Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   SpyAxe besiegt? Hier die Logfiles: (https://www.trojaner-board.de/24443-spyaxe-besiegt-logfiles.html)

DonStefano 12.12.2005 04:43
SpyAxe besiegt? Hier die Logfiles:
 
Hallo zusammen,

ich hatte dieses SpyAxe Problem und hatte in der Startleiste unten rechts 2 solcher PopUp Fenster, die mich ständig aufforderten SpyAxe oder sonstigen Schwachsinn zu installieren.

Ich habe nun anhand dieser Anleitung und mit dem Tool von Noahdfear (vielen Dank) das Problem (zumindest auf den ersten Blick in den Griff bekommen).

Die Schritte waren also 1) abgesicherter Modus 2) Tool smitrem benutzen 3) Adware Scan 4) Spybot Scan 5) Spybot Immunisierung 6) Escan.

Jetzt unmittelbar nach dem Neustart im normalen Modus klappt alles. Dennoch möchte ich gern wie in der Anleitung beschrieben hier die Log Files posten und hoffe auf eure Hilfe, da mir das meiste davon nicht viel sagt.

Zuerst Hijackthis:
Zitat:
Logfile of HijackThis v1.97.7
Scan saved at 04:23:24, on 12.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\01 ANWENDUNGEN\INTERNET\ANTIVIR\AVGUARD.EXE
C:\01 Anwendungen\Internet\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\01 Anwendungen\Internet\AntiVir\AVGNT.EXE
C:\01 Anwendungen\Internet\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\01 Anwendungen\Internet\Foxmail 8.0\Foxmail.exe
C:\Dokumente und Einstellungen\Mustermann\Desktop\Viren & Trojaner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [AVGCtrl] "C:\01 Anwendungen\Internet\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\01 Anwendungen\Internet\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: A&lles mit ReGet Pro herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Download with GetRight - C:\01 Anwendungen\Internet\GetRight\GRdownload.htm
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Herunterladen mit ReGet &Pro - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\01 Anwendungen\Internet\GetRight\GRbrowse.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{8FE29DAC-A405-41E4-AAB4-69F89B1858E7}: NameServer = 194.97.173.124 194.97.173.125
Nun die Escan Ergebnisse:
Zitat:

Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Dec 12 00:07:41 2005 => File C:\Dokumente und Einstellungen\Mustermann\Eigene Dateien\vcodec_ver3.111.exe infected by "Trojan-Downloader.Win32.Zlob.bp" Virus! Action Taken: No Action Taken.
Mon Dec 12 00:44:09 2005 => Scanning Folder: C:\01 Anwendungen\Internet\AntiVir\INFECTED\*.*
Mon Dec 12 00:44:09 2005 => Scanning File C:\01 Anwendungen\Internet\AntiVir\INFECTED\LDEDD5.TMP.VIR
Mon Dec 12 02:02:10 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Dec 11 23:21:49 2005 => Offending Key found: HKLM\Software\kazaa !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Dec 12 02:02:10 2005 => Total Virus(es) Found: 2
Mon Dec 12 02:02:10 2005 => Total Errors: 141
Mon Dec 12 02:02:10 2005 => Time Elapsed: 02:38:24
Mon Dec 12 02:02:10 2005 => Total Objects Scanned: 84268
Sun Dec 11 20:49:36 2005 => Virus Database Date: 2005/12/02
Sun Dec 11 23:19:57 2005 => Virus Database Date: 2005/12/02
Mon Dec 12 02:02:09 2005 => Virus Database Date: 2005/12/02
Mon Dec 12 02:02:21 2005 => Virus Database Date: 2005/12/02
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Und zuletzt noch die Ergebnisse aus smitfiles.txt
Zitat:

smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!
Folgende beide Fragen hätte ich dann dazu noch:

1) Was muss ich nun noch fixen oder sonst berücksichtigen oder ist nun alles ok?
2) Wieso habe ich mir das eigentlich eingefangen? Trotz Antivir und Zone Alarm, Firefox, Windows Updates und Verzicht auf Outlook?

Danke euch allen
Stefan

stupormundi 12.12.2005 13:14
Servus!

Gute Arbeit auf den ersten Blick!
Allerdings solltest Du die aktuelle Version von HJT (dzt. 1.99.1) verwenden.
Die von Dir verwendete
Zitat:
Logfile of HijackThis v1.97.7
ist uralt und zeigt einige wesentliche Dinge nicht an!
Die Datei
Zitat:
C:\Dokumente und Einstellungen\Mustermann\Eigene Dateien\vcodec_ver3.111.exe
noch im abgesicherten Modus löschen.
Poste noch ein aktuelles HJT Log!
cu, stupormundi

DonStefano 12.12.2005 23:48
Hallo und erst mal Danke für die Antwort:

Die Datei
Zitat:
vcodec_ver3.111.exe
hatte ich bereits im abgesicherten Modus gelöscht.

Hier nun aber noch einmal das HJT Logfile der neuen Version:

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 23:41:31, on 12.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\01 Anwendungen\Internet\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\01 Anwendungen\Internet\AntiVir\AVGNT.EXE
C:\01 Anwendungen\Internet\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\01 ANWENDUNGEN\INTERNET\ANTIVIR\AVGUARD.EXE
C:\01 Anwendungen\Internet\Foxmail 8.0\Foxmail.exe
C:\Dokumente und Einstellungen\Mustermann\Desktop\Viren & Trojaner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [AVGCtrl] "C:\01 Anwendungen\Internet\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\01 Anwendungen\Internet\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: A&lles mit ReGet Pro herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Download with GetRight - C:\01 Anwendungen\Internet\GetRight\GRdownload.htm
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Herunterladen mit ReGet &Pro - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\01 Anwendungen\Internet\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{8FE29DAC-A405-41E4-AAB4-69F89B1858E7}: NameServer = 194.97.173.124 194.97.173.125
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\01 ANWENDUNGEN\INTERNET\ANTIVIR\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\01 Anwendungen\Internet\AntiVir\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
Kann oder sollte ich denn davon vielleicht noch etwas entfernen (fixen)?

Was ist z.b. mit
Zitat:
C:\WINDOWS\system32\lsass.exe
Gabs nicht mal einen Sasser Wurm oder Virus?

stupormundi 13.12.2005 13:31
Servus wieder!
Zitat:
C:\WINDOWS\system32\lsass.exe
Nur weil es so ähnlich klingt handelt es sich nicht gleich um den Sasser - diese Datei ist eine Systemdatei und ist der lokale Sicherheitsdienst. Er überprüft die Gültigkeit der Benutzeranmeldungen und Zugriffsrechte für den PC.
Ich kann in Deinem Log nichts Auffälliges mehr entdecken - also kein Grund etwas zu fixen!
Wenn Dein Sys jetzt stabil läuft solls gut sein!
stupormundi

DonStefano 13.12.2005 21:10
Vielen lieben Dank für die neuerliche Antwort!

Dann bin ich ja beruhigt, dass ich das Problem in den Griff bekommen habe.

Das System läuft und dabei werde ich es dann auch mal belassen.

Gruß
Stefan


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:40 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19