Hallo ihr,

Ich sitze gerade auf Wunsch meines Daddys wieder einmal an seinem Rechner. Der Grund ist das er Spy Axe auf dem Rechenr hat obwohl er sagt er hat es nicht installiert. Es werden dauernd Fenster angezeigt demnach ist der Rechner infiziert. Man kann dann direkt eine Internetseite von Spy Axe öffnen. Anti Vir hat nichts gefunden da habe ich avast installiert. Es wurde auch direkt was gefunden. Mein Vater hat Systemeinträge und im Arbeitsspeicher soll auch was sein. Das einzigste was ich aus avast rauskopieren konnte ist das:
Win32:Hoaxalarm-M [Adw]
Danach hat sich der Rechner von selbst neu gestartet wärend der virenscan von avast noch lief.
Jetzt findet avast nichts mehr.
Kann mir jemand von euch weiterhelfen?

Liebe Grüße,
das Rose

@Roselight
poste bitte ein HJT logfile
http://www.trojaner-board.de/showthread.php?t=17493

chaosman

Logfile of HijackThis v1.99.1
Scan saved at 20:49:22, on 06.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\nvctrl.exe
G:\WINDOWS\system32\mssearchnet.exe
G:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE
G:\WINDOWS\system32\RunDll32.exe
G:\Programme\AVPersonal\AVGNT.EXE
G:\Programme\Java\jre1.5.0_04\bin\jusched.exe
G:\Programme\Iomega\DriveIcons\ImgIcon.exe
G:\Programme\QuickTime\qttask.exe
G:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
G:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
G:\Programme\SpyAxe\spyaxe.exe
G:\WINDOWS\system32\ctfmon.exe
G:\Programme\Microsoft Money\System\reminder.exe
G:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
G:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
G:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
G:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
G:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
G:\Programme\Microsoft Office\Office\OSA.EXE
G:\Programme\Teledat\WCOM\SYSTEM\ccui.exe
G:\Programme\SpyAxe\spyaxe.exe
G:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
G:\Programme\Alwil Software\Avast4\aswUpdSv.exe
G:\Programme\Alwil Software\Avast4\ashServ.exe
G:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
G:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
G:\Programme\AVPersonal\AVWUPSRV.EXE
G:\PROGRA~1\Iomega\System32\AppServices.exe
G:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
G:\WINDOWS\System32\svchost.exe
G:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
G:\Programme\Alwil Software\Avast4\ashMaiSv.exe
G:\PROGRA~1\Teledat\WCOM\SYSTEM\ADBSERV.EXE
G:\Programme\Alwil Software\Avast4\ashWebSv.exe
G:\Programme\Teledat\WCOM\SYSTEM\RVSRmd.exe
G:\Programme\Microsoft Office\Office\OUTLOOK.EXE
G:\WINDOWS\system32\MAPISP32.EXE
G:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
G:\Programme\Microsoft Office\Office\WINWORD.EXE
G:\Programme\Microsoft Works\MSWorks.exe
G:\Programme\Internet Explorer\iexplore.exe
G:\WINDOWS\system32\wuauclt.exe
G:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
G:\Programme\Internet Explorer\iexplore.exe
G:\DOKUME~1\SIEGFR~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
O2 - BHO: HomepageBHO - {724510c3-f3c8-4fb7-879a-d99f29008a2f} - G:\WINDOWS\system32\hpB0C2.tmp
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - G:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - G:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] G:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] G:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Iomega Drive Icons] G:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] G:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ToADiMon.exe] G:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [NAVNet] "G:\WINDOWS\system32\1024\ld5C8D.tmp" /m
O4 - HKLM\..\Run: [avast!] G:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SpyAxe] G:\Programme\SpyAxe\spyaxe.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Reminder] G:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [AntiSpyware7] "G:\Programme\Steganos AntiSpyware 7\aspy7.exe" /0
O4 - HKCU\..\RunOnce: [CommCenter] "G:\Programme\Teledat\WCOM\SYSTEM\ccui.exe"
O4 - Startup: Microsoft-Indexerstellung.lnk = G:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = G:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: WinPhone.lnk = G:\Programme\MegaSoft\WinPhone\winphone.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = G:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: Iomega QuikSync 3.lnk = G:\Programme\Iomega QuikSync 3\quiksync3.exe
O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://*.billingnow.com
O15 - Trusted Zone: h**p://*.reliablestats.com
O15 - Trusted Zone: h**p://*.winantispyware.com
O15 - Trusted Zone: h**p://*.winantivirus.com
O15 - Trusted Zone: h**p://*.winantiviruspro.com
O15 - Trusted Zone: h**p://*.winfixer.com
O15 - Trusted Zone: h**p://*.winnanny.com
O15 - Trusted Zone: h**p://*.winsoftware.com
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.stadtplan-wesel.de/database/mgaxctrl.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - G:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - G:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - G:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - G:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - G:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - G:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Iomega App Services - Iomega Corporation - G:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: RVS CommCenter (RvsCC) - Unknown owner - G:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
O23 - Service: RvscomSv - Living Byte Software GmbH, München - G:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE
O23 - Service: RVS Installer (RVSINST) - Living Byte Software GmbH, München - G:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE

Ich hoffe das is so richtig.

Grüße,
das Rose

Hallo,

also dieser eintrag hier:

G:\WINDOWS\system32\nvctrl.exe

scheint ein trojaner zu sein.

weiss nicht ob es in dem fall nicht besser wäre das system neu aufzusetzen und alles ordentlich abzusichern.
denn die ganzen 015 einträge gehören auch nicht dorthin.

aber warte mal was andere noch dazu meinen.
denn 4 augen sehen ja bekanntlich mehr als 2.

gruß

Hallo,
bin auch für das Neuaufsetzen ,
ist nämlich nicht nur der eine Eintrag.

Hier noch ein paar die mir nicht gefallen:
G:\WINDOWS\system32\mssearchnet.exe
G:\Programme\SpyAxe\spyaxe.exe

Dann sind da noch ein paar andere Einträge die gefixt werden sollten.

Aber wie ebend schon gesagt,
dem Vorschlag von hoerni26 kann ich nur bei pflichten.

Hallo Roselight,

führe folgendes aus:
http://www.trojaner-board.de/showthread.php?t=21709

Desweiteren fixe mit Hijackthis (Scan mit HJT, Häckchen vor Eintrag und auf Fix checked klicken) am besten in abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html:
alle 015-Einträge

Poste bitte die entspr. Logfile, insbesondere die "smitfiles.txt".

dartus

@hoerni26 und JayP,

eine Neuinstallation ist zwar immer gut, aber in diesem Fall nicht zwingend erforderlich.

@dartus

ist schon klar,das es auch ohne klappt.
nur ich bin gern immer auf der sicheren seite.
deshalb der vorschlag.

gruß