SpyFalcon/SpyAxe/Smitfraud

Your Eyes Only · 13.05.2006, 14:09

Hey!

Habe ein Problem mit dem Programm Spyfalcon. Das Hauptprogramm habe ich natürlich gleich deinstalliert, aber die Rückstände bleiben. Habe es mir erst gestern zugezogen und heute den Kampf unter Benutzung von Spybot S&D, XoftSpy und Ad-Aware aufgenommen, konnte auch so einiges vernichten, leide aber immer noch unter lästigen Popups. (1. eines in der Tray "Your Computer is infected", einige Popups ähnlicher Art, die jedoch seltener kommen sowie gelegentlichen Popups im Explorer/Mozilla Firefox, (diverse Internetcasinos, Sexanbieter, bla, ihr wisst schon) werde jetzt mal mein Hijackthis-Log posten und wäre total glücklich, wenn mir wer helfen könnte.

Vielen Dank und freundliche Grüße!

Logfile of HijackThis v1.99.1
Scan saved at 15:06:23, on 14.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atmclk.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\System32\Prismsta.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Skype\Phone\Skype.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\wanmpsvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\wuauclt.exe
D:\PROGRA~1\MOZILL~1\firefox.exe
C:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.f258.mail.yahoo.com/ym/login?.rand=60eqo1akf8qke
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.f258.mail.yahoo.com/ym/login?.rand=60eqo1akf8qke
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\System32\hpAF2E.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\Excid.com Aps\eTrust Antivirus Registration\EzAntivirusRegistrationCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D5FB763-D499-43B1-84EB-F56BD115D0AD}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{3D5FB763-D499-43B1-84EB-F56BD115D0AD}: NameServer = 192.168.1.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

BataAlexander · 13.05.2006, 14:30

Hallo,

folgendes fixen:

O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\System32\hpAF2E.tmp

Lase dannach cleanup, und poste dann die vier Logs der datfind.bat, aber nur die Files der letzten drei Monate abkopieren.

Gruß

Schrulli

Your Eyes Only · 13.05.2006, 20:37

Gut, habe ich gemacht (danke iÜ, der Cleanup hat ne ganze Menge Platz gemacht)

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2496-AFED

Verzeichnis von C:\WINDOWS\system32

14.05.2006 21:29 5.036 stdole3.tlb
14.05.2006 20:48 5.368 dxole32.exe
14.05.2006 20:48 4.286 ot.ico
14.05.2006 20:48 4.286 ts.ico
14.05.2006 19:40 37.389 ld5469.tmp
14.05.2006 19:39 4.212 zllictbl.dat
14.05.2006 13:57 8.192 simpole.tlb
14.05.2006 13:56 81.408 dcomcfg.exe
14.05.2006 13:56 10.308 atmclk.exe
13.05.2006 22:53 1.142 ikhcore.log
13.05.2006 22:32 1.158 wpa.dbl
13.05.2006 21:24 176.128 appmagr.dll
13.05.2006 21:17 48.141 regperf.exe
11.05.2006 22:56 176.167 rmoc3260.dll
11.05.2006 22:56 5.632 pndx5032.dll
11.05.2006 22:56 6.656 pndx5016.dll
11.05.2006 22:55 278.528 pncrt.dll
05.05.2006 23:33 7.006 jupdate-1.5.0_06-b05.log
29.04.2006 19:02 98.304 CmdLineExt.dll
28.04.2006 16:10 251.880 FNTCACHE.DAT
31.03.2006 13:10 376.016 perfh009.dat
31.03.2006 13:10 386.338 perfh007.dat
31.03.2006 13:10 51.814 perfc009.dat
31.03.2006 13:10 62.578 perfc007.dat
31.03.2006 13:10 886.928 PerfStringBackup.INI
31.03.2006 13:09 99 $winnt$.inf
30.03.2006 08:33 333 $ncsp$.inf

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2496-AFED

Verzeichnis von C:\DOKUME~1\Daniel\LOKALE~1\Temp

14.05.2006 21:28 71.680 GLB14.tmp
14.05.2006 19:50 204 jusched.log
14.05.2006 19:41 16.384 ~DF34AC.tmp
14.05.2006 19:37 71.680 GLB4F.tmp
11.05.2006 01:08 122 8A56EAB7.TMP
01.09.2005 14:56 587.912 zauninst.exe
29.08.2005 19:09 382.720 vsutil.dll
29.08.2005 19:08 141.056 vsinit.dll
8 Datei(en) 1.271.758 Bytes
0 Verzeichnis(se), 89.246.900.224 Bytes frei

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2496-AFED

Verzeichnis von C:\WINDOWS

14.05.2006 21:18 23 BlendSettings.ini
14.05.2006 19:40 0 0.log
14.05.2006 19:40 2.074.193 WindowsUpdate.log
14.05.2006 19:40 2.048 bootstat.dat
14.05.2006 19:39 32.630 SchedLgU.Txt
14.05.2006 19:36 2.500.867 setupapi.log
13.05.2006 22:15 170.127 wmsetup.log
13.05.2006 13:51 578 win.ini
12.05.2006 18:47 715 wiadebug.log
12.05.2006 15:04 50 wiaservc.log
12.05.2006 15:03 222.892 setupact.log
10.05.2006 19:44 135 NeroDigital.ini
24.04.2006 21:59 55 RadioTracker.INI
31.03.2006 21:10 253.683 DirectX.log
31.03.2006 15:30 23 AOLMIcon.ini
31.03.2006 14:48 2.882 COM+.log
31.03.2006 13:12 70.392 Windows Update.log
31.03.2006 13:10 1.174 OEWABLog.txt
31.03.2006 13:09 1.001.283 setuplog.txt
31.03.2006 13:08 73.964 tsoc.log
31.03.2006 13:08 7.615 sessmgr.setup.log
31.03.2006 13:08 26.258 iis6.log
31.03.2006 13:08 616 DtcInstall.log
31.03.2006 13:08 2.750 regopt.log
31.03.2006 13:07 1.422 setuperr.log
30.03.2006 08:33 32 CD_Start.INI

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2496-AFED

Verzeichnis von C:\

14.05.2006 21:33 0 sys.txt
14.05.2006 21:32 8.985 system.txt
14.05.2006 21:32 623 systemtemp.txt
14.05.2006 21:30 92.908 system32.txt
14.05.2006 21:26 1.593.835.520 pagefile.sys
14.05.2006 19:40 536.399.872 hiberfil.sys
31.03.2006 13:09 194 boot.ini
30.03.2006 08:26 264.801 wstpro.txt

dartus · 14.05.2006, 00:38

Your Eyes Only,

lösche folgende Dateien mit der Killbox (Option "delete on reboot", auf das weisse Kreuz mit rotem Hintergrund klicken und erst nach der letzten Datei eine Neustart bejahen):

C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\dxole32.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ld5469.tmp
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\appmagr.dll
C:\WINDOWS\system32\regperf.exe

dartus

Your Eyes Only · 14.05.2006, 14:17

Großartig! Die Popups sind weg. Zumindest die, die bisher aufgetaucht wären, manche kamen ja auch erst später.

Vielen Dank für eure Hilfe!

13.05.2006, 14:30	#2
BataAlexander > MalwareDB	SpyFalcon/SpyAxe/Smitfraud Hallo, folgendes fixen: O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\System32\hpAF2E.tmp Lase dannach cleanup, und poste dann die vier Logs der datfind.bat, aber nur die Files der letzten drei Monate abkopieren. Gruß Schrulli __________________ __________________

SpyFalcon/SpyAxe/Smitfraud

Plagegeister aller Art und deren Bekämpfung: SpyFalcon/SpyAxe/Smitfraud