.692 SALanguage.ini
11.01.2006 19:12 16.384 ~DF94A2.tmp
11.01.2006 13:36 18.741 GRD$LOGFILE.LOG
11.01.2006 13:35 16.384 ~DF9C89.tmp
11.01.2006 13:35 16.384 ~DF929B.tmp
10.01.2006 12:31 16.384 ~DFC29B.tmp
10.01.2006 12:31 16.384 ~DF2BED.tmp
09.01.2006 22:00 16.384 ~DFE882.tmp
09.01.2006 22:00 16.384 ~DFD4E3.tmp
09.01.2006 21:56 2.602.495 sa10.exe
09.01.2006 21:55 0 sa10.tmp

09.01.2006 21:13 16.384 ~DF933D.tmp
09.01.2006 21:13 16.384 ~DF8393.tmp
08.01.2006 00:32 120 0FD1A8EB.TMP
15 Datei(en) 2.816.888 Bytes
0 Verzeichnis(se), 6.196.334.592 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D417-2172

Verzeichnis von C:\WINDOWS

11.01.2006 19:23 1.156.266 WindowsUpdate.log
11.01.2006 19:18 3.304 KB908519.log
11.01.2006 19:14 258.826 setupapi.log
11.01.2006 19:14 0 0.log
11.01.2006 19:12 45.056 mdmps32.exe ?????
11.01.2006 19:12 2.048 bootstat.dat
10.01.2006 13:37 32.644 SchedLgU.Txt
10.01.2006 12:43 296 system.ini
08.01.2006 11:59 9.836 KB912919.log
08.01.2006 11:59 127.861 tsoc.log
08.01.2006 11:59 70.881 ntdtcsetup.log
08.01.2006 11:59 1.355 imsins.log
08.01.2006 11:59 118.193 comsetup.log
08.01.2006 11:59 49.636 iis6.log
08.01.2006 11:59 18.366 ocmsn.log
08.01.2006 11:59 169.717 ocgen.log
08.01.2006 11:59 16.579 msgsocm.log
08.01.2006 11:59 319.328 FaxSetup.log
08.01.2006 11:59 22.630 updspapi.log
04.01.2006 14:20 51.076 wmsetup.log
28.12.2005 13:56 50 wiaservc.log
28.12.2005 13:56 215 wiadebug.log
28.12.2005 13:55 14.437 DirectX.log
17.12.2005 12:04 1.393 imsins.BAK
17.12.2005 12:04 9.371 KB910437.log
17.12.2005 12:04 15.551 KB905915.log
22.11.2005 16:28 1.456 COM+.log
11.11.2005 14:02 11.747 KB896424.log
18.10.2005 12:31 16.371 KB901017.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D417-2172

Verzeichnis von C:\

11.01.2006 19:49 0 sys.txt
11.01.2006 19:49 8.727 system.txt
11.01.2006 19:48 981 systemtemp.txt
11.01.2006 19:45 94.483 system32.txt
11.01.2006 19:12 1.610.612.736 pagefile.sys
20.11.2004 12:30 211 boot.ini
20.11.2004 12:26 47.564 NTDETECT.COM
20.11.2004 12:26 251.184 ntldr
20.11.2004 11:13 0 IO.SYS
20.11.2004 11:13 0 CONFIG.SYS
20.11.2004 11:13 0 AUTOEXEC.BAT
20.11.2004 11:13 0 MSDOS.SYS
21.07.2003 21:50 4.952 bootfont.bin
13 Datei(en) 1.611.020.838 Bytes
0 Verzeichnis(se), 6.196.318.208 Bytes frei

Vielen, vielen Dank, bis bald
Fabian
Dieser Beitrag wurde am 11.01.2006 um 19:51 Uhr von FabianAxmann editiert.
Seitenanfang Seitenende
11.01.2006, 20:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 hast du ein Prog fuer die Kindersicherung installiert?

------------------------------------------------------------------------
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\mdmps32.exe

----------------------------------------------------------------------
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
reinkopieren:

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\hp4FB6.tmp
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\wbeconm.dll
C:\DOKUME~1\Gisela\LOKALE~1\Temp\SALanguage.ini
C:\DOKUME~1\Gisela\LOKALE~1\Temp\sa10.exe
C:\DOKUME~1\Gisela\LOKALE~1\Temp\sa10.tmp
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico


und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"


dann arbeite das bitte ab ;)
http://virus-protect.org/artikel/bfu/spyaxebfu.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.01.2006, 21:40
...neu hier

Themenstarter

Beiträge: 4
#5 Hi Sabina

Du bist echt klasse - vielen Dank. Leider schaffe ich es heute nicht mehr, dies abzuarbeiten. Ich werde leider erst wieder am Wochenende dazukommen.

PS: Ja, ich habe eine Kindersicherung von 1&1 installiert. Diese ist aber immer deaktiviert.

Bis dann, liebe Grüße
Fabian
Seitenanfang Seitenende
11.01.2006, 23:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 o.k. dann arbeite alles ab und berichte (morgen)

-------

p.s.
ich verstehe nicht, wieso diese Kindersicherung im gleichen moment wie der spyaxe geladen wurde.
11.01.2006 19:12 45.056 mdmps32.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.01.2006, 19:01
...neu hier

Themenstarter

Beiträge: 4
#7 Hi Sabina

Vielen herzlichen Dank für deine Hilfe. Mein Rechner scheint nun "sauber" zu
sein. Nach zig-Neustarts habe ich keine Meldung mehr von dieser schei....
SpyAxe mehr gesehen.

Die Kindersicherung von meinem Provider 1&1 habe ich lange vor der "Infektion"
installiert. Der malware Befall erfolgte erst sehr viel später.

Nochmals ein dickes DANKE und mach weiter so ;-)
Seitenanfang Seitenende