Spysheriff

pumuckl · 11.06.2006, 13:38

Hallo! Hab nen Rechner von Bekannten bekommen. Kann mir bitte jemand helfen:

Logfile of HijackThis v1.99.1
Scan saved at 23:56:11, on 10.06.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Mildner\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWlsZG5lcg\command.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Genuine Update Service (WGUServ) - Unknown owner - C:\WINDOWS\system32\wguserv.exe (file missing)
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINDOWS\services.exe (file missing)

Ach ja, die Updates und das SP2 mach ich noch drauf. (Vielleicht muss ich formatieren)

Und da sind die Logs vom Datfindbat:

Verzeichnis von C:\WINDOWS\system32

10.06.2006 20:29 41.108 vsconfig.xml
10.06.2006 19:51 4.212 zllictbl.dat
10.06.2006 18:30 311.740 perfh009.dat
10.06.2006 18:30 40.128 perfc009.dat
10.06.2006 18:30 316.924 perfh007.dat
10.06.2006 18:30 48.354 perfc007.dat
10.06.2006 18:30 723.744 PerfStringBackup.INI
10.06.2006 18:27 90.296 FNTCACHE.DAT
10.06.2006 18:25 288 $winnt$.inf
10.06.2006 18:21 25.065 wmpscheme.xml
10.06.2006 18:21 16.832 amcompat.tlb
10.06.2006 18:21 23.392 nscompat.tlb
10.06.2006 18:18 488 logonui.exe.manifest
10.06.2006 18:18 488 WindowsLogon.manifest
10.06.2006 18:17 749 sapi.cpl.manifest
10.06.2006 18:17 749 nwc.cpl.manifest
10.06.2006 18:17 749 ncpa.cpl.manifest
10.06.2006 18:17 749 cdplayer.exe.manifest
10.06.2006 18:17 749 wuaucpl.cpl.manifest
10.06.2006 18:15 22.880 emptyregdb.dat
10.06.2006 02:21 0 ksl48.bin
09.06.2006 10:52 2.184 wpa.dbl
08.06.2006 09:06 73 i
07.06.2006 12:40 6 tick48.bin
06.06.2006 08:57 84 net.ini
05.06.2006 10:42 57.856 TFTP3256
05.06.2006 10:42 1.460 eraseme_14046.exe
05.06.2006 10:41 116 rpzokj.bat
04.06.2006 20:06 0 eraseme_31881.exe
04.06.2006 20:05 119 anuhwo.bat
04.06.2006 20:02 16.384 setup_86470.exe
04.06.2006 19:58 74 bios.rom
04.06.2006 14:10 0 h323log.txt
04.06.2006 13:22 2.951 CONFIG.NT
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
16.03.2006 11:16 54.960 vsutil_loc0407.dll

Verzeichnis von C:\DOKUME~1\Mildner\LOKALE~1\Temp

10.06.2006 20:13 16.384 ~DF6CF6.tmp
09.06.2006 10:52 0 $b17a2e8.tmp
08.06.2006 09:06 16.384 Perflib_Perfdata_1018.dat
08.06.2006 09:06 16.384 Perflib_Perfdata_88c.dat
07.06.2006 13:05 0 WER5.tmp
07.06.2006 13:05 0 WER4.tmp
07.06.2006 12:31 16.384 Perflib_Perfdata_42c.dat
07.06.2006 12:17 16.384 Perflib_Perfdata_6f4.dat
07.06.2006 12:15 16.384 Perflib_Perfdata_a04.dat
07.06.2006 12:10 16.384 Perflib_Perfdata_694.dat
07.06.2006 12:10 16.384 Perflib_Perfdata_69c.dat
06.06.2006 12:26 16.384 Perflib_Perfdata_14b0.dat
06.06.2006 12:09 16.384 Perflib_Perfdata_878.dat
05.06.2006 20:06 0 WER3.tmp
05.06.2006 20:04 2.367.982 ErrorSafeScannerSetup.exe
05.06.2006 12:03 0 WER9.tmp
05.06.2006 12:02 0 WER8.tmp
05.06.2006 12:01 0 WER7.tmp
05.06.2006 12:00 0 WER6.tmp
05.06.2006 10:33 16.384 Perflib_Perfdata_778.dat
05.06.2006 08:48 16.384 Perflib_Perfdata_760.dat
04.06.2006 20:40 14.886 ms4045.tmp
04.06.2006 20:40 10.984 ms4035.tmp
04.06.2006 20:38 10.984 ms3848.tmp
04.06.2006 20:38 14.886 ms3836.tmp
04.06.2006 18:05 9.725 Microsoft Office 2003 Setup(0001).txt
04.06.2006 18:05 169.154 Microsoft Office 2003 Setup(0001)_Task(0001).txt
04.06.2006 18:03 55.331 offcln11.log
04.06.2006 13:45 188 tosup.log

Verzeichnis von C:\WINDOWS

10.06.2006 20:44 6.140 svcpack.log
10.06.2006 20:43 235.052 setupapi.log
10.06.2006 20:29 0 0.log
10.06.2006 20:29 8.442 SchedLgU.Txt
10.06.2006 20:29 2.048 bootstat.dat
10.06.2006 18:58 9.874 Windows Update.log
10.06.2006 18:37 1.442 COM+.log
10.06.2006 18:29 39.414 comsetup.log
10.06.2006 18:28 538.406 setuplog.txt
10.06.2006 18:26 112.706 iis6.log
10.06.2006 18:26 20.531 ntdtcsetup.log
10.06.2006 18:26 25.720 tsoc.log
10.06.2006 18:26 4.382 imsins.log
10.06.2006 18:26 213.885 setupact.log
10.06.2006 18:21 299.552 WMSysPrx.prx
10.06.2006 18:21 1.261 OEWABLog.txt
10.06.2006 18:20 4.161 ODBCINST.INI
10.06.2006 18:17 749 WindowsShell.Manifest
10.06.2006 18:17 659 win.ini
10.06.2006 18:16 2.784 ocmsn.log
10.06.2006 18:16 30.685 ocgen.log
10.06.2006 18:16 2.075 msgsocm.log
10.06.2006 18:16 29.863 FaxSetup.log
10.06.2006 18:16 2.139 sessmgr.setup.log
10.06.2006 18:14 243 DtcInstall.log
10.06.2006 18:13 21.536 msmqinst.log
10.06.2006 17:30 50 wiaservc.log
10.06.2006 17:30 409 wiadebug.log
10.06.2006 17:29 5.098 avmcoins.log
10.06.2006 17:23 2.480 regopt.log
10.06.2006 17:23 227 system.ini
10.06.2006 02:04 218.982 setupapi.old
08.06.2006 09:04 0 keyboard1.dat
05.06.2006 12:08 42 drsmartload2.dat
05.06.2006 10:42 38.803 WHCC2.exe
05.06.2006 10:39 0 newname.dat
05.06.2006 10:39 40 teller2.chk
04.06.2006 18:19 1.891 imsins.BAK
04.06.2006 14:06 0 Sti_Trace.log
04.06.2006 13:46 219 uno.ini
04.06.2006 13:32 8.192 REGLOCS.OLD
04.06.2006 13:29 622 setuperr.log
04.06.2006 13:22 0 control.ini
04.06.2006 13:14 36 vb.ini
04.06.2006 13:14 37 vbaddin.ini

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C93C-B5A4

Verzeichnis von C:\

11.06.2006 00:16 0 sys.txt
11.06.2006 00:16 4.380 system.txt
11.06.2006 00:15 2.010 systemtemp.txt
11.06.2006 00:12 86.172 system32.txt
10.06.2006 20:29 385.404.928 hiberfil.sys
10.06.2006 20:29 578.813.952 pagefile.sys
10.06.2006 18:13 194 boot.ini
07.06.2006 12:15 56.676 Trelew.exe
06.06.2006 09:25 0 umqtjbg.exe
05.06.2006 20:19 0 xaouye.exe
05.06.2006 20:19 0 gbyui.exe
05.06.2006 20:19 0 dilg.exe
05.06.2006 20:19 0 ktsfd.exe
05.06.2006 20:19 0 majo.exe
05.06.2006 20:17 0 uniq
05.06.2006 11:57 418 AxLog.txt
04.06.2006 13:45 428 TO_InstallLog.txt
25.05.2006 15:18 142.508 hpfr3600.log
14.05.2005 16:18 13.290 drwtsn32.log
07.05.2004 16:26 16 win2.log
09.04.2004 13:37 36.145 dxdiag.txt

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 11.06.2006 00:32:52 for strings:
; 'spysheriff'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spy Sheriff]
"DisplayIcon"="C:\\Program Files\\SpySheriff\\SpySheriff.exe"
"UninstallString"="C:\\Program Files\\SpySheriff\\Uninstall.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"SpySheriff"="C:\\Program Files\\SpySheriff\\SpySheriff.exe"

[HKEY_USERS\.DEFAULT\Software\SpySheriff]

[HKEY_USERS\.DEFAULT\Software\SpySheriff]
"Uninstall"="C:\\Program Files\\SpySheriff"

[HKEY_USERS\.DEFAULT\Software\SpySheriff\IE Security]

[HKEY_USERS\.DEFAULT\Software\SpySheriff\IE Security\BlockedLocations]

[HKEY_USERS\.DEFAULT\Software\SpySheriff\Process Security]

[HKEY_USERS\.DEFAULT\Software\SpySheriff\Process Security\Policies]

[HKEY_USERS\.DEFAULT\Software\SpySheriff\Process Security\Policies\Allowed]

[HKEY_USERS\.DEFAULT\Software\SpySheriff\Process Security\Policies\Allowed]
"C:\\Program Files\\SpySheriff\\SpySheriff.exe"=dword:00000001

[HKEY_USERS\.DEFAULT\Software\SpySheriff\Process Security\Policies\Restricted]

[HKEY_USERS\.DEFAULT\Software\SpySheriff\Scan]

[HKEY_USERS\.DEFAULT\Software\SpySheriff\System Security]

[HKEY_USERS\.DEFAULT\Software\SpySheriff\Updates]

[HKEY_USERS\S-1-5-21-1708537768-1957994488-1060284298-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Program Files\\SpySheriff\\Uninstall.exe"="Uninstall"

[HKEY_USERS\S-1-5-21-1708537768-1957994488-1060284298-1003\Software\SpySheriff]

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"SpySheriff"="C:\\Program Files\\SpySheriff\\SpySheriff.exe"

[HKEY_USERS\S-1-5-18\Software\SpySheriff]

[HKEY_USERS\S-1-5-18\Software\SpySheriff]
"Uninstall"="C:\\Program Files\\SpySheriff"

[HKEY_USERS\S-1-5-18\Software\SpySheriff\IE Security]

[HKEY_USERS\S-1-5-18\Software\SpySheriff\IE Security\BlockedLocations]

[HKEY_USERS\S-1-5-18\Software\SpySheriff\Process Security]

[HKEY_USERS\S-1-5-18\Software\SpySheriff\Process Security\Policies]

[HKEY_USERS\S-1-5-18\Software\SpySheriff\Process Security\Policies\Allowed]

[HKEY_USERS\S-1-5-18\Software\SpySheriff\Process Security\Policies\Allowed]
"C:\\Program Files\\SpySheriff\\SpySheriff.exe"=dword:00000001

[HKEY_USERS\S-1-5-18\Software\SpySheriff\Process Security\Policies\Restricted]

[HKEY_USERS\S-1-5-18\Software\SpySheriff\Scan]

[HKEY_USERS\S-1-5-18\Software\SpySheriff\System Security]

[HKEY_USERS\S-1-5-18\Software\SpySheriff\Updates]

; End Of The Log...

Andere schreibweise von spysheriff: (Spy Sheriff)

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 11.06.2006 10:24:54 for strings:
; 'spy sheriff'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Spy Sheriff]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spy Sheriff]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spy Sheriff]
"DisplayName"="Spy Sheriff"

[HKEY_USERS\S-1-5-21-1708537768-1957994488-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit]
"LastKey"="Arbeitsplatz\\HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Spy Sheriff"

; End Of The Log...

BataAlexander · 11.06.2006, 14:47

Hallo,

für Dich gilt sinngemäß das hier.

Zitat:

Ach ja, die Updates und das SP2 mach ich noch drauf. (Vielleicht muss ich formatieren)

Machs halt andersrum, erst Formatieren, dann updaten

Gruß

Schrulli

pumuckl · 11.06.2006, 15:26

OK, dann formatiere ich die Kiste. Danke und schönen Sonntag!

Spysheriff

Log-Analyse und Auswertung: Spysheriff

Spysheriff

Spysheriff

Spysheriff

Ähnliche Themen: Spysheriff

11.06.2006, 15:26	#3
pumuckl	Spysheriff OK, dann formatiere ich die Kiste. Danke und schönen Sonntag! __________________