Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Spyaxe- noch eins

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 30.11.2005, 10:25   #1
luis trenker
 
Spyaxe- noch eins - Standard

Spyaxe- noch eins



Hallo zusammen.

Noch ein Opfer.... ich darf mich "Paulemann" anschließen.
Ich habe seit drei Tagen die selben Probleme (diverse Fehlermeldungen, Umleitung der Homepage:spyaxe; massig PopUps:spyaxe)

Kann mir jemand helfen??

Hier meine mit HjjackThis gescannten LogFiles:

Logfile of HijackThis v1.99.1
Scan saved at 09:02:29, on 30.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\nvctrl.exe
C:\WINDOWS\System32\mssearchnet.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\SpyAxe\spyaxe.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\SpyAxe\spyaxe.exe
C:\Programme\Microsoft Office\Office\Outlook.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\hjjackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\System32\hp71C5.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O3 - Toolbar: AltaVista Toolbar - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINDOWS\DOWNLO~1\ALTAVI~1.DLL (file missing)
O3 - Toolbar: Big Fish Games - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\Programme\bfgtoolbar\bfgtoolbar.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\System32\1024\ld5615.tmp" /m
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ClearCookies] C:\WINDOWS\cc.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: AltaVista Suche - file://C:\Programme\Dynamic Toolbar\ALTAVISTA\Cache\SelectedContextSearch.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Übersetzen - file://C:\Programme\Dynamic Toolbar\ALTAVISTA\Cache\SelectedContextTranslation.htm
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} (AltaVista Toolbar) - http://toolbar.altavista.com/app/toolbar/cfg/altavista.cab?r=JASISE
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O20 - Winlogon Notify: gs - C:\WINDOWS\adsldpbd.dll (file missing)
O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus 2004

- WEB.DE Edition\fswsclds.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


im Vorraus schon vielen Dank, ich hoffe ich kann auch mal helfen,


Luis T.

Alt 30.11.2005, 10:37   #2
stupormundi
 
Spyaxe- noch eins - Standard

Spyaxe- noch eins



Servus!
Da hast Du ja eine schöne Sammlung!
Also, ich wäre ja der Meinung, dass Du besser beraten wärst, mit einer Neuinstallation einen sauberen Neubeginn zu setzen.
Dein nicht aktuelles System hat ja einiges eingefangen und die Zeit zur Entfernung könntest Du mit einer Neuinstallation mit abschließender Absicherung wie in Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=12154 wahrscheinlich viel besser nutzen!
Aber ...
Arbeite halt mal diese Anleitung durch:http://virus-protect.net/artikel/spyware/spyaxe.html
Poste die Logfiles hier!
Und update anschließend auf SP2!
stupormundi
__________________

__________________

Alt 30.11.2005, 10:46   #3
Expert
 
Spyaxe- noch eins - Standard

Spyaxe- noch eins



@luis trenker

#In der Systemsteuerung/software folgende deinstallieren
SpyAxe

#Lade dir win32delfkil.exe auf dem Desktop speichern.

Doppelklick auf win32delfkill.exe, dann auf Installieren, danach wird einen Ordner win32delfkil auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf fix.bat
Der Computer wird automatisch neugestartet.

#Lade dir SmitfraudFix.zip
SmitfraudFix.zip auf dem Desktop speichern und auf dem desktop entpacken,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 1 und dann Enter,wird ein rapport.txt im Ordner SmitfraudFix erstellt,den Inhalt hier posten.

#Scane mit Symantec Security Check ---->klicke auf Viren-erkennung (Virus Detection) dann Start. Downloading ActiveX erlauben,das Ergebnis hier posten.

#PC neustarten
#Lade dir smitrem.exe ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und Start klicken.Dann wird ein Ordner SmitRem auf dem Desktop angelegt und die Dateien dahin entpackt.Noch nicht ausführen.

#Lade dir Ewido Security Suite unbeding Update,noch nicht scannen.

#lade Adaware, Spybot unbeding Update,noch nicht scannen.

#PC neustarten--> abgesicherter Modus
Starte das HijackThis "Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken, PC neustarten
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\System32\hp71C5.tmp
O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\System32\1024\ld5615.tmp" /m
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O4 - HKCU\..\Run: [ClearCookies] C:\WINDOWS\cc.exe
O8 - Extra context menu item: AltaVista Suche - file://C:\Programme\Dynamic Toolbar\ALTAVISTA\Cache\SelectedContextSearch.htm
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O20 - Winlogon Notify: gs - C:\WINDOWS\adsldpbd.dll (file missing)
O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll

#PC neustarten--> abgesicherter Modus
Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

Loesche:
C:\WINDOWS\System32\nvctrl.exe
C:\WINDOWS\System32\mssearchnet.exe
C:\WINDOWS\System32\hp71C5.tmp
C:\WINDOWS\System32\1024\ld5615.tmp
C:\WINDOWS\cc.exe
c:\ex.cab
c:\eied_s7.cab
C:\WINDOWS\adsldpbd.dll
C:\WINDOWS\system32\st3.dll
C:\WINDOWS\System32\1024
C:\Programme\SpyAxe
C:\Programme\Dynamic Toolbar\ALTAVISTA\Cache\SelectedContextSearch.htm

#PC neustarten--> abgesicherter Modus
Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen.
Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt

#PC neustarten--> abgesicherter Modus
#Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

#Danach der PC mit Adaware, Spybot scannen und alle Funde entfernen.

#Inhalt folgende ordner loeschen:
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen
C:\WINDOWS\temp---> Inhalt löschen
C:\WINDOWS\Prefetch---> Inhalt löschen

#Neue HijackThis Log,den Report des Ewido Scans, den Inhalt der Datei C:\windelf.txt, den rapport.txt von SmitfraudFix,Symantec Security Check Ergebnis & das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten.

Gruss
Expert
__________________

Alt 30.11.2005, 11:11   #4
luis trenker
 
Spyaxe- noch eins - Icon17

Spyaxe- noch eins



Vielen Dank expert,
bin am abarbeiten....

SmitFraudFix v2.00

Rapport fait à 11:08:26,78 le 30.11.2005
Executé à partir de C:\Dokumente und Einstellungen\s***n\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

C:\WINDOWS\system32\hp????.tmp PRESENT !
C:\WINDOWS\system32\ld????.tmp PRESENT !
C:\WINDOWS\system32\mscornet.exe PRESENT !
C:\WINDOWS\system32\mssearchnet.exe PRESENT !
C:\WINDOWS\system32\msvol.tlb PRESENT !
C:\WINDOWS\system32\ncompat.tlb PRESENT !
C:\WINDOWS\system32\nvctrl.exe PRESENT !
C:\WINDOWS\system32\ot.ico PRESENT !
C:\WINDOWS\system32\svchosts.dll PRESENT !
C:\WINDOWS\system32\ts.ico PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Dokumente und Einstellungen\s****n\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

Alt 30.11.2005, 11:25   #5
Expert
 
Spyaxe- noch eins - Standard

Spyaxe- noch eins



@luis trenker

#Neue HijackThis Log,den Report des Ewido Scans, den Inhalt der Datei C:\windelf.txt, den rapport.txt von SmitfraudFix,Symantec Security Check Ergebnis & das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten.

Die brauche ich

Gruss
Expert


Alt 30.11.2005, 11:47   #6
luis trenker
 
Spyaxe- noch eins - Standard

Spyaxe- noch eins



Symantec Security:

C:\WINDOWS\internt.exe is infected with Dialer.Generic
C:\WINDOWS\q2478984.dll is infected with Download.Trojan
C:\WINDOWS\system32\MYVF.0XE is infected with W32.Bugbear@mm
C:\WINDOWS\system32\qgplgfp.dll is infected with PWS.Hooker.Trojan
C:\WINDOWS\system32\vbsys2.dll is infected with Trojan Horse
C:\WINDOWS\system32\WinNB57.dll is infected with Adware.Mirar
C:\WINDOWS\Downloaded Program Files\MirarSetup.exe is infected with Adware.Mirar
C:\Dokumente und Einstellungen\s****n\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9CJI165\dia326[1].htm is infected with MHTMLRedir.Exploit
C:\Dokumente und Einstellungen\s****n\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4DO3CJKJ\dia326[1].htm is infected with MHTMLRedir.Exploit

Alt 30.11.2005, 11:51   #7
stupormundi
 
Spyaxe- noch eins - Standard

Spyaxe- noch eins



@expert und luis trenker:
Zitat:
W32.Bugbear@mm is a mass-mailing worm. It can also spread through network shares. It has keystroke-logging and backdoor capabilities.
Wie wäre es jetzt mit neuaufsetzen!
schade um die viele Zeit!
stupormundi
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Alt 30.11.2005, 12:25   #8
Expert
 
Spyaxe- noch eins - Standard

Spyaxe- noch eins



Zitat:
Zitat von stupormundi
@expert und luis trenker: Wie wäre es jetzt mit neuaufsetzen!
schade um die viele Zeit!
stupormundi
Ich sehe keinen Grund,das der PC Neuaufsetzen muss,für mich Zeit wäre kein Problem,wenn der User Zeit hat

Gruss
Expert

Alt 30.11.2005, 12:55   #9
stupormundi
 
Spyaxe- noch eins - Standard

Spyaxe- noch eins



Grund genug ist hierin zu finden:
Zitat:
... backdoor capabilities.
Siehe Boardlinie!
Und Zeit ist auch ein Faktor - dieses Flicken am System gewährleistet nicht anschließende Sicherheit - ein ordentliches neu Aufsetzen mit anschließender Sicherung gewährleistet das schon (mit einem nicht unerheblichen Lerneffekt) und kostet in der Summe weniger Zeit!
stupormundi
~~edit~~servus cronos, schön dass mal jemand der selben Meinung ist
cu stupormundi ~~/edit~~
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Geändert von stupormundi (30.11.2005 um 13:49 Uhr)

Alt 30.11.2005, 13:40   #10
cronos
 
Spyaxe- noch eins - Standard

Spyaxe- noch eins



@ stupormundi

Full Ack!
__________________
Only cronos endures

Alt 30.11.2005, 20:00   #11
luis trenker
 
Spyaxe- noch eins - Icon17

Spyaxe- noch eins



Lieber Expert, lieber Stupomunde, lieber Cronos,

euere Diskussion ist mir leider zu hoch, was ich brauche sind pragmatische Tipps, das mein PC wieder einigermaßen läuft. Und das ganze in sehr einfacher Rezeptform. Also klicke das, und dann das .........

Die Anweisung von Expert klingen sehr vernünftig und waren auch einigermßen nachvollziehbar (hoffe ich) und wenn ich damit meine Viren und Kollegen loßbin dann habt ihr alle zusammen ein Mineralgetränk auf meine Kosten verdient.

Hier jetzt die versammelten LOGFiles, ein Eintrag konnte Spybot nicht löschen:
Smitfraud

SmitFraudFix v2.00

Rapport fait à 19:35:32,96 le 30.11.2005
Executé à partir de C:\Dokumente und Einstellungen\stefan\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

C:\WINDOWS\system32\svchosts.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Dokumente und Einstellungen\stefan\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport




smitRem © log file
version 2.7

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

1024 dir
msvol.tlb
ld****.tmp
ncompat.tlb


~~~ Icons in System32 ~~~

ts.ico
ot.ico


~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!


---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 14:30:49, 30.11.2005
+ Report-Checksumme: CB874E00

+ Scanergebnis:

HKLM\SOFTWARE\Classes\.s3d -> Spyware.BrilliantDigital : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\.s3d\ShellNew -> Spyware.BrilliantDigital : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{9A9C9B69-F908-4AAB-8D0C-10EA8997F37E} -> Spyware.NetNucleus : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{669695BC-A811-4A9D-8CDF-BA8C795F261C} -> Spyware.PowerStrip : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{8A0DCBDA-6E20-489C-9041-C1E8A0352E75} -> Spyware.NetNucleus : Gesäubert mit Backup
C:\Dokumente und Einstellungen\jonas\Cookies\jonas@a.tfag[1].txt -> Spyware.Cookie.Tfag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\stefan\Cookies\stefan@as1.falkag[2].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\stefan\Cookies\stefan@atdmt[1].txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup
C:\Dokumente und Einstellungen\stefan\Cookies\stefan@com[2].txt -> Spyware.Cookie.Com : Gesäubert mit Backup
C:\Dokumente und Einstellungen\stefan\Cookies\stefan@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\stefan\Cookies\stefan@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP142\A0068845.exe -> Spyware.Trymedia : Gesäubert mit Backup
C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP144\A0069442.exe -> TrojanDownloader.Zlob.bo : Gesäubert mit Backup
C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP145\A0069501.dll -> TrojanDownloader.Delf.h : Gesäubert mit Backup
C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP145\A0069536.exe -> TrojanDownloader.Zlob.bl : Gesäubert mit Backup
C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP145\A0069537.exe -> TrojanDownloader.Zlob.br : Gesäubert mit Backup
C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP145\A0069538.exe -> TrojanDownloader.Zlob.bt : Gesäubert mit Backup
C:\WINDOWS\Downloaded Program Files\MirarSetup.exe -> Adware.SaveNow : Gesäubert mit Backup
C:\WINDOWS\prflbmsgp32.dll -> TrojanDownloader.Delf.yb : Gesäubert mit Backup
C:\WINDOWS\q2478984.dll -> TrojanDownloader.Delf.zu : Gesäubert mit Backup
C:\WINDOWS\system32\MYVF.0XE -> Worm.Tanatos-Bugbear : Gesäubert mit Backup
C:\WINDOWS\system32\qgplgfp.dll -> Worm.Tanatos.a : Gesäubert mit Backup
C:\WINDOWS\system32\vbsys2.dll -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\system32\WinNB57.dll -> Spyware.NetNucleus : Gesäubert mit Backup


::Report Ende


************************
* WIN32DELFKIL LOGFILE *
************************


BEFORE RUNNING WIN32DELFKIL
***************************

File(s) found in Windows directory
----------------------------------
q2478984.dll
adsldpbe.dll
cc.exe

File(s) found in system32 folder
--------------------------------
st3.dll

SharedTaskScheduler key
-----------------------

SteelWerX Registry Console Tool 1.0
Written by Bobbi Flekman © 2005

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler
{438755C2-A8BA-11D1-B96B-00A0C90312E1} REG_SZ Browseui preloader
{8C7461EF-2B13-11d2-BE35-3078302C2030} REG_SZ Component Categories cache daemon
{1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} REG_SZ st3
{C7CF1142-0785-4B12-A280-B64681E4D45E} REG_SZ z

Notify key
----------
subkey st3 is present!
subkey gs is present!



AFTER RUNNING WIN32DELFKIL
**************************

File(s) found in Windows directory
----------------------------------
q2478984.dll

File(s) found in system32 folder
--------------------------------

SharedTaskScheduler key
-----------------------

SteelWerX Registry Console Tool 1.0
Written by Bobbi Flekman © 2005

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler
{438755C2-A8BA-11D1-B96B-00A0C90312E1} REG_SZ Browseui preloader
{8C7461EF-2B13-11d2-BE35-3078302C2030} REG_SZ Component Categories cache daemon

Notify key
----------


Logfile of HijackThis v1.99.1
Scan saved at 19:30:32, on 30.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\hjjackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: AltaVista Toolbar - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINDOWS\DOWNLO~1\ALTAVI~1.DLL (file missing)
O3 - Toolbar: Big Fish Games - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\Programme\bfgtoolbar\bfgtoolbar.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: AltaVista Suche - file://C:\Programme\Dynamic Toolbar\ALTAVISTA\Cache\SelectedContextSearch.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Übersetzen - file://C:\Programme\Dynamic Toolbar\ALTAVISTA\Cache\SelectedContextTranslation.htm
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O15 - Trusted Zone: h**p://awbeta.net-nucleus.com (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} (AltaVista Toolbar) - h**p://toolbar.altavista.com/app/toolbar/cfg/altavista.cab?r=JASISE
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\fswsclds.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

das symantec security check ergebniss finde ich nicht...äh, ich hoffe nicht so dramatisch.

und können wir den Sekt aufmachen?


Vielen Dank für deine Hilfe, wie gesagt wenn das geklappt hat hast du was bei mir gut..

Luis

Alt 30.11.2005, 20:11   #12
cronos
 
Spyaxe- noch eins - Standard

Spyaxe- noch eins



Das Problem ist, dass die Malware, die du auf dem Rechner hast, deine Tastatureingaben protokolliert und über seine Backdooreigenschaften Dritten den Zugang auf deinen Rechner erlaubt.
In einem solche Fall spricht man von Kompromittierung.

Selbst durch eine Bereinigung des Systems kann dir keine Sicherheit mehr gewährleistet werden, Grund ist u.a das hier beschriebene.
Lies dir auch mal den zweiten Link in meiner Signatur durch.

Dir kann hier leider nur zum Neuaufsetzen deines Systems geraten werden.Sichere es vor der ersten Internetverbindung ab, dazu eine Anleitung.

Zusatz: Ändere nach dem Neuaufsetzen alle deine Passwörter!
__________________
Only cronos endures

Alt 30.11.2005, 21:56   #13
Sabina
 
Spyaxe- noch eins - Standard

Spyaxe- noch eins



luis trenker

wende Clearprog an
http://virus-protect.net/cleanup.html

kopiere hier die 4 Textdateien
http://virus-protect.net/datfindbat.html
-----------------------------------------------------
dann bekommt man das auch (mehr oder weniger) sauber ...wenn du dann auch alle passworte aendern solltest.....der Rat von Chronos ist natuerlich vernuenftiger,als meine Reinigungsversuche
__________________
MfG Sabina

Alt 30.11.2005, 22:12   #14
Expert
 
Spyaxe- noch eins - Standard

Spyaxe- noch eins



@luis trenker

#Doppelklick auf SmitfraudFix.cmd,dann Taste 2 und dann Enter,wenn diese Frage o/n kommt muss du mit Taste o beatätigen,wird ein rapport.txt im Ordner SmitfraudFix erstellt,den Inhalt hier posten.
Danach Taste 3 mit o beatätigen

#PC neustarten--> abgesicherter Modus
Starte das HijackThis "Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken, PC neustarten
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O8 - Extra context menu item: AltaVista Suche - file://C:\Programme\Dynamic Toolbar\ALTAVISTA\Cache\SelectedContextSearch.htm
O8 - Extra context menu item: Übersetzen - file://C:\Programme\Dynamic Toolbar\ALTAVISTA\Cache\SelectedContextTranslation .htm
O15 - Trusted Zone: h**p://awbeta.net-nucleus.com (HKLM)

#PC neustarten--> abgesicherter Modus
Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

Loesche:Viele verden nicht vorhanden
C:\WINDOWS\system32\svchosts.dll
C:\WINDOWS\system32\hp????.tmp
C:\WINDOWS\system32\ld????.tmp
C:\WINDOWS\system32\mscornet.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\svchosts.dll
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\internt.exe
C:\WINDOWS\q2478984.dll
C:\WINDOWS\system32\MYVF.0XE
C:\WINDOWS\system32\qgplgfp.dll
C:\WINDOWS\system32\vbsys2.dll
C:\WINDOWS\system32\WinNB57.dll
C:\Programme\Dynamic Toolbar\ALTAVISTA\Cache\SelectedContextSearch.htm
C:\Programme\Dynamic Toolbar\ALTAVISTA\Cache\SelectedContextTranslation .htm
C:\WINDOWS\Downloaded Program Files\MirarSetup.exe
C:\Dokumente und Einstellungen\s****n\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen

#PC neustarten
#Neue HijackThis Log posten

PS: Dann die Anweisung von Sabina folgen

Gruss
Expert

Alt 30.11.2005, 22:14   #15
cronos
 
Spyaxe- noch eins - Standard

Spyaxe- noch eins



@ sabina+expert

Natürlich ist das vernünftiger und vor allem der richtige Weg!
Dir traue ich auch zu einen PC, den du vor dir hast Bereinigen zu können
Aber dann muß man auch Netzwerkverkehr analysieren können und um endgültig sicher zu sein und dauernd beobachten.
Über Ferndiagnose ist sowas sicherlich nicht möglich und der Zeitfaktor einer vollständigen Bereinigung-insofern das überhaupt möglich ist ohne Prüfsummen- steht wohl in keinem Vergleich zu einem Neuaufsetzen.
Ein durch Backdoor kompromittiertes System reinigen zu wollen ist imho weltfremd!
__________________
Only cronos endures

Antwort

Themen zu Spyaxe- noch eins
bho, dateien, diverse, drivers, explorer, f-secure, helfen, helper, hijack, hijackthis, hjjack, homepage, internet, internet explorer, logfiles, messenger, microsoft, nvidia, popups, programme, realplayer, rundll, rundll32.exe, security, security center, software, system, system32, vielen dank, web.de, windows, windows security, windows xp, windows\system32\drivers



Ähnliche Themen: Spyaxe- noch eins


  1. Nach dem installieren eins Drivertuners kamen unerwünschte Tools drauf und die Hälfe der Seiten blockiert
    Alles rund um Windows - 03.06.2014 (1)
  2. Patchday: Fünf Updates für Windows, eins für Flash
    Nachrichten - 12.03.2014 (0)
  3. Explorer hängt kurz (bzw. Firefox oder anderes Programm - aber nur eins)
    Plagegeister aller Art und deren Bekämpfung - 21.07.2010 (0)
  4. WLAN-Bremse? Eins schneller als das Andere ...
    Netzwerk und Hardware - 12.01.2010 (2)
  5. IE 7 beim Öffnen eins neuen Tabs -> res?id=tabs&rep=1
    Mülltonne - 14.10.2008 (0)
  6. SpyAxe
    Plagegeister aller Art und deren Bekämpfung - 18.12.2005 (6)
  7. spyaxe und noch mehr?
    Plagegeister aller Art und deren Bekämpfung - 17.12.2005 (8)
  8. Noch mehr SpyAxe
    Plagegeister aller Art und deren Bekämpfung - 17.12.2005 (2)
  9. SpyAxe etc.
    Log-Analyse und Auswertung - 16.12.2005 (3)
  10. SpyAxe
    Log-Analyse und Auswertung - 16.12.2005 (5)
  11. Spyaxe
    Plagegeister aller Art und deren Bekämpfung - 10.12.2005 (1)
  12. Nach Spyaxe bleibt noch Startseitenproblem
    Log-Analyse und Auswertung - 08.12.2005 (6)
  13. Smitfraud/Spyaxe noch immer drauf
    Log-Analyse und Auswertung - 05.12.2005 (1)
  14. spyaxe
    Log-Analyse und Auswertung - 20.11.2005 (1)
  15. SpyAxe !
    Plagegeister aller Art und deren Bekämpfung - 17.11.2005 (1)
  16. [VIRUS / WURM] Eins von beiden oder beides [HILFE]
    Log-Analyse und Auswertung - 15.07.2005 (3)

Zum Thema Spyaxe- noch eins - Hallo zusammen. Noch ein Opfer.... ich darf mich "Paulemann" anschließen. Ich habe seit drei Tagen die selben Probleme (diverse Fehlermeldungen, Umleitung der Homepage:spyaxe; massig PopUps:spyaxe) Kann mir jemand helfen?? Hier - Spyaxe- noch eins...
Archiv
Du betrachtest: Spyaxe- noch eins auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.