| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: SpyFalcon/SpyAxe/SmitfraudWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
13.05.2006, 14:09
| #1 |
| |  SpyFalcon/SpyAxe/Smitfraud Hey! Habe ein Problem mit dem Programm Spyfalcon. Das Hauptprogramm habe ich natürlich gleich deinstalliert, aber die Rückstände bleiben. Habe es mir erst gestern zugezogen und heute den Kampf unter Benutzung von Spybot S&D, XoftSpy und Ad-Aware aufgenommen, konnte auch so einiges vernichten, leide aber immer noch unter lästigen Popups. (1. eines in der Tray "Your Computer is infected", einige Popups ähnlicher Art, die jedoch seltener kommen sowie gelegentlichen Popups im Explorer/Mozilla Firefox, (diverse Internetcasinos, Sexanbieter, bla, ihr wisst schon) werde jetzt mal mein Hijackthis-Log posten und wäre total glücklich, wenn mir wer helfen könnte. Vielen Dank und freundliche Grüße! Logfile of HijackThis v1.99.1 Scan saved at 15:06:23, on 14.05.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\atmclk.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\Dit.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\System32\Prismsta.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\Programme\Skype\Phone\Skype.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\wanmpsvc.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\System32\wuauclt.exe D:\PROGRA~1\MOZILL~1\firefox.exe C:\Programme\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.f258.mail.yahoo.com/ym/login?.rand=60eqo1akf8qke R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.f258.mail.yahoo.com/ym/login?.rand=60eqo1akf8qke R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\System32\hpAF2E.tmp O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\Excid.com Aps\eTrust Antivirus Registration\EzAntivirusRegistrationCheck.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU) O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3D5FB763-D499-43B1-84EB-F56BD115D0AD}: NameServer = 192.168.1.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{3D5FB763-D499-43B1-84EB-F56BD115D0AD}: NameServer = 192.168.1.1 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe |
|
13.05.2006, 14:30
| #2 |
| > MalwareDB   | SpyFalcon/SpyAxe/Smitfraud Hallo,
__________________folgendes fixen: O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\System32\hpAF2E.tmp Lase dannach cleanup, und poste dann die vier Logs der datfind.bat, aber nur die Files der letzten drei Monate abkopieren. Gruß Schrulli
__________________ |
|
13.05.2006, 20:37
| #3 |
| | SpyFalcon/SpyAxe/Smitfraud Gut, habe ich gemacht (danke iÜ, der Cleanup hat ne ganze Menge Platz gemacht)
__________________Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2496-AFED Verzeichnis von C:\WINDOWS\system32 14.05.2006 21:29 5.036 stdole3.tlb 14.05.2006 20:48 5.368 dxole32.exe 14.05.2006 20:48 4.286 ot.ico 14.05.2006 20:48 4.286 ts.ico 14.05.2006 19:40 37.389 ld5469.tmp 14.05.2006 19:39 4.212 zllictbl.dat 14.05.2006 13:57 8.192 simpole.tlb 14.05.2006 13:56 81.408 dcomcfg.exe 14.05.2006 13:56 10.308 atmclk.exe 13.05.2006 22:53 1.142 ikhcore.log 13.05.2006 22:32 1.158 wpa.dbl 13.05.2006 21:24 176.128 appmagr.dll 13.05.2006 21:17 48.141 regperf.exe 11.05.2006 22:56 176.167 rmoc3260.dll 11.05.2006 22:56 5.632 pndx5032.dll 11.05.2006 22:56 6.656 pndx5016.dll 11.05.2006 22:55 278.528 pncrt.dll 05.05.2006 23:33 7.006 jupdate-1.5.0_06-b05.log 29.04.2006 19:02 98.304 CmdLineExt.dll 28.04.2006 16:10 251.880 FNTCACHE.DAT 31.03.2006 13:10 376.016 perfh009.dat 31.03.2006 13:10 386.338 perfh007.dat 31.03.2006 13:10 51.814 perfc009.dat 31.03.2006 13:10 62.578 perfc007.dat 31.03.2006 13:10 886.928 PerfStringBackup.INI 31.03.2006 13:09 99 $winnt$.inf 30.03.2006 08:33 333 $ncsp$.inf Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2496-AFED Verzeichnis von C:\DOKUME~1\Daniel\LOKALE~1\Temp 14.05.2006 21:28 71.680 GLB14.tmp 14.05.2006 19:50 204 jusched.log 14.05.2006 19:41 16.384 ~DF34AC.tmp 14.05.2006 19:37 71.680 GLB4F.tmp 11.05.2006 01:08 122 8A56EAB7.TMP 01.09.2005 14:56 587.912 zauninst.exe 29.08.2005 19:09 382.720 vsutil.dll 29.08.2005 19:08 141.056 vsinit.dll 8 Datei(en) 1.271.758 Bytes 0 Verzeichnis(se), 89.246.900.224 Bytes frei Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2496-AFED Verzeichnis von C:\WINDOWS 14.05.2006 21:18 23 BlendSettings.ini 14.05.2006 19:40 0 0.log 14.05.2006 19:40 2.074.193 WindowsUpdate.log 14.05.2006 19:40 2.048 bootstat.dat 14.05.2006 19:39 32.630 SchedLgU.Txt 14.05.2006 19:36 2.500.867 setupapi.log 13.05.2006 22:15 170.127 wmsetup.log 13.05.2006 13:51 578 win.ini 12.05.2006 18:47 715 wiadebug.log 12.05.2006 15:04 50 wiaservc.log 12.05.2006 15:03 222.892 setupact.log 10.05.2006 19:44 135 NeroDigital.ini 24.04.2006 21:59 55 RadioTracker.INI 31.03.2006 21:10 253.683 DirectX.log 31.03.2006 15:30 23 AOLMIcon.ini 31.03.2006 14:48 2.882 COM+.log 31.03.2006 13:12 70.392 Windows Update.log 31.03.2006 13:10 1.174 OEWABLog.txt 31.03.2006 13:09 1.001.283 setuplog.txt 31.03.2006 13:08 73.964 tsoc.log 31.03.2006 13:08 7.615 sessmgr.setup.log 31.03.2006 13:08 26.258 iis6.log 31.03.2006 13:08 616 DtcInstall.log 31.03.2006 13:08 2.750 regopt.log 31.03.2006 13:07 1.422 setuperr.log 30.03.2006 08:33 32 CD_Start.INI Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2496-AFED Verzeichnis von C:\ 14.05.2006 21:33 0 sys.txt 14.05.2006 21:32 8.985 system.txt 14.05.2006 21:32 623 systemtemp.txt 14.05.2006 21:30 92.908 system32.txt 14.05.2006 21:26 1.593.835.520 pagefile.sys 14.05.2006 19:40 536.399.872 hiberfil.sys 31.03.2006 13:09 194 boot.ini 30.03.2006 08:26 264.801 wstpro.txt |
|
14.05.2006, 00:38
| #4 |
| | SpyFalcon/SpyAxe/Smitfraud Your Eyes Only, lösche folgende Dateien mit der Killbox (Option "delete on reboot", auf das weisse Kreuz mit rotem Hintergrund klicken und erst nach der letzten Datei eine Neustart bejahen): C:\WINDOWS\system32\stdole3.tlb C:\WINDOWS\system32\dxole32.exe C:\WINDOWS\system32\ot.ico C:\WINDOWS\system32\ts.ico C:\WINDOWS\system32\ld5469.tmp C:\WINDOWS\system32\simpole.tlb C:\WINDOWS\system32\dcomcfg.exe C:\WINDOWS\system32\atmclk.exe C:\WINDOWS\system32\appmagr.dll C:\WINDOWS\system32\regperf.exe dartus
__________________ Kein Support per PN |
|
14.05.2006, 14:17
| #5 |
| | SpyFalcon/SpyAxe/Smitfraud Großartig! Die Popups sind weg. Zumindest die, die bisher aufgetaucht wären, manche kamen ja auch erst später. Vielen Dank für eure Hilfe!  |
|
| Themen zu SpyFalcon/SpyAxe/Smitfraud |
| ad-aware, antivirus, bho, computer, dateien, diverse, dll, firefox, fraud, helfen, hijack, home, icqtoolbar, infected, internet explorer, messenger, microsoft, monitor, msn, problem, programm, programme, rundll, software, system, urlsearchhook, windows, windows xp, your computer is infected |
Hybrid-Darstellung
