Hallo zusammen,
ich hatte dieses SpyAxe Problem und hatte in der Startleiste unten rechts 2 solcher PopUp Fenster, die mich ständig aufforderten SpyAxe oder sonstigen Schwachsinn zu installieren.
Ich habe nun anhand
dieser Anleitung und mit dem Tool von Noahdfear (vielen Dank) das Problem (zumindest auf den ersten Blick in den Griff bekommen).
Die Schritte waren also 1) abgesicherter Modus 2) Tool smitrem benutzen 3) Adware Scan 4) Spybot Scan 5) Spybot Immunisierung 6) Escan.
Jetzt unmittelbar nach dem Neustart im normalen Modus klappt alles. Dennoch möchte ich gern wie in der Anleitung beschrieben hier die Log Files posten und hoffe auf eure Hilfe, da mir das meiste davon nicht viel sagt.
Zuerst Hijackthis:
Zitat:
Logfile of HijackThis v1.97.7
Scan saved at 04:23:24, on 12.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\01 ANWENDUNGEN\INTERNET\ANTIVIR\AVGUARD.EXE
C:\01 Anwendungen\Internet\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\01 Anwendungen\Internet\AntiVir\AVGNT.EXE
C:\01 Anwendungen\Internet\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\01 Anwendungen\Internet\Foxmail 8.0\Foxmail.exe
C:\Dokumente und Einstellungen\Mustermann\Desktop\Viren & Trojaner\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [AVGCtrl] "C:\01 Anwendungen\Internet\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\01 Anwendungen\Internet\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: A&lles mit ReGet Pro herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Download with GetRight - C:\01 Anwendungen\Internet\GetRight\GRdownload.htm
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Herunterladen mit ReGet &Pro - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\01 Anwendungen\Internet\GetRight\GRbrowse.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{8FE29DAC-A405-41E4-AAB4-69F89B1858E7}: NameServer = 194.97.173.124 194.97.173.125
|
Nun die Escan Ergebnisse:
Zitat:
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Dec 12 00:07:41 2005 => File C:\Dokumente und Einstellungen\Mustermann\Eigene Dateien\vcodec_ver3.111.exe infected by "Trojan-Downloader.Win32.Zlob.bp" Virus! Action Taken: No Action Taken.
Mon Dec 12 00:44:09 2005 => Scanning Folder: C:\01 Anwendungen\Internet\AntiVir\INFECTED\*.*
Mon Dec 12 00:44:09 2005 => Scanning File C:\01 Anwendungen\Internet\AntiVir\INFECTED\LDEDD5.TMP.VIR
Mon Dec 12 02:02:10 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Dec 11 23:21:49 2005 => Offending Key found: HKLM\Software\kazaa !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Dec 12 02:02:10 2005 => Total Virus(es) Found: 2
Mon Dec 12 02:02:10 2005 => Total Errors: 141
Mon Dec 12 02:02:10 2005 => Time Elapsed: 02:38:24
Mon Dec 12 02:02:10 2005 => Total Objects Scanned: 84268
Sun Dec 11 20:49:36 2005 => Virus Database Date: 2005/12/02
Sun Dec 11 23:19:57 2005 => Virus Database Date: 2005/12/02
Mon Dec 12 02:02:09 2005 => Virus Database Date: 2005/12/02
Mon Dec 12 02:02:21 2005 => Virus Database Date: 2005/12/02
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
|
Und zuletzt noch die Ergebnisse aus smitfiles.txt
Zitat:
smitRem © log file
version 2.8
by noahdfear
Microsoft Windows XP [Version 5.1.2600]
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
checking for ShudderLTD key
ShudderLTD key not present!
checking for PSGuard.com key
PSGuard.com key not present!
|
Folgende beide Fragen hätte ich dann dazu noch:
1) Was muss ich nun noch fixen oder sonst berücksichtigen oder ist nun alles ok?
2) Wieso habe ich mir das eigentlich eingefangen? Trotz Antivir und Zone Alarm, Firefox, Windows Updates und Verzicht auf Outlook?
Danke euch allen
Stefan
12.12.2005, 04:43
Baum-Darstellung