Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Spysheriff

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 11.06.2006, 13:38   #1
pumuckl
 
Spysheriff - Standard

Spysheriff



Hallo! Hab nen Rechner von Bekannten bekommen. Kann mir bitte jemand helfen:

Logfile of HijackThis v1.99.1
Scan saved at 23:56:11, on 10.06.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Mildner\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWlsZG5lcg\command.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Genuine Update Service (WGUServ) - Unknown owner - C:\WINDOWS\system32\wguserv.exe (file missing)
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINDOWS\services.exe (file missing)

Ach ja, die Updates und das SP2 mach ich noch drauf. (Vielleicht muss ich formatieren)


Und da sind die Logs vom Datfindbat:

Verzeichnis von C:\WINDOWS\system32

10.06.2006 20:29 41.108 vsconfig.xml
10.06.2006 19:51 4.212 zllictbl.dat
10.06.2006 18:30 311.740 perfh009.dat
10.06.2006 18:30 40.128 perfc009.dat
10.06.2006 18:30 316.924 perfh007.dat
10.06.2006 18:30 48.354 perfc007.dat
10.06.2006 18:30 723.744 PerfStringBackup.INI
10.06.2006 18:27 90.296 FNTCACHE.DAT
10.06.2006 18:25 288 $winnt$.inf
10.06.2006 18:21 25.065 wmpscheme.xml
10.06.2006 18:21 16.832 amcompat.tlb
10.06.2006 18:21 23.392 nscompat.tlb
10.06.2006 18:18 488 logonui.exe.manifest
10.06.2006 18:18 488 WindowsLogon.manifest
10.06.2006 18:17 749 sapi.cpl.manifest
10.06.2006 18:17 749 nwc.cpl.manifest
10.06.2006 18:17 749 ncpa.cpl.manifest
10.06.2006 18:17 749 cdplayer.exe.manifest
10.06.2006 18:17 749 wuaucpl.cpl.manifest
10.06.2006 18:15 22.880 emptyregdb.dat
10.06.2006 02:21 0 ksl48.bin
09.06.2006 10:52 2.184 wpa.dbl
08.06.2006 09:06 73 i
07.06.2006 12:40 6 tick48.bin
06.06.2006 08:57 84 net.ini
05.06.2006 10:42 57.856 TFTP3256
05.06.2006 10:42 1.460 eraseme_14046.exe
05.06.2006 10:41 116 rpzokj.bat
04.06.2006 20:06 0 eraseme_31881.exe
04.06.2006 20:05 119 anuhwo.bat
04.06.2006 20:02 16.384 setup_86470.exe
04.06.2006 19:58 74 bios.rom
04.06.2006 14:10 0 h323log.txt
04.06.2006 13:22 2.951 CONFIG.NT
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
16.03.2006 11:16 54.960 vsutil_loc0407.dll



Verzeichnis von C:\DOKUME~1\Mildner\LOKALE~1\Temp

10.06.2006 20:13 16.384 ~DF6CF6.tmp
09.06.2006 10:52 0 $b17a2e8.tmp
08.06.2006 09:06 16.384 Perflib_Perfdata_1018.dat
08.06.2006 09:06 16.384 Perflib_Perfdata_88c.dat
07.06.2006 13:05 0 WER5.tmp
07.06.2006 13:05 0 WER4.tmp
07.06.2006 12:31 16.384 Perflib_Perfdata_42c.dat
07.06.2006 12:17 16.384 Perflib_Perfdata_6f4.dat
07.06.2006 12:15 16.384 Perflib_Perfdata_a04.dat
07.06.2006 12:10 16.384 Perflib_Perfdata_694.dat
07.06.2006 12:10 16.384 Perflib_Perfdata_69c.dat
06.06.2006 12:26 16.384 Perflib_Perfdata_14b0.dat
06.06.2006 12:09 16.384 Perflib_Perfdata_878.dat
05.06.2006 20:06 0 WER3.tmp
05.06.2006 20:04 2.367.982 ErrorSafeScannerSetup.exe
05.06.2006 12:03 0 WER9.tmp
05.06.2006 12:02 0 WER8.tmp
05.06.2006 12:01 0 WER7.tmp
05.06.2006 12:00 0 WER6.tmp
05.06.2006 10:33 16.384 Perflib_Perfdata_778.dat
05.06.2006 08:48 16.384 Perflib_Perfdata_760.dat
04.06.2006 20:40 14.886 ms4045.tmp
04.06.2006 20:40 10.984 ms4035.tmp
04.06.2006 20:38 10.984 ms3848.tmp
04.06.2006 20:38 14.886 ms3836.tmp
04.06.2006 18:05 9.725 Microsoft Office 2003 Setup(0001).txt
04.06.2006 18:05 169.154 Microsoft Office 2003 Setup(0001)_Task(0001).txt
04.06.2006 18:03 55.331 offcln11.log
04.06.2006 13:45 188 tosup.log



Verzeichnis von C:\WINDOWS

10.06.2006 20:44 6.140 svcpack.log
10.06.2006 20:43 235.052 setupapi.log
10.06.2006 20:29 0 0.log
10.06.2006 20:29 8.442 SchedLgU.Txt
10.06.2006 20:29 2.048 bootstat.dat
10.06.2006 18:58 9.874 Windows Update.log
10.06.2006 18:37 1.442 COM+.log
10.06.2006 18:29 39.414 comsetup.log
10.06.2006 18:28 538.406 setuplog.txt
10.06.2006 18:26 112.706 iis6.log
10.06.2006 18:26 20.531 ntdtcsetup.log
10.06.2006 18:26 25.720 tsoc.log
10.06.2006 18:26 4.382 imsins.log
10.06.2006 18:26 213.885 setupact.log
10.06.2006 18:21 299.552 WMSysPrx.prx
10.06.2006 18:21 1.261 OEWABLog.txt
10.06.2006 18:20 4.161 ODBCINST.INI
10.06.2006 18:17 749 WindowsShell.Manifest
10.06.2006 18:17 659 win.ini
10.06.2006 18:16 2.784 ocmsn.log
10.06.2006 18:16 30.685 ocgen.log
10.06.2006 18:16 2.075 msgsocm.log
10.06.2006 18:16 29.863 FaxSetup.log
10.06.2006 18:16 2.139 sessmgr.setup.log
10.06.2006 18:14 243 DtcInstall.log
10.06.2006 18:13 21.536 msmqinst.log
10.06.2006 17:30 50 wiaservc.log
10.06.2006 17:30 409 wiadebug.log
10.06.2006 17:29 5.098 avmcoins.log
10.06.2006 17:23 2.480 regopt.log
10.06.2006 17:23 227 system.ini
10.06.2006 02:04 218.982 setupapi.old
08.06.2006 09:04 0 keyboard1.dat
05.06.2006 12:08 42 drsmartload2.dat
05.06.2006 10:42 38.803 WHCC2.exe
05.06.2006 10:39 0 newname.dat
05.06.2006 10:39 40 teller2.chk
04.06.2006 18:19 1.891 imsins.BAK
04.06.2006 14:06 0 Sti_Trace.log
04.06.2006 13:46 219 uno.ini
04.06.2006 13:32 8.192 REGLOCS.OLD
04.06.2006 13:29 622 setuperr.log
04.06.2006 13:22 0 control.ini
04.06.2006 13:14 36 vb.ini
04.06.2006 13:14 37 vbaddin.ini




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C93C-B5A4

Verzeichnis von C:\

11.06.2006 00:16 0 sys.txt
11.06.2006 00:16 4.380 system.txt
11.06.2006 00:15 2.010 systemtemp.txt
11.06.2006 00:12 86.172 system32.txt
10.06.2006 20:29 385.404.928 hiberfil.sys
10.06.2006 20:29 578.813.952 pagefile.sys
10.06.2006 18:13 194 boot.ini
07.06.2006 12:15 56.676 Trelew.exe
06.06.2006 09:25 0 umqtjbg.exe
05.06.2006 20:19 0 xaouye.exe
05.06.2006 20:19 0 gbyui.exe
05.06.2006 20:19 0 dilg.exe
05.06.2006 20:19 0 ktsfd.exe
05.06.2006 20:19 0 majo.exe
05.06.2006 20:17 0 uniq
05.06.2006 11:57 418 AxLog.txt
04.06.2006 13:45 428 TO_InstallLog.txt
25.05.2006 15:18 142.508 hpfr3600.log
14.05.2005 16:18 13.290 drwtsn32.log
07.05.2004 16:26 16 win2.log
09.04.2004 13:37 36.145 dxdiag.txt




REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 11.06.2006 00:32:52 for strings:
; 'spysheriff'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spy Sheriff]
"DisplayIcon"="C:\\Program Files\\SpySheriff\\SpySheriff.exe"
"UninstallString"="C:\\Program Files\\SpySheriff\\Uninstall.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"SpySheriff"="C:\\Program Files\\SpySheriff\\SpySheriff.exe"

[HKEY_USERS\.DEFAULT\Software\SpySheriff]

[HKEY_USERS\.DEFAULT\Software\SpySheriff]
"Uninstall"="C:\\Program Files\\SpySheriff"

[HKEY_USERS\.DEFAULT\Software\SpySheriff\IE Security]

[HKEY_USERS\.DEFAULT\Software\SpySheriff\IE Security\BlockedLocations]

[HKEY_USERS\.DEFAULT\Software\SpySheriff\Process Security]

[HKEY_USERS\.DEFAULT\Software\SpySheriff\Process Security\Policies]

[HKEY_USERS\.DEFAULT\Software\SpySheriff\Process Security\Policies\Allowed]

[HKEY_USERS\.DEFAULT\Software\SpySheriff\Process Security\Policies\Allowed]
"C:\\Program Files\\SpySheriff\\SpySheriff.exe"=dword:00000001

[HKEY_USERS\.DEFAULT\Software\SpySheriff\Process Security\Policies\Restricted]

[HKEY_USERS\.DEFAULT\Software\SpySheriff\Scan]

[HKEY_USERS\.DEFAULT\Software\SpySheriff\System Security]

[HKEY_USERS\.DEFAULT\Software\SpySheriff\Updates]

[HKEY_USERS\S-1-5-21-1708537768-1957994488-1060284298-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Program Files\\SpySheriff\\Uninstall.exe"="Uninstall"

[HKEY_USERS\S-1-5-21-1708537768-1957994488-1060284298-1003\Software\SpySheriff]

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"SpySheriff"="C:\\Program Files\\SpySheriff\\SpySheriff.exe"

[HKEY_USERS\S-1-5-18\Software\SpySheriff]

[HKEY_USERS\S-1-5-18\Software\SpySheriff]
"Uninstall"="C:\\Program Files\\SpySheriff"

[HKEY_USERS\S-1-5-18\Software\SpySheriff\IE Security]

[HKEY_USERS\S-1-5-18\Software\SpySheriff\IE Security\BlockedLocations]

[HKEY_USERS\S-1-5-18\Software\SpySheriff\Process Security]

[HKEY_USERS\S-1-5-18\Software\SpySheriff\Process Security\Policies]

[HKEY_USERS\S-1-5-18\Software\SpySheriff\Process Security\Policies\Allowed]

[HKEY_USERS\S-1-5-18\Software\SpySheriff\Process Security\Policies\Allowed]
"C:\\Program Files\\SpySheriff\\SpySheriff.exe"=dword:00000001

[HKEY_USERS\S-1-5-18\Software\SpySheriff\Process Security\Policies\Restricted]

[HKEY_USERS\S-1-5-18\Software\SpySheriff\Scan]

[HKEY_USERS\S-1-5-18\Software\SpySheriff\System Security]

[HKEY_USERS\S-1-5-18\Software\SpySheriff\Updates]

; End Of The Log...


Andere schreibweise von spysheriff: (Spy Sheriff)


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 11.06.2006 10:24:54 for strings:
; 'spy sheriff'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Spy Sheriff]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spy Sheriff]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spy Sheriff]
"DisplayName"="Spy Sheriff"

[HKEY_USERS\S-1-5-21-1708537768-1957994488-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit]
"LastKey"="Arbeitsplatz\\HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Spy Sheriff"

; End Of The Log...

Alt 11.06.2006, 14:47   #2
BataAlexander
> MalwareDB
 
Spysheriff - Standard

Spysheriff



Hallo,

für Dich gilt sinngemäß das hier.

Zitat:
Ach ja, die Updates und das SP2 mach ich noch drauf. (Vielleicht muss ich formatieren)
Machs halt andersrum, erst Formatieren, dann updaten

Gruß

Schrulli
__________________

__________________

Alt 11.06.2006, 15:26   #3
pumuckl
 
Spysheriff - Standard

Spysheriff



OK, dann formatiere ich die Kiste. Danke und schönen Sonntag!
__________________

Antwort

Themen zu Spysheriff
antivir, avira, einstellungen, explorer, formatieren, ftp, hijack, hijackthis, install.exe, internet, internet explorer, laufwerk c, microsoft, microsoft office 2003, monitor, office, programme, registry, s-1-5-18, security, setup, software, system, system32, t-online, temp, update, updates, windows, windows xp



Ähnliche Themen: Spysheriff


  1. FraudTool.Win32.SpySheriff.H (vf)
    Mülltonne - 15.11.2008 (0)
  2. mal wieder spysheriff...
    Log-Analyse und Auswertung - 20.09.2006 (4)
  3. SpySheriff - Website gefunden
    Plagegeister aller Art und deren Bekämpfung - 23.04.2006 (9)
  4. SpySheriff problem
    Log-Analyse und Auswertung - 21.04.2006 (6)
  5. SpySheriff Problem
    Log-Analyse und Auswertung - 16.03.2006 (24)
  6. Hilfe Spysheriff/Blackworm
    Log-Analyse und Auswertung - 13.03.2006 (2)
  7. Spysheriff und Blackworm HILFE
    Mülltonne - 13.03.2006 (1)
  8. spysheriff - kaum wegzukriegen ... ?
    Log-Analyse und Auswertung - 16.01.2006 (1)
  9. Spysheriff
    Log-Analyse und Auswertung - 29.12.2005 (2)
  10. Reste von SpySheriff?
    Log-Analyse und Auswertung - 27.12.2005 (1)
  11. spysheriff....was machen??
    Log-Analyse und Auswertung - 03.12.2005 (4)
  12. spysheriff auf der pladde, was tun?
    Log-Analyse und Auswertung - 03.12.2005 (5)
  13. Spysheriff
    Plagegeister aller Art und deren Bekämpfung - 10.07.2005 (22)
  14. spysheriff
    Log-Analyse und Auswertung - 28.06.2005 (3)
  15. Spysheriff
    Plagegeister aller Art und deren Bekämpfung - 19.06.2005 (4)
  16. Log bitte prüfen, Spysheriff
    Mülltonne - 17.06.2005 (5)
  17. hijackthis log wg. spysheriff
    Log-Analyse und Auswertung - 14.06.2005 (8)

Zum Thema Spysheriff - Hallo! Hab nen Rechner von Bekannten bekommen. Kann mir bitte jemand helfen: Logfile of HijackThis v1.99.1 Scan saved at 23:56:11, on 10.06.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer - Spysheriff...
Archiv
Du betrachtest: Spysheriff auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.