SpyAxe ?
 

Hallo,

ich habe leider ein Problem, bei dem ich mich an dieses Forum wende in der Hoffnung, dass mir jemand helfen kann.
Ich habe mit vor ein paar Tagen irgendwas eingefangen, dass ich jetzt nicht mehr los werde. Es handelt sich um eine Software, die sich immer wieder selber installiert und mir mit reichlich Popup-Fenstern mitteilt, dass mein PC infiziert ist und ich doch diese Software kaufen soll. Es handelt sich um die in der Titelleiste beschriebene Software. Dieser Trojaner verursacht auch ein Hijacking auf meine Startseite.
Bisher war mein PC vor solchen Angriffen immer durch das Norton-Komplett-Paket geschützt, habe die Software jedoch vor ein paar Wochen runtergeschmissen, nachdem ich mich auf Seiten wie ebay, etc, bei denen ein Login abgefragt wird nicht mehr anmelden konnte.
Ich würde auch gerne wieder den Norton installieren (habe die Online-Version bei 1 & 1), kann diese aber nicht mehr installieren, da bei der Installation immer wieder abgebrochen wird (durch den Trojaner verursacht ?)

Mein HJT-Login hänge ich hier mal an in der Hoffnung, dass mir jemand verständlich helfen kann (habe nämlich leider nicht so viel Ahnung von diesen Dingen).

Logfile of HijackThis v1.98.0
Scan saved at 19:57:39, on 04.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\Mixer.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\PowerPDF Professional\pwrpdfsrv.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\?hkntfs.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\rsss\estr.exe
C:\Programme\Shareaza\Shareaza.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Kazaa Lite\clean.kmd
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
C:\ScanPanel\ScnPanel.exe
C:\Programme\Java\jre1.5.0_01\bin\jucheck.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\unzipped\hijackthis_198\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=10001
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=10001
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll (file missing)
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll (file missing)
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hpBC6A.tmp
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [XM2002] C:\Programme\IPPS\XM2002®\XM2002.exe -auto
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [pwrpdfprsrv.exe] C:\Programme\PowerPDF Professional\pwrpdfsrv.exe
O4 - HKLM\..\Run: [KAZAA] "C:\Programme\Kazaa Lite\start.exe" "C:\Programme\Kazaa Lite\clean.kmd" /SYSTRAY
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [SpyKiller] C:\Programme\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Pjub] C:\WINDOWS\system32\?hkntfs.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Rlos] "C:\Programme\rsss\estr.exe" -vt wnew
O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - (no file)
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - (no file)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - (no file)
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - (no file)
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe (file missing)
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\MSERO.DLL

Vielen Dank im voraus für Eure Hilfe

Günter

Hallo, bitte zuerst mal das hier abarbeiten. Dann meldest Dich wieder.
Das neue HJT-Logfile erstellst Du bitte mit der neuesten Version 1.99.1. Download hier.
cacatoa

Ich verstehe nicht, warum manche AV's SpyAxe nicht mit in die Erkennung aufnehmen möchten .... :pfui:

Hey, christian, servus!
Lang nicht mehr gesehen. Mich wundert das allerdings auch.
cacatoa

Kaspersky Lab sagt, dass es rechtliche Probleme gibt und man SpyAxe nicht in die Erkennung aufnehmen kann.

AntiVir hatte es mal als SPR drin, dann wieder rausgenommen.
Mit den aktuellsten Signaturen ist es jetzt wieder drin.

Dr.Web ist da ganz anders - die sagen es ist ein Fakealert-Trojan.

Kannst Du das begründen? Denn ich finde, daß diese dubiose Software sich zu sehr ins Geschehen bzw. in die Entscheidungsfreiheit des Betroffenen einmischt. Ein Freund von mir hat diesen auch drauf. Selbst nach mehreren Versuchen ist es nicht möglich, diesen vom Rechner zu putzen. Jedesmal kommt dieses Pop Up.

SpyAxe war scheinbar mal eine seriöse AntiSpyware-Lösung.

Sende doch mal File an den deutschen Support von Kaspersky und sag, dass dieses Programm für PopUps verantwortlich ist - und wenn du dich auf den Kopf stellst, die nehmen es nicht in die Erkennung auf. :pfui:

Weitere Infos habe ich leider auch nicht.

Wir haben SpyAxe bereits am 13.12.05 an alle AV's gesandt.
Reagiert hat am schnellsten Lavasoft und Dr.Web - die brachten für Ihre Produkte sofort Updates heraus.

Aktuell wird allein die Installationsdatei von den mir verfügbaren Scannern wie folgt erkannt:

AntiVir -> SecurityPrivacyRisk/Fake.SpyAxe riskware
AVG -> Adware SpyAxe
Ewido -> Adware.Spyaxe
Fortinet -> Adware/Spyaxe
McAfee -> Adware-Spyaxe
Nod32 -> Win32/Adware.SpyAxe application
Norman -> W32/SpyAxe.E
Norton -> Adware
Panda -> Application/SpyAxe


Dr.Web hat anscheinend die Erkennung auch wieder rausgenommen. :(

Spyaxe ist genau wie winhound und andere Kisten ins Gebiet um Smitfraud einzuordnen.
Aber heutzutage gibt es ja gute Spy/Adware und schlechte Spy/Adware. :juul:
Dazu will ich mich gar nicht weiter äußern, sonst kotze ich.Aber die Diskussion sollte ja hinlänglichst bekannt sein.

Edit:

Knapp ein Jahr ists her:

http://www.rokop-security.de/index.php?showtopic=7188

Richtig, aber aggressive Adware wie WhenUSearch.com oder jetzt hier Spyaxe sollte auf jeden Fall erkannt werden.
Dass Backweb usw. nicht aufgenommen wird, das ist ja zu erwarten ...

@mav

Unser Remover sollte alle derzeitigen Varianten von SpyAxe entfernen können.
Hier der Link, da ein Upload nicht erlaubt ist: http://www.hijackthis-forum.de/showthread.php?p=61742#post61740

So, und jetzt wollen wir wieder zurück zum armen "surfstone" und sehen, wie er sein Problem in den Griff bekommt. ;)
cacatoa

Klar doch.

Für Interessierte das wörtliche Statement von Kaspersky Lab:

SpyAxe ist jedoch kein Virus, sondern ein Anti-Spyware-Tool, das offiziell zur Verfügung steht bzw. verkauft wird: http://spyaxe.net.
Daher dürfen die Antiviren-Hersteller diesen aus juristischen Gründen nicht als Virus bezeichnen. Bei allen Fragen nach Deinstallation von SpyAxe von dem Rechner muss man aus verständlichen Gründen direkt an den Hersteller wenden: http://spyaxe.net/support.php. Wir dürfen da keine Abhilfe leisten.

Übrigens: das 2-Spyware.com-Forschungszentrum (http://www.2-spyware.com) traf eine Entscheidung, SpyAxe der Kategorie korrupter Anti-Spyware zuzurechnen. Das Programm wurde bisher als zuverlässiges Anti-Spyware-Programm klassifiziert, aber leider begann der Hersteller aggressive Werbemethoden zu verwenden, um SpyAxe zu fördern. Wir erhielten zahlreiche Berichte und Beschwerden von Kunden, die meldeten, dass ihre Computer mit einem trojanischen Programm befallen sind. Der Rechner zeigte die Falschmeldung "Your computer is infected! Dangerous malware infection was detected on your PC..."; ein Mausklick darauf führte zur offiziellen Webseite von SpyAxe. Obwohl wir nicht wissen, wer für diese Probleme wirklich verantwortlich ist (der Hersteller des Programms bestreitet alle Anklagen), raten wir vom Kauf von SpyAxe ab, bis die Situation geklärt ist.
Wir können Ihnen auch folgende Informationen anbieten: http://www.2-spyware.com/review-spyaxe.html.

so wie es aussieht hat es geklappt Spyaxe mit dem remover zu entfernen.
Vielen Dank für die Tipps :)
Ich finde es allerdings mehr als bedanklich, wenn sich so ein Anbieter in einer rechtlichen Grauzone aufhält und mit seinen Meldungen suggeriert bekommt, man habe seinen PC bis zum letzten verseucht. Der Hammer ist jedoch, dass dieses Programm so penetrant ist, dass ich garnicht wissen will, wieviel verzweifelte Leute direkt zum Äußersten greifen.

Also vielen Dank nochmal :party:

Gern geschehen.
cacatoa