ich werde den Verdacht nicht los, dass sich hier einige Tool-Entwickler an der Hype um den Spyaxe, PSGuard und Winfixer...und wie sie alle heissen...ein bisschen weit aus dem Fenster haengen.......

Zitat:

Xoftspy von Pareto Logics erwerben

es gibt ein neues Entfernungstool fuer spyaxe und es kostet nichts

SmitRem2.8
http://noahdfear.geekstogo.com/click...click.php?id=1

öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und kopiere die Textdatei in den Thread (falls du einen im Sicherheitsforum eroeffnet hast)

die reg-Dateien, um die Registry zu saeubern und weitere Hinweise findet man ebenfalls hier.
Quelle:
http://virus-protect.net/artikel/spyware/spyaxe.html

Bitte beachten, dass der Spyaxe neuerdings mit anderer Malware in Verbindung auftritt, zum Beispiel mit Winfixer oder Spysheriff.

Als SpyAxe-Geschädigter habe ich (außer dem Posten von Logs) die kompatiblen Maßnahmen der Foren umgesetzt; vielleicht ist der Schreck nun vorbei. Dank an die Helfer!

Übriggeblieben ist dies: Meine schon lange in Betrieb befindlichen Kaspersky und Spybot hatten sich gemeldet und tun es weiterhin, aber vielleicht nicht mehr w/Spyaxe selber: Spybot hatte gleich 6 Einträge "Smitfraud-C." gemeldet, heute meldet er weiterhin 6, aber 42 "angelegte Backups", weil ich im Laufe verschiedener Versuche und Kontrollen 7x "deleted" habe, weil SB das nicht selber tut.
Auch Kaspersky meldet weiter, aber nur
dass die Eingabe eines Kennwortes für C:\...\sbRecovery.reg erforderlich sei. In diesem Objekt erkennt Kaspersky ":\...\Anwendungsdaten\Spybot-Search&Destroy
Destroy\Recovery\SmitfraudD.zip".
Ich kenne kein Kenntwort bei SB für "Wiederherstellen", was wohl "Recovery" entspricht.
Leider bleibt Kasp. (bei rund 11 % des Gesamtscans) deswegen nun hängen und läuft weder nach vorgesehenen wenigen Minuten noch mit "Überspringen" und "Archiv überspringen" weiter. Da hilft jetzt nur den PC auszuschalten.

Weiß jemand Abhilfe, bitte, oder in welchem anderen Formsbereich sollte ich nochmal fragen?

Hallo@uweru

vielleicht Spybot deinstallieren oder Recovery\SmitfraudD.zip loeschen.....und die Regdateien anwenden, die es auf dieser Seite gibt.
http://virus-protect.net/artikel/spyware/spyaxe.html

http://virus-protect.net/reg/mcor.reg
http://virus-protect.net/reg/spyaxe.reg

Danke Sabina, habe Spybot mit seinem uninstaller, im Explorer und Restdateien mit der Suchfunktion gelöscht. Kaspersky hängt sich trotzdem in der beschriebenen Weise wieder auf. Habe daraufhin Spybot völlig neu installiert; vor einem Start zeigt er gleich wieder die 42 Backups an.- Nach Deinem ersten Link hatte ich von vornherein gearbeitet, mcor ist auf dem desktop und fragt beim Anklicken "Möchten Sie die Information in C:\Dokumente und Einstellungen\Admin\Desktop\mcor.reg zu der Registrierung hinzufügen?" Das hatte ich getan, weiß jetzt aber nicht, ob das genau die Daten gem. Deinem 2. Link sind; nehmen wirs mal an.
Bitte schreib noch, wie man Deinen 3. Link "anwendet"; welche Schritte sind das genau?

Zusatzinfo: RegSrch.vbs findet bei Eingabe von SPYAXE 11 (elf) Einträge und bei SMIFRAUD einen (1), beim Versuch, sie mit Killbox zu löschen und Neustart im abgesicherten Modus kommt "File does not seem to exist".

[HKEY_USERS\S-1-5-21-4113303836-3057704224-645757453-500\Software\Microsoft\Search Assistant\ACMru\5603]
"007"="smitfraud"

[HKEY_USERS\S-1-5-21-4113303836-3057704224-645757453-500\Software\Microsoft\Search Assistant\ACMru\5603]
"022"="spyaxe"

[HKEY_USERS\S-1-5-21-4113303836-3057704224-645757453-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\SpyAxe]

[HKEY_USERS\S-1-5-21-4113303836-3057704224-645757453-500\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\SpyAxe\\spyaxe.exe"="Anti-spyware software"

[HKEY_USERS\S-1-5-21-4113303836-3057704224-645757453-500\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\TEMP\\saB6.exe"="SpyAxe Software Installer"

Alle weiteren wie der letzte, aber mit unterschiedlichen sa-Nummern.

Bitte, wie gehe ich weiter vor?

servus....

ich hab ihn auch .... hab eig auch genau nach anleitung auf seite 4 gemacht aber es ist immernoch da.. das icon

hab mal den report hier:

SmitFraudFix v1.97

Rapport fait à 2:18:38,73 le 28.12.2005
Executé à partir de G:\toolschrott\toolscheis\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Dokumente und Einstellungen\NachtFuchs\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

kein plan was das heist auch nicht welche dateien ich löschen soll....

wie bekomm ich den scheis jetzt weg?

und noch was... bei mir blinkt der scheis sogar im abgesicherten modus... glaube das ist auch nicht normal

servus....

ich hab ihn auch .... hab eig auch genau nach anleitung auf seite 4 gemacht aber es ist immernoch da.. das icon

hab mal den report hier:

SmitFraudFix v1.97

Rapport fait à 2:18:38,73 le 28.12.2005
Executé à partir de G:\toolschrott\toolscheis\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Dokumente und Einstellungen\NachtFuchs\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

kein plan was das heist auch nicht welche dateien ich löschen soll....

wie bekomm ich den scheis jetzt weg?

und noch was... bei mir blinkt der scheis sogar im abgesicherten modus... glaube das ist auch nicht normal

auch dateien wie die svhosts.dll find ich nicht.. obwohl das icon da ist und sich der scheis jedes mal neu installiert




hier mal das HJT logfile


Logfile of HijackThis v1.99.1
Scan saved at 03:23:17, on 28.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Portrait Displays\ImageTune\dtsslsrv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\Portrait Displays\ImageTune\DTSRVC.exe
G:\toolschrott\security suite\ewidoctrl.exe
G:\toolschrott\security suite\ewidoguard.exe
C:\WINDOWS\System32\nvsvc32.exe
G:\Programme\Alk\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
D:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
E:\Programme\nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
E:\Programme\cyberlink\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\copperhead\razerhid.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\copperhead\razerofa.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
G:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
G:\toolschrott\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - G:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp4BF2.tmp (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - G:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [zBrowser Launcher] d:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] d:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] E:\Programme\nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [VGAUtil] C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] E:\Programme\cyberlink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [razer] D:\Programme\copperhead\razerhid.exe
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O4 - HKLM\..\RunOnce: [SpybotSnD] "G:\toolschrott\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] G:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ImageTune.lnk = C:\Programme\Portrait Displays\ImageTune\dthtml.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://G:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - g:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - g:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn...taller_gmn.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/sh...1/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1132709878062
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Asset Management Daemon - Unknown owner - C:\Programme\Portrait Displays\ImageTune\dtsslsrv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Portrait Displays\ImageTune\DTSRVC.exe
O23 - Service: ewido security suite control - ewido networks - G:\toolschrott\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - G:\toolschrott\security suite\ewidoguard.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - D:\Programme\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\Programme\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - G:\Programme\Alk\Alcohol 120\StarWind\StarWindService.exe



hat sich grad vor 2 min wieder installiert

AmokKAlex

kopiere hier die 4 Textdateien (2 Monate vom Datum her genuegen)

http://virus-protect.net/datfindbat.html

Ich helfe dir , den SpyAxe zu loeschen...ist kein Problem

Hallo allerseits, ich habe mir ebenfalls Spy Axe eingefangen. Die ganze Zeit kam idese nette meldung dass ich infiziert wäre, auf dem Desktop war ein neues Programm namens Spy Axe. Habe Versucht zu löschen, ging aber nicht. Habe dann Systemwiederherstellung dzrchgeführt. Im Papierkorb waren noch ein paar SpyAxe-Sachen, die ich dann per leeren entfern habe. Auch die SpyAxe Seite in den Favoriten habe ich entfernt. Nun ist nirgends mehr was zu finden, keine nervigen Meldungen mehr und es ist nichts mehr von SpyAxe zu sehen. ist das Zeug jetzt weg, und kann das wirklich so einfach gewesen sein, dass man nur systemwiederherstellung brauchte? Ich geb hier jetzzt auch mal meine prozesse via taskmanager an:
tskmgr.exe
iexplore.exe
icqlite.exe
PROFIL~1.EXE
ati2evxx.exe
kernel.exe
sc_watch.exe
spoolsv.exe
symwsc.exe
svchost.exe (lokaler Dienst)
CCevtmgr.exe
svchost.exe (System)
svchost.exe (Netzwerkdienst)
svchost.exe (System)
explorer.exe
ati2evxx.exe
lsass.exe
services.exe
winlogon.exe
csrss.exe
SAVScan.exe
smss.exe
CCSETMGR.EXE
NAVAPSCV.EXE
alg.exe
System
Leerlaufprozess


vor allem dass svchost mehrfach auftaucht kommt mir ziemlich spanisch vor. Bitte um rasche Hilfe...

Zitat:

Zitat von Salamos

...vor allem dass svchost mehrfach auftaucht kommt mir ziemlich spanisch vor. Bitte um rasche Hilfe...

etwas zu svchost.exe

Zitat:

Svchost.exe ist ein allgemeiner Hostprozess-Name für Dienste, die über Dynamic Link Library (DLL)-Dateien ausgeführt werden. Die Datei Svchost.exe befindet sich im Ordner "/System32" unseres Windows Ordners. Beim Starten überprüft Svchost.exe den Dienstebereich der Registrierung, um eine Liste von Diensten zu erstellen, die geladen werden müssen.
Svchost.exe gibt es erst ab Windows 2000, aber nicht alle Dienste benötigen Svchost.exe (eben nur solche, die per DLL-Dateien ausgeführt werden müssen). Das Betriebssystem startet Svchost-Sessions sobald es solche benötigt und beendet sie auch wieder, sobald einer nicht mehr gebraucht wird.
Svchost.exe ist so etwas wie ein "Vorarbeiter-Dienst" oder die Zusammenfassung von Einzel-Diensten, die mit Hilfe von DLLs ausgeführt werden. Da in Windows meist viele Dienste laufen, können mehrere Instanzen von Svchost.exe gleichzeitig ausgeführt werden. Jede Svchost.exe-Sitzung kann eine eigene Gruppe von Diensten enthalten, so dass in Abhängigkeit davon, wie und wo Svchost.exe gestartet wird, verschiedene Dienste ausgeführt werden können.

wer mehr über die beudeutung einiger prozesse wissen möchte...
http://www.reger24.de/prozesse.html#S

GUA
(aus dem buch:"echse, hexe, exe...")

Aha, so ist das also. Vielen Dank, wieder was gelernt. Aber kann mir jemand ne klare Antwort geben, wie es um meinen Rechner steht oder wie ich es rausfinden kann? trotzdem Danke an GUA
edit: Rechtschreibung