Spyaxe die 1000.

Stephan1981 · 01.12.2005, 19:27

Hallo erstmal an dieses Forum.

Ich hoffe ihr könnt mir helfen, gehöre seit heute auch zu den Leuten, die sich mit Spyaxe rumschlagen dürfen. Immer wenn ich meinen Rechner starte hab ich unten in der Taskleiste die Erdkugel mit dem roten Kreis mit weißem Kreuz und dem riesigen Gelben Schriftfeld : " Your computer is infected! ...... " Wenn ich es mit links anklicke komme ich automatisch auf die Seite von Spyaxe. Bekomme jetzt zusätzlich noch kleine gelben leuchtende Warndreiecke unten rechts angezeigt mit ner Pop-up Meldung , die mich auch gleich zu Spyaxe schickt. Hab mir jetzt schon HijackThis runtergeladen. Kann aber mit dem ganzen Logfile nix anfangen und weis auch nicht, was ich machen soll. Wollte euch einfach mal meinen Logfile hier einstellen und hoffe auf eure Hilfe.

Schon mal vielen Dank im voraus.

Gruß

Stephan

PS: Bitte nicht zu kompliziert kenne mich mit nicht so wirklich gut mit solchen Sachen aus.

........................................................................

Logfile of HijackThis v1.99.1
Scan saved at 19:25:05, on 01.12.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\nvctrl.exe
C:\WINDOWS\System32\mssearchnet.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temp\Temporäres Verzeichnis 6 für hijackthis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\System32\hp63CA.tmp
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Translate English Word - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-36.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1545015F-ACD1-4FF1-A55F-E1B1305B66B7}: NameServer = 205.188.146.145
O17 - HKLM\System\CS1\Services\Tcpip\..\{1545015F-ACD1-4FF1-A55F-E1B1305B66B7}: NameServer = 205.188.146.145
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

JayP · 01.12.2005, 19:41

Spyaxe...
Fixe folgende Einträge:
C:\WINDOWS\System32\nvctrl.exe
C:\WINDOWS\System32\mssearchnet.exe
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\System32\hp63CA.tmp
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h

Sind diese Einträge gewollt?
O17 - HKLM\System\CCS\Services\Tcpip\..\{1545015F-ACD1-4FF1-A55F-E1B1305B66B7}: NameServer = 205.188.146.145
O17 - HKLM\System\CS1\Services\Tcpip\..\{1545015F-ACD1-4FF1-A55F-E1B1305B66B7}: NameServer = 205.188.146.145
Falls nein ,bitte ebenfalls fixen.

Und schau unter C:\programme\spyaxe\spyaxe.exe nach und lösche diese.

Danach bitte erneut ein aktuelles logfile posten.

hoerni26 · 01.12.2005, 19:58

Hallo,
was sagt uns das hier:

Logfile of HijackThis v1.99.1
Scan saved at 19:25:05, on 01.12.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

genau ein unsicheres system da das update zu SP2 fehlt.
dies wäre dringend nötig...

gruß

Haui45 · 01.12.2005, 20:16

Hallo,

deinstalliere bitte "Spyaxe" - sofern möglich - über Systemsteuerung-> Software.

Führe folgendes durch.

Lösche die temporären Dateien von Windows und vom Internet Explorer mit ClearProg.

Fixe zusätzlich mit HijackThis:
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h

Lösche diesen Ordner: "C:\Programme\Spyaxe"

Führe außerdem einen Scan mit der Testversion von ewido durch (Update nicht vergessen!).

Poste die Ergebnisse von eScan, Smitrem, ewido sowie ein neues HjT-Log.

BTW: Du muss dein Betriebssystem unbedingt auf den neusten Stand bringen!

Expert · 01.12.2005, 20:19

Zitat:

Zitat von JayP

Sind diese Einträge gewollt?
O17 - HKLM\System\CCS\Services\Tcpip\..\{1545015F-ACD1-4FF1-A55F-E1B1305B66B7}: NameServer = 205.188.146.145
O17 - HKLM\System\CS1\Services\Tcpip\..\{1545015F-ACD1-4FF1-A55F-E1B1305B66B7}: NameServer = 205.188.146.145
Falls nein ,bitte ebenfalls fixen.

@Stephan1981

Auf keinen Fall die Einträge fixen,die Domaine IP sind von AOL,Internet Anbieter,kann passieren,wenn du die fixen,daß du keine Internet Verbindung mehr hast

Gruss
Expert

hoerni26 · 01.12.2005, 20:21

@expert

warst schneller wollte ich auch grad schreiben.

JayP · 01.12.2005, 20:28

Deswegen habsch ja gefragt ob diese Einträge gewollt sind

Hab leider kein AOL und auch nie gehabt deshalb weiß ich des net so genau.
Frage deshalb lieber noch mal nach

Aber danke das ihr mich berichtigt habt,
hoffentlich nicht zu spät.

Haui45 · 01.12.2005, 20:28

Zitat:

Zitat von JayP

Hab leider kein AOL und auch nie gehabt deshalb weiß ich des net so genau.

Ich auch nicht...
http://www.iks-jena.de/cgi-bin/whois

JayP · 01.12.2005, 20:31

Ah ,danke.
Das wird im in Zukunft weiterhelfen

Expert · 01.12.2005, 20:37

Zitat:

Zitat von JayP

Deswegen habsch ja gefragt ob diese Einträge gewollt sind

Hab leider kein AOL und auch nie gehabt deshalb weiß ich des net so genau.
Frage deshalb lieber noch mal nach

Der User weißt das nicht!Wir müssen das rausfinden,ob es ein CWS Domaine handelt!

www.kloth.net

Gruss
Expert

Stephan1981 · 01.12.2005, 20:43

@ Jay: Kann mit Hijack nur folgendes fixen,
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
die ersten beiden hab ich gar nicht zur auswahl zum fixen, und der 02 er hat seinen Namen am Ende geändert, lässt sich aber auch nicht fixen

Gruß

Stephan

Haui45 · 01.12.2005, 20:45

Mach' bitte das, was ich vorgeschlagen habe (Posting #4).

JayP · 01.12.2005, 20:46

Lösch dieses beiden Dateien.
C:\WINDOWS\System32\nvctrl.exe
C:\WINDOWS\System32\mssearchnet.exe

Und fixe danach diesen Eintrag.
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\System32\hp63CA.tmp

Poste anschließend ein neues HJT logfile

Stephan1981 · 02.12.2005, 17:40

@ Haui: Hab soweit gemacht , was du geschriben hast, hoffe es jedenfalls.
Wo finde ich denn die Ergebnisse von den Scans?
Das Spyaxe dingens ist immer noch nicht weg

Haui45 · 02.12.2005, 17:47

eScan: siehe Anleitung bzgl. der Find.bat -> C:\eScan_neu.txt
Smitrem: siehe Anleitung -> C:\smitfiles.txt
ewido: Nach dem Scan müsste die Option existieren, das Log zu sichern. Genau kann ich es dir aber nicht sagen, da ich ewido zuletzt vor ca. 1 Monat benutzt habe.

Spyaxe die 1000.

Log-Analyse und Auswertung: Spyaxe die 1000.

Spyaxe die 1000.

Spyaxe die 1000.

Spyaxe die 1000.

Spyaxe die 1000.

Spyaxe die 1000.

Spyaxe die 1000.

Spyaxe die 1000.

Spyaxe die 1000.

Spyaxe die 1000.

Spyaxe die 1000.

Spyaxe die 1000.

Spyaxe die 1000.

Spyaxe die 1000.

Spyaxe die 1000.

Spyaxe die 1000.

Ähnliche Themen: Spyaxe die 1000.

01.12.2005, 19:58	#3
hoerni26	Spyaxe die 1000. Hallo, was sagt uns das hier: Logfile of HijackThis v1.99.1 Scan saved at 19:25:05, on 01.12.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) genau ein unsicheres system da das update zu SP2 fehlt. dies wäre dringend nötig... gruß __________________ __________________

01.12.2005, 20:21	#6
hoerni26	Spyaxe die 1000. @expert warst schneller wollte ich auch grad schreiben. __________________ --> Spyaxe die 1000.

01.12.2005, 20:28	#7
JayP	Spyaxe die 1000. Deswegen habsch ja gefragt ob diese Einträge gewollt sind Hab leider kein AOL und auch nie gehabt deshalb weiß ich des net so genau. Frage deshalb lieber noch mal nach Aber danke das ihr mich berichtigt habt, hoffentlich nicht zu spät.

01.12.2005, 20:31	#9
JayP	Spyaxe die 1000. Ah ,danke. Das wird im in Zukunft weiterhelfen

01.12.2005, 20:43	#11
Stephan1981	Spyaxe die 1000. @ Jay: Kann mit Hijack nur folgendes fixen, O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h die ersten beiden hab ich gar nicht zur auswahl zum fixen, und der 02 er hat seinen Namen am Ende geändert, lässt sich aber auch nicht fixen Gruß Stephan

01.12.2005, 20:45	#12
Haui45	Spyaxe die 1000. Mach' bitte das, was ich vorgeschlagen habe (Posting #4).

01.12.2005, 20:46	#13
JayP	Spyaxe die 1000. Lösch dieses beiden Dateien. C:\WINDOWS\System32\nvctrl.exe C:\WINDOWS\System32\mssearchnet.exe Und fixe danach diesen Eintrag. O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\System32\hp63CA.tmp Poste anschließend ein neues HJT logfile

02.12.2005, 17:40	#14
Stephan1981	Spyaxe die 1000. @ Haui: Hab soweit gemacht , was du geschriben hast, hoffe es jedenfalls. Wo finde ich denn die Ergebnisse von den Scans? Das Spyaxe dingens ist immer noch nicht weg

02.12.2005, 17:47	#15
Haui45	Spyaxe die 1000. eScan: siehe Anleitung bzgl. der Find.bat -> C:\eScan_neu.txt Smitrem: siehe Anleitung -> C:\smitfiles.txt ewido: Nach dem Scan müsste die Option existieren, das Log zu sichern. Genau kann ich es dir aber nicht sagen, da ich ewido zuletzt vor ca. 1 Monat benutzt habe.