Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Reste von SpySheriff?

Reste von SpySheriff?


Log-Analyse und Auswertung: Reste von SpySheriff?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 27.12.2005, 12:48   #1
pdg
 
Reste von SpySheriff? - Standard

Reste von SpySheriff?


So ich brauche Hiilfe.

Vor ein paar Tagen hab ich mich mit dem Spysheriff infiziert.

Habs jetzt dank euch schon entfernen können. Der Hintergrund lässt sich wieder ändern. *freu*


So hier mal mein Log (sagt mir bitte was ich fixen muss):

Logfile of HijackThis v1.99.1
Scan saved at 12:39:46, on 27.12.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\Explorer.EXE
C:\Programme\internet explorer\iexplore.exe
C:\WINNT\system32\starter.exe
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\system32\hkcmd.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Adaptec Shared\CreateCD\CreateCD50.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINNT\system32\internat.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\power\PowerMenu.exe
C:\Programme\GroupWise\Notify.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*h**p://www.yahoo.com/search/ie.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
F3 - REG:win.ini: load=C:\WINNT\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINNT\system32\scvhost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: N.Cs4 - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - C:\WINNT\system32\wsock32.sys (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Sawaworld - Die Community toolbar - {34e09103-a23d-4cdb-9f0b-d2692cdde0da} - C:\Programme\Sawaworld - Die Community\tbSawa.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [V66SHELL] V66SHELL.EXE
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [CreateCD50] "C:\Programme\Gemeinsame Dateien\Adaptec Shared\CreateCD\CreateCD50.exe" -r
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [pdfw] C:\Programme\Amic Utilities\PDF Writer Pro\pdfwload.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Generic Host Processes] C:\WINNT\system32\dll.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINNT\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Processes] C:\WINNT\system32\dll.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINNT\system32\scvhost.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [PowerMenu] "C:\Programme\power\PowerMenu.exe" -hideself on
O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun
O4 - Global Startup: GroupWise Notify.lnk = C:\Programme\GroupWise\Notify.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Verknüpfung mit Notify.lnk
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall 1.0\trash.exe (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall 1.0\trash.exe (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409
O16 - DPF: {3EB4F9EA-51A6-48DA-846A-0D69DCBA39EF} (DownloadManager Control) - h**p://download.akamaitools.com.edgesuite.net/dlmanager/dev/code/IE_1070/DownloadManager.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} - h**p://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133118907846
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\WINNT\msxml4.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} - h**p://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{375BE12B-1859-4338-9607-F918E2D2DE1E}: NameServer = 193.170.80.11,193.170.80.10
O17 - HKLM\System\CCS\Services\Tcpip\..\{55FDF4BE-345A-47D1-B6BC-A1AF15F98578}: NameServer = 193.170.80.10,193.170.80.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB3C0106-A3ED-457A-BC13-EB6420D48C52}: NameServer = 193.170.80.10,193.170.80.11
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = vw.oeaw.ac.at
O17 - HKLM\System\CS1\Services\Tcpip\..\{375BE12B-1859-4338-9607-F918E2D2DE1E}: NameServer = 193.170.80.11,193.170.80.10
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = vw.oeaw.ac.at
O17 - HKLM\System\CS2\Services\Tcpip\..\{375BE12B-1859-4338-9607-F918E2D2DE1E}: NameServer = 193.170.80.11,193.170.80.10
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = vw.oeaw.ac.at
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe






Hätte auch ein eScan-Log gepostet kanns aber nicht installieren da ich keine Admin-Rechte habe.

pdg

Alt 27.12.2005, 13:57   #2
stupormundi
 
Reste von SpySheriff? - Standard

Reste von SpySheriff?


Servus!
Ich will Dir ja nur ungern die Freude verderben, aber Du hast da noch einiges im System!
Allein der Eintrag
Zitat:
O2 - BHO: N.Cs4 - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - C:\WINNT\system32\wsock32.sys (file missing)
sagt mir, dass bei Dir ein sog. Backdoor-Trojaner aktiv gewesen ist. Und diese Einträge:
Zitat:
F3 - REG:win.ini: load=C:\WINNT\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINNT\system32\scvhost.exe
...
O4 - HKLM\..\Run: [Generic Host Process] C:\WINNT\system32\scvhost.exe
...
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINNT\system32\scvhost.exe
gehören zu dem. Ob diese Einträge
Zitat:
O4 - HKLM\..\Run: [Generic Host Processes] C:\WINNT\system32\dll.exe
...
O4 - HKLM\..\RunServices: [Generic Host Processes] C:\WINNT\system32\dll.exe
auch zu dem o.a. Downloader gehören (was ich pers. annehmen würde) oder eine eigene Malware darstellen, müsste gesondert überprüft werden (Malware ist es auf jeden Fall).
Aber wegen des Backdoors - auch wenn die dazugehörende Datei offenbar schon weg ist, gebe ich Dir diesen Rat. Cidre hat hier ausführlich verlinkt, warum bei Backdoor-Trojanern das die einzig zuverlässige Methode ist!
Dann hast Du die Gewissheit, wirklich alle Problemfälle abgearbeitet zu haben!
stupormundi
__________________

__________________
Antwort

Themen zu Reste von SpySheriff?
adobe, antispyware, bho, c.exe, dateien, document, download, entfernen, explorer, firewall, free download, generic, generic host, hijack, hijackthis, hintergrund, icq, internet, internet explorer, log, mein log, microsoft, programme, rundll, rundll32.exe, software, system, system32, windows, winlogon


« welcher trojaner? wie entfernen? nur durch formatieren? | Explorer.Exe konnte nicht initialisiert werden »


Ähnliche Themen: Reste von SpySheriff?


  1. FraudTool.Win32.SpySheriff.H (vf)
    Mülltonne - 15.11.2008 (0)
  2. mal wieder spysheriff...
    Log-Analyse und Auswertung - 20.09.2006 (4)
  3. Spysheriff
    Log-Analyse und Auswertung - 11.06.2006 (2)
  4. SpySheriff - Website gefunden
    Plagegeister aller Art und deren Bekämpfung - 23.04.2006 (9)
  5. SpySheriff problem
    Log-Analyse und Auswertung - 21.04.2006 (6)
  6. SpySheriff Problem
    Log-Analyse und Auswertung - 16.03.2006 (24)
  7. Hilfe Spysheriff/Blackworm
    Log-Analyse und Auswertung - 13.03.2006 (2)
  8. Spysheriff und Blackworm HILFE
    Mülltonne - 13.03.2006 (1)
  9. spysheriff - kaum wegzukriegen ... ?
    Log-Analyse und Auswertung - 16.01.2006 (1)
  10. Auch hier Spysheriff Reste?
    Log-Analyse und Auswertung - 05.01.2006 (1)
  11. Spysheriff
    Log-Analyse und Auswertung - 29.12.2005 (2)
  12. spysheriff....was machen??
    Log-Analyse und Auswertung - 03.12.2005 (4)
  13. spysheriff auf der pladde, was tun?
    Log-Analyse und Auswertung - 03.12.2005 (5)
  14. Spysheriff
    Plagegeister aller Art und deren Bekämpfung - 10.07.2005 (22)
  15. spysheriff
    Log-Analyse und Auswertung - 28.06.2005 (3)
  16. Spysheriff
    Plagegeister aller Art und deren Bekämpfung - 19.06.2005 (4)
  17. hijackthis log wg. spysheriff
    Log-Analyse und Auswertung - 14.06.2005 (8)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Reste von SpySheriff? - So ich brauche Hiilfe. Vor ein paar Tagen hab ich mich mit dem Spysheriff infiziert. Habs jetzt dank euch schon entfernen können. Der Hintergrund lässt sich wieder ändern. *freu* So - Reste von SpySheriff?...
Archiv
Du betrachtest: Reste von SpySheriff? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55