SpyAxe!!! Brauche dringen Hilfe bin kurz vor einem Nervenzusammenbruch Hi @ all, bruche dringend einmal eure Hilfe. Und zwar hab ich mir irgendwie einen Mist eingefangen der willkürlich in regelmäßigen Abständen eine Seite im InternetExplorer öffnet und mich dann auf ne Seite namens www.spyaxe.com weiterleitet damit ich dort ne Software kaufe um den ewigen Terror von sich ständig öffnenden Sicherheithinweisen (System Alert: Spyware Detected....) zu beenden. Meine bisherigen Versuche z.B. Scannvorgänge mit AntiVir, F-Prot, Spybot Search & Destroy, ... sind alle vehlgeschlagen. Es wurde nichts gefunden und ich habe diese nerventötende Scheiße immer noch. :snyper: Zu guter letzt hatt ich so die Schnauze voll das ich deine Partition mit Win XP gelöscht habe und eine Neuinstallation durchgeführt habe, mit dem Erfolg ich hab den Scheiß schon wieder bzw. immer noch. :huepp: Technische Daten: Win XP Pro. AMD XP2400 1024 MB DDR-Ram Bitte Bitte herlft mir ich krieg bald nen Affen wenn das so weiter geht. :balla: Es wird Hilfe jeder Art dankend entgegengenommen und schon mal ein dickes Danke im Voraus |
|
|
Merci erst mal für die schnelle antwort, Was den Bowser angeht arbeite ich mit Opera. Hier nun das Log-File: Logfile of HijackThis v1.99.1 Scan saved at 00:22:47, on 09.11.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Agnitum\Outpost Firewall\outpost.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\WINDOWS\eHome\ehmsas.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\nvctrl.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\mssearchnet.exe C:\Programme\Opera\Opera.exe C:\Dokumente und Einstellungen\Feinripptraeger\Eigene Dateien\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: HomepageBHO - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINDOWS\system32\hp63ED.tmp O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe /SCB O9 - Extra button: Outpost Firewall Pro-Schnelleinrichten - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{37193F57-AFCA-4B6A-95DA-34A112D63266}: NameServer = 192.168.100.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{37193F57-AFCA-4B6A-95DA-34A112D63266}: NameServer = 192.168.100.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{37193F57-AFCA-4B6A-95DA-34A112D63266}: NameServer = 192.168.100.1 O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll O20 - Winlogon Notify: st3 - C:\WINDOWS\q1304500.dll O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: NVIDIA Display Driver Service (Omega 1.6693) (Q) (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe |
Hallo, arbeite mal das hier ab, smitrem und escan unbedingt im abgesicherten Modus (F8 beim booten) ausführen. Danach folgendes posten: 1.) das smitrem Log (C:\smitfiles.txt) 2.) das Escan Log (mit Hilfe der find.bat, siehe Escan Anleitung) 3.) ein neues HijackThis Log Grüße Wildone |
Zitat:
Läuft bei Dir kein Virenscanner mit? |
@ Wuslon Ich persönlich arbeite mit Opera, der IE wird immer nur von dem Mist- Tool geöffnet wo ich dann auf der SpyAxe-Seite lande |
Ich habe das Ding auch und brauche ebenfalls Hilfe. Es zeigt sich mit einem Icon in der Taskleiste, das immer wierder die Meldung "Your computer is infected" öffnet. Beim Click auf das Icon wird man auf die Seite eines Antispyware-Hersteller umgeleitet, keineswegs immer nur SpyAxe. Nach vielen Versuchen habe ich es eingeschränkt (z.B. durch Entfernen einiger Hijack-Einträge). AdAware und Spybot sagen, alles ist sauber, auch Hijack findet nichts mehr (ich kenne meinen HiJack-log recht gut). Die gesamte Prozedur mit smitrem usw. habe ich durchgeführt, ohne Erfolg. Wichtige Hinweise: Das Icon mit den Meldungen taucht auch im ABGESICHERTEN Modus auf, als EINZIGES in der Taskleiste. Aber NUR DANN, wenn ich mich unter meinem Usernamen anmelde, wenn ich mich als Administrator anmelde, ist es NICHT vorhanden. smitrem habe ich unter beiden Anmeldungen laufen lassen, alles kein Erfolg. Wo steckt das Ding, von dem ich nicht sagen kann, was es eigentlich ist oder wie es heißt? Anfänglich hat es auch PopUps bzw. den Explorer geöffnet sowie diverse VERSCHIEDENE SpyWare installliert (z.B. smitfraud, stealthsws,coolwebsearch usw.) Das macht jetzt fast nicht mehr, nach den Abhilfemaßnahmen. Die Versuche, weitere Spyware zu installieren, werden bei mir momentan durch das neu installierte Ewido Security suite abgefangen. Ich glaube, es IST kein smitfraud, stealthsws oder ähnliches, sondern es LÄDT diese nur. Die anfänglich durch das Ding installierten Desktop Icons (security center usw.) habe ich durch die bekannten Maßnahmen auch wegbekommen, diese waren aber nur einfache Links auf die Seiten der Anitspyware-Hersteller. Zur Zeit äußert es sich "nur" durch das fast permanente "Infected"-Fenster und durch die Umleitung auf die Seiten, sofern der Browser geöffnet ist und man auf das "Infected" - Fenster clickt. Das automatische Öffnen des Browsers schafft es (wohl ebenfalls durch die Abhilfemaßnahmen) nicht mehr. Ich hoffe, diese Hinweise helfen den Spezialisten weiter, damit sie mir helfen können! Ich habe keine Idee mehr, HLIFE !!! |
Hallo, eröffne mal einen eigenen Thread, damit das hier übersichtlich bleibt. Am besten mit HijackThis Log und wenn du Escan auch ausgeführt hast auch mit einem Escan Log (mit Hilfe der find.bat!). Grüße Wildone |
Habe exakt(!) die gleichen Symptome wie von Chaothomas beschrieben auf dem W2K Rechner meiner Schwester. Interessanterweise scheint dort ebenfalls nach meinen ganzen Säuberungsaktionen nur dieses blinkende Icon im Systemtray übrig geblieben zu sein. |
Hm eventuell könnte hier ne fierwall ja mal nützlich sein. die müsste dir doch das programm anzeigen wenn es aufs internet zugreift. und meist steht da doch dan auch wo das programm zufinden ist. Vieleicht hilft das dir dan in kombination mit einem onlinescann der betreffenden datei weiter?? |
@Chaothomas Lösung gefunden: Es handelt sich um Adware, die u.a. die Datei "svchosts.dll" im system32 Verzeichnis ablegt. Zusätzlich werden einige Registry Einträge angelegt, so z.B. HCU\Software\Classes\CLSID\{xxxxxxx}, die dann nur bei einem User dieses fiese Icon im Systray erzeugen. Einfach mal in Google nach "svchosts.dll" suchen, da gibt es zahlreiche Anleitungen zur kompletten Reinigung. |
Vielen Dank madnil, das war es. Da "svchosts.dll" offenbar als Ursache weithin bekannt ist, wundert mich allerdings, daß die Anti-Programme es nicht finden. Eine dumme Frage noch: wo / wie wird diese dll ausgeführt? Denn einen direkten laufenden Prozeß gibt es dazu ja nicht, zumindest keinen, der nicht zum System gehört und sich beenden ließe. Allerdings besteht auch noch die Frage, durch welche Spy?ware das ganze ausgelöst wurde, denn ich hatte ja nicht nur dieses Problem, sondern habe mir gleichzeitig z.B. smitfraud_c, Zlob.az, CoolwwwSearch in 3 Varianten u.v.m. eingefangen, schlagartig, vorher war der Rechner sauber. Ich denke, das Problem ist eine neue Variante von irgendetwas, ca. am 07.11.2005 aufgetaucht. Ich vermute, die threads #23493 (your computer is infected), evtl. auch #23436 u.a. (W32.Sinnaka.A@mm) und dieser hier (#23466) könnten alle die gleiche Ursache haben. Mit W32.Sinnaka hatte ich angeblich auch zu tun, zumindest laut einer der Seiten der AntiSpyWare Hersteller, auf die ich ungewollt geleitet wurde. Das kann natürlich auch ein fake sein, denn bei den Kampfmaßnahmen und der Beseitigung ist dieser bei mir nie aufgetaucht. Verdächtig ist mindestens auch, daß alle das böse "mssearchnet.exe" im Hijack-log darin haben. Wie geht es eigentlich "Feinripptraeger", der diesen thread eröffnet hat? Sind die Probleme erledigt? Ich scheine jedenfalls jetzt alles los zu sein, nochmals vielen Dank an madnil und das trojaner-board (allein für dessen Existenz!). Wenn ich helfen kann, immer gerne, ich bin aber leider kein Spezialist... |
Hallo Zusammen! Ich habe auch das Problem mit diesem verfluchten Icon im Systemtray! Totale Scheisse!! AdAware & Spybot haben schon reichlich Trojaner runtergeschmissen....nur dieses Symbol bleibt einfach da!! Keine Ahnung, ob das eigentliche "Bomb" Programm noch drauf ist....werde ich merken, wenn ich bisschen länger im Netz war....vermutlich hat er dann wieder diverse Spione im Hintergrund runtergeladen!!nenenene....hab ich nen Hals!! Leider bin ich nicht so wirklich der Computer Fachmann....heisst: High Jacking Einträge in der Registry haben meine Augen noch nie zu Gesicht bekommen :crazy: Gibt es schon eine Art Removal Tool zum Entfernen dieser Rotze?? Oder kann mir mal jemand verständlich erklären, wie ich das Problem loswerden kann?? Auf jeden Fall schonmal tausend Dank für die Hilfe...ich krieg hier echt zuviel!!! steve |
@ steve_50 und Chaothomas Ich denke doch, dass Ihr die NUB´s gelesen habt? Habt Ihr sie auch verstanden? Ihr begeht hier Dialogstörung. Ehe komische Antworten kommen, etwas Lektüre: http://faq.underflow.de/#SECTION00040000000000000000 |
[QUOTE=felix1]@ steve_50 und Chaothomas Ich denke doch, dass Ihr die NUB´s gelesen habt? Habt Ihr sie auch verstanden? Ihr begeht hier Dialogstörung. Von Chaothomas: Dialogstörung (laut NUBs): "Dialogstörung liegt vor, wenn ein Mitglied absichtlich den normalen Verlauf der Dialoge in einem Thread stört. Das kann z.B. durch wiederholtes Unterbrechen der Konversation zwischen anderen Mitgliedern geschehen, durch Belästigungen oder durch die Schaffung von Feindbildern oder Feindseligkeiten." Ich bin mir nicht bewußt, etwas derartiges getan zu haben und wollte das auch nicht, vielleicht habe ich etwas ja auch tatsächlich nicht verstanden. Ich glaube nicht, daß ich einen Dialog zwischen anderen Mitgliedern unterbrochen habe, wenn doch, bitte ich um Entschuldigung und lese den Fortgang dieses thread-Dialogs. Diese Antwort ist allerdings tatsächlich entgegen (!) den NUBs, ich weiß aber zur Sekunde nicht, wie ich auf anderem Weg darauf antworten sollte. Nicht böse gemeint, ich wollte nur da helfen, wo die Mitglieder mir geholfen haben. Chaothomas |
Hallo gibts denn keinen Step by Step, wie man dies Ding los wird? Alle Virenscanner... versagen. Gruss Burki |
kann mir einer von euch nen link zur einer beschreibung geben wie man svchosts.dll los wird?? hab eine gefundne bei symantec oder so aber dazu braucht man doch das proggram.. kann hier evtl kurz einer mir erläutern wie das am einfachsten geht das zu killen?? ;) thx |
Hallo ich habe diesen Tip versucht. http://www.trojaner-board.de/showthread.php?t=23534 Diese dll ist weg! Und das Logo in der Taskleiste auch! Die #Lade dir smitrem.exe ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und Start klicken.Dann wird ein Ordner SmitRem auf dem Desktop angelegt und die Dateien dahin entpackt.Noch nicht ausführen. #Lade dir Ewido Security Suite unbeding Update,noch nicht scannen #lade Adaware, Spybot unbeding Update,noch nicht scannen. #PC neustarten--> abgesicherter Modus Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen. Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt #PC neustarten--> abgesicherter Modus #Starte Ewido Security Suite mach ein voller Scan (Complete System Scan) #Danach der PC mit Adaware, Spybot scannen und alle Funde entfernen. #Inhalt folgende ordner loeschen: C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen C:\WINDOWS\temp---> Inhalt löschen |
Also ich hab jetzt wirklich alles probiert. Hab nämlich auch den Fehler! Vorhin hab ich erst 44 Infektionen gelöscht, mit Spybot. Aber nix is... Hab nach wie vor die Meldung "Your Computer is infected"! Was tun? Die Datei "svchosts.dll" kann man ja auch nicht löschen. Schliesslich ist sie im Hintergrund geöffnet.... oder so. Jedenfalls ist das ja der Grund des Elends! Hoffe ihr könnt mir weiterhelfen! Danke! |
So, Problem ist gelöst^^ Auf komische Weise... Also ich hab mehrere Sachen in meiner Taskleiste. Und das dauert halt ein bisschen. Und da der Virus ja noch neu war, wird er als letztes geladen. Diese Zeit reicht massig aus, um die davor auf das Desktop verschobene Dateien in den Papierkorb zu befördern. Das wars. Nix weiter. Habe fertig! |
deine methode scheint wirklich zu funktionieren. die meldung erscheint nicht mehr, jedoch sind die datein noch als prozzesse am laufen und der IE geht beim starten noch automatisch auf eine seite. kann dne keiner fix erklären wie man das problem vollständig los wird. scheinen ja 2 geschafft zu haben...bitte helft auch den anderen mit einer ausführlichen beschreibung dann kann dieses thema auf ewig beendet werden :) |
Beitrag 19 ;) Hat bei mir genau so geklappt. Sogar ohne dies andauernte neubooten. Vielleicht versucht es noch einer und bestätigt meine Erfahrung. |
geschafft!!!! ich bin dieses svchosts.exe-Mistvieh auch auf diese Art losgeworden. Einfach die Dateien finden, auf den Desktop verschieben, neu Starten und dann flux bevor er reagiert in den Papierkorb damit! Ich habe mich extra hier regestriert um mich bei euch allen zu bedanken!!! DANKE DANKE DANKE |
Hallo, Ich hatte bis eben gerade noch das Gleiche Problem, wie ihr.. Aber ich habe eine recht einfache Lösung gefunden: 1. Ruft folgende Seite in eurem Browser auf: *Link entfernt* Und ladet euch die .zip Datei herunter. 2. Wenn dies abgeschlossen ist etnpackt die Datei in ein Verzeichnis euer Wahl. 3. Geht nun in das Verzeichnis, in das ihr die den Ordner entpackt habt.Jetzt könnt ihr zuerst die Datei illegal_adv_uninstall1.exe ausführen, dann kurz warten, dann die zweite der entpackten Dateien illegal_adv_uninstall2.exe ausführen. 4 Den PC neu Starten. Nach dem Neustart sollten schon diese Warndinger unten in der Leiste weg sein. Und bei mir wurde "nur noch" das normale SpyAxe einmal ausgeführt. Das hab ich einfach beendet. 5. Start - Ausführen: dort msconfig eingeben, bei dem sich öffnenden Fenster oben rechts die Karte Systemstart auswählen und dann dort den Haken bei SpyAxe wegmachen. 6. PC neustarten, Nach dem Neustart sollte nichts mher SpyAxe ähnliches mehr ausgeführt werden. 7. Jetzt könnt ihr SpyWare einfach übers Startmenü Deinstallieren. Die Page die sich dann noch einmal öffnet könnt ihr gleich wieder schließen. 8. Geschafft! -> Wenn ihr noch Fragen haben solltet mail einfach an *eMail Addy entfernt* bin zum ersten Mal hier im Forum und glaube (bzw. hoffe ;) ) nicht, dass ich nochmal wiederkommen werde (bzw. es wieder einen Grund gibt, warum ich wieder hier rein scheuen wollte, dieses SpyAxe hat jetzt erstmal genug Nerven gekostet..)^^ MfG und gute Nacht derTobi Anm. ----------------- Link zur SpyAxe und eMail Addy entfert! Gruß Cidre Admin TB |
auf dieser Seite gibt es eine Super Gute Anleitung: http://virus-protect.net/artikel/spyware/spyaxe.html mir hats geholfen, ich hoffe Euch auch:daumenhoc |
Jep....bin die Scheisse auch los....auch in diesem Post nochmal vielen Dank an Expert für die Hilfe! steve |
Zitat:
Poste mal diese drei Log Gruss Expert |
Benutze diese uninstall hxxp://www.spyaxe.com/uninstall/uninstallers.zip funktioniert problemlos |
der Spyaxe tritt auch in Verbindung mit anderer Malware auf. deshalb sollte man mit der datfindbat arbeiten, mit Silentrunner und einer reg-Datei, und mit smitrem+ Virenscannern wie ewido und Online-Panda http://virus-protect.net/artikel/spyware/spyaxe.html bei der spyaxe.com/uninstall waere ich vorsichtig, weil sie vom Spyware-Ersteller selbst stammt und weil es ausfuehrbare Dateien sind. Man weiss nicht, was die dann bewirken....... |
Spyaxe (Your computer is infected,Desktophintergrund kann nicht geändert werden) 1) #Lade dir SmitfraudFix.zip SmitfraudFix.zip auf dem Desktop speichern und auf dem desktop entpacken,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt. 2) #PC neustarten--> abgesicherter Modus Nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 1 und dann Enter,wird ein rapport.txt im Ordner SmitfraudFix erstellt,den Inhalt hier posten. Oder So: Doppelklick auf SmitfraudFix.cmd,dann Taste 2 und dann Enter,wenn diese Frage o/n kommt muss du mit Taste o beatätigen,wird ein rapport.txt im Ordner SmitfraudFix erstellt,den Inhalt hier posten.Oder die Infected Dateien manuell loeschen! Danach Taste 3 mit o beatätigen 3) #PC neustarten #Lade dir smitrem.exe ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und Start klicken.Dann wird ein Ordner SmitRem auf dem Desktop angelegt und die Dateien dahin entpackt.Noch nicht ausführen. #Lade dir Ewido Security Suite unbeding Update,noch nicht scannen #lade Adaware, Spybot unbeding Update,noch nicht scannen. 4) #PC neustarten--> abgesicherter Modus Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen. Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt #Starte Ewido Security Suite mach ein voller Scan (Complete System Scan) #Danach der PC mit Adaware, Spybot scannen und alle Funde entfernen. 5) #Falls du kein Desktopbildhintergrung ändern kannst! 1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor. Oder unter Start/Programme/Zubehör/Editor 2. copiere diser Code rein: Code: REGEDIT4 4.Doppel klick auf diese Datei Fix.reg 6) #Inhalt folgende ordner loeschen: C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen C:\WINDOWS\temp---> Inhalt löschen Oder am besten: #HijackThis Log und den Report des Ewido Scans,rapport.txt von SmitfraudFix und das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten. Gruss Expert |
Also nachdem ich von dem ganzen hier auch wenig Ahnung habe gebe ich trotzdem mal meinen Senf dazu ab. Nach dem lesen dieses Treats hab ich erst mal mit msconfig bei Systemstart alle Haken raus genommen, dann war dieses Symbol das dauernd meckert klar weg. Dann einzeln angefangen die Haken wieder rein zu machen. Nach 5 maligem Neustart hab ich dann diese .exe Datei ohne Pfad mal nicht gehakt. Und seitdem ist dieses nervige Symbol nicht mehr da. :lach: das Teil heißt Winstall mit dem angeblichen Pfad: C:\winstall.exe Was ich allerdings nicht weiß ob das Thema damit endgültig erledigt ist, denn AntiVir findet keine Viren und Trojaner mehr :) Wäre nett wenn mir ein Profi dazu noch ein Statement geben könnte... |
Hallo Powerpack Man kann heute die Malware nicht mehr in "Faecher" packen" und so abarbeiten...es vermischt sich alles. Deshalb sind die Erkennungstools auch so wichtig. Mit deren Hilfe, kann ich dir sagen, ob der PC sauber ist oder nicht ;) CCleaner http://virus-protect.net/temp.html lösche alle temp-Dateien kopiere hier die 4 Textdateien http://virus-protect.net/datfindbat.html kopiere das Log vom Silentrunner http://virus-protect.net/silentrunner.html |
Hallo Sabina, erst mal danke für die Tips, hier mal das Logfile von Silentrunner. Hoffe das ist genug um zu sagen was los ist. Vielen Dank schonmal im vorraus für lesen |
ich brauche die 4 Logs !!!!!!!! Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp Verzeichnis von C:\WINDOWS Verzeichnis von C:\ |
Jetzt glaub ich hab ich es kapiert das die Beiträge nicht so lang werden... Wer lesen kann ist klar im Vorteil.... Also hier: |
Powerpack ist kein Spyaxe ist ein bisschen azesearch und anderes....... http://virus-protect.net/artikel/spyware/azesearch.html ------------------------------------------------------ KILLBOX - Pocket KillBox http://virus-protect.net/killbox.html Delete File on Reboot -- anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\azebar.xml C:\WINDOWS\system32\iasada.dll C:\WINDOWS\system32\azesearch4.ocx C:\WINDOWS\hosts C:\WINDOWS\azesearch.bmp C:\WINDOWS\RazeSpyware.pkg C:\WINDOWS\tool2.exe C:\WINDOWS\protect.exe C:\WINDOWS\drsmartload95a.exe C:\WINDOWS\uniq C:\WINDOWS\spywareremoval.ico C:\WINDOWS\shopping.ico C:\WINDOWS\casino.ico C:\WINDOWS\adult.ico C:\WINDOWS\azentretien.dll C:\winstall.exe PC neustarten Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. CCleaner (muss leer sein: C:\DOKUME~1\Username\LOKALE~1\Temp ) http://virus-protect.net/temp.html lösche alle temp-Dateien scanne mit ewido und poste hier den scanreport http://virus-protect.net/ewido.html scanne mit Panda und poste den scanreport http://virus-protect.net/onlinescan.html |
So da bin ich wieder! Naja, also so 100% hat das noch nicht geholfen so wie das aussieht. An was liegt das? Hab ich nen Fehler gemacht? Oder sind einfach ein paar Dateien zu wenig gelöscht worden? Hier erst mal der Report von Panda: und einmal der von Ewido: Grüße und nen schönen Tag |
Hi. leute genau das selbe problem hat mich die letzten 5 stunden wach gehalten ! Aber ich habe es geschaft :lach: Das wahr ja die hölle. Und ich habe überhaubt kein Plan von diesen ganzen kram.Also müsst ihr es auch schafen. Die Anleitung von Mr. Iös hat bei mir Super Geklapt, solltet ihr auch probieren. Danke an Mr. Iös ! :huepp: Für die Nächsten Monate habe ich auch die Schnauze voll :koch: |
Hallo, hatte heute morgen das gleiche Problem mit SpyAxe. Habe daraufhin das Forum durchgelesen und folgende Sachen gemacht: - die dll-Datei mit dem Desktop-Trick gelöscht - SpyAxe deinstalliert - SpyAxe Ordner und Dateien gelöscht (die waren noch da) - den C:\WINDOWS\system32\1024 -Ordner auch gelöscht - mit CCleaner alle temp Dateien gelöscht - wollte dann Firefox installieren seitdem klappt nichts mehr Wenn ich den Rechner hochfahre erscheint das Desktop, es lässt sich aber nichts anklicken. Im Taskmanager kann man auch nur Prozesse beenden aber keine Programme öffnen. Genauso ergeht es mir im abgesicherten Modus. Also im Augenblick geht gar nichts mehr. |
Da ich ja nur in den Task-Manager schauen kann, habe ich mal handschriftlich alle laufenden Prozesse abgschrieben und hier im Folgenden eingetippt. Gibts da auffällige Einträge? taskmgr.exe Chris imapi.exe SYSTEM BTTray.exe Chris X10nets.exe SYSTEM rundll32.exe Chris Winampa.exe Chris iPodService.exe SYSTEM wdfmgr.exe Lokaler Dienst qttask.exe Chris svchost.exe SYSTEM realsched.exe Chris iTunesHelper.exe Chris LogWatNT.exe SYSTEM ibguard.exe SYSTEM InoTask.exe SYSTEM InoRT.exe SYSTEM InoRpc.exe SYSTEM PCMService.exe Chris btwdins.exe SYSTEM svchost.exe Lokaler Dienst AVWUPSRV.EXE SYSTEM Spoolsv.exe SYSTEM SOUNDMAN.EXE Chris aliptaxx.exe Chris explorer.exe Chris SynTPEnh.exe Chris SynTPLpr.exe Chris AGRSMMSG.exe Chris ati2evxx.exe Chris Realmon.exe Chris svchost.exe Lokaler Dienst nvctrl.exe Chris mssearchnet.exe Chris svchost.exe NETZWERK svchost.exe SYSTEM svchost.exe NETZWERK svchost.exe SYSTEM ati2evxx.exe SYSTEM lsass.exe SYSTEM services.exe SYSTEM winlogon.exe SYSTEM csrss.exe SYSTEM smss.exe SYSTEM ibserver.exe SYSTEM alg.exe LOKALER DIENST System SYSTEM Leerlaufprozess SYSTEM |
Hallo, ja da ist der ein oder andere mit Spyaxe in Zusammenhang stehende Prozess, z.B. diese hier: mssearchnet.exe nvctrl.exe ob ein bloßes beenden der Prozesse ausreicht um dein Desktopproblem zu beseitigen wage ich zu bezweifeln. Das einzige was mir einfallen würde, wäre entweder eine Reparaturinstallation, oder eine Systemwiederherstellung. Grüße Wildone |
Hallo powerpack loesche: C:\Dokumente und Einstellungen\Tobias\Favoriten\ Shop <--- C:\WINDOWS\Downloaded Program Files\azesearch.inf <--- TuneUp 2006 (30 Tage free) Shareware http://virus-protect.net/reinigungstoolsregistry.html wende an: Cleanup repair -- TuneUp Diskcleaner Cleanup repair -- Registry Cleaner dann deinstalliere den ewido und gehe noch mal mit Counterspy ueber das System http://virus-protect.net/counterspy.html nach dem Scan muss man sich entscheiden für: *Ignore *Remove *Quarantaine wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum) |
Danke erstmal. Das Beenden der beiden Prozesse nvctrl.exe und mssearchnet.exe klappt nicht. Direkt nach Beenden starten sie sich von selber neu. Kann man im Taskmanager die beiden Prozesse irgendwie dauerhaft beenden? Wo finde ich Infos zum Systemwiederherstellen bzw. Reperaturinstallation |
Hallo camot3000 in der Registry Taskmanager: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer DisableTaskMgr 0 --> (muss auf 0 stehen) processexplorer http://virus-protect.net/artikel/too...sexplorer.html versuche die 4 Logs zu posten http://virus-protect.net/datfindbat.html ------------------------------------------------------------------------ Info: wie schon gesagt....die Spyware laesst sich nicht mehr eingrenzen, man kann nur noch nachschauen (datfindbat), was so alles auf dem PC ist.....) http://virus-protect.net/artikel/spyware/mscornet.html http://virus-protect.net/artikel/spy...sresearch.html http://virus-protect.net/artikel/spyware/spyaxe.html |
Hallo SABINA, kann mit deiner Hilfe nichts anfangen... ich komme nicht weiter als in den Taskmanager. ich kann keine Programme öffnen, kann auch keinen neuen Task ausführen... |
camot3000 dann lege deine XP-CD ein und formatiere...... Schade, denn so wissen wir nicht, was nun eigentlich los ist/war...... (oder versuche erst mal eine Systemwiederherstellung)...wenn es denn geht... ---------------------------------------------------------------------------- bekommst du das installiert?? Damit kannst du Prozesse killen... processexplorer http://virus-protect.net/artikel/too...sexplorer.html. |
Hallo Sabina, sieht ja schon weitaus einfacher aus als das von gestern abend. :lach: Werde es heute abend gleich probieren. Aber noch ne Frage: Diesen Haken den ich beim Systemstart raus genommen habe um dieses nervige meckernde "be infected" nicht mehr zu haben,was passiert damit? Denn wenn ich unter msconfig den Systemstart auf mache ist dieses Programm immer noch da, aber halt nicht angehakt. C:\winstall.exe Oder soll ich den mal zum testen wieder haken? Grüße |
powerpack ich hoffe die C:\winstall.exe ist geloescht ;) •Möchte man die deaktivierten Autostart-Einträge im Reiter Systemstart löschen, sucht man vergebens unter dem Schlüssel "Run-" oder "RunServices-" in der Registry (wie bei Windows 9x/ME). Windows XP sichert MSconfig unter "startupreg" bzw. "startupfolder". HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Shared Tools\ MSConfig\ startupreg HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Shared Tools\ MSConfig\ startupfolder dort suche/loesche: den Eintrag C:\winstall.exe und falls du noch andere Eintrage findest, loesche sie auch Start-->ausfuehren--> regedit (bearbeiten--> suchen--> winstall.exe ) |
Wie führt man denn eine Systemwiederherstellung durch???? Kann ich noch Daten retten, falls ich formatieren muss? |
camcot3000 Systemwiederherstellung Start -> Hilfe und Support -> zur Option "Computeränderungen mit der Systemwiederherstellung rückgängig machen" Dort wählst du: "Computer zu einem früheren Zeitpunkt wiederherstellen" -> Weiter Die fett angezeigten Daten im Kalender zeigen dir gesetzte Wiederherstellungspunkte. -------------------------------------------------------------------- falls du eine Partition fuer Windows hast, normalerweise C:\ formatiere nur die, dann bleiben die Daten auf den anderen Partitionen erhalten. Falls du nur eine Partition hast...geht alles verloren...es sei denn du sicherst es noch auf CD... oder: http://virus-protect.net/ntbackup.html aber dafuer ist es nun bestimmt zu spaet.... http://virus-protect.net/nachneuinst.html |
Hallo, *nochmal kurz einmisch* Bevor du formatierst, solltest du es mit einer Reparaturinstallation versuchen. Wenn du 2 Cd Laufwerke hast (bzw. Brenner +CD-Laufwerk) kannst du dir auch eine Knoppix CD(Linuxsystem das von CD bootet) besorgen und die wichtigen Daten vorher runterbrennen. Grüße Wildone |
Hallo, bin gerade im abgesicherten Modus mit Eingabeaufforderung. 2 Fragen: kann ich theoretisch daten von c nach d kopieren und dann c formatieren und windows neu installieren? gehe gerade in der c:\windows\system32 die dateien durch die heute bzw. in den letzten tagen erstellt wurden. Habe dabei schon weitere Schädlinge (laut WinTotal.de) gefunden. Kann ich jetzt einfach hergehen und diese einfach löschen oder können mir da weitere Probleme entstehen? |
im Grunde kannst du alles loeschen, was du findest...nur nicht die wininet.dll, falls sie verseucht ist, die muss man mit einem Spezialtool "behandel" werden...da ich nicht weiss, welche Verseuchung es nun ist und welche Registryeintraege veraendert wurden, waere formatieren besser...denn selbst wenn du alles loeschst, bleibt die Registry, wie sie im Moment ist und damit der PC unbrauchbar. bringe alles wichtige (nicht die Viren ;) ) auf D und dann formatiere C |
Die Registry, was ist das eigentlich. So etwas wie autoexec ...? Bin nicht schon lange nicht mehr auf dem aktuellsten Stand. Aber kann ich die Registry nicht in der Eingabeaufforderung einsehen bzw. bearbeiten? |
Hallo, nur noch mal am Rande erwähnt, ich gehe von keiner weiteren Verseuchung aus, die Spyaxe/PSguard/Spysheriff .... Varianten haben ab und zu die Nebenwirkung das auf dem Desktop nichts mehr funktioniert(keine Ahnung woran es genau liegt), gibt es 2/3 Beispiele hier im Forum. Also wie schon gesagt, entweder formatieren oder Reparaturinstallation. Grüße Wildone |
hallo, nochmal eine frage. ich kopiere gerade meine daten von c nach d. Allerdings habe ich eigentlich nur 1 Festplatte. Die Platte wurde also geteilt. (sorry, mir fehlen die Fachbegriffe). Wenn ich jetzt c formatiere, wird dann auch nur der c-bereich der Festplatte formatiert? Oder wird die ganze Festplatte formatiert? DANKE übrigens DANKE,DANKE für eure Hilfe |
Hallo, es wird nur der C:\ Bereich(Fachbegriff Partition :D ) formatiert. Grüße Wildone |
rechtsklick auf den Link --> Ziel speichern unter--> waehle Desktop --> es erscheint eine sheriff.reg. Boote in den abgesicherten Modus und klicke die sheriff.reg doppelt und fuege sie der Registry bei. Dann funktioniert wieder alles auf dem Desktop ;) http://virus-protect.net/reg/sheriff.reg |
@camot3000 Mit Hilfe des Befehls msconfig könnte dir helfen, Ähnliches Problem! http://www.trojaner-board.de/showthr...135#post176135 Gruss Expert |
Zitat von Experte (olomide ????) PC neustarten, Unter Task-Manager den Befehl msconfig eingeben dann OK,dann Systemwiederherstellung Starten ein bestimmte Zeit vor der Infektion,(Aber muss einbißen geduld haben,der PC bleibt einbißen hängen dann reagiert wieder) wenn die Systemwiedeherstellung fertig ist(PC automatisch gestartet),dann kannst du meine Anleitung folgen,das heißt kannst du jetzt Prgrammen ausführen ---------------------------------------------------------------------------- ich lerne nie aus...ich suche verzweifelt nach dem Punkt "Systemwiederherstellung", wenn ich im msconfig bin. Vielleicht suche ich nicht richtig ?????????????? |
Zitat:
Gruss Expert |
@Sabina wenn ich deine Frage richtig verstehe,Unter msconfig,schaue mal unten in der Mitte steht Systemwiederherstellung Starten Gruss Expert |
Habs gefunden.... ;) mein System ist in Englisch...nun ja.... Danke |
Hallo @ all bin wieder da, und hoffe das der Mist jetzt endgültig erledigt ist. Habe auch wie in einem anderen Post besagt mal den Haken bei dieser .exe Datei wieder gesetzt. Und schwups nach dem Neustart war die Datei aus dem Systemstart raus, und auch das nervige "be infected" Fenster bleibt zu! :D Poste hier mal zur Sicherheit nochmal die 4 Logs von dat find. Wäre cool wenn mir da nochmal jemand sagen kann ob ich das Zeug jetzt los habe. Danke schonmal im vorraus |
powerpack unter den temporaeren Dateien ist das: 01.01.1970 01:00 1.876 vxfjbanenofnvobg.ABI :confused: schau mal das Datum ;) CCleaner http://virus-protect.net/temp.html ansonsten ist alles sauber ;) --------------- smitRem TOOL (Entfernungstool) http://noahdfear.geekstogo.com/ öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread |
Alles klar Sabina, hab das Cleaner Programm nochmal drüber laufen lassen. Nachdem wir jetzt wieder sauber sind noch eine Frage kann ich diese ganzen Programme die ich geladen hab gestern und heute jetzt wieder runter löschen? Grüße der saubere Powerpack :D |
powerpack ja, du kannst alles wieder loeschen....und alles Gute fuer dich + PC ;) |
Weltklasse! :aplaus: Da kann ich jetzt eigentlich nur sagen 1001 Dank Sabina Du bist Spitze.... :aplaus: :aplaus: Bis demnächst, oder besser bis nicht wieder so schnell!!!??? Alles gute auch für Dich und nochmals Danke für die :daumenhoc Hilfe Grüße Powerpack + PC :) |
Hey, vielen Dank Leute. Habe auch einfach die Datei auf den Desktop verschoben...neugestartet...schnell in den Papierkorb. UND AB DAMIT! Nervendes Ding! THX @ ALL :daumenhoc |
Hi Ich hatte genau das gleiche problem wie fast alle andere hier auch. Hab dann die, meiner meinung nach etwas umständliche anleitung mit dieser "killbox" durchgeführt. Hab also diese dateien glöscht: C:\WINDOWS\SYSTEM32\ncompat.tlb C:\WINDOWS\SYSTEM32\msvol.tlb C:\WINDOWS\SYSTEM32\hp8509.tmp C:\WINDOWS\SYSTEM32\svchosts.dll C:\WINDOWS\SYSTEM32\ot.ico C:\WINDOWS\SYSTEM32\ts.ico C:\WINDOWS\SYSTEM32\mssearchnet.exe C:\WINDOWS\SYSTEM32\nvctrl.exe C:\WINDOWS\SYSTEM32\mscornet.exe C:\WINDOWS\SYSTEM32\migicons.exe So, danach war das rote x in der start leiste verschwunden, es gab keine meldung mehr "your computer is infected", und spyaxe war auch brav. Habe spyaxe danach deinstalliert. So, jetzt ist das einzige problem was noch übrig geblieben ist, dass mich mein internetexplorer bei jedem aufrufen, nicht auf meine standart startseite verweist, sondern auf diese "updateuresystem" seite, wo mir jedesmal gesagt wird, welche meiner ordner immoment für einen gewissen benutzter zugänglich sind ( die ip desjenigen wird sogar angegeben). Ich glaub ja, dass das eh nur dummes gelaber ist, aber es nerft. Dazu kommt, dass nach jedem neustart, ein fenster erscheint, auf dem ich aufgefordert werde mir wieder spyaxe zu saugen. ok genug gelabert, hab mir dieses datfind.bat runtergeladen und post kurz die 4 listen: Verzeichnis von C:\WINDOWS\system32 26.05.2005 03:16 173.536 wuweb.dll 26.05.2005 03:16 1.343.768 wuaueng.dll 26.05.2005 03:16 18.200 wups2.dll 26.05.2005 03:16 41.240 wups.dll 26.05.2005 03:16 198.424 iuengine.dll 26.05.2005 03:16 75.544 cdm.dll 26.05.2005 03:16 174.872 wuaucpl.cpl 26.05.2005 03:16 194.840 wuaueng1.dll 26.05.2005 03:16 174.872 wuauclt1.exe 26.05.2005 03:16 124.696 wuauclt.exe 26.05.2005 03:16 466.200 wuapi.dll 26.05.2005 03:16 128.280 wucltui.dll (ist das normal dass ich hier nur einträge bis 05.05 hab? ) Verzeichnis von C:\DOKUME~1\STV\LOKALE~1\Temp 13.10.2005 18:28 602.893 Video.exe 07.07.2005 12:54 32.847 ICQRT.dll 05.04.2005 11:45 106.560 VVSNInst.exe 03.02.2005 15:30 5.739 ICQTIK.dll Verzeichnis von C:\WINDOWS 11.11.2004 16:13 172.032 mxTarget.dll 05.11.2004 17:41 379 wmsetup10.log 05.11.2004 17:40 316.640 WMSysPr9.prx 04.11.2004 09:19 7.207 Disktool.INI 04.11.2004 09:19 6.399 fwupgrade.ini 21.10.2004 10:55 78 videodeLuxe.INI 20.10.2004 16:54 230 magix.ini 12.10.2004 18:56 7.680 KB834707.log 06.10.2004 22:42 1.174 OEWABLog.txt 06.10.2004 22:41 28.949 spupdsvc.log 06.10.2004 22:41 985.191 setuplog.txt 06.10.2004 22:41 360 DtcInstall.log 06.10.2004 22:38 456.783 svcpack.log 06.10.2004 22:35 200 cmsetacl.log 06.10.2004 22:35 1.330 sessmgr.setup.log 20.09.2004 10:24 67 WININIT.INI 20.09.2004 10:23 12.096.524 setupapi.log.0.old 16.09.2004 11:11 18.287 xpsp1hfm.log 16.09.2004 11:11 2.603 KB833987.log 15.09.2004 12:42 3.211 KB883357.log 23.08.2004 08:01 1.381 adfuupdate.inf 22.08.2004 16:04 69.120 daemon.dll 16.08.2004 17:55 315 doom3.ini 06.08.2004 12:11 183.710 Windows Update.log 04.08.2004 08:58 288.768 winhlp32.exe 04.08.2004 08:58 32.866 slrundll.exe 04.08.2004 08:58 153.600 regedit.exe 04.08.2004 08:58 70.144 notepad.exe 04.08.2004 08:57 10.752 hh.exe Verzeichnis von C:\ 06.10.2004 22:30 47.564 NTDETECT.COM 06.10.2004 22:30 251.184 ntldr 13.02.2004 16:25 45 vac.log 02.04.2003 13:00 4.952 bootfont.bin 18.03.2003 21:20 1.060.864 mfc71.dll 18.03.2003 21:12 1.047.552 mfc71u.dll 18.03.2003 20:14 499.712 msvcp71.dll 21.02.2003 04:42 348.160 msvcr71.dll 21.11.2002 19:53 0 sys.txt 21.11.2002 19:52 9.884 system.txt 21.11.2002 19:51 455.926 systemtemp.txt 21.11.2002 19:48 114.820 system32.txt 21.11.2002 17:41 308.060 oo.exe 21.11.2002 17:35 536.399.872 hiberfil.sys 21.11.2002 17:35 805.306.368 pagefile.sys 21.11.2002 00:55 211 boot.ini 12.11.2002 21:11 21.950 Rune.ini 13.10.2002 14:35 0 MSDOS.SYS 13.10.2002 14:35 0 Log.txt 13.10.2002 14:35 0 CONFIG.SYS 13.10.2002 14:35 0 IO.SYS 13.10.2002 14:35 0 AUTOEXEC.BAT 07.06.2002 00:06 192 BcBtRmv.log 23 Datei(en) 1.345.877.316 Bytes 0 Verzeichnis(se), 972.120.064 Bytes frei Also ich hab jetzt jeweils nur ca 3 monate kopiert, wenn ihr mehr braucht lasst es mich wissen. Und nochwas. Dieser spyaxe unistaller funktioniert bei mir überhaupt nicht. |
@$TV Eröffne einen eigenen Thread und poste ein HJT-Logfile. Halte Dich genau an die Anleitung http://www.trojaner-board.de/showthread.php?t=17493 und beachte die Hinweise in meiner Signatur. |
:huepp: :dummguck: ... out of control ? ... |
$TV ueberpruefe, ob du das findest...wenn ja...leoschen (oder scanne mit Panda) http://virus-protect.net/onlinescan.html C:\WINDOWS\system32\1024 C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url spyAxe (Info) http://virus-protect.net/artikel/spyware/spyaxe.html |
Diese elenden Kiwis haben mich genötigt das Programm zu kaufen. Hier die notwendigen Angaben um das Programm zu aktivieren. Hat mich $49.50 gekostet!!! Dear Spy Axe User, Thank you for purchasing Spy Axe. Your order has been processed and authorized. Below you can find your License information and Instructions of Spy Axe: ======================================================================== In order to register your copy of Spy Axe, please follow the instructions below: 1. Download and install Latest version of Spy Axe with Most recently Updated database of Spyware signatures from http://spyaxe.com/download.php. 2. Click the 'Register' button at the Spy Axe program. 3. Enter the email address you used when purchasing Spy Axe (goliver66@hotmail.com) into the 'Customer E-mail' field. 4. Copy (ctrl-c) and paste (ctrl-v) the following code into the 'Serial Number' field: Serial Number: 000015-CDZQUC-CUZY0K-AHJQWZ-FK0J1T-X2D3VA-NJ44BR-0TXW21-J8N2A9-RZ682W 5. Click 'Register Now'. Spy Axe will acknowledge your key and register the program. 6. Re-launch Spy Axe. 7. Spy Axe is now ready to clean your PC! ======================================================================== If you have any questions or need any assistance with your purchase and product: E-Mail us at: mailto:cs@spyaxe.com We are here to help you! Thank you for staying with Spy Axe! Sincerely, The Spy Axe Team |
:teufel2: LÖSUNG!!! Ich habe das scheissprog gek. $49.50 hier die aktivierungsmail: Dear Spy Axe User, Thank you for purchasing Spy Axe. Your order has been processed and authorized. Below you can find your License information and Instructions of Spy Axe: ======================================================================== In order to register your copy of Spy Axe, please follow the instructions below: 1. Download and install Latest version of Spy Axe with Most recently Updated database of Spyware signatures from http://spyaxe.com/download.php. 2. Click the 'Register' button at the Spy Axe program. 3. Enter the email address you used when purchasing Spy Axe (goliver66@hotmail.com) into the 'Customer E-mail' field. 4. Copy (ctrl-c) and paste (ctrl-v) the following code into the 'Serial Number' field: Serial Number: 000015-CDZQUC-CUZY0K-AHJQWZ-FK0J1T-X2D3VA-NJ44BR-0TXW21-J8N2A9-RZ682W 5. Click 'Register Now'. Spy Axe will acknowledge your key and register the program. 6. Re-launch Spy Axe. 7. Spy Axe is now ready to clean your PC! ======================================================================== If you have any questions or need any assistance with your purchase and product: E-Mail us at: mailto:cs@spyaxe.com We are here to help you! Thank you for staying with Spy Axe! Sincerely, The Spy Axe Team Es wird Hilfe jeder Art dankend entgegengenommen und schon mal ein dickes Danke im Voraus[/QUOTE] |
easy17 So...das ist eine Loesung, die nach hinten losgehen kann.....(was ich sonst von deiner Entscheidung halte...behalte ich lieber fuer mich.....) Nachzulesen : http://board.protecus.de/t20352.htm ich wuerde mein Konto sperren lassen.:D und die Abbuchung stornieren..... |
Hallo Ich habe die Lösung der Highjacker Probleme gefunden. Nachdem ich also alle Dateien wie hier in diesem Thread ( glaube seite 3 steht ein Link) mit dem Programm Killbox.exe enfernt habe. Tipp: Start/Programme/Zubehör/Systemprogramme/Systemwiederherstellung sollte vorher abgeschaltet sein. Ist sehr WICHTIG Anschließend besorgt ihr euch dieses Microsoft Antispyware Beta damit könnt ihr euren Internet Explorer komlett zurücksetzen. Wer meint es geht anders, bitte. Ich habe allerdings mit allen anderen Wiederherstellungstools Pech gehabt. Es ging nicht. Das MIcrosoft tool hat den Vorteil, das es schon alles kann. VIEL GLÜCK:D :D :D |
Meinst du das Tool ? http://virus-protect.net/ms.html Allerdings gibt es Moment keinen "Allheil-Mittel-Virenscanner"...der alles kann, weil sich die "Hijacker" staendig neue Malware ausdenken und es genuegend Leute gibt, die auf suspekten seiten rumsurfen ;) Spyaxe (muss ich immer aktualisieren........) http://virus-protect.net/artikel/spyware/spyaxe.html |
Zitat:
ja genau diese beiden Tools meine ich. Es hat sehr gut geklappt damit. Es soll kein Allheilmittel sein, eher ein Rat, wie man den Mist wieder vom Rechner bekommt ohne Alles neu Formatieren zu müssen. Es war meine eigene Schuld, ich habe mich natürlich auf äußerst Schmutzigen Seiten :pfui: rumgetrieben, die waren so schmutzig, da war der Reiz groß und ich wollte mir ein Video ansehen. Blöd wie ich war bin ich darauf reingefallen, Der Firefox sagte mir ich solle ein Codec runterladen, da es so nicht angezeigt werden kann. Und ich dachte noch:"Nanu, seit wann spielt mein Browser denn videos ab", naja auf jeden fall ladete ich das codec Ding runter. Bis dahin war noch alles klar. ZUM GLÜCK benutzte ich nicht den Internet Explorer !!! Nachdem ich das Ding installierte ( Es sah alles normal aus) Installierte sich plötzlich diese Spyaxe. Und dann fing alles an. Nachdem ich dann alles an dingen getestet habe die man so empfiehlt, habe ich Killbox genommen. es klappte alles auch die deinstallation von Spyaxe nach dem neustart. Bis auf die Internet explorer Startseite. Mir ist dann das Microsoft Anyspy eingefallen, welches für solche Fälle eine Rücksetzfunktion eingebaut hat, welche wie sich herausstellte, auch sehr gut funktioniert. Desweiteren kann ich euch den Evidence Eliminator empfehlen, der sort auch dafür (Im vorfeld) das der Rechner nicht so Vollgemüllt wird. Aber damit kann sich jeder selbst beschäftigen. Markus PS: Und geht nicht mehr auf schmutzige Seiten:pfui: :pfui: :pfui: :D :D :D: LESEN NOCH EIN WICHTIGER TIPP richtet euch Zwei Benutzerkonten ein. Zum einen ein Admin Konto (uneingeschränkt) und ein User Konto mit eingeschränkten Benutzerrechten. Damit seit ihr auf der richtigen Seite, wenn ihr im Internet seit. Der eingeschränkte Benuzter darf keine Programme installieren. Wollt Ihr dennoch etwas installieren, dann müsst ihr mit der rechten Maustaste auf die auszuführende .exe gehen und "ausführen als" drücken. Dort gebt ihr dann den Benutzernamen des Admin Kontos ein und das dazugehörige Passwort. |
Thx @ Sabina Hab beides gemacht, erst die dateien gelöscht, und dann nochmal den panda drüber laufen lassen. Der hat natürlich noch mehr shit auf meinem rechner gefunden. Ein bischen verärgert war ich, als ich nach 3 stunden scannen festgestellt hab, dass dieser activsearch garnichts löscht, sonder mit nur ne logfile speichert. Aber naja, für was gibts die killbox. Also bei mir is wieder alles sauber =) Danke nochmal.....(bis zum nächstenmal) |
Ich habe auch ein Problem mit Spyaxe!!!!!!! Kann mir jemand genau erklären wie ich das loswerde???? Hab kaum Fachkenntnisse über Fachbegriffe!!!! Müsste mir dann auch jemand erklären? Hilfe!!!!!!!!!! |
Hallo@Malta Anleitung--> SpyAxe loeschen ;) http://virus-protect.net/artikel/spyware/spyaxe.html wende CleanUp an http://virus-protect.net/cleanup.html Hijackthis http://virus-protect.net/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" datfindbat--> kopiere hier die 4 Textdateien http://virus-protect.net/datfindbat.html |
also.. an alle .. ihr kriegt den mist mit spydoctor, spysweeper und spy eliminator weg.. von spydoctor gibts irgendwo ne 30 tage testversion^^, ansonsten kosten die... vllt findet ihr ja andere wege ranzukommen ^^ freunde tauschbörsen ..ka.. ich hab die testversion ^^ |
Die Lösung für diesen Dreck ist folgende: Den Scanner Xoftspy von Pareto Logics erwerben oder zumindest vorher den kostenlosen Scan durchführen. Der haut den Spyaxe-Murks komplett von der Festplatte runter!!!! Also ich bin begeistert, wenn es auch ein paar Dollars gekostet hat. Auf den Scanner bin ich gekommen, nachdem alles andere fehlgeschlagen war, auch die Tipps hier. Wen bei Google "remove spy axe" eingegeben wird, erscheint die Werbung für Xoftspy 4.19. In letzter Verzweiflung klickte ich da drauf und es war der erste und m.E. einzige Scanner der den ganzen Dreck erkennen konnte. Euch viel Glück! |
ich werde den Verdacht nicht los, dass sich hier einige Tool-Entwickler an der Hype um den Spyaxe, PSGuard und Winfixer...und wie sie alle heissen...ein bisschen weit aus dem Fenster haengen....... Zitat:
SmitRem2.8 http://noahdfear.geekstogo.com/click...click.php?id=1 öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und kopiere die Textdatei in den Thread (falls du einen im Sicherheitsforum eroeffnet hast) die reg-Dateien, um die Registry zu saeubern und weitere Hinweise findet man ebenfalls hier. Quelle: http://virus-protect.net/artikel/spyware/spyaxe.html Bitte beachten, dass der Spyaxe neuerdings mit anderer Malware in Verbindung auftritt, zum Beispiel mit Winfixer oder Spysheriff. |
Als SpyAxe-Geschädigter habe ich (außer dem Posten von Logs) die kompatiblen Maßnahmen der Foren umgesetzt; vielleicht ist der Schreck nun vorbei. Dank an die Helfer! Übriggeblieben ist dies: Meine schon lange in Betrieb befindlichen Kaspersky und Spybot hatten sich gemeldet und tun es weiterhin, aber vielleicht nicht mehr w/Spyaxe selber: Spybot hatte gleich 6 Einträge "Smitfraud-C." gemeldet, heute meldet er weiterhin 6, aber 42 "angelegte Backups", weil ich im Laufe verschiedener Versuche und Kontrollen 7x "deleted" habe, weil SB das nicht selber tut. Auch Kaspersky meldet weiter, aber nur dass die Eingabe eines Kennwortes für C:\...\sbRecovery.reg erforderlich sei. In diesem Objekt erkennt Kaspersky ":\...\Anwendungsdaten\Spybot-Search&Destroy Destroy\Recovery\SmitfraudD.zip". Ich kenne kein Kenntwort bei SB für "Wiederherstellen", was wohl "Recovery" entspricht. Leider bleibt Kasp. (bei rund 11 % des Gesamtscans) deswegen nun hängen und läuft weder nach vorgesehenen wenigen Minuten noch mit "Überspringen" und "Archiv überspringen" weiter. Da hilft jetzt nur den PC auszuschalten. Weiß jemand Abhilfe, bitte, oder in welchem anderen Formsbereich sollte ich nochmal fragen? |
Hallo@uweru vielleicht Spybot deinstallieren oder Recovery\SmitfraudD.zip loeschen.....und die Regdateien anwenden, die es auf dieser Seite gibt. http://virus-protect.net/artikel/spyware/spyaxe.html http://virus-protect.net/reg/mcor.reg http://virus-protect.net/reg/spyaxe.reg |
Danke Sabina, habe Spybot mit seinem uninstaller, im Explorer und Restdateien mit der Suchfunktion gelöscht. Kaspersky hängt sich trotzdem in der beschriebenen Weise wieder auf. Habe daraufhin Spybot völlig neu installiert; vor einem Start zeigt er gleich wieder die 42 Backups an.- Nach Deinem ersten Link hatte ich von vornherein gearbeitet, mcor ist auf dem desktop und fragt beim Anklicken "Möchten Sie die Information in C:\Dokumente und Einstellungen\Admin\Desktop\mcor.reg zu der Registrierung hinzufügen?" Das hatte ich getan, weiß jetzt aber nicht, ob das genau die Daten gem. Deinem 2. Link sind; nehmen wirs mal an. Bitte schreib noch, wie man Deinen 3. Link "anwendet"; welche Schritte sind das genau? Zusatzinfo: RegSrch.vbs findet bei Eingabe von SPYAXE 11 (elf) Einträge und bei SMIFRAUD einen (1), beim Versuch, sie mit Killbox zu löschen und Neustart im abgesicherten Modus kommt "File does not seem to exist". [HKEY_USERS\S-1-5-21-4113303836-3057704224-645757453-500\Software\Microsoft\Search Assistant\ACMru\5603] "007"="smitfraud" [HKEY_USERS\S-1-5-21-4113303836-3057704224-645757453-500\Software\Microsoft\Search Assistant\ACMru\5603] "022"="spyaxe" [HKEY_USERS\S-1-5-21-4113303836-3057704224-645757453-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\SpyAxe] [HKEY_USERS\S-1-5-21-4113303836-3057704224-645757453-500\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\Programme\\SpyAxe\\spyaxe.exe"="Anti-spyware software" [HKEY_USERS\S-1-5-21-4113303836-3057704224-645757453-500\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\WINDOWS\\TEMP\\saB6.exe"="SpyAxe Software Installer" Alle weiteren wie der letzte, aber mit unterschiedlichen sa-Nummern. Bitte, wie gehe ich weiter vor? |
Eine Ergänzung: Habe eben "Euer" französ.Tool SmitfraudFix eingesetzt. Durchlauf 1 ergab ein Logfile, für Durchlauf 2 habe ich ein paar hundert Male (!) "oui" eingegeben, und es wurden immer noch weitere gefordert. Hab aufgehört, und da sämtliche Icons vom Destop verschwunden waren, hatte ich keine Wahl, als den PC neu zu starten. Nach dem Hochlaufen waren meine sämtlichen 'Lesezeichen', sprich Favoriten wegen (arbeite mit Firefox). Was kann ich tun, um sie wieder benutzen zu können? - Finde auch die Website nicht wieder, da mit den Lesezeichen verschwunden. Müsste dort wohl auch diesen Bericht geben, oder übernimmst Du das, Sabina, weil ich dort nicht reg. bin. |
uweru französ.Tool SmitfraudFix --> ich hab es nur einmal anwenden lassen bisher (nicht hier)...aber ich mache mich mal schlau...ich weiss ungefaehr, wo du das geladen hast....) Die scheinen sehr rigeros alle Favoriten loeschen zu lassen... das ist nicht in Ordnung...sie sind wohl alle futsch.... wende CleanUp an http://virus-protect.net/cleanup.html so sollte geloescht werden: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\saB6.exe gehe in die Registry start-->Ausfuehren--> regedit [HKEY_USERS\S-1-5-21-4113303836-3057704224-645757453-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\MenuOrder\Start Menu2\Programs\SpyAxe]<--loeschen bearbeiten--> suchen--> SpyAxe --> loesche alles, was noch angezeigt wird SmitRem2.8 http://noahdfear.geekstogo.com/click...click.php?id=1 öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und kopiere die Textdatei in den Thread (falls du einen im Sicherheitsforum eroeffnet hast) SpyAxeFix.exe http://noahdfear.geekstogo.com/click...click.php?id=8 -->> schliesse alle anderen Programme -->> doppeltklicken SpyAxeFix.exe -->> SpyAxeFix.bat -->> wenn deas Tool abgearbeitet ist, wird der PC neustarten kopiere die spyaxe.txt ab |
Hallo Sabina, hier zunächst smitfiles.txt smitRem © log file version 2.8 by noahdfear Microsoft Windows XP [Version 5.1.2600] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! spyaxe uninstaller NOT present ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 1492 'explorer.exe' Starting registry repairs Deleting files Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ CLEAN! :) |
Hier die spyaxe.txt SpyAxeFix © by noahdfear Microsoft Windows XP [Version 5.1.2600] Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 3916 'explorer.exe' Killing PID 3916 'explorer.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Error, Cannot find a process with an image name of rundll32.exe REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" Hiernach habe ich zur Kontrolle noch einmal den Registrierungs-Editor mit String 'spyaxe' geöffnet, der nach wie vor folgende "Werte" zeigt (Ziffern statt "Namen"), einen Wert sab6 habe ich probehalber gelöscht, hat geklappt: (es fällt auf, dass 'spybot' im string sypaxe gefunden wird, obwohl ich spybot noch nicht wieder installiert habe; Kaspersky hängt sich nach wie vor auf). spyaxe.txt, spyaxe, smitfiles.txt, msvol, spybot, sberet, sa4c, online security center, svchosts.dll, sa1, svchost, smitfraud, nsag, c7c580bbf700, nvcontrol, stera, usbn, svchost.dll, win-eto.com, hpa75b, mssearchnet, sbrecovery.reg Unmittelbar nach den "Maßnahmen" berichtete RegSrch, dass von den 11 Eintragungen keiner mehr da war. Jetzt, 2 Stunden später, sind 4 doch wieder vorhanden: [HKEY_USERS\S-1-5-21-4113303836-3057704224-645757453-500\Software\Microsoft\Search Assistant\ACMru\5603] "000"="spyaxe.txt" [HKEY_USERS\S-1-5-21-4113303836-3057704224-645757453-500\Software\Microsoft\Search Assistant\ACMru\5603] "001"="spyaxe" [HKEY_USERS\S-1-5-21-4113303836-3057704224-645757453-500\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\DOKUMENTE UND EINSTELLUNGEN\\ADMINISTRATOR\\DESKTOP\\SpyAxeFix.exe"="SpyAxeFix" [HKEY_USERS\S-1-5-21-4113303836-3057704224-645757453-500\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\Dokumente und Einstellungen\\Administrator\\Desktop\\SpyAxeFix\\SpyAxeFix.bat"="SpyAxeFix" Ich habe alles ohne Abschaltung der "Systemwiederherstellung" durchgeführt (vergl. rooky2005 vorvorige Seite (8)). Weitere Maßnahmen? Danke, Uwe |
uweru es muss geben: SpyAxeFix.bat SpyAxeFix.exe ueberpruefe und loesch es. dann:kopiere die 4 Textdateien (1 Monat vom Datum her genuegt) http://virus-protect.net/datfindbat.html |
Hallo Sabina, SpyAxeFix.bat und .exe sind jetzt gelöscht. Hier die 4 Dateien 1) Datentr„ger in Laufwerk C: ist System Volumeseriennummer: A025-9EC6 Verzeichnis von C:\WINDOWS\system32 09.12.2005 08:53 1.170 wpa.dbl 29.11.2005 09:41 52.518.653 kavsvc.dmp 29.11.2005 09:40 192 kavsvc.exception.log 10.11.2005 11:07 246.312 FNTCACHE.DAT 04.11.2005 16:27 534.280 LegitCheckControl.DLL 02.11.2005 06:34 2.377.568 MRT.exe 2. (keine Einträge vor 11.12.05) Datentr„ger in Laufwerk C: ist System Volumeseriennummer: A025-9EC6 Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp 11.12.2005 20:11 816 jusched.log 11.12.2005 17:08 416 java_install_reg.log 11.12.2005 16:49 49.152 ~DF69B9.tmp 11.12.2005 16:00 49.152 ~DF6CC8.tmp 4 Datei(en) 99.536 Bytes 0 Verzeichnis(se), 5.212.348.416 Bytes frei 3. Datentr„ger in Laufwerk C: ist System Volumeseriennummer: A025-9EC6 Verzeichnis von C:\WINDOWS 11.12.2005 20:14 1.940.946 WindowsUpdate.log 11.12.2005 20:13 0 0.log 11.12.2005 20:11 2.048 bootstat.dat 11.12.2005 20:10 32.642 SchedLgU.Txt 11.12.2005 14:46 208.862 setupact.log 09.12.2005 17:17 265.020 ntbtlog.txt 09.12.2005 13:41 516.029 setupapi.log 08.12.2005 08:36 38.264 INSTALL.LOG 08.12.2005 08:36 42 ib.ini 07.12.2005 21:40 216 wiadebug.log 07.12.2005 20:01 50 wiaservc.log 05.12.2005 11:50 718 wincmd.ini 29.11.2005 16:02 54.156 QTFont.qfn 29.11.2005 13:42 116 NeroDigital.ini 17.11.2005 23:12 533.504 opuc.dll 10.11.2005 16:49 1.409 QTFont.for 10.11.2005 16:04 16.730 KB896424.log 10.11.2005 11:01 413.380 iis6.log 10.11.2005 11:01 1.393 imsins.log 10.11.2005 11:01 158.294 tsoc.log 10.11.2005 11:01 15.678 tabletoc.log 10.11.2005 11:01 72.324 ntdtcsetup.log 10.11.2005 11:01 120.593 comsetup.log 10.11.2005 11:01 18.578 ocmsn.log 10.11.2005 11:01 54.458 netfxocm.log 10.11.2005 11:01 23.694 medctroc.Log 10.11.2005 11:01 169.695 ocgen.log 10.11.2005 11:01 16.836 msgsocm.log 10.11.2005 11:01 325.576 FaxSetup.log 10.11.2005 11:01 110.966 msmqinst.log 10.11.2005 11:01 21.017 updspapi.log 4. Datentr„ger in Laufwerk C: ist System Volumeseriennummer: A025-9EC6 Verzeichnis von C:\ 11.12.2005 20:22 0 sys.txt 11.12.2005 20:21 8.284 system.txt 11.12.2005 20:20 444 systemtemp.txt 11.12.2005 20:18 95.668 system32.txt 11.12.2005 20:11 536.399.872 hiberfil.sys 11.12.2005 20:11 402.653.184 pagefile.sys 11.12.2005 14:45 1.243 smitfiles.txt 11.12.2005 09:01 0 ~GLHTTP1.TMP 10.12.2005 14:24 7.669 rapport.txt 04.04.2005 06:24 0 IO.SYS Danke. Uwe |
hi laute, ich bin auch "infected"! hab mir schon ne menge threads durchgelesen, spyaxe deinstalliert, aber ich kommme einfach nicht weiter.. Ich habe einfach keine Ahnung von hijackthis und dem ganzen anderen Kram (Regedit usw. usw.) benutzte Norton antivirus, mozilla, wollte onlinescanns machen aber der will immer das ich IE5.0 benutzte. auch die Anleitung --> http://virus-protect.net/artikel/spyware/spyaxe1.html hat mir irgendwie nicht wirklioch weitergeholfen, ab zwar diese reg dateien eingefügt, was das bewirkt weiss ich allerdings auch nciht reboot im Abgesicherten Modus klappt leider auch nicht (mit F8) hab nen Laptop. ICh würde mich sehr freuen, wenn ihr mir helfen könntet, bin am verzweifeln, hatte bisher nie Probs mit Viren oder malware! madmike P.S.: hab smitRem gestartet: checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! spyaxe uninstaller NOT present ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ Antivirus Test Online.url ~~~ system32 folder ~~~ svchosts.dll 1024 dir msvol.tlb ld****.tmp mssearchnet.exe ncompat.tlb nvctrl.exe mscornet.exe hp***.tmp ~~~ Icons in System32 ~~~ ts.ico ot.ico ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 596 'explorer.exe' Killing PID 596 'explorer.exe' Starting registry repairs Deleting files Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ svchosts.dll ld****.tmp mssearchnet.exe ncompat.tlb nvctrl.exe mscornet.exe hp***.tmp ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ CLEAN! :) |
uweru soweit scheint es erst mal alles in Ordnung, um jedoch die Domains von Spyaxe in der Registry rauszuloeschen, lade: Trend Micro Anti-Spyware http://virus-protect.net/microtrend.html (du kannst sie auch manuell suchen/loeschen) unter: Zitat:
http://virus-protect.net/artikel/spyware/spyaxe.html dann buegle noch mal mit Kaspersky Online drueber (eventuell muss die Systemwiederherstellung deaktiviert werden...dann wieder aktivieren) http://virus-protect.net/onlinescan.html |
madmike kopiere die 1.Textdatei (1 Monat vom Datum her genuegt)...die anderen 3 brauche ich nicht. http://virus-protect.net/datfindbat.html Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.net/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" |
hi sabine, hab gestern noch bischen rumprobiert, hab m it hijack und smitred, mir startdateinen anzeigen lasssen und die versuht mit killbox zu löschen -<< leider hab ich auch wininet.dll oder so gelöscht --< explorer hat sich nicht mehr geöffnet --< windows neu daruzf gemacht hmm, aber svhost.exe is wieder da! hier jetzt die textfiles: datfind.bat textfile system32 Verzeichnis von C:\WINDOWS\system32 12.12.2005 12:20 735 eRLog.ini 12.12.2005 12:19 12.598 wpa.bak 12.12.2005 12:19 12.598 wpa.dbl 12.12.2005 01:36 386.364 perfh009.dat 12.12.2005 01:36 55.454 perfc009.dat 12.12.2005 01:36 916.188 PerfStringBackup.INI 12.12.2005 01:36 398.422 perfh007.dat 12.12.2005 01:36 66.754 perfc007.dat 12.12.2005 01:34 271.784 FNTCACHE.DAT 12.12.2005 01:33 288 $winnt$.inf 12.12.2005 01:29 16.832 amcompat.tlb 12.12.2005 01:29 23.392 nscompat.tlb 12.12.2005 01:28 488 WindowsLogon.manifest 12.12.2005 01:28 488 logonui.exe.manifest 12.12.2005 01:28 749 sapi.cpl.manifest 12.12.2005 01:28 749 cdplayer.exe.manifest 12.12.2005 01:28 749 wuaucpl.cpl.manifest 12.12.2005 01:28 749 nwc.cpl.manifest 12.12.2005 01:28 749 ncpa.cpl.manifest 12.12.2005 01:28 23.604 emptyregdb.dat 08.11.2005 00:00 3.534 jupdate-1.5.0_03-b07.log hijack this: Logfile of HijackThis v1.99.1 Scan saved at 12:25:41, on 12.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Intel\Wireless\Bin\WLKeeper.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe C:\Acer\eManager\anbmServ.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\vpn\cvpnd.exe C:\Programme\Norton Internet Security\ISSVC.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\Intel\Wireless\Bin\OProtSvc.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe \?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Arcade\PCMService.exe C:\acer\epm\epm-dm.exe C:\Programme\Launch Manager\QtZgAcer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\Programme\Intel\Wireless\Bin\EOUWiz.exe C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe C:\Programme\Java\jre1.5.0_03\bin\jusched.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\acer\eRecovery\Monitor.exe C:\WINDOWS\system32\msiexec.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\hijackthis\HijackThis.exe O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll (file missing) O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll (file missing) O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Arcade\PCMService.exe" O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\vpn\vpngui.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\vpn\cvpnd.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe |
madmike tzzz ...die wininet.dll loeschen, geht nie gut.:teufel2: Zitat:
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 02:44 Uhr. |
Copyright ©2000-2024, Trojaner-Board