Hallo Leute,

ich lese seit ein paar Tagen hier mit, denn ich habe ca. seit Freitag auch SpyAxe zu Gast und wäre ihn lieber jetzt als gleich wieder los. Dazu hoffe ich auf Eure Hilfe, habe nämlich selbst nicht sooo viel Ahnung....

Habe mir aus einem anderen Thread die Vorgehensweise abgeguckt und schon mal smitrem, Ewido, Adaware und Spybot sowie HJT durchlaufen lassen. Hier die Logs bzw. Reports:


Logfile of HijackThis v1.99.1
Scan saved at 18:47:36, on 22.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Scansoft\PaperPort\pptd40nt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\notepad.exe
C:\DOKUME~1\buero\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hp73B9.tmp (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [usbn] C:\WINDOWS\system32\usbn.exe -go -c48 -w
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121342203843
O17 - HKLM\System\CCS\Services\Tcpip\..\{83EC81F9-EC26-4BE7-9474-D36939300C83}: NameServer = 192.168.99.50
O17 - HKLM\System\CS1\Services\Tcpip\..\{83EC81F9-EC26-4BE7-9474-D36939300C83}: NameServer = 192.168.99.50
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe



---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 17:55:30, 22.11.2005
+ Report-Checksumme: 3C527DA

+ Scanergebnis:

Keine infizierten Objekte gefunden.


::Report Ende




smitRem © log file
version 2.7

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!


Wie geht es jetzt weiter?

Vielen Dank vorab!

Hallo heiner69,

vielleicht findest Du HIER die ein oder andere Datei die bei Dir noch zu löschen ist.
Aus Deinem Logfile ist kein Hinweis auf "Spyaxe" zu erkennen.

Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken):
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hp73B9.tmp (file missing)
O4 - HKLM\..\Run: [usbn] C:\WINDOWS\system32\usbn.exe -go -c48 -w

Lösche manuell:

C:\WINDOWS\system32\usbn.exe <-- Dialer (falls Du nicht mit reinem DSL ins Netz gehst auf einem Datenträger zwecks Beweismittel sichern).

Neustart -> Sytemwiederherstellung kann wieder aktiviert werden

Neues Logfile und berichten

dartus

Hallo dartus,

vielen Dank für die prompte Hilfe. Ich habe das jetzt alles mal abgearbeitet, und siehe da: Kein SpyAxe-Alarm mehr in der Taskleiste!

Eine Datei usbn.exe habe ich allerdings nicht gefunden...?!

Jedenfalls funktioniert jetzt soweit alles wieder. Zwei etwas nervende und meiner Meinung nach ungewöhnliche Dinge gibt es allerdings noch:

1. Seit gestern verlangt Windows bei jedem Start (abgesichert oder normal) vor dem Anmeldebildschirm die Tastenkombination Alt+Strg+Entf. Woher kommt das wohl, und wie werde ich das wieder los?

2. Schon seit längerem öffnet sich bei jedem normalen Start des Rechners automatisch der Internet Explorer, ich habe keine Ahnung, warum.

Vielleicht hast Du dazu ja auch noch ein paar Tipps für einen Unwissenden parat.

Ansonsten danke ich nochmal herzlich für die freundliche Unterstützung und gehe nach dem Posten des aktuellen HJT-Logfiles erstmal schlafen.

Gute Nacht!


Logfile of HijackThis v1.99.1
Scan saved at 01:42:20, on 23.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Scansoft\PaperPort\pptd40nt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\buero\LOKALE~1\Temp\Temporäres Verzeichnis 8 für hijackthis.zip\HijackThis.exe

O2 - BHO: (no name) - {7caf96a2-c556-460a-988e-76fc7895d284} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121342203843
O17 - HKLM\System\CCS\Services\Tcpip\..\{83EC81F9-EC26-4BE7-9474-D36939300C83}: NameServer = 192.168.99.50
O17 - HKLM\System\CS1\Services\Tcpip\..\{83EC81F9-EC26-4BE7-9474-D36939300C83}: NameServer = 192.168.99.50
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Hallo Heiner,
Hier http://virusscan.jotti.org/de/
läßt du diese Datei mal scannen und berichtest.
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
Irrlicht

Moin irrlicht,

habe die iexplore.exe bei jotti scannen lassen, keine Funde.

Gruß heiner69

Hallo heiner69,

zu 1. HIER sollte etwas dabei sein.

zu 2. Start -> Ausführen -> msconfig eingeben -> Systemstart -> Häckchen bei IExplorer entfernen

dartus

Hallo dartus,

danke für die Hinweise, auch das hat wieder wunderbar geklappt!
Jetzt nur noch eine Kleinigkeit (hatte ich vorher nicht erwähnt, weil ich dachte, das hinge mit dem IE-Start zusammen):

Jedesmal beim Systemstart erscheint folgende Meldung

CODEBASE FEHLER

Fehler #: -120
Fehler #: 80606
Schreiben einer Datei
attempt to write to a read-only file
IWATCH


Auch beim Beenden der ISDN-Verbindung erscheint diese Meldung, bzw. folgende:

ISDN WATCH

Datenbankfehler -120 aufgetreten


Wenn wir das auch noch bereinigt kriegen, bin ich fürs erste wunschlos glücklich...

Gruß
heiner69

Hallo,
Google sagt das das etwas mit deiner Fritz! Software (Wlan) zu tun haben müßte. Ein Versuch wäre mal das klassische deinstallieren und wieder installieren. Oder, bzw. wenn das nicht funktioniert mal den AVM Support anrufen, die haben bei mir in der Vergangenheit einen ziemlich kompetenten Eindruck hinterlassen.


Grüße Wildone

Wollte nur noch mal schnell ein dickes Dankeschön an dartus, irrlicht und Wildone für die hervorragende Unterstützung loswerden! :aplaus:
Die Mühle läuft jetzt wieder einwandfrei, und ich hoffe, dass wir nicht so schnell wieder voneinander hören (ihr wisst schon, was ich meine...)
Ansonsten weiß ich mich hier in guten Händen!

Gruß
heiner69