Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   spyaxe .... bitte um hilfe !!! (https://www.trojaner-board.de/24292-spyaxe-bitte-um-hilfe.html)

masterman 06.12.2005 20:17
spyaxe .... bitte um hilfe !!!
 
Super das es solche foren gibt für PC Anfänger wie mich ...
Falls mir jemand helfen könnte mit diesem prob .... :o

Logfile of HijackThis v1.99.1
Scan saved at 20:10:13, on 06.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\SpyAxe\spyaxe.exe
C:\Programme\SpyAxe\spyaxe.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\**\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.internetcologne.de
R3 - Default URLSearchHook is missing
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hpDD8E.tmp
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120476004906
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game05.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C53CA8F1-12EB-4F47-A834-67470C10FDE5}: NameServer = 81.173.194.68 194.8.194.60
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

JayP 06.12.2005 20:58
Hallo,
versuch mal Spyaxe unter Systemsteuerung Software zu deinstallieren.

masterman 06.12.2005 21:01
Hallo JayP,

ich kann es zwar löschen aber nach einem neustart ist es wieder da ...

gruss mastermann

chaosman 06.12.2005 21:05
@masterman

guckst du hier

@JayP
wenn es so einfach wäre....
chaosman

masterman 06.12.2005 21:11
Hi chaosman,

danke für den link ... werd mein bestes geben ..

gruss

masterman

BeLe 06.12.2005 21:17
oder du guckst hier http://www.trojaner-board.de/showthread.php?t=21709

so hab ich das ding auch wegbekommen, steht genau unter deinen thema! ;-)

masterman 06.12.2005 21:33
@ chaosman

.. hoffe ich habe es bis jetzt richtig gemacht .. anbei die spyaxe.txt datei

SpyAxeFix © by noahdfear


Microsoft Windows XP [Version 5.1.2600]




Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1820 'explorer.exe'
Killing PID 1820 'explorer.exe'


Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of rundll32.exe

svchosts.dll present
1024 directory present

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

und das neue Logfile von HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 21:31:23, on 06.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Blasius\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R3 - Default URLSearchHook is missing
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hpBC99.tmp
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120476004906
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game05.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C53CA8F1-12EB-4F47-A834-67470C10FDE5}: NameServer = 81.173.194.68 194.8.194.60
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

masterman 06.12.2005 21:42
Datfindbat:

1. Verzeichnis von C:\WINDOWS\SYSTEM32

06.12.2005 21:32 5.384 ncompat.tlb
06.12.2005 21:27 5.632 msvol.tlb
06.12.2005 21:27 19.968 hpBC99.tmp
06.12.2005 21:27 24.064 ldB99B.tmp
05.12.2005 16:04 13.892 nvctrl.exe
04.12.2005 17:41 9.736 mssearchnet.exe
04.12.2005 16:50 240.736 FNTCACHE.DAT
04.12.2005 15:31 1.170 WPA.DBL
04.12.2005 13:08 14.568 mscornet.exe
15.11.2005 12:12 126.680 GCCollection.dll
15.11.2005 12:12 117.976 hashlib.dll
15.11.2005 12:12 95.448 gcUnCompress.dll
02.11.2005 10:49 2.377.568 MRT.exe
30.10.2005 18:44 314.508 PERFH009.DAT
30.10.2005 18:44 40.836 PERFC009.DAT
30.10.2005 18:44 320.094 PERFH007.DAT
30.10.2005 18:44 49.174 PERFC007.DAT
30.10.2005 18:44 732.166 PerfStringBackup.INI
13.10.2005 08:11 118.784 sirenacm.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
04.10.2005 17:26 3.013.120 mshtml.dll
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 474.112 shlwapi.dll
03.09.2005 00:53 55.808 extmgr.dll
03.09.2005 00:53 146.432 msrating.dll
03.09.2005 00:53 96.768 inseng.dll
03.09.2005 00:53 1.484.288 shdocvw.dll
03.09.2005 00:53 39.424 pngfilt.dll
03.09.2005 00:53 448.512 mshtmled.dll
03.09.2005 00:53 205.312 dxtrans.dll
03.09.2005 00:53 530.432 mstime.dll
03.09.2005 00:53 605.696 urlmon.dll
03.09.2005 00:53 251.392 iepeers.dll
03.09.2005 00:53 1.055.744 danim.dll
03.09.2005 00:53 1.019.904 browseui.dll
03.09.2005 00:53 152.064 cdfview.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll

2. ist leer gewesen ?!?!!?

3. Verzeichnis von C:\

06.12.2005 21:27 1.901.029 WindowsUpdate.log
06.12.2005 21:26 0 0.LOG
06.12.2005 21:26 2.048 BOOTSTAT.DAT
06.12.2005 21:26 32.622 SchedLgU.Txt
04.12.2005 20:55 199.485 SETUPACT.LOG
04.12.2005 19:28 588.372 ntbtlog.txt
04.12.2005 17:49 50 WIASERVC.LOG
04.12.2005 17:49 216 WIADEBUG.LOG
10.11.2005 23:36 217.401 COMSETUP.LOG
10.11.2005 23:36 95.587 IIS6.LOG
10.11.2005 23:36 258.710 TSOC.LOG
10.11.2005 23:36 32.776 OCMSN.LOG
10.11.2005 23:36 1.393 imsins.log
10.11.2005 23:36 134.485 ntdtcsetup.log
10.11.2005 23:36 26.498 KB896424.log
10.11.2005 23:36 33.447 MSGSOCM.LOG
10.11.2005 23:36 362.844 OCGEN.LOG
10.11.2005 23:36 624.939 FaxSetup.log
10.11.2005 23:36 1.022.953 setupapi.log
10.11.2005 23:36 23.960 updspapi.log
10.11.2005 23:36 1.393 imsins.BAK
10.11.2005 23:36 26.365 KB900725.log
10.11.2005 23:36 23.998 KB905749.log
10.11.2005 23:36 20.425 KB896688.log
10.11.2005 23:35 18.522 KB904706.log
10.11.2005 23:35 18.824 KB905414.log
10.11.2005 23:35 18.013 KB901017.log
10.11.2005 23:35 22.531 KB902400.log
10.11.2005 23:35 15.559 KB894391.log
10.11.2005 23:35 13.737 KB896423.log
10.11.2005 23:35 13.228 KB899587.log
10.11.2005 23:35 12.723 KB899591.log
10.11.2005 23:34 12.842 KB893756.log
10.11.2005 23:34 12.230 KB901214.log
07.11.2005 22:10 0 mngui.INI
01.10.2005 20:06 155 winamp.ini
03.09.2005 22:43 49 NeroDigital.ini

4. Verzeichnis von C:\

06.12.2005 21:41 0 sys.txt
06.12.2005 21:40 15.465 system.txt
06.12.2005 21:39 135 systemtemp.txt
06.12.2005 21:36 106.006 system32.txt
06.12.2005 21:26 1.609.011.200 pagefile.sys
04.12.2005 20:54 1.180 smitfiles.txt
04.07.2005 13:30 211 BOOT.INI
04.07.2005 13:25 47.564 NTDETECT.COM
04.07.2005 13:25 251.184 NTLDR
30.06.2005 21:25 321.441 hpfr5100.log
07.03.2005 12:54 0 AILog.txt
12.02.2005 22:33 172 ch01112004a.cpq
08.02.2005 23:24 192 BcBtRmv.log
07.08.2004 23:14 19.781 xchxxx.chm
07.08.2004 22:53 33.459 insecxsp.chm
07.08.2004 12:41 12.738 visorall.chm
31.07.2004 20:59 10.871 go.chm
31.07.2004 20:56 20.632 berserk.chm
20.07.2004 09:56 33.469 eugensp.chm
13.07.2004 17:06 19.782 winhelp.chm
06.02.2004 12:34 4.611 DELL.SDR
11.09.2002 14:48 0 IO.SYS
11.09.2002 14:48 0 MSDOS.SYS
11.09.2002 14:48 0 AUTOEXEC.BAT
11.09.2002 14:48 0 CONFIG.SYS
11.09.2002 14:25 512 BOOTSECT.DOS
29.08.2002 06:00 4.952 BOOTFONT.BIN
27 Datei(en) 1.609.915.557 Bytes
0 Verzeichnis(se), 240.423.608.320 Bytes frei

JayP 07.12.2005 13:46
@chaosman
man kanns ja mal probieren ;)

masterman 08.12.2005 09:05
kann einer bitte nochmal draufschauen ?? wäre supie ... komme einfach net weiter .... Spyaxe ansich scheiunt wegt zu sein ... hab nur noch das startseitenprob mit w*w.updateyoursystem.com und das zwischendurch immer noch popups aufgehen ... bin für jeden rat dankbar ...

Wildone 08.12.2005 09:16
Hallo,
lass die smitrem nochmal im abgesicherten Modus (F8 beim booten) laufen und poste danach den Inhalt der C:\smitfiles.txt



Grüße Wildone


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:31 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131