SpyAxe!!! Brauche dringen Hilfe bin kurz vor einem Nervenzusammenbruch
 

Hi @ all,

bruche dringend einmal eure Hilfe. Und zwar hab ich mir irgendwie einen Mist eingefangen der willkürlich in regelmäßigen Abständen eine Seite im InternetExplorer öffnet und mich dann auf ne Seite namens

www.spyaxe.com

weiterleitet damit ich dort ne Software kaufe um den ewigen Terror von sich ständig öffnenden Sicherheithinweisen (System Alert: Spyware Detected....) zu beenden.

Meine bisherigen Versuche z.B. Scannvorgänge mit AntiVir, F-Prot, Spybot Search & Destroy, ... sind alle vehlgeschlagen. Es wurde nichts gefunden und ich habe diese nerventötende Scheiße immer noch. :snyper:
Zu guter letzt hatt ich so die Schnauze voll das ich deine Partition mit Win XP gelöscht habe und eine Neuinstallation durchgeführt habe, mit dem Erfolg ich hab den Scheiß schon wieder bzw. immer noch. :huepp:

Technische Daten:

Win XP Pro.
AMD XP2400
1024 MB DDR-Ram


Bitte Bitte herlft mir ich krieg bald nen Affen wenn das so weiter geht. :balla:


Es wird Hilfe jeder Art dankend entgegengenommen und schon mal ein dickes Danke im Voraus

Hi,
poste zunächst mal ein hijackthis-logfile nach dieser Anleitung.

Unabhängig davon: auf sichereren Browser umsteigen, z.B. Firefox

Hallo,
poste mal ein HijackThis logfile wie hier beschrieben.


Grüße Wildone

Merci erst mal für die schnelle antwort,

Was den Bowser angeht arbeite ich mit Opera.

Hier nun das Log-File:


Logfile of HijackThis v1.99.1
Scan saved at 00:22:47, on 09.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Feinripptraeger\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: HomepageBHO - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINDOWS\system32\hp63ED.tmp
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe /SCB
O9 - Extra button: Outpost Firewall Pro-Schnelleinrichten - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{37193F57-AFCA-4B6A-95DA-34A112D63266}: NameServer = 192.168.100.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{37193F57-AFCA-4B6A-95DA-34A112D63266}: NameServer = 192.168.100.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{37193F57-AFCA-4B6A-95DA-34A112D63266}: NameServer = 192.168.100.1
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O20 - Winlogon Notify: st3 - C:\WINDOWS\q1304500.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: NVIDIA Display Driver Service (Omega 1.6693) (Q) (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Hallo,
arbeite mal das hier ab, smitrem und escan unbedingt im abgesicherten Modus (F8 beim booten) ausführen. Danach folgendes posten:
1.) das smitrem Log (C:\smitfiles.txt)
2.) das Escan Log (mit Hilfe der find.bat, siehe Escan Anleitung)
3.) ein neues HijackThis Log


Grüße Wildone

Sorry, dass hatte ich so interpretiert, als wenn Du auch mit dem IE surfen würdest.

Läuft bei Dir kein Virenscanner mit?

@ Wuslon

Ich persönlich arbeite mit Opera, der IE wird immer nur von dem Mist- Tool geöffnet wo ich dann auf der SpyAxe-Seite lande

Ich habe das Ding auch und brauche ebenfalls Hilfe. Es zeigt sich mit einem Icon in der Taskleiste, das immer wierder die Meldung "Your computer is infected" öffnet. Beim Click auf das Icon wird man auf die Seite eines Antispyware-Hersteller umgeleitet, keineswegs immer nur SpyAxe.

Nach vielen Versuchen habe ich es eingeschränkt (z.B. durch Entfernen einiger Hijack-Einträge). AdAware und Spybot sagen, alles ist sauber, auch Hijack findet nichts mehr (ich kenne meinen HiJack-log recht gut). Die gesamte Prozedur mit smitrem usw. habe ich durchgeführt, ohne Erfolg.

Wichtige Hinweise: Das Icon mit den Meldungen taucht auch im ABGESICHERTEN Modus auf, als EINZIGES in der Taskleiste.
Aber NUR DANN, wenn ich mich unter meinem Usernamen anmelde, wenn ich mich als Administrator anmelde, ist es NICHT vorhanden.
smitrem habe ich unter beiden Anmeldungen laufen lassen, alles kein Erfolg.

Wo steckt das Ding, von dem ich nicht sagen kann, was es eigentlich ist oder wie es heißt? Anfänglich hat es auch PopUps bzw. den Explorer geöffnet sowie diverse VERSCHIEDENE SpyWare installliert (z.B. smitfraud, stealthsws,coolwebsearch usw.) Das macht jetzt fast nicht mehr, nach den Abhilfemaßnahmen. Die Versuche, weitere Spyware zu installieren, werden bei mir momentan durch das neu installierte Ewido Security suite abgefangen.

Ich glaube, es IST kein smitfraud, stealthsws oder ähnliches, sondern es LÄDT diese nur. Die anfänglich durch das Ding installierten Desktop Icons (security center usw.) habe ich durch die bekannten Maßnahmen auch wegbekommen, diese waren aber nur einfache Links auf die Seiten der Anitspyware-Hersteller.

Zur Zeit äußert es sich "nur" durch das fast permanente "Infected"-Fenster und durch die Umleitung auf die Seiten, sofern der Browser geöffnet ist und man auf das "Infected" - Fenster clickt. Das automatische Öffnen des Browsers schafft es (wohl ebenfalls durch die Abhilfemaßnahmen) nicht mehr.

Ich hoffe, diese Hinweise helfen den Spezialisten weiter, damit sie mir helfen können! Ich habe keine Idee mehr, HLIFE !!!

Hallo,
eröffne mal einen eigenen Thread, damit das hier übersichtlich bleibt. Am besten mit HijackThis Log und wenn du Escan auch ausgeführt hast auch mit einem Escan Log (mit Hilfe der find.bat!).


Grüße Wildone

Habe exakt(!) die gleichen Symptome wie von Chaothomas beschrieben auf dem W2K Rechner meiner Schwester. Interessanterweise scheint dort ebenfalls nach meinen ganzen Säuberungsaktionen nur dieses blinkende Icon im Systemtray übrig geblieben zu sein.

Hm eventuell könnte hier ne fierwall ja mal nützlich sein.
die müsste dir doch das programm anzeigen wenn es aufs internet zugreift.
und meist steht da doch dan auch wo das programm zufinden ist.

Vieleicht hilft das dir dan in kombination mit einem onlinescann der betreffenden datei weiter??

@Chaothomas

Lösung gefunden: Es handelt sich um Adware, die u.a. die Datei "svchosts.dll" im system32 Verzeichnis ablegt. Zusätzlich werden einige Registry Einträge angelegt, so z.B. HCU\Software\Classes\CLSID\{xxxxxxx}, die dann nur bei einem User dieses fiese Icon im Systray erzeugen.

Einfach mal in Google nach "svchosts.dll" suchen, da gibt es zahlreiche Anleitungen zur kompletten Reinigung.

Vielen Dank madnil, das war es. Da "svchosts.dll" offenbar als Ursache weithin bekannt ist, wundert mich allerdings, daß die Anti-Programme es nicht finden.
Eine dumme Frage noch: wo / wie wird diese dll ausgeführt? Denn einen direkten laufenden Prozeß gibt es dazu ja nicht, zumindest keinen, der nicht zum System gehört und sich beenden ließe.

Allerdings besteht auch noch die Frage, durch welche Spy?ware das ganze ausgelöst wurde, denn ich hatte ja nicht nur dieses Problem, sondern habe mir gleichzeitig z.B. smitfraud_c, Zlob.az, CoolwwwSearch in 3 Varianten u.v.m. eingefangen, schlagartig, vorher war der Rechner sauber.

Ich denke, das Problem ist eine neue Variante von irgendetwas, ca. am 07.11.2005 aufgetaucht. Ich vermute, die threads #23493 (your computer is infected), evtl. auch #23436 u.a. (W32.Sinnaka.A@mm) und dieser hier (#23466) könnten alle die gleiche Ursache haben. Mit W32.Sinnaka hatte ich angeblich auch zu tun, zumindest laut einer der Seiten der AntiSpyWare Hersteller, auf die ich ungewollt geleitet wurde. Das kann natürlich auch ein fake sein, denn bei den Kampfmaßnahmen und der Beseitigung ist dieser bei mir nie aufgetaucht. Verdächtig ist mindestens auch, daß alle das böse "mssearchnet.exe" im Hijack-log darin haben.

Wie geht es eigentlich "Feinripptraeger", der diesen thread eröffnet hat?
Sind die Probleme erledigt?

Ich scheine jedenfalls jetzt alles los zu sein, nochmals vielen Dank an madnil und das trojaner-board (allein für dessen Existenz!).

Wenn ich helfen kann, immer gerne, ich bin aber leider kein Spezialist...

Hallo Zusammen!
Ich habe auch das Problem mit diesem verfluchten Icon im Systemtray! Totale Scheisse!! AdAware & Spybot haben schon reichlich Trojaner runtergeschmissen....nur dieses Symbol bleibt einfach da!! Keine Ahnung, ob das eigentliche "Bomb" Programm noch drauf ist....werde ich merken, wenn ich bisschen länger im Netz war....vermutlich hat er dann wieder diverse Spione im Hintergrund runtergeladen!!nenenene....hab ich nen Hals!!
Leider bin ich nicht so wirklich der Computer Fachmann....heisst: High Jacking Einträge in der Registry haben meine Augen noch nie zu Gesicht bekommen :crazy:
Gibt es schon eine Art Removal Tool zum Entfernen dieser Rotze?? Oder kann mir mal jemand verständlich erklären, wie ich das Problem loswerden kann??
Auf jeden Fall schonmal tausend Dank für die Hilfe...ich krieg hier echt zuviel!!!
steve

@ steve_50 und Chaothomas
Ich denke doch, dass Ihr die NUB´s gelesen habt? Habt Ihr sie auch verstanden?
Ihr begeht hier Dialogstörung.
Ehe komische Antworten kommen, etwas Lektüre:
http://faq.underflow.de/#SECTION00040000000000000000

[QUOTE=felix1]@ steve_50 und Chaothomas
Ich denke doch, dass Ihr die NUB´s gelesen habt? Habt Ihr sie auch verstanden?
Ihr begeht hier Dialogstörung.

Von Chaothomas:

Dialogstörung (laut NUBs):
"Dialogstörung liegt vor, wenn ein Mitglied absichtlich den normalen Verlauf der Dialoge in einem Thread stört. Das kann z.B. durch wiederholtes Unterbrechen der Konversation zwischen anderen Mitgliedern geschehen, durch Belästigungen oder durch die Schaffung von Feindbildern oder Feindseligkeiten."

Ich bin mir nicht bewußt, etwas derartiges getan zu haben und wollte das auch nicht, vielleicht habe ich etwas ja auch tatsächlich nicht verstanden. Ich glaube nicht, daß ich einen Dialog zwischen anderen Mitgliedern unterbrochen habe, wenn doch, bitte ich um Entschuldigung und lese den Fortgang dieses thread-Dialogs.

Diese Antwort ist allerdings tatsächlich entgegen (!) den NUBs, ich weiß aber zur Sekunde nicht, wie ich auf anderem Weg darauf antworten sollte.

Nicht böse gemeint, ich wollte nur da helfen, wo die Mitglieder mir geholfen
haben. Chaothomas

Hallo
gibts denn keinen Step by Step, wie man dies Ding los wird?
Alle Virenscanner... versagen.
Gruss Burki

kann mir einer von euch nen link zur einer beschreibung geben wie man svchosts.dll los wird?? hab eine gefundne bei symantec oder so aber dazu braucht man doch das proggram.. kann hier evtl kurz einer mir erläutern wie das am einfachsten geht das zu killen?? ;) thx

Hallo

ich habe diesen Tip versucht.
http://www.trojaner-board.de/showthread.php?t=23534
Diese dll ist weg! Und das Logo in der Taskleiste auch!


Die #Lade dir smitrem.exe ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und Start klicken.Dann wird ein Ordner SmitRem auf dem Desktop angelegt und die Dateien dahin entpackt.Noch nicht ausführen.

#Lade dir Ewido Security Suite unbeding Update,noch nicht scannen

#lade Adaware, Spybot unbeding Update,noch nicht scannen.

#PC neustarten--> abgesicherter Modus
Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen.
Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt

#PC neustarten--> abgesicherter Modus
#Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

#Danach der PC mit Adaware, Spybot scannen und alle Funde entfernen.

#Inhalt folgende ordner loeschen:
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen
C:\WINDOWS\temp---> Inhalt löschen

Also ich hab jetzt wirklich alles probiert. Hab nämlich auch den Fehler!
Vorhin hab ich erst 44 Infektionen gelöscht, mit Spybot.
Aber nix is...
Hab nach wie vor die Meldung "Your Computer is infected"!

Was tun? Die Datei "svchosts.dll" kann man ja auch nicht löschen. Schliesslich ist sie im Hintergrund geöffnet.... oder so. Jedenfalls ist das ja der Grund des Elends!
Hoffe ihr könnt mir weiterhelfen!
Danke!

So, Problem ist gelöst^^
Auf komische Weise...
Also ich hab mehrere Sachen in meiner Taskleiste. Und das dauert halt ein bisschen. Und da der Virus ja noch neu war, wird er als letztes geladen. Diese Zeit reicht massig aus, um die davor auf das Desktop verschobene Dateien in den Papierkorb zu befördern. Das wars. Nix weiter. Habe fertig!

deine methode scheint wirklich zu funktionieren. die meldung erscheint nicht mehr, jedoch sind die datein noch als prozzesse am laufen und der IE geht beim starten noch automatisch auf eine seite.

kann dne keiner fix erklären wie man das problem vollständig los wird. scheinen ja 2 geschafft zu haben...bitte helft auch den anderen mit einer ausführlichen beschreibung dann kann dieses thema auf ewig beendet werden :)

Beitrag 19 ;)

Hat bei mir genau so geklappt. Sogar ohne dies andauernte neubooten.
Vielleicht versucht es noch einer und bestätigt meine Erfahrung.

geschafft!!!!

ich bin dieses svchosts.exe-Mistvieh auch auf diese Art losgeworden.
Einfach die Dateien finden, auf den Desktop verschieben, neu Starten und dann flux bevor er reagiert in den Papierkorb damit!
Ich habe mich extra hier regestriert um mich bei euch allen zu bedanken!!!

DANKE DANKE DANKE

Hallo,
Ich hatte bis eben gerade noch das Gleiche Problem, wie ihr..
Aber ich habe eine recht einfache Lösung gefunden:
1. Ruft folgende Seite in eurem Browser auf:
*Link entfernt*
Und ladet euch die .zip Datei herunter.
2. Wenn dies abgeschlossen ist etnpackt die Datei in ein Verzeichnis euer Wahl.
3. Geht nun in das Verzeichnis, in das ihr die den Ordner entpackt habt.Jetzt könnt ihr zuerst die Datei illegal_adv_uninstall1.exe ausführen, dann kurz warten, dann die zweite der entpackten Dateien illegal_adv_uninstall2.exe ausführen.
4 Den PC neu Starten. Nach dem Neustart sollten schon diese Warndinger unten in der Leiste weg sein. Und bei mir wurde "nur noch" das normale SpyAxe einmal ausgeführt. Das hab ich einfach beendet.
5. Start - Ausführen: dort msconfig eingeben, bei dem sich öffnenden Fenster oben rechts die Karte Systemstart auswählen und dann dort den Haken bei SpyAxe wegmachen.
6. PC neustarten, Nach dem Neustart sollte nichts mher SpyAxe ähnliches mehr ausgeführt werden.
7. Jetzt könnt ihr SpyWare einfach übers Startmenü Deinstallieren. Die Page die sich dann noch einmal öffnet könnt ihr gleich wieder schließen.

8. Geschafft!

-> Wenn ihr noch Fragen haben solltet mail einfach an *eMail Addy entfernt* bin zum ersten Mal hier im Forum und glaube (bzw. hoffe ;) ) nicht, dass ich nochmal wiederkommen werde (bzw. es wieder einen Grund gibt, warum ich wieder hier rein scheuen wollte, dieses SpyAxe hat jetzt erstmal genug Nerven gekostet..)^^

MfG und gute Nacht derTobi

Anm.
-----------------
Link zur SpyAxe und eMail Addy entfert!

Gruß Cidre
Admin TB

auf dieser Seite gibt es eine Super Gute Anleitung:

http://virus-protect.net/artikel/spyware/spyaxe.html

mir hats geholfen, ich hoffe Euch auch:daumenhoc

Jep....bin die Scheisse auch los....auch in diesem Post nochmal vielen Dank an Expert für die Hilfe!
steve

@steve_50
Poste mal diese drei Log

Gruss
Expert

Benutze diese uninstall hxxp://www.spyaxe.com/uninstall/uninstallers.zip funktioniert problemlos

der Spyaxe tritt auch in Verbindung mit anderer Malware auf.
deshalb sollte man mit der datfindbat arbeiten, mit Silentrunner und einer reg-Datei, und mit smitrem+ Virenscannern wie ewido und Online-Panda

http://virus-protect.net/artikel/spyware/spyaxe.html

bei der spyaxe.com/uninstall waere ich vorsichtig, weil sie vom Spyware-Ersteller selbst stammt und weil es ausfuehrbare Dateien sind.
Man weiss nicht, was die dann bewirken.......

Spyaxe (Your computer is infected,Desktophintergrund kann nicht geändert werden)

1) #Lade dir SmitfraudFix.zip
SmitfraudFix.zip auf dem Desktop speichern und auf dem desktop entpacken,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt.

2) #PC neustarten--> abgesicherter Modus
Nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 1 und dann Enter,wird ein rapport.txt im Ordner SmitfraudFix erstellt,den Inhalt hier posten.
Oder So:
Doppelklick auf SmitfraudFix.cmd,dann Taste 2 und dann Enter,wenn diese Frage o/n kommt muss du mit Taste o beatätigen,wird ein rapport.txt im Ordner SmitfraudFix erstellt,den Inhalt hier posten.Oder die Infected Dateien manuell loeschen!
Danach Taste 3 mit o beatätigen

3) #PC neustarten
#Lade dir smitrem.exe ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und Start klicken.Dann wird ein Ordner SmitRem auf dem Desktop angelegt und die Dateien dahin entpackt.Noch nicht ausführen.

#Lade dir Ewido Security Suite unbeding Update,noch nicht scannen

#lade Adaware, Spybot unbeding Update,noch nicht scannen.

4) #PC neustarten--> abgesicherter Modus
Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen.
Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt

#Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

#Danach der PC mit Adaware, Spybot scannen und alle Funde entfernen.

5) #Falls du kein Desktopbildhintergrung ändern kannst!
1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor
2. copiere diser Code rein:
3. Speichere die Datei als Fix.reg auf Desktop
4.Doppel klick auf diese Datei Fix.reg

6) #Inhalt folgende ordner loeschen:
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen
C:\WINDOWS\temp---> Inhalt löschen

Oder am besten:
#HijackThis Log und den Report des Ewido Scans,rapport.txt von SmitfraudFix und das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten.

Gruss
Expert

Also nachdem ich von dem ganzen hier auch wenig Ahnung habe gebe ich trotzdem mal meinen Senf dazu ab.

Nach dem lesen dieses Treats hab ich erst mal mit msconfig bei Systemstart alle Haken raus genommen, dann war dieses Symbol das dauernd meckert klar weg.

Dann einzeln angefangen die Haken wieder rein zu machen. Nach 5 maligem Neustart hab ich dann diese .exe Datei ohne Pfad mal nicht gehakt. Und seitdem ist dieses nervige Symbol nicht mehr da. :lach:

das Teil heißt Winstall mit dem angeblichen Pfad: C:\winstall.exe

Was ich allerdings nicht weiß ob das Thema damit endgültig erledigt ist, denn AntiVir findet keine Viren und Trojaner mehr :)

Wäre nett wenn mir ein Profi dazu noch ein Statement geben könnte...

Hallo Powerpack

Man kann heute die Malware nicht mehr in "Faecher" packen" und so abarbeiten...es vermischt sich alles.
Deshalb sind die Erkennungstools auch so wichtig.
Mit deren Hilfe, kann ich dir sagen, ob der PC sauber ist oder nicht ;)

CCleaner
http://virus-protect.net/temp.html
lösche alle temp-Dateien

kopiere hier die 4 Textdateien
http://virus-protect.net/datfindbat.html

kopiere das Log vom Silentrunner
http://virus-protect.net/silentrunner.html

Hallo Sabina, erst mal danke für die Tips, hier mal das Logfile von Silentrunner.




Hoffe das ist genug um zu sagen was los ist.


Vielen Dank schonmal im vorraus für lesen

ich brauche die 4 Logs !!!!!!!!

Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\

Jetzt glaub ich hab ich es kapiert das die Beiträge nicht so lang werden...

Wer lesen kann ist klar im Vorteil....


Also hier:

Powerpack

ist kein Spyaxe
ist ein bisschen azesearch und anderes.......
http://virus-protect.net/artikel/spyware/azesearch.html
------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.net/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\azebar.xml
C:\WINDOWS\system32\iasada.dll
C:\WINDOWS\system32\azesearch4.ocx
C:\WINDOWS\hosts
C:\WINDOWS\azesearch.bmp
C:\WINDOWS\RazeSpyware.pkg
C:\WINDOWS\tool2.exe
C:\WINDOWS\protect.exe
C:\WINDOWS\drsmartload95a.exe
C:\WINDOWS\uniq
C:\WINDOWS\spywareremoval.ico
C:\WINDOWS\shopping.ico
C:\WINDOWS\casino.ico
C:\WINDOWS\adult.ico
C:\WINDOWS\azentretien.dll
C:\winstall.exe

PC neustarten

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

CCleaner (muss leer sein: C:\DOKUME~1\Username\LOKALE~1\Temp )
http://virus-protect.net/temp.html
lösche alle temp-Dateien

scanne mit ewido und poste hier den scanreport
http://virus-protect.net/ewido.html

scanne mit Panda und poste den scanreport
http://virus-protect.net/onlinescan.html

So da bin ich wieder! Naja, also so 100% hat das noch nicht geholfen so wie das aussieht.

An was liegt das? Hab ich nen Fehler gemacht? Oder sind einfach ein paar Dateien zu wenig gelöscht worden?

Hier erst mal der Report von Panda:


und einmal der von Ewido:




Grüße und nen schönen Tag

Hi. leute genau das selbe problem hat mich die letzten 5 stunden wach gehalten ! Aber ich habe es geschaft :lach: Das wahr ja die hölle. Und ich habe überhaubt kein Plan von diesen ganzen kram.Also müsst ihr es auch schafen. Die Anleitung von Mr. Iös hat bei mir Super Geklapt, solltet ihr auch probieren. Danke an Mr. Iös ! :huepp: Für die Nächsten Monate habe ich auch die Schnauze voll :koch:

Hallo,

hatte heute morgen das gleiche Problem mit SpyAxe. Habe daraufhin das Forum durchgelesen und folgende Sachen gemacht:

- die dll-Datei mit dem Desktop-Trick gelöscht
- SpyAxe deinstalliert
- SpyAxe Ordner und Dateien gelöscht (die waren noch da)
- den C:\WINDOWS\system32\1024 -Ordner auch gelöscht
- mit CCleaner alle temp Dateien gelöscht
- wollte dann Firefox installieren

seitdem klappt nichts mehr

Wenn ich den Rechner hochfahre erscheint das Desktop, es lässt sich aber nichts anklicken. Im Taskmanager kann man auch nur Prozesse beenden aber keine Programme öffnen.
Genauso ergeht es mir im abgesicherten Modus.

Also im Augenblick geht gar nichts mehr.

Da ich ja nur in den Task-Manager schauen kann, habe ich mal handschriftlich alle laufenden Prozesse abgschrieben und hier im Folgenden eingetippt.
Gibts da auffällige Einträge?

taskmgr.exe Chris
imapi.exe SYSTEM
BTTray.exe Chris
X10nets.exe SYSTEM
rundll32.exe Chris
Winampa.exe Chris
iPodService.exe SYSTEM
wdfmgr.exe Lokaler Dienst
qttask.exe Chris
svchost.exe SYSTEM
realsched.exe Chris
iTunesHelper.exe Chris
LogWatNT.exe SYSTEM
ibguard.exe SYSTEM
InoTask.exe SYSTEM
InoRT.exe SYSTEM
InoRpc.exe SYSTEM
PCMService.exe Chris
btwdins.exe SYSTEM
svchost.exe Lokaler Dienst
AVWUPSRV.EXE SYSTEM
Spoolsv.exe SYSTEM
SOUNDMAN.EXE Chris
aliptaxx.exe Chris
explorer.exe Chris
SynTPEnh.exe Chris
SynTPLpr.exe Chris
AGRSMMSG.exe Chris
ati2evxx.exe Chris
Realmon.exe Chris
svchost.exe Lokaler Dienst
nvctrl.exe Chris
mssearchnet.exe Chris
svchost.exe NETZWERK
svchost.exe SYSTEM
svchost.exe NETZWERK
svchost.exe SYSTEM
ati2evxx.exe SYSTEM
lsass.exe SYSTEM
services.exe SYSTEM
winlogon.exe SYSTEM
csrss.exe SYSTEM
smss.exe SYSTEM
ibserver.exe SYSTEM
alg.exe LOKALER DIENST
System SYSTEM
Leerlaufprozess SYSTEM

Hallo,
ja da ist der ein oder andere mit Spyaxe in Zusammenhang stehende Prozess, z.B. diese hier:
mssearchnet.exe
nvctrl.exe
ob ein bloßes beenden der Prozesse ausreicht um dein Desktopproblem zu beseitigen wage ich zu bezweifeln. Das einzige was mir einfallen würde, wäre entweder eine Reparaturinstallation, oder eine Systemwiederherstellung.


Grüße Wildone

Hallo powerpack

loesche:
C:\Dokumente und Einstellungen\Tobias\Favoriten\ Shop <---
C:\WINDOWS\Downloaded Program Files\azesearch.inf <---

TuneUp 2006 (30 Tage free) Shareware
http://virus-protect.net/reinigungstoolsregistry.html
wende an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner

dann deinstalliere den ewido und gehe noch mal mit Counterspy ueber das System
http://virus-protect.net/counterspy.html
nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove
*Quarantaine

wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)

Danke erstmal.
Das Beenden der beiden Prozesse nvctrl.exe und mssearchnet.exe klappt nicht. Direkt nach Beenden starten sie sich von selber neu.
Kann man im Taskmanager die beiden Prozesse irgendwie dauerhaft beenden?

Wo finde ich Infos zum Systemwiederherstellen bzw. Reperaturinstallation

Hallo camot3000

in der Registry

Taskmanager:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
DisableTaskMgr 0 --> (muss auf 0 stehen)

processexplorer
http://virus-protect.net/artikel/too...sexplorer.html

versuche die 4 Logs zu posten
http://virus-protect.net/datfindbat.html
------------------------------------------------------------------------
Info:
wie schon gesagt....die Spyware laesst sich nicht mehr eingrenzen, man kann nur noch nachschauen (datfindbat), was so alles auf dem PC ist.....)
http://virus-protect.net/artikel/spyware/mscornet.html
http://virus-protect.net/artikel/spy...sresearch.html
http://virus-protect.net/artikel/spyware/spyaxe.html

Hallo SABINA,

kann mit deiner Hilfe nichts anfangen...
ich komme nicht weiter als in den Taskmanager. ich kann keine Programme öffnen, kann auch keinen neuen Task ausführen...

camot3000

dann lege deine XP-CD ein und formatiere......
Schade, denn so wissen wir nicht, was nun eigentlich los ist/war......

(oder versuche erst mal eine Systemwiederherstellung)...wenn es denn geht...
----------------------------------------------------------------------------
bekommst du das installiert?? Damit kannst du Prozesse killen...
processexplorer
http://virus-protect.net/artikel/too...sexplorer.html.

Hallo Sabina,

sieht ja schon weitaus einfacher aus als das von gestern abend. :lach: Werde es heute abend gleich probieren.

Aber noch ne Frage: Diesen Haken den ich beim Systemstart raus genommen habe um dieses nervige meckernde "be infected" nicht mehr zu haben,was passiert damit?

Denn wenn ich unter msconfig den Systemstart auf mache ist dieses Programm immer noch da, aber halt nicht angehakt.

C:\winstall.exe


Oder soll ich den mal zum testen wieder haken?


Grüße

powerpack

ich hoffe die C:\winstall.exe ist geloescht ;)


•Möchte man die deaktivierten Autostart-Einträge im Reiter Systemstart löschen,
sucht man vergebens unter dem Schlüssel "Run-" oder "RunServices-" in der Registry (wie bei Windows 9x/ME).

Windows XP sichert MSconfig unter "startupreg" bzw. "startupfolder".

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Shared Tools\ MSConfig\ startupreg
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Shared Tools\ MSConfig\ startupfolder

dort suche/loesche: den Eintrag C:\winstall.exe

und falls du noch andere Eintrage findest, loesche sie auch

Start-->ausfuehren--> regedit
(bearbeiten--> suchen--> winstall.exe )

Wie führt man denn eine Systemwiederherstellung durch????

Kann ich noch Daten retten, falls ich formatieren muss?

camcot3000

Systemwiederherstellung
Start -> Hilfe und Support -> zur Option "Computeränderungen mit der Systemwiederherstellung rückgängig machen"
Dort wählst du: "Computer zu einem früheren Zeitpunkt wiederherstellen" -> Weiter
Die fett angezeigten Daten im Kalender zeigen dir gesetzte Wiederherstellungspunkte.

--------------------------------------------------------------------

falls du eine Partition fuer Windows hast, normalerweise C:\ formatiere nur die, dann bleiben die Daten auf den anderen Partitionen erhalten.
Falls du nur eine Partition hast...geht alles verloren...es sei denn du sicherst es noch auf CD...
oder:
http://virus-protect.net/ntbackup.html
aber dafuer ist es nun bestimmt zu spaet....
http://virus-protect.net/nachneuinst.html

Hallo,
*nochmal kurz einmisch*
Bevor du formatierst, solltest du es mit einer Reparaturinstallation versuchen. Wenn du 2 Cd Laufwerke hast (bzw. Brenner +CD-Laufwerk) kannst du dir auch eine Knoppix CD(Linuxsystem das von CD bootet) besorgen und die wichtigen Daten vorher runterbrennen.


Grüße Wildone

Hallo,

bin gerade im abgesicherten Modus mit Eingabeaufforderung.
2 Fragen:

kann ich theoretisch daten von c nach d kopieren und dann c formatieren und windows neu installieren?

gehe gerade in der c:\windows\system32 die dateien durch die heute bzw. in den letzten tagen erstellt wurden. Habe dabei schon weitere Schädlinge (laut WinTotal.de) gefunden. Kann ich jetzt einfach hergehen und diese einfach löschen oder können mir da weitere Probleme entstehen?

im Grunde kannst du alles loeschen, was du findest...nur nicht die wininet.dll, falls sie verseucht ist, die muss man mit einem Spezialtool "behandel" werden...da ich nicht weiss, welche Verseuchung es nun ist und welche Registryeintraege veraendert wurden, waere formatieren besser...denn selbst wenn du alles loeschst, bleibt die Registry, wie sie im Moment ist und damit der PC unbrauchbar.

bringe alles wichtige (nicht die Viren ;) ) auf D und dann formatiere C

Die Registry, was ist das eigentlich. So etwas wie autoexec ...? Bin nicht schon lange nicht mehr auf dem aktuellsten Stand. Aber kann ich die Registry nicht in der Eingabeaufforderung einsehen bzw. bearbeiten?

Hallo,
nur noch mal am Rande erwähnt, ich gehe von keiner weiteren Verseuchung aus, die Spyaxe/PSguard/Spysheriff .... Varianten haben ab und zu die Nebenwirkung das auf dem Desktop nichts mehr funktioniert(keine Ahnung woran es genau liegt), gibt es 2/3 Beispiele hier im Forum. Also wie schon gesagt, entweder formatieren oder Reparaturinstallation.


Grüße Wildone

hallo,

nochmal eine frage.
ich kopiere gerade meine daten von c nach d. Allerdings habe ich eigentlich nur 1 Festplatte. Die Platte wurde also geteilt. (sorry, mir fehlen die Fachbegriffe). Wenn ich jetzt c formatiere, wird dann auch nur der c-bereich der Festplatte formatiert? Oder wird die ganze Festplatte formatiert?

DANKE übrigens DANKE,DANKE für eure Hilfe

Hallo,
es wird nur der C:\ Bereich(Fachbegriff Partition :D ) formatiert.


Grüße Wildone

rechtsklick auf den Link --> Ziel speichern unter--> waehle Desktop --> es erscheint eine sheriff.reg. Boote in den abgesicherten Modus und klicke die sheriff.reg doppelt und fuege sie der Registry bei. Dann funktioniert wieder alles auf dem Desktop ;)

http://virus-protect.net/reg/sheriff.reg

@camot3000

Mit Hilfe des Befehls msconfig könnte dir helfen,

Ähnliches Problem!
http://www.trojaner-board.de/showthr...135#post176135

Gruss
Expert

Zitat von Experte (olomide ????)

PC neustarten, Unter Task-Manager den Befehl msconfig eingeben dann OK,dann Systemwiederherstellung Starten ein bestimmte Zeit vor der Infektion,(Aber muss einbißen geduld haben,der PC bleibt einbißen hängen dann reagiert wieder) wenn die Systemwiedeherstellung fertig ist(PC automatisch gestartet),dann kannst du meine Anleitung folgen,das heißt kannst du jetzt Prgrammen ausführen
----------------------------------------------------------------------------
ich lerne nie aus...ich suche verzweifelt nach dem Punkt "Systemwiederherstellung", wenn ich im msconfig bin.
Vielleicht suche ich nicht richtig ??????????????

Habe nicht verstanden,was du da meinst?

Gruss
Expert

@Sabina

wenn ich deine Frage richtig verstehe,Unter msconfig,schaue mal unten in der Mitte steht Systemwiederherstellung Starten

Gruss
Expert

Habs gefunden.... ;)
mein System ist in Englisch...nun ja....
Danke

Hallo @ all bin wieder da, und hoffe das der Mist jetzt endgültig erledigt ist.

Habe auch wie in einem anderen Post besagt mal den Haken bei dieser .exe Datei wieder gesetzt. Und schwups nach dem Neustart war die Datei aus dem Systemstart raus, und auch das nervige "be infected" Fenster bleibt zu! :D

Poste hier mal zur Sicherheit nochmal die 4 Logs von dat find.

Wäre cool wenn mir da nochmal jemand sagen kann ob ich das Zeug jetzt los habe.


Danke schonmal im vorraus

powerpack

unter den temporaeren Dateien ist das:
01.01.1970 01:00 1.876 vxfjbanenofnvobg.ABI :confused:
schau mal das Datum ;)

CCleaner
http://virus-protect.net/temp.html

ansonsten ist alles sauber ;)

---------------

smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

Alles klar Sabina, hab das Cleaner Programm nochmal drüber laufen lassen.

Nachdem wir jetzt wieder sauber sind noch eine Frage kann ich diese ganzen Programme die ich geladen hab gestern und heute jetzt wieder runter löschen?

Grüße der saubere Powerpack :D

powerpack

ja, du kannst alles wieder loeschen....und alles Gute fuer dich + PC ;)

Weltklasse! :aplaus:

Da kann ich jetzt eigentlich nur sagen 1001 Dank Sabina

Du bist Spitze.... :aplaus: :aplaus:

Bis demnächst, oder besser bis nicht wieder so schnell!!!???

Alles gute auch für Dich und nochmals Danke für die :daumenhoc Hilfe


Grüße Powerpack + PC :)

Hey, vielen Dank Leute.
Habe auch einfach die Datei auf den Desktop verschoben...neugestartet...schnell in den Papierkorb. UND AB DAMIT!
Nervendes Ding!

THX @ ALL

:daumenhoc

Hi

Ich hatte genau das gleiche problem wie fast alle andere hier auch.
Hab dann die, meiner meinung nach etwas umständliche anleitung mit dieser "killbox" durchgeführt.

Hab also diese dateien glöscht:

C:\WINDOWS\SYSTEM32\ncompat.tlb
C:\WINDOWS\SYSTEM32\msvol.tlb
C:\WINDOWS\SYSTEM32\hp8509.tmp
C:\WINDOWS\SYSTEM32\svchosts.dll
C:\WINDOWS\SYSTEM32\ot.ico
C:\WINDOWS\SYSTEM32\ts.ico
C:\WINDOWS\SYSTEM32\mssearchnet.exe
C:\WINDOWS\SYSTEM32\nvctrl.exe
C:\WINDOWS\SYSTEM32\mscornet.exe
C:\WINDOWS\SYSTEM32\migicons.exe

So, danach war das rote x in der start leiste verschwunden, es gab keine meldung mehr "your computer is infected", und spyaxe war auch brav.
Habe spyaxe danach deinstalliert.

So, jetzt ist das einzige problem was noch übrig geblieben ist, dass mich mein internetexplorer bei jedem aufrufen, nicht auf meine standart startseite verweist, sondern auf diese "updateuresystem" seite, wo mir jedesmal gesagt wird, welche meiner ordner immoment für einen gewissen benutzter zugänglich sind ( die ip desjenigen wird sogar angegeben).
Ich glaub ja, dass das eh nur dummes gelaber ist, aber es nerft.
Dazu kommt, dass nach jedem neustart, ein fenster erscheint, auf dem ich aufgefordert werde mir wieder spyaxe zu saugen.

ok genug gelabert, hab mir dieses datfind.bat runtergeladen und post kurz die 4 listen:


Verzeichnis von C:\WINDOWS\system32

26.05.2005 03:16 173.536 wuweb.dll
26.05.2005 03:16 1.343.768 wuaueng.dll
26.05.2005 03:16 18.200 wups2.dll
26.05.2005 03:16 41.240 wups.dll
26.05.2005 03:16 198.424 iuengine.dll
26.05.2005 03:16 75.544 cdm.dll
26.05.2005 03:16 174.872 wuaucpl.cpl
26.05.2005 03:16 194.840 wuaueng1.dll
26.05.2005 03:16 174.872 wuauclt1.exe
26.05.2005 03:16 124.696 wuauclt.exe
26.05.2005 03:16 466.200 wuapi.dll
26.05.2005 03:16 128.280 wucltui.dll

(ist das normal dass ich hier nur einträge bis 05.05 hab? )



Verzeichnis von C:\DOKUME~1\STV\LOKALE~1\Temp

13.10.2005 18:28 602.893 Video.exe
07.07.2005 12:54 32.847 ICQRT.dll
05.04.2005 11:45 106.560 VVSNInst.exe
03.02.2005 15:30 5.739 ICQTIK.dll


Verzeichnis von C:\WINDOWS

11.11.2004 16:13 172.032 mxTarget.dll
05.11.2004 17:41 379 wmsetup10.log
05.11.2004 17:40 316.640 WMSysPr9.prx
04.11.2004 09:19 7.207 Disktool.INI
04.11.2004 09:19 6.399 fwupgrade.ini
21.10.2004 10:55 78 videodeLuxe.INI
20.10.2004 16:54 230 magix.ini
12.10.2004 18:56 7.680 KB834707.log
06.10.2004 22:42 1.174 OEWABLog.txt
06.10.2004 22:41 28.949 spupdsvc.log
06.10.2004 22:41 985.191 setuplog.txt
06.10.2004 22:41 360 DtcInstall.log
06.10.2004 22:38 456.783 svcpack.log
06.10.2004 22:35 200 cmsetacl.log
06.10.2004 22:35 1.330 sessmgr.setup.log
20.09.2004 10:24 67 WININIT.INI
20.09.2004 10:23 12.096.524 setupapi.log.0.old
16.09.2004 11:11 18.287 xpsp1hfm.log
16.09.2004 11:11 2.603 KB833987.log
15.09.2004 12:42 3.211 KB883357.log
23.08.2004 08:01 1.381 adfuupdate.inf
22.08.2004 16:04 69.120 daemon.dll
16.08.2004 17:55 315 doom3.ini
06.08.2004 12:11 183.710 Windows Update.log
04.08.2004 08:58 288.768 winhlp32.exe
04.08.2004 08:58 32.866 slrundll.exe
04.08.2004 08:58 153.600 regedit.exe
04.08.2004 08:58 70.144 notepad.exe
04.08.2004 08:57 10.752 hh.exe



Verzeichnis von C:\

06.10.2004 22:30 47.564 NTDETECT.COM
06.10.2004 22:30 251.184 ntldr
13.02.2004 16:25 45 vac.log
02.04.2003 13:00 4.952 bootfont.bin
18.03.2003 21:20 1.060.864 mfc71.dll
18.03.2003 21:12 1.047.552 mfc71u.dll
18.03.2003 20:14 499.712 msvcp71.dll
21.02.2003 04:42 348.160 msvcr71.dll
21.11.2002 19:53 0 sys.txt
21.11.2002 19:52 9.884 system.txt
21.11.2002 19:51 455.926 systemtemp.txt
21.11.2002 19:48 114.820 system32.txt
21.11.2002 17:41 308.060 oo.exe
21.11.2002 17:35 536.399.872 hiberfil.sys
21.11.2002 17:35 805.306.368 pagefile.sys
21.11.2002 00:55 211 boot.ini
12.11.2002 21:11 21.950 Rune.ini
13.10.2002 14:35 0 MSDOS.SYS
13.10.2002 14:35 0 Log.txt
13.10.2002 14:35 0 CONFIG.SYS
13.10.2002 14:35 0 IO.SYS
13.10.2002 14:35 0 AUTOEXEC.BAT
07.06.2002 00:06 192 BcBtRmv.log
23 Datei(en) 1.345.877.316 Bytes
0 Verzeichnis(se), 972.120.064 Bytes frei


Also ich hab jetzt jeweils nur ca 3 monate kopiert, wenn ihr mehr braucht lasst es mich wissen.

Und nochwas.
Dieser spyaxe unistaller funktioniert bei mir überhaupt nicht.

@$TV
Eröffne einen eigenen Thread und poste ein HJT-Logfile. Halte Dich genau an die Anleitung
http://www.trojaner-board.de/showthread.php?t=17493
und beachte die Hinweise in meiner Signatur.

:huepp: :dummguck: ... out of control ? ...

$TV

ueberpruefe, ob du das findest...wenn ja...leoschen (oder scanne mit Panda)
http://virus-protect.net/onlinescan.html

C:\WINDOWS\system32\1024
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url

spyAxe (Info)
http://virus-protect.net/artikel/spyware/spyaxe.html

Diese elenden Kiwis haben mich genötigt das Programm zu kaufen. Hier die notwendigen Angaben um das Programm zu aktivieren. Hat mich $49.50 gekostet!!!

Dear Spy Axe User,

Thank you for purchasing Spy Axe.

Your order has been processed and authorized.
Below you can find your License information and Instructions of Spy Axe:

========================================================================
In order to register your copy of Spy Axe, please follow the instructions below:

1. Download and install Latest version of Spy Axe with Most recently
Updated database of Spyware signatures from http://spyaxe.com/download.php.

2. Click the 'Register' button at the Spy Axe program.

3. Enter the email address you used when purchasing Spy Axe (goliver66@hotmail.com) into the 'Customer E-mail' field.

4. Copy (ctrl-c) and paste (ctrl-v) the following code into the 'Serial Number' field:

Serial Number: 000015-CDZQUC-CUZY0K-AHJQWZ-FK0J1T-X2D3VA-NJ44BR-0TXW21-J8N2A9-RZ682W



5. Click 'Register Now'. Spy Axe will acknowledge your key and register the program.

6. Re-launch Spy Axe.

7. Spy Axe is now ready to clean your PC!
========================================================================

If you have any questions or need any assistance with your purchase and product:

E-Mail us at:
mailto:cs@spyaxe.com

We are here to help you! Thank you for staying with Spy Axe!

Sincerely,
The Spy Axe Team

:teufel2: LÖSUNG!!!
Ich habe das scheissprog gek. $49.50 hier die aktivierungsmail:
Dear Spy Axe User,

Thank you for purchasing Spy Axe.

Your order has been processed and authorized.
Below you can find your License information and Instructions of Spy Axe:

========================================================================
In order to register your copy of Spy Axe, please follow the instructions below:

1. Download and install Latest version of Spy Axe with Most recently
Updated database of Spyware signatures from http://spyaxe.com/download.php.

2. Click the 'Register' button at the Spy Axe program.

3. Enter the email address you used when purchasing Spy Axe (goliver66@hotmail.com) into the 'Customer E-mail' field.

4. Copy (ctrl-c) and paste (ctrl-v) the following code into the 'Serial Number' field:

Serial Number: 000015-CDZQUC-CUZY0K-AHJQWZ-FK0J1T-X2D3VA-NJ44BR-0TXW21-J8N2A9-RZ682W



5. Click 'Register Now'. Spy Axe will acknowledge your key and register the program.

6. Re-launch Spy Axe.

7. Spy Axe is now ready to clean your PC!
========================================================================

If you have any questions or need any assistance with your purchase and product:

E-Mail us at:
mailto:cs@spyaxe.com

We are here to help you! Thank you for staying with Spy Axe!

Sincerely,
The Spy Axe Team
Es wird Hilfe jeder Art dankend entgegengenommen und schon mal ein dickes Danke im Voraus[/QUOTE]

easy17

So...das ist eine Loesung, die nach hinten losgehen kann.....(was ich sonst von deiner Entscheidung halte...behalte ich lieber fuer mich.....)

Nachzulesen :
http://board.protecus.de/t20352.htm
ich wuerde mein Konto sperren lassen.:D und die Abbuchung stornieren.....

Hallo Ich habe die Lösung der Highjacker Probleme gefunden.

Nachdem ich also alle Dateien wie hier in diesem Thread ( glaube seite 3 steht ein Link)

mit dem Programm Killbox.exe enfernt habe.

Tipp: Start/Programme/Zubehör/Systemprogramme/Systemwiederherstellung

sollte vorher abgeschaltet sein. Ist sehr WICHTIG

Anschließend besorgt ihr euch dieses Microsoft Antispyware Beta damit könnt ihr euren Internet Explorer komlett zurücksetzen. Wer meint es geht anders, bitte. Ich habe allerdings mit allen anderen Wiederherstellungstools Pech gehabt. Es ging nicht.

Das MIcrosoft tool hat den Vorteil, das es schon alles kann.

VIEL GLÜCK:D :D :D

Meinst du das Tool ?
http://virus-protect.net/ms.html

Allerdings gibt es Moment keinen "Allheil-Mittel-Virenscanner"...der alles kann, weil sich die "Hijacker" staendig neue Malware ausdenken und es genuegend Leute gibt, die auf suspekten seiten rumsurfen ;)

Spyaxe (muss ich immer aktualisieren........)
http://virus-protect.net/artikel/spyware/spyaxe.html

Hallo Sabina,

ja genau diese beiden Tools meine ich. Es hat sehr gut geklappt damit. Es soll kein Allheilmittel sein, eher ein Rat, wie man den Mist wieder vom Rechner bekommt ohne Alles neu Formatieren zu müssen.

Es war meine eigene Schuld, ich habe mich natürlich auf äußerst Schmutzigen Seiten :pfui: rumgetrieben, die waren so schmutzig, da war der Reiz groß und ich wollte mir ein Video ansehen. Blöd wie ich war bin ich darauf reingefallen, Der Firefox sagte mir ich solle ein Codec runterladen, da es so nicht angezeigt werden kann. Und ich dachte noch:"Nanu, seit wann spielt mein Browser denn videos ab", naja auf jeden fall ladete ich das codec Ding runter. Bis dahin war noch alles klar. ZUM GLÜCK benutzte ich nicht den Internet Explorer !!! Nachdem ich das Ding installierte ( Es sah alles normal aus) Installierte sich plötzlich diese Spyaxe. Und dann fing alles an.

Nachdem ich dann alles an dingen getestet habe die man so empfiehlt, habe ich Killbox genommen. es klappte alles auch die deinstallation von Spyaxe nach dem neustart. Bis auf die Internet explorer Startseite. Mir ist dann das Microsoft Anyspy eingefallen, welches für solche Fälle eine Rücksetzfunktion eingebaut hat, welche wie sich herausstellte, auch sehr gut funktioniert.

Desweiteren kann ich euch den Evidence Eliminator empfehlen, der sort auch dafür (Im vorfeld) das der Rechner nicht so Vollgemüllt wird. Aber damit kann sich jeder selbst beschäftigen.

Markus

PS: Und geht nicht mehr auf schmutzige Seiten:pfui: :pfui: :pfui: :D :D :D:

LESEN

NOCH EIN WICHTIGER TIPP

richtet euch Zwei Benutzerkonten ein. Zum einen ein Admin Konto (uneingeschränkt) und ein User Konto mit eingeschränkten Benutzerrechten.

Damit seit ihr auf der richtigen Seite, wenn ihr im Internet seit. Der eingeschränkte Benuzter darf keine Programme installieren. Wollt Ihr dennoch etwas installieren, dann müsst ihr mit der rechten Maustaste auf die auszuführende .exe gehen und "ausführen als" drücken. Dort gebt ihr dann den Benutzernamen des Admin Kontos ein und das dazugehörige Passwort.

Thx @ Sabina

Hab beides gemacht, erst die dateien gelöscht, und dann nochmal den panda drüber laufen lassen.
Der hat natürlich noch mehr shit auf meinem rechner gefunden.
Ein bischen verärgert war ich, als ich nach 3 stunden scannen festgestellt hab, dass dieser activsearch garnichts löscht, sonder mit nur ne logfile speichert.
Aber naja, für was gibts die killbox.

Also bei mir is wieder alles sauber =)

Danke nochmal.....(bis zum nächstenmal)

Ich habe auch ein Problem mit Spyaxe!!!!!!!
Kann mir jemand genau erklären wie ich das loswerde????
Hab kaum Fachkenntnisse über Fachbegriffe!!!! Müsste mir dann auch jemand erklären?
Hilfe!!!!!!!!!!

Hallo@Malta

Anleitung--> SpyAxe loeschen ;)
http://virus-protect.net/artikel/spyware/spyaxe.html

wende CleanUp an
http://virus-protect.net/cleanup.html

Hijackthis
http://virus-protect.net/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

datfindbat--> kopiere hier die 4 Textdateien
http://virus-protect.net/datfindbat.html

also.. an alle .. ihr kriegt den mist mit spydoctor, spysweeper und spy eliminator weg.. von spydoctor gibts irgendwo ne 30 tage testversion^^, ansonsten kosten die... vllt findet ihr ja andere wege ranzukommen ^^ freunde tauschbörsen ..ka.. ich hab die testversion ^^

Die Lösung für diesen Dreck ist folgende:
Den Scanner Xoftspy von Pareto Logics erwerben oder zumindest vorher den kostenlosen Scan durchführen. Der haut den Spyaxe-Murks komplett von der Festplatte runter!!!! Also ich bin begeistert, wenn es auch ein paar Dollars gekostet hat.
Auf den Scanner bin ich gekommen, nachdem alles andere fehlgeschlagen war, auch die Tipps hier. Wen bei Google "remove spy axe" eingegeben wird, erscheint die Werbung für Xoftspy 4.19. In letzter Verzweiflung klickte ich da drauf und es war der erste und m.E. einzige Scanner der den ganzen Dreck erkennen konnte. Euch viel Glück!

ich werde den Verdacht nicht los, dass sich hier einige Tool-Entwickler an der Hype um den Spyaxe, PSGuard und Winfixer...und wie sie alle heissen...ein bisschen weit aus dem Fenster haengen.......
es gibt ein neues Entfernungstool fuer spyaxe und es kostet nichts ;)

SmitRem2.8
http://noahdfear.geekstogo.com/click...click.php?id=1

öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und kopiere die Textdatei in den Thread (falls du einen im Sicherheitsforum eroeffnet hast)

die reg-Dateien, um die Registry zu saeubern und weitere Hinweise findet man ebenfalls hier.
Quelle:
http://virus-protect.net/artikel/spyware/spyaxe.html

Bitte beachten, dass der Spyaxe neuerdings mit anderer Malware in Verbindung auftritt, zum Beispiel mit Winfixer oder Spysheriff.

Als SpyAxe-Geschädigter habe ich (außer dem Posten von Logs) die kompatiblen Maßnahmen der Foren umgesetzt; vielleicht ist der Schreck nun vorbei. Dank an die Helfer!

Übriggeblieben ist dies: Meine schon lange in Betrieb befindlichen Kaspersky und Spybot hatten sich gemeldet und tun es weiterhin, aber vielleicht nicht mehr w/Spyaxe selber: Spybot hatte gleich 6 Einträge "Smitfraud-C." gemeldet, heute meldet er weiterhin 6, aber 42 "angelegte Backups", weil ich im Laufe verschiedener Versuche und Kontrollen 7x "deleted" habe, weil SB das nicht selber tut.
Auch Kaspersky meldet weiter, aber nur
dass die Eingabe eines Kennwortes für C:\...\sbRecovery.reg erforderlich sei. In diesem Objekt erkennt Kaspersky ":\...\Anwendungsdaten\Spybot-Search&Destroy
Destroy\Recovery\SmitfraudD.zip".
Ich kenne kein Kenntwort bei SB für "Wiederherstellen", was wohl "Recovery" entspricht.
Leider bleibt Kasp. (bei rund 11 % des Gesamtscans) deswegen nun hängen und läuft weder nach vorgesehenen wenigen Minuten noch mit "Überspringen" und "Archiv überspringen" weiter. Da hilft jetzt nur den PC auszuschalten.

Weiß jemand Abhilfe, bitte, oder in welchem anderen Formsbereich sollte ich nochmal fragen?

Hallo@uweru

vielleicht Spybot deinstallieren oder Recovery\SmitfraudD.zip loeschen.....und die Regdateien anwenden, die es auf dieser Seite gibt.
http://virus-protect.net/artikel/spyware/spyaxe.html

http://virus-protect.net/reg/mcor.reg
http://virus-protect.net/reg/spyaxe.reg

Danke Sabina, habe Spybot mit seinem uninstaller, im Explorer und Restdateien mit der Suchfunktion gelöscht. Kaspersky hängt sich trotzdem in der beschriebenen Weise wieder auf. Habe daraufhin Spybot völlig neu installiert; vor einem Start zeigt er gleich wieder die 42 Backups an.- Nach Deinem ersten Link hatte ich von vornherein gearbeitet, mcor ist auf dem desktop und fragt beim Anklicken "Möchten Sie die Information in C:\Dokumente und Einstellungen\Admin\Desktop\mcor.reg zu der Registrierung hinzufügen?" Das hatte ich getan, weiß jetzt aber nicht, ob das genau die Daten gem. Deinem 2. Link sind; nehmen wirs mal an.
Bitte schreib noch, wie man Deinen 3. Link "anwendet"; welche Schritte sind das genau?

Zusatzinfo: RegSrch.vbs findet bei Eingabe von SPYAXE 11 (elf) Einträge und bei SMIFRAUD einen (1), beim Versuch, sie mit Killbox zu löschen und Neustart im abgesicherten Modus kommt "File does not seem to exist".

[HKEY_USERS\S-1-5-21-4113303836-3057704224-645757453-500\Software\Microsoft\Search Assistant\ACMru\5603]
"007"="smitfraud"

[HKEY_USERS\S-1-5-21-4113303836-3057704224-645757453-500\Software\Microsoft\Search Assistant\ACMru\5603]
"022"="spyaxe"

[HKEY_USERS\S-1-5-21-4113303836-3057704224-645757453-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\SpyAxe]

[HKEY_USERS\S-1-5-21-4113303836-3057704224-645757453-500\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\SpyAxe\\spyaxe.exe"="Anti-spyware software"

[HKEY_USERS\S-1-5-21-4113303836-3057704224-645757453-500\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\TEMP\\saB6.exe"="SpyAxe Software Installer"

Alle weiteren wie der letzte, aber mit unterschiedlichen sa-Nummern.

Bitte, wie gehe ich weiter vor?

Eine Ergänzung: Habe eben "Euer" französ.Tool SmitfraudFix eingesetzt. Durchlauf 1 ergab ein Logfile, für Durchlauf 2 habe ich ein paar hundert Male (!) "oui" eingegeben, und es wurden immer noch weitere gefordert. Hab aufgehört, und da sämtliche Icons vom Destop verschwunden waren, hatte ich keine Wahl, als den PC neu zu starten. Nach dem Hochlaufen waren meine sämtlichen 'Lesezeichen', sprich Favoriten wegen (arbeite mit Firefox). Was kann ich tun, um sie wieder benutzen zu können? - Finde auch die Website nicht wieder, da mit den Lesezeichen verschwunden. Müsste dort wohl auch diesen Bericht geben, oder übernimmst Du das, Sabina, weil ich dort nicht reg. bin.

uweru

französ.Tool SmitfraudFix --> ich hab es nur einmal anwenden lassen bisher (nicht hier)...aber ich mache mich mal schlau...ich weiss ungefaehr, wo du das geladen hast....) Die scheinen sehr rigeros alle Favoriten loeschen zu lassen... das ist nicht in Ordnung...sie sind wohl alle futsch....

wende CleanUp an
http://virus-protect.net/cleanup.html

so sollte geloescht werden:
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\saB6.exe

gehe in die Registry
start-->Ausfuehren--> regedit

[HKEY_USERS\S-1-5-21-4113303836-3057704224-645757453-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MenuOrder\Start Menu2\Programs\SpyAxe]<--loeschen

bearbeiten--> suchen--> SpyAxe --> loesche alles, was noch angezeigt wird

SmitRem2.8
http://noahdfear.geekstogo.com/click...click.php?id=1

öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und kopiere die Textdatei in den Thread (falls du einen im Sicherheitsforum eroeffnet hast)

SpyAxeFix.exe
http://noahdfear.geekstogo.com/click...click.php?id=8

-->> schliesse alle anderen Programme
-->> doppeltklicken SpyAxeFix.exe
-->> SpyAxeFix.bat
-->> wenn deas Tool abgearbeitet ist, wird der PC neustarten

kopiere die spyaxe.txt ab

Hallo Sabina,
hier zunächst smitfiles.txt


smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

spyaxe uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1492 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN! :)

Hier die spyaxe.txt

SpyAxeFix © by noahdfear


Microsoft Windows XP [Version 5.1.2600]


Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 3916 'explorer.exe'
Killing PID 3916 'explorer.exe'


Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of rundll32.exe


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"


Hiernach habe ich zur Kontrolle noch einmal den Registrierungs-Editor mit String 'spyaxe' geöffnet, der nach wie vor folgende "Werte" zeigt (Ziffern statt "Namen"), einen Wert sab6 habe ich probehalber gelöscht, hat geklappt: (es fällt auf, dass 'spybot' im string sypaxe gefunden wird, obwohl ich spybot noch nicht wieder installiert habe; Kaspersky hängt sich nach wie vor auf).

spyaxe.txt, spyaxe, smitfiles.txt, msvol, spybot, sberet, sa4c, online security center, svchosts.dll, sa1, svchost, smitfraud, nsag, c7c580bbf700, nvcontrol, stera, usbn, svchost.dll, win-eto.com, hpa75b, mssearchnet, sbrecovery.reg

Unmittelbar nach den "Maßnahmen" berichtete RegSrch, dass von den 11 Eintragungen keiner mehr da war. Jetzt, 2 Stunden später, sind 4 doch wieder vorhanden:

[HKEY_USERS\S-1-5-21-4113303836-3057704224-645757453-500\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="spyaxe.txt"

[HKEY_USERS\S-1-5-21-4113303836-3057704224-645757453-500\Software\Microsoft\Search Assistant\ACMru\5603]
"001"="spyaxe"

[HKEY_USERS\S-1-5-21-4113303836-3057704224-645757453-500\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\DOKUMENTE UND EINSTELLUNGEN\\ADMINISTRATOR\\DESKTOP\\SpyAxeFix.exe"="SpyAxeFix"

[HKEY_USERS\S-1-5-21-4113303836-3057704224-645757453-500\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Dokumente und Einstellungen\\Administrator\\Desktop\\SpyAxeFix\\SpyAxeFix.bat"="SpyAxeFix"


Ich habe alles ohne Abschaltung der "Systemwiederherstellung" durchgeführt (vergl. rooky2005 vorvorige Seite (8)).

Weitere Maßnahmen?
Danke, Uwe

uweru

es muss geben:
SpyAxeFix.bat
SpyAxeFix.exe

ueberpruefe und loesch es.

dann:kopiere die 4 Textdateien (1 Monat vom Datum her genuegt)
http://virus-protect.net/datfindbat.html

Hallo Sabina,

SpyAxeFix.bat und .exe sind jetzt gelöscht.
Hier die 4 Dateien

1)
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: A025-9EC6

Verzeichnis von C:\WINDOWS\system32

09.12.2005 08:53 1.170 wpa.dbl
29.11.2005 09:41 52.518.653 kavsvc.dmp
29.11.2005 09:40 192 kavsvc.exception.log
10.11.2005 11:07 246.312 FNTCACHE.DAT
04.11.2005 16:27 534.280 LegitCheckControl.DLL
02.11.2005 06:34 2.377.568 MRT.exe


2. (keine Einträge vor 11.12.05)
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: A025-9EC6

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

11.12.2005 20:11 816 jusched.log
11.12.2005 17:08 416 java_install_reg.log
11.12.2005 16:49 49.152 ~DF69B9.tmp
11.12.2005 16:00 49.152 ~DF6CC8.tmp
4 Datei(en) 99.536 Bytes
0 Verzeichnis(se), 5.212.348.416 Bytes frei


3.
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: A025-9EC6

Verzeichnis von C:\WINDOWS

11.12.2005 20:14 1.940.946 WindowsUpdate.log
11.12.2005 20:13 0 0.log
11.12.2005 20:11 2.048 bootstat.dat
11.12.2005 20:10 32.642 SchedLgU.Txt
11.12.2005 14:46 208.862 setupact.log
09.12.2005 17:17 265.020 ntbtlog.txt
09.12.2005 13:41 516.029 setupapi.log
08.12.2005 08:36 38.264 INSTALL.LOG
08.12.2005 08:36 42 ib.ini
07.12.2005 21:40 216 wiadebug.log
07.12.2005 20:01 50 wiaservc.log
05.12.2005 11:50 718 wincmd.ini
29.11.2005 16:02 54.156 QTFont.qfn
29.11.2005 13:42 116 NeroDigital.ini
17.11.2005 23:12 533.504 opuc.dll
10.11.2005 16:49 1.409 QTFont.for
10.11.2005 16:04 16.730 KB896424.log
10.11.2005 11:01 413.380 iis6.log
10.11.2005 11:01 1.393 imsins.log
10.11.2005 11:01 158.294 tsoc.log
10.11.2005 11:01 15.678 tabletoc.log
10.11.2005 11:01 72.324 ntdtcsetup.log
10.11.2005 11:01 120.593 comsetup.log
10.11.2005 11:01 18.578 ocmsn.log
10.11.2005 11:01 54.458 netfxocm.log
10.11.2005 11:01 23.694 medctroc.Log
10.11.2005 11:01 169.695 ocgen.log
10.11.2005 11:01 16.836 msgsocm.log
10.11.2005 11:01 325.576 FaxSetup.log
10.11.2005 11:01 110.966 msmqinst.log
10.11.2005 11:01 21.017 updspapi.log


4.
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: A025-9EC6

Verzeichnis von C:\

11.12.2005 20:22 0 sys.txt
11.12.2005 20:21 8.284 system.txt
11.12.2005 20:20 444 systemtemp.txt
11.12.2005 20:18 95.668 system32.txt
11.12.2005 20:11 536.399.872 hiberfil.sys
11.12.2005 20:11 402.653.184 pagefile.sys
11.12.2005 14:45 1.243 smitfiles.txt
11.12.2005 09:01 0 ~GLHTTP1.TMP
10.12.2005 14:24 7.669 rapport.txt
04.04.2005 06:24 0 IO.SYS

Danke. Uwe

hi laute,

ich bin auch "infected"!
hab mir schon ne menge threads durchgelesen, spyaxe deinstalliert, aber ich kommme einfach nicht weiter..

Ich habe einfach keine Ahnung von hijackthis und dem ganzen anderen Kram (Regedit usw. usw.)

benutzte Norton antivirus, mozilla, wollte onlinescanns machen aber der will immer das ich IE5.0 benutzte.

auch die Anleitung --> http://virus-protect.net/artikel/spyware/spyaxe1.html

hat mir irgendwie nicht wirklioch weitergeholfen, ab zwar diese reg dateien eingefügt, was das bewirkt weiss ich allerdings auch nciht reboot im Abgesicherten Modus klappt leider auch nicht (mit F8) hab nen Laptop.

ICh würde mich sehr freuen, wenn ihr mir helfen könntet, bin am verzweifeln, hatte bisher nie Probs mit Viren oder malware!

madmike


P.S.: hab smitRem gestartet:

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

spyaxe uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~

Antivirus Test Online.url


~~~ system32 folder ~~~

svchosts.dll
1024 dir
msvol.tlb
ld****.tmp
mssearchnet.exe
ncompat.tlb
nvctrl.exe
mscornet.exe
hp***.tmp


~~~ Icons in System32 ~~~

ts.ico
ot.ico


~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 596 'explorer.exe'
Killing PID 596 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

svchosts.dll
ld****.tmp
mssearchnet.exe
ncompat.tlb
nvctrl.exe
mscornet.exe
hp***.tmp


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN! :)

uweru

soweit scheint es erst mal alles in Ordnung, um jedoch die Domains von Spyaxe in der Registry rauszuloeschen, lade:
Trend Micro Anti-Spyware
http://virus-protect.net/microtrend.html

(du kannst sie auch manuell suchen/loeschen)
unter:
siehe unten auf der Seite:
http://virus-protect.net/artikel/spyware/spyaxe.html

dann buegle noch mal mit Kaspersky Online drueber (eventuell muss die Systemwiederherstellung deaktiviert werden...dann wieder aktivieren)
http://virus-protect.net/onlinescan.html

madmike

kopiere die 1.Textdatei (1 Monat vom Datum her genuegt)...die anderen 3 brauche ich nicht.
http://virus-protect.net/datfindbat.html

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.net/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

hi sabine,

hab gestern noch bischen rumprobiert, hab m it hijack und smitred, mir startdateinen anzeigen lasssen und die versuht mit killbox zu löschen -<< leider hab ich auch wininet.dll oder so gelöscht --< explorer hat sich nicht mehr geöffnet --< windows neu daruzf gemacht hmm, aber svhost.exe is wieder da!
hier jetzt die textfiles:

datfind.bat textfile system32


Verzeichnis von C:\WINDOWS\system32

12.12.2005 12:20 735 eRLog.ini
12.12.2005 12:19 12.598 wpa.bak
12.12.2005 12:19 12.598 wpa.dbl
12.12.2005 01:36 386.364 perfh009.dat
12.12.2005 01:36 55.454 perfc009.dat
12.12.2005 01:36 916.188 PerfStringBackup.INI
12.12.2005 01:36 398.422 perfh007.dat
12.12.2005 01:36 66.754 perfc007.dat
12.12.2005 01:34 271.784 FNTCACHE.DAT
12.12.2005 01:33 288 $winnt$.inf
12.12.2005 01:29 16.832 amcompat.tlb
12.12.2005 01:29 23.392 nscompat.tlb
12.12.2005 01:28 488 WindowsLogon.manifest
12.12.2005 01:28 488 logonui.exe.manifest
12.12.2005 01:28 749 sapi.cpl.manifest
12.12.2005 01:28 749 cdplayer.exe.manifest
12.12.2005 01:28 749 wuaucpl.cpl.manifest
12.12.2005 01:28 749 nwc.cpl.manifest
12.12.2005 01:28 749 ncpa.cpl.manifest
12.12.2005 01:28 23.604 emptyregdb.dat
08.11.2005 00:00 3.534 jupdate-1.5.0_03-b07.log



hijack this:

Logfile of HijackThis v1.99.1
Scan saved at 12:25:41, on 12.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\vpn\cvpnd.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Arcade\PCMService.exe
C:\acer\epm\epm-dm.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\acer\eRecovery\Monitor.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\hijackthis\HijackThis.exe

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll (file missing)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\vpn\vpngui.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\vpn\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

madmike

tzzz ...die wininet.dll loeschen, geht nie gut.:teufel2:

wo ? ich sehe sie nicht. verwechselst du da nicht was mit der regulaeren svchost.exe ???