stealthSWs114 und Spyaxe Trojaner, was nu?

Mein Kumpel hat sich aufm Laptop dieses Ding eingefangen, ich schaff es net ihn weg zu kriegen und brauch eure Hilfe!!

Hijack log: http://www.hijackthis.de/logfiles/3967585aba93be645a76d2b479d09c5b.html

thx 4 help

 

Hallo,
na dann mal ans Werk. Erstmal deinstallierst du über Systemsteuerung>>Software Spytrooper, das ist ein Trojaner, nicht Antispyware.
Dann besorgst du dir dieses Tool, entpackst es, und startest dann den Computer neu im abgesicherten Modus(F8 beim booten). Dann führst du die Runthis.bat aus und folgst den Anweisungen auf dem Bildschirm.
Dann lädst du dir dieses Programm runter, entpackst es auf dem desktop, öffnest dann den Ordner smitfraudfix und führst die smitfraudfix.cmd mit der Option "1" aus.
Poste den Inhalt der rapport.txt aus dem Ordner smitfraudfix und den Inhalt der C:\smitfiles.txt


Grüße Jasager

 

SmitFraudFix v1.97

Rapport fait à 12:01:32,37 le 25-11-2005
Executé à partir de C:\Documents and Settings\Manfred\Bureaublad\SmitfraudFix
OS: Microsoft Windows XP [versie 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Manfred\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport


Und:


smitRem © log file
version 2.7

by noahdfear


Microsoft Windows XP [versie 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~

Online Security Center.url


~~~ Favorites ~~~

Free XXX Sites List.url
Antivirus Test Online.url


~~~ system32 folder ~~~

1024 dir
msvol.tlb
ld****.tmp
mssearchnet.exe
ncompat.tlb
nvctrl.exe
mscornet.exe
hp***.tmp


~~~ Icons in System32 ~~~

ts.ico
ot.ico


~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!

 

Hallo,
sieht ja schon ganz gut aus. Jetzt gehst du mit Rechtklick auf diesen Link "Ziel speichern unter" Desktop wählen. Dann gehst du wieder in den abgesicherten Modus führst die Spyaxe.reg aus und fügst sie der Registry bei.
Dann gehst du wieder in den normalen Modus, machst einen Onlinescan bei Panda (mit dem IE) und berichtest was noch gefunden wird.


Grüße Jasager

 

ne Menge. 33 Viren und 2 Spyware...

Bericht:

Ereignis Zustand Standort

Adware:adware/securityerror Nicht desinfiziert C:\Documents and Settings\Manfred\Favorieten\Take It Here - Daily Updated **** Links.url
Adware:adware/spytrooper Nicht desinfiziert Windows-Registry
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\file\Gummy.class-657ed063-761ea598.class
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-43d9c9cd-1ef4870b.zip[Dummy.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-4430eec2-461ed888.zip[Dummy.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-1109b54b-56cceb47.zip[NewSecurityClassLoader.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-1109b54b-56cceb47.zip[NewURLClassLoader.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-28679adb-5311d027.zip[NewSecurityClassLoader.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-28679adb-5311d027.zip[NewURLClassLoader.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-66237f47-3e0dce4d.zip[NewSecurityClassLoader.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-66237f47-3e0dce4d.zip[NewURLClassLoader.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\jrl.jar-70b9958a-17537f46.zip[NewSecurityClassLoader.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\jrl.jar-70b9958a-17537f46.zip[NewURLClassLoader.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv410.jar-1b90983c-7624a75e.zip[Matrix.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv410.jar-1b90983c-7624a75e.zip[Dummy.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv410.jar-30ed2a60-515f2b81.zip[Dummy.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv410.jar-30ed2a60-515f2b81.zip[Matrix.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv518.jar-26015981-3e898b8d.zip[Matrix.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv518.jar-26015981-3e898b8d.zip[Dummy.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv534.jar-697574e3-4b81729b.zip[Dummy.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv534.jar-697574e3-4b81729b.zip[Matrix.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv551.jar-6cb4df9e-66d41deb.zip[Dummy.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv551.jar-6cb4df9e-66d41deb.zip[Matrix.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv659.jar-240d2a53-74cc1450.zip[Matrix.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv659.jar-240d2a53-74cc1450.zip[Dummy.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv709.jar-506b2a79-1b772e81.zip[Matrix.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv709.jar-506b2a79-1b772e81.zip[Dummy.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderms.jar-105ca895-39c1f6de.zip[Dummy.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderms.jar-105ca895-39c1f6de.zip[Matrix.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\menu.jar-7aad0ea4-7b648807.zip[Dummy.class]
Virus:Bck/Dumador.EN Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\menu.jar-7aad0ea4-7b648807.zip[javautil.zip]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\menu.jr-16042425-3884415c.zip[Dummy.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\menu.jr-16042425-661d876d.zip[Dummy.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\menu.jr-16042425-73f08a11.zip[Dummy.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Documents and Settings\Manfred\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\menu.jr-16042425-7d9a2a17.zip[Dummy.class]

 

Hallo,
also die Javaviren sind kein größeres Problem, da dein Java halbwegs aktuell ist (trotzdem mal wieder updaten!). also einfach den Java Cache leeren (unter Systemsteuerung>>Java temporäre Dateien) dann noch diese Datei löschen (Dateien richtig suchen):
C:\Documents and Settings\Manfred\Favorieten\Take It Here - Daily Updated **** Links.url
Wie sieht es mit dem Desktophintergrund aus, ist dieser wieder normal? Und poste mal noch ein neues HijackThis Log.

Grüße Jasager

 

So, hier der Link http://www.hijackthis.de/logfiles/97dbb5f08e653d37f954b15f6605b038.html

Java Cache find ich net.

Wie soll ich das updaten? einfach neue Version runterziehen und installieren ?

Achso und Desktop schaut wieder normal aus und IE geht auch wieder auf normale Startseite
nich so einfach,weil Laptop is alles auf Sprache Hollaendisch

 

Hallo,
erstmal noch mit HijackThis das fixen (Haken davor und auf "fix checked":
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hpC8D5.tmp (file missing)
O4 - HKCU\..\Run: [SpyTrooper] C:\Program Files\SpyTrooper\SpyTrooper.exe

dann (falls noch vorhanden) den Ordner C:\Program Files\SpyTrooper löschen.

Bitte die Worte ausschreiben, auf diese net aba u.ä. reagiere ich absolut allergisch.
Zu dem Java, also auf holländisch (oder niederländisch) kann ich dir die Begriffe natürlich nicht geben. Findest du die Systemsteuerung? (Start>>Einstellungen) Dort müßte dann ein Javasymbol sein. Auf dieser Konsole kannst du sowohl updaten als auch den cache löschen.


Grüße Wildone

 

Tut mir Leid wegen der Wortwahl

Start einstellungen finde ich, aber da ist nirgends Java zu sehen.
Kann man sich die Ordner aus Systemsteuerung auch als Ordner auflistung anzeigen lassen oder?Also so wie z.b. eigene Dateien..

Ansonsten war das alles oder? Ich dank dir auf jeden Fall vielmals fuer die schnelle Hilfe

 

Hallo,
ja ansonsten war es das. Die Sachen im Javacache sind auch nicht wirklich dramatisch. Also, deinem Kumpel sagen er soll sich nicht soviel auf Crackseiten rumtreiben, bzw. sich keine Cracks oder Keygens installieren, davon bekommt man näml8ich dieses Schätzchen.
Und nein, die Systemsteuerung ist in keinem normalen Ordner aufzurufen, zumindest nicht das ich wüßte.


Grüße Jasager