Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: SpyAxe besiegt? Hier die Logfiles:

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.12.2005, 04:43   #1
DonStefano
 
SpyAxe besiegt? Hier die Logfiles: - Standard

SpyAxe besiegt? Hier die Logfiles:



Hallo zusammen,

ich hatte dieses SpyAxe Problem und hatte in der Startleiste unten rechts 2 solcher PopUp Fenster, die mich ständig aufforderten SpyAxe oder sonstigen Schwachsinn zu installieren.

Ich habe nun anhand dieser Anleitung und mit dem Tool von Noahdfear (vielen Dank) das Problem (zumindest auf den ersten Blick in den Griff bekommen).

Die Schritte waren also 1) abgesicherter Modus 2) Tool smitrem benutzen 3) Adware Scan 4) Spybot Scan 5) Spybot Immunisierung 6) Escan.

Jetzt unmittelbar nach dem Neustart im normalen Modus klappt alles. Dennoch möchte ich gern wie in der Anleitung beschrieben hier die Log Files posten und hoffe auf eure Hilfe, da mir das meiste davon nicht viel sagt.

Zuerst Hijackthis:
Zitat:
Logfile of HijackThis v1.97.7
Scan saved at 04:23:24, on 12.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\01 ANWENDUNGEN\INTERNET\ANTIVIR\AVGUARD.EXE
C:\01 Anwendungen\Internet\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\01 Anwendungen\Internet\AntiVir\AVGNT.EXE
C:\01 Anwendungen\Internet\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\01 Anwendungen\Internet\Foxmail 8.0\Foxmail.exe
C:\Dokumente und Einstellungen\Mustermann\Desktop\Viren & Trojaner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [AVGCtrl] "C:\01 Anwendungen\Internet\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\01 Anwendungen\Internet\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: A&lles mit ReGet Pro herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Download with GetRight - C:\01 Anwendungen\Internet\GetRight\GRdownload.htm
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Herunterladen mit ReGet &Pro - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\01 Anwendungen\Internet\GetRight\GRbrowse.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{8FE29DAC-A405-41E4-AAB4-69F89B1858E7}: NameServer = 194.97.173.124 194.97.173.125
Nun die Escan Ergebnisse:
Zitat:

Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Dec 12 00:07:41 2005 => File C:\Dokumente und Einstellungen\Mustermann\Eigene Dateien\vcodec_ver3.111.exe infected by "Trojan-Downloader.Win32.Zlob.bp" Virus! Action Taken: No Action Taken.
Mon Dec 12 00:44:09 2005 => Scanning Folder: C:\01 Anwendungen\Internet\AntiVir\INFECTED\*.*
Mon Dec 12 00:44:09 2005 => Scanning File C:\01 Anwendungen\Internet\AntiVir\INFECTED\LDEDD5.TMP.VIR
Mon Dec 12 02:02:10 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Dec 11 23:21:49 2005 => Offending Key found: HKLM\Software\kazaa !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Dec 12 02:02:10 2005 => Total Virus(es) Found: 2
Mon Dec 12 02:02:10 2005 => Total Errors: 141
Mon Dec 12 02:02:10 2005 => Time Elapsed: 02:38:24
Mon Dec 12 02:02:10 2005 => Total Objects Scanned: 84268
Sun Dec 11 20:49:36 2005 => Virus Database Date: 2005/12/02
Sun Dec 11 23:19:57 2005 => Virus Database Date: 2005/12/02
Mon Dec 12 02:02:09 2005 => Virus Database Date: 2005/12/02
Mon Dec 12 02:02:21 2005 => Virus Database Date: 2005/12/02
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Und zuletzt noch die Ergebnisse aus smitfiles.txt
Zitat:

smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!
Folgende beide Fragen hätte ich dann dazu noch:

1) Was muss ich nun noch fixen oder sonst berücksichtigen oder ist nun alles ok?
2) Wieso habe ich mir das eigentlich eingefangen? Trotz Antivir und Zone Alarm, Firefox, Windows Updates und Verzicht auf Outlook?

Danke euch allen
Stefan

Alt 12.12.2005, 13:14   #2
stupormundi
 
SpyAxe besiegt? Hier die Logfiles: - Standard

SpyAxe besiegt? Hier die Logfiles:



Servus!

Gute Arbeit auf den ersten Blick!
Allerdings solltest Du die aktuelle Version von HJT (dzt. 1.99.1) verwenden.
Die von Dir verwendete
Zitat:
Logfile of HijackThis v1.97.7
ist uralt und zeigt einige wesentliche Dinge nicht an!
Die Datei
Zitat:
C:\Dokumente und Einstellungen\Mustermann\Eigene Dateien\vcodec_ver3.111.exe
noch im abgesicherten Modus löschen.
Poste noch ein aktuelles HJT Log!
cu, stupormundi
__________________

__________________

Alt 12.12.2005, 23:48   #3
DonStefano
 
SpyAxe besiegt? Hier die Logfiles: - Standard

SpyAxe besiegt? Hier die Logfiles:



Hallo und erst mal Danke für die Antwort:

Die Datei
Zitat:
vcodec_ver3.111.exe
hatte ich bereits im abgesicherten Modus gelöscht.

Hier nun aber noch einmal das HJT Logfile der neuen Version:

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 23:41:31, on 12.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\01 Anwendungen\Internet\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\01 Anwendungen\Internet\AntiVir\AVGNT.EXE
C:\01 Anwendungen\Internet\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\01 ANWENDUNGEN\INTERNET\ANTIVIR\AVGUARD.EXE
C:\01 Anwendungen\Internet\Foxmail 8.0\Foxmail.exe
C:\Dokumente und Einstellungen\Mustermann\Desktop\Viren & Trojaner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [AVGCtrl] "C:\01 Anwendungen\Internet\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\01 Anwendungen\Internet\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: A&lles mit ReGet Pro herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Download with GetRight - C:\01 Anwendungen\Internet\GetRight\GRdownload.htm
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Herunterladen mit ReGet &Pro - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\01 Anwendungen\Internet\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{8FE29DAC-A405-41E4-AAB4-69F89B1858E7}: NameServer = 194.97.173.124 194.97.173.125
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\01 ANWENDUNGEN\INTERNET\ANTIVIR\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\01 Anwendungen\Internet\AntiVir\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
Kann oder sollte ich denn davon vielleicht noch etwas entfernen (fixen)?

Was ist z.b. mit
Zitat:
C:\WINDOWS\system32\lsass.exe
Gabs nicht mal einen Sasser Wurm oder Virus?
__________________

Alt 13.12.2005, 13:31   #4
stupormundi
 
SpyAxe besiegt? Hier die Logfiles: - Standard

SpyAxe besiegt? Hier die Logfiles:



Servus wieder!
Zitat:
C:\WINDOWS\system32\lsass.exe
Nur weil es so ähnlich klingt handelt es sich nicht gleich um den Sasser - diese Datei ist eine Systemdatei und ist der lokale Sicherheitsdienst. Er überprüft die Gültigkeit der Benutzeranmeldungen und Zugriffsrechte für den PC.
Ich kann in Deinem Log nichts Auffälliges mehr entdecken - also kein Grund etwas zu fixen!
Wenn Dein Sys jetzt stabil läuft solls gut sein!
stupormundi
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Alt 13.12.2005, 21:10   #5
DonStefano
 
SpyAxe besiegt? Hier die Logfiles: - Standard

SpyAxe besiegt? Hier die Logfiles:



Vielen lieben Dank für die neuerliche Antwort!

Dann bin ich ja beruhigt, dass ich das Problem in den Griff bekommen habe.

Das System läuft und dabei werde ich es dann auch mal belassen.

Gruß
Stefan


Antwort

Themen zu SpyAxe besiegt? Hier die Logfiles:
1.exe, adware, antivir, browser, canon, desktop, einstellungen, explorer, firefox, frage, hijack, hijackthis, internet, internet explorer, log files, mozilla, mozilla firefox, neustart, popup, problem, scan, schwachsinn, software, system, vielen dank, viren, virus, windows, windows updates, windows xp, zone alarm




Ähnliche Themen: SpyAxe besiegt? Hier die Logfiles:


  1. Windows 8.1 PUP.Optional.RGMUpdater.A Meldungen - Logfiles hier
    Log-Analyse und Auswertung - 07.01.2015 (8)
  2. Nach Mail vom Abuse ist mein Ausgangsport für Mailversenden gesperrt-hier meine GMER Logfiles
    Log-Analyse und Auswertung - 11.03.2014 (5)
  3. Trojaner TR/Reveton.R.240 und Trojan.Agent.Gen gefunden ... hier die Logfiles
    Log-Analyse und Auswertung - 13.05.2013 (9)
  4. Bundestrojaner oder Ähnliches, hier OTL-Logfiles
    Log-Analyse und Auswertung - 31.08.2012 (1)
  5. Hätte gerne eine Auswertung meiner HJT-logfiles und meiner OTL+Extras-logfiles
    Log-Analyse und Auswertung - 26.07.2012 (15)
  6. Ukash Verschlüsselungstrojaner hier: logfiles
    Log-Analyse und Auswertung - 03.06.2012 (5)
  7. Sytem Tool Entfernt! Hier nun die Logfiles zur Kontrolle
    Log-Analyse und Auswertung - 21.02.2011 (1)
  8. Vunod virus besiegt? - oder verloren?
    Plagegeister aller Art und deren Bekämpfung - 10.10.2010 (2)
  9. TR/Trash.Gen besiegt?
    Plagegeister aller Art und deren Bekämpfung - 10.09.2010 (19)
  10. System Probleme nach Trojaner/ Trojaner wirklich besiegt?
    Plagegeister aller Art und deren Bekämpfung - 28.10.2009 (3)
  11. Spyaxe die 2te
    Log-Analyse und Auswertung - 31.12.2005 (14)
  12. Spyware besiegt - oder trotzdem noch gefährdet?
    Plagegeister aller Art und deren Bekämpfung - 29.12.2005 (13)
  13. spyaxe
    Antiviren-, Firewall- und andere Schutzprogramme - 28.12.2005 (2)
  14. Spyaxe
    Log-Analyse und Auswertung - 26.12.2005 (1)
  15. SpyAxe
    Plagegeister aller Art und deren Bekämpfung - 18.12.2005 (6)
  16. SpyAxe etc.
    Log-Analyse und Auswertung - 16.12.2005 (3)
  17. Spyaxe
    Plagegeister aller Art und deren Bekämpfung - 10.12.2005 (1)

Zum Thema SpyAxe besiegt? Hier die Logfiles: - Hallo zusammen, ich hatte dieses SpyAxe Problem und hatte in der Startleiste unten rechts 2 solcher PopUp Fenster, die mich ständig aufforderten SpyAxe oder sonstigen Schwachsinn zu installieren. Ich habe - SpyAxe besiegt? Hier die Logfiles:...
Archiv
Du betrachtest: SpyAxe besiegt? Hier die Logfiles: auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.