Spywarestrike Problem

#0
02.02.2006, 07:12
...neu hier

Beiträge: 2
#1 Hallo Liebe Leute,
Also ich habe auch dieses Spawarestrike Probelm.Ich wäre für jede Hilfe dankbar.

Als 1. Silent Runner


HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"wininet.dll" = "mscornet.exe" [null data]
"kernel32.dll" = "C:\WINDOWS\System32\mssearchnet.exe" [null data]
"nvctrl.exe" = "nvctrl.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"S3hotkey" = "S3hotkey.exe" ["S3 Graphics, Inc."]
"VTTimer" = "VTTimer.exe" ["S3 Graphics, Inc."]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_03\bin\jusched.exe" ["Sun Microsystems, Inc."]
"NeroCheck" = "C:\WINDOWS\System32\NeroCheck.exe" ["Ahead Software Gmbh"]
"Lexmark X73 Button Monitor" = "C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe" ["Silitek Corp."]
"Lexmark X73 Button Manager" = "C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe" ["Jetsoft Development Company"]
"PrinTray" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe" ["Lexmark"]
"ToADiMon.exe" = "C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart" ["Marmiko IT-Solutions GmbH"]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{4da4616d-7e6e-4fd9-a2d5-b6c535733e22}\(Default) = "HomepageBHO" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hp77A9.tmp" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]


Hier das Hijack



Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\mssearchnet.exe
C:\WINDOWS\System32\nvctrl.exe

C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\VTTimer.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\WINDOWS\System32\wpabaln.exe
c:\programme\t-online\t-online_software_5\browser\dlman.exe
C:\Dokumente und Einstellungen\Jenny\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hp77A9.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X73 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
O4 - HKLM\..\Run: [Lexmark X73 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SpywareStrike] C:\Programme\SpywareStrike\SpywareStrike.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FB019D6-6C44-4F97-AEEC-BDA41825D20C}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE


Nunja leider habe ich Rechts unten auch diesen Roten Kreis mit dem Weissen Kreutz!!!!!Also ich habe Antivir mit Update drüber laufen.......geht net weg...Also ich wäre für Hilfe Dankbar aber beachtet Bitte, das ich was Computer angeht nur den Wissensstand eines Normalusers habe.....
Liebe Grüsse aus Herne.......
Seitenanfang Seitenende
02.02.2006, 13:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo HerneEr82

das loesen wir sehr schnell ;)
Aber vorher will ich noch nachschauen, ob es nicht eine neue Variante ist.

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere hier diese 4 Textdateien
. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

SpywareStrike

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.02.2006, 16:18
...neu hier

Themenstarter

Beiträge: 2
#3 Huhuuuuuuu.....Als das 1. habe ich gemacht...

Hier ist die 2. Aufgabe

Verzeichnis von C:\WINDOWS\system32

02.02.2006 16:10 5.036 ncompat.tlb
02.02.2006 15:27 5.120 msvol.tlb
02.02.2006 15:27 10.239 hp7796.tmp
02.02.2006 15:27 21.513 ld7619.tmp

02.02.2006 13:17 7.006 jupdate-1.5.0_06-b05.log
02.02.2006 07:48 10.239 hpF0E8.tmp
02.02.2006 06:23 10.239 hp77A9.tmp
02.02.2006 05:53 10.239 hp5395.tmp
02.02.2006 05:53 10.239 hp2B9B.tmp
02.02.2006 05:53 10.239 hpFBAF.tmp
02.02.2006 05:51 10.239 hp81E0.tmp
02.02.2006 05:45 10.239 hp8D4D.tmp
02.02.2006 05:39 10.239 hp5E3C.tmp
01.02.2006 22:33 15.360 nvctrl.exe
01.02.2006 22:33 9.196 mssearchnet.exe
01.02.2006 22:33 102.400 replmap.dll
01.02.2006 22:33 4.286 ts.ico
01.02.2006 22:33 4.286 ot.ico
01.02.2006 22:31 13.905 mscornet.exe

29.01.2006 17:53 1.024 ntiembed.dll
29.01.2006 17:52 1.024 NTIMPEG2.dll
29.01.2006 17:52 1.024 NTICDMK32.dll
28.01.2006 14:33 3.534 jupdate-1.5.0_03-b07.log
28.01.2006 10:07 311.938 perfh009.dat
28.01.2006 10:07 40.326 perfc009.dat
28.01.2006 10:07 317.168 perfh007.dat
28.01.2006 10:07 48.552 perfc007.dat
28.01.2006 10:07 723.744 PerfStringBackup.INI
28.01.2006 09:53 2.256 wpa.dbl
28.01.2006 09:40 25.065 wmpscheme.xml
28.01.2006 09:38 90.296 FNTCACHE.DAT
28.01.2006 09:37 309 $winnt$.inf
28.01.2006 09:34 2.951 CONFIG.NT
28.01.2006 09:33 16.832 amcompat.tlb
28.01.2006 09:33 23.392 nscompat.tlb
28.01.2006 09:32 488 logonui.exe.manifest
28.01.2006 09:32 488 WindowsLogon.manifest
28.01.2006 09:32 749 wuaucpl.cpl.manifest
28.01.2006 09:32 749 ncpa.cpl.manifest
28.01.2006 09:32 749 cdplayer.exe.manifest
28.01.2006 09:32 749 nwc.cpl.manifest
28.01.2006 09:32 749 sapi.cpl.manifest
28.01.2006 09:30 21.740 emptyregdb.dat
28.01.2006 09:26 0 h323log.txt


Results at 02.02.2006 16:22:01 for strings:
; 'verzeichnis von c:\windows\system32

02.02.2006 16:10 5.036 ncompat.tlb
02.02.2006 15:27 5.120 msvol.tlb
02.02.2006 15:27 10.239 hp7796.tmp
02.02.2006 15:27 21.513 ld7619.tmp
02.02.2006 13:17 7.006 jupdate-1.5.0_06-b05.log
02.02.2006 07:48 10.239 hpf0e8.tmp
02.02.2006 06:23 10.239 hp77a9.tmp
02.02.2006 05:53 10.239 hp5395.tmp
02.02.2006 05:53 10.239 hp2b9b.tmp
02.02.2006 05:53 10.239 hpfbaf.tmp
02.02.2006 05:51 10.239 hp81e0.tmp
02.02.2006 05:45 10.239 hp8d4d.tmp
02.02.2006 05:39 10.239 hp5e3c.tmp
01.02.2006 22:33 15.360 nvctrl.exe
01.02.2006 22:33 9.196 mssearchnet.exe
01.02.2006 22:33 102.400 replmap.dll
01.02.2006 22:33 4.286 ts.ico
01.02.2006 22:33 4.286 ot.ico
01.02.2006 22:31 13.905 mscornet.exe
29.01.2006 17:53 1.024 ntiembed.dll
29.01.2006 17:52 1.024 ntimpeg2.dll
29.01.2006 17:52 1.024 nticdmk32.dll
28.01.2006 14:33 3.534 jupdate-1.5.0_03-b07.log
28.01.2006 10:07 311.938 perfh009.dat
28.01.2006 10:07 40.326 perfc009.dat
28.01.2006 10:07 317.168 perfh007.dat
28.01.2006 10:07 48.552 perfc007.dat
28.01.2006 10:07 723.744 perfstringbackup.ini
28.01.2006 09:53 2.256 wpa.dbl
28.01.2006 09:40 25.065 wmpscheme.xml
28.01.2006 09:38 90.296 fntcache.dat
28.01.2006 09:37 309 $winnt$.inf
28.01.2006 09:34 2.951 config.nt
28.01.2006 09:33 16.832 amcompat.tlb
28.01.2006 09:33 23.392 nscompat.tlb
28.01.2006 09:32 488 logonui.exe.manifest
28.01.2006 09:32 488 windowslogon.manifest
28.01.2006 09:32 749 wuaucpl.cpl.manifest
28.01.2006 09:32 749 ncpa.cpl.manifest
28.01.2006 09:32 749 cdplayer.exe.manifest
28.01.2006 09:32 749 nwc.cpl.manifest
28.01.2006 09:32 749 sapi.cpl.manifest
28.01.2006 09:30 21.740 emptyregdb.dat
spywarestrike'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...




Mich würde mal Interessieren wieviel ohne dich schon den Rechner aus dem Fenster geworfen hätte.

Liebe Grüsse
Dieser Beitrag wurde am 02.02.2006 um 16:24 Uhr von HerneEr82 editiert.
Seitenanfang Seitenende
03.02.2006, 00:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 nun ja..du hast zweimal das gleiche abkopiert ;) und es sollten 4 verschiedene Txt sein ;)

Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\


aber lass. es ist ein altbekannte version

-----------------------------------------------------------------------------

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hp77A9.tmp
O4 - HKLM\..\Run: [SpywareStrike] C:\Programme\SpywareStrike\SpywareStrike.exe /h


KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren:

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\hp7796.tmp
C:\WINDOWS\system32\ld7619.tmp
C:\WINDOWS\system32\hpF0E8.tmp
C:\WINDOWS\system32\hp77A9.tmp
C:\WINDOWS\system32\hp5395.tmp
C:\WINDOWS\system32\hp2B9B.tmp
C:\WINDOWS\system32\hpFBAF.tmp
C:\WINDOWS\system32\hp81E0.tmp
C:\WINDOWS\system32\hp8D4D.tmp
C:\WINDOWS\system32\hp5E3C.tmp
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\replmap.dll
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\mscornet.exe

PC neustarten

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

arbeite das genau nach Anweisung ab
http://virus-protect.org/artikel/bfu/spyaxebfu.html

dann kopiere hier das Log vom etrust (onlinescan)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: