Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   spyaxe .... bitte um hilfe !!! (https://www.trojaner-board.de/24292-spyaxe-bitte-um-hilfe.html)

masterman 06.12.2005 20:17
spyaxe .... bitte um hilfe !!!
 
Super das es solche foren gibt für PC Anfänger wie mich ...
Falls mir jemand helfen könnte mit diesem prob .... :o

Logfile of HijackThis v1.99.1
Scan saved at 20:10:13, on 06.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\SpyAxe\spyaxe.exe
C:\Programme\SpyAxe\spyaxe.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\**\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.internetcologne.de
R3 - Default URLSearchHook is missing
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hpDD8E.tmp
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120476004906
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game05.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C53CA8F1-12EB-4F47-A834-67470C10FDE5}: NameServer = 81.173.194.68 194.8.194.60
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

JayP 06.12.2005 20:58
Hallo,
versuch mal Spyaxe unter Systemsteuerung Software zu deinstallieren.

masterman 06.12.2005 21:01
Hallo JayP,

ich kann es zwar löschen aber nach einem neustart ist es wieder da ...

gruss mastermann

chaosman 06.12.2005 21:05
@masterman

guckst du hier

@JayP
wenn es so einfach wäre....
chaosman

masterman 06.12.2005 21:11
Hi chaosman,

danke für den link ... werd mein bestes geben ..

gruss

masterman

BeLe 06.12.2005 21:17
oder du guckst hier http://www.trojaner-board.de/showthread.php?t=21709

so hab ich das ding auch wegbekommen, steht genau unter deinen thema! ;-)

masterman 06.12.2005 21:33
@ chaosman

.. hoffe ich habe es bis jetzt richtig gemacht .. anbei die spyaxe.txt datei

SpyAxeFix © by noahdfear


Microsoft Windows XP [Version 5.1.2600]




Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1820 'explorer.exe'
Killing PID 1820 'explorer.exe'


Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of rundll32.exe

svchosts.dll present
1024 directory present

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

und das neue Logfile von HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 21:31:23, on 06.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Blasius\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R3 - Default URLSearchHook is missing
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hpBC99.tmp
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120476004906
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game05.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C53CA8F1-12EB-4F47-A834-67470C10FDE5}: NameServer = 81.173.194.68 194.8.194.60
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

masterman 06.12.2005 21:42
Datfindbat:

1. Verzeichnis von C:\WINDOWS\SYSTEM32

06.12.2005 21:32 5.384 ncompat.tlb
06.12.2005 21:27 5.632 msvol.tlb
06.12.2005 21:27 19.968 hpBC99.tmp
06.12.2005 21:27 24.064 ldB99B.tmp
05.12.2005 16:04 13.892 nvctrl.exe
04.12.2005 17:41 9.736 mssearchnet.exe
04.12.2005 16:50 240.736 FNTCACHE.DAT
04.12.2005 15:31 1.170 WPA.DBL
04.12.2005 13:08 14.568 mscornet.exe
15.11.2005 12:12 126.680 GCCollection.dll
15.11.2005 12:12 117.976 hashlib.dll
15.11.2005 12:12 95.448 gcUnCompress.dll
02.11.2005 10:49 2.377.568 MRT.exe
30.10.2005 18:44 314.508 PERFH009.DAT
30.10.2005 18:44 40.836 PERFC009.DAT
30.10.2005 18:44 320.094 PERFH007.DAT
30.10.2005 18:44 49.174 PERFC007.DAT
30.10.2005 18:44 732.166 PerfStringBackup.INI
13.10.2005 08:11 118.784 sirenacm.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
04.10.2005 17:26 3.013.120 mshtml.dll
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 474.112 shlwapi.dll
03.09.2005 00:53 55.808 extmgr.dll
03.09.2005 00:53 146.432 msrating.dll
03.09.2005 00:53 96.768 inseng.dll
03.09.2005 00:53 1.484.288 shdocvw.dll
03.09.2005 00:53 39.424 pngfilt.dll
03.09.2005 00:53 448.512 mshtmled.dll
03.09.2005 00:53 205.312 dxtrans.dll
03.09.2005 00:53 530.432 mstime.dll
03.09.2005 00:53 605.696 urlmon.dll
03.09.2005 00:53 251.392 iepeers.dll
03.09.2005 00:53 1.055.744 danim.dll
03.09.2005 00:53 1.019.904 browseui.dll
03.09.2005 00:53 152.064 cdfview.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll

2. ist leer gewesen ?!?!!?

3. Verzeichnis von C:\

06.12.2005 21:27 1.901.029 WindowsUpdate.log
06.12.2005 21:26 0 0.LOG
06.12.2005 21:26 2.048 BOOTSTAT.DAT
06.12.2005 21:26 32.622 SchedLgU.Txt
04.12.2005 20:55 199.485 SETUPACT.LOG
04.12.2005 19:28 588.372 ntbtlog.txt
04.12.2005 17:49 50 WIASERVC.LOG
04.12.2005 17:49 216 WIADEBUG.LOG
10.11.2005 23:36 217.401 COMSETUP.LOG
10.11.2005 23:36 95.587 IIS6.LOG
10.11.2005 23:36 258.710 TSOC.LOG
10.11.2005 23:36 32.776 OCMSN.LOG
10.11.2005 23:36 1.393 imsins.log
10.11.2005 23:36 134.485 ntdtcsetup.log
10.11.2005 23:36 26.498 KB896424.log
10.11.2005 23:36 33.447 MSGSOCM.LOG
10.11.2005 23:36 362.844 OCGEN.LOG
10.11.2005 23:36 624.939 FaxSetup.log
10.11.2005 23:36 1.022.953 setupapi.log
10.11.2005 23:36 23.960 updspapi.log
10.11.2005 23:36 1.393 imsins.BAK
10.11.2005 23:36 26.365 KB900725.log
10.11.2005 23:36 23.998 KB905749.log
10.11.2005 23:36 20.425 KB896688.log
10.11.2005 23:35 18.522 KB904706.log
10.11.2005 23:35 18.824 KB905414.log
10.11.2005 23:35 18.013 KB901017.log
10.11.2005 23:35 22.531 KB902400.log
10.11.2005 23:35 15.559 KB894391.log
10.11.2005 23:35 13.737 KB896423.log
10.11.2005 23:35 13.228 KB899587.log
10.11.2005 23:35 12.723 KB899591.log
10.11.2005 23:34 12.842 KB893756.log
10.11.2005 23:34 12.230 KB901214.log
07.11.2005 22:10 0 mngui.INI
01.10.2005 20:06 155 winamp.ini
03.09.2005 22:43 49 NeroDigital.ini

4. Verzeichnis von C:\

06.12.2005 21:41 0 sys.txt
06.12.2005 21:40 15.465 system.txt
06.12.2005 21:39 135 systemtemp.txt
06.12.2005 21:36 106.006 system32.txt
06.12.2005 21:26 1.609.011.200 pagefile.sys
04.12.2005 20:54 1.180 smitfiles.txt
04.07.2005 13:30 211 BOOT.INI
04.07.2005 13:25 47.564 NTDETECT.COM
04.07.2005 13:25 251.184 NTLDR
30.06.2005 21:25 321.441 hpfr5100.log
07.03.2005 12:54 0 AILog.txt
12.02.2005 22:33 172 ch01112004a.cpq
08.02.2005 23:24 192 BcBtRmv.log
07.08.2004 23:14 19.781 xchxxx.chm
07.08.2004 22:53 33.459 insecxsp.chm
07.08.2004 12:41 12.738 visorall.chm
31.07.2004 20:59 10.871 go.chm
31.07.2004 20:56 20.632 berserk.chm
20.07.2004 09:56 33.469 eugensp.chm
13.07.2004 17:06 19.782 winhelp.chm
06.02.2004 12:34 4.611 DELL.SDR
11.09.2002 14:48 0 IO.SYS
11.09.2002 14:48 0 MSDOS.SYS
11.09.2002 14:48 0 AUTOEXEC.BAT
11.09.2002 14:48 0 CONFIG.SYS
11.09.2002 14:25 512 BOOTSECT.DOS
29.08.2002 06:00 4.952 BOOTFONT.BIN
27 Datei(en) 1.609.915.557 Bytes
0 Verzeichnis(se), 240.423.608.320 Bytes frei

JayP 07.12.2005 13:46
@chaosman
man kanns ja mal probieren ;)

masterman 08.12.2005 09:05
kann einer bitte nochmal draufschauen ?? wäre supie ... komme einfach net weiter .... Spyaxe ansich scheiunt wegt zu sein ... hab nur noch das startseitenprob mit w*w.updateyoursystem.com und das zwischendurch immer noch popups aufgehen ... bin für jeden rat dankbar ...

Wildone 08.12.2005 09:16
Hallo,
lass die smitrem nochmal im abgesicherten Modus (F8 beim booten) laufen und poste danach den Inhalt der C:\smitfiles.txt



Grüße Wildone


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:47 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28