|
Mal wieder SpyAxe... Hallo Leute, ich lese seit ein paar Tagen hier mit, denn ich habe ca. seit Freitag auch SpyAxe zu Gast und wäre ihn lieber jetzt als gleich wieder los. Dazu hoffe ich auf Eure Hilfe, habe nämlich selbst nicht sooo viel Ahnung....:o Habe mir aus einem anderen Thread die Vorgehensweise abgeguckt und schon mal smitrem, Ewido, Adaware und Spybot sowie HJT durchlaufen lassen. Hier die Logs bzw. Reports: Logfile of HijackThis v1.99.1 Scan saved at 18:47:36, on 22.11.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Analog Devices\SoundMAX\SMTray.exe C:\Programme\Scansoft\PaperPort\pptd40nt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\Microsoft Office\Office\MSOFFICE.EXE C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\notepad.exe C:\DOKUME~1\buero\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hp73B9.tmp (file missing) O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\Scansoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\Scansoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe O4 - HKLM\..\Run: [usbn] C:\WINDOWS\system32\usbn.exe -go -c48 -w O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121342203843 O17 - HKLM\System\CCS\Services\Tcpip\..\{83EC81F9-EC26-4BE7-9474-D36939300C83}: NameServer = 192.168.99.50 O17 - HKLM\System\CS1\Services\Tcpip\..\{83EC81F9-EC26-4BE7-9474-D36939300C83}: NameServer = 192.168.99.50 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe --------------------------------------------------------- ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 17:55:30, 22.11.2005 + Report-Checksumme: 3C527DA + Scanergebnis: Keine infizierten Objekte gefunden. ::Report Ende smitRem © log file version 2.7 by noahdfear Microsoft Windows XP [Version 5.1.2600] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ CLEAN! :) Wie geht es jetzt weiter? Vielen Dank vorab! |
Hallo heiner69, vielleicht findest Du HIER die ein oder andere Datei die bei Dir noch zu löschen ist. Aus Deinem Logfile ist kein Hinweis auf "Spyaxe" zu erkennen. Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken): R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R3 - Default URLSearchHook is missing O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hp73B9.tmp (file missing) O4 - HKLM\..\Run: [usbn] C:\WINDOWS\system32\usbn.exe -go -c48 -w Lösche manuell: C:\WINDOWS\system32\usbn.exe <-- Dialer (falls Du nicht mit reinem DSL ins Netz gehst auf einem Datenträger zwecks Beweismittel sichern). Neustart -> Sytemwiederherstellung kann wieder aktiviert werden Neues Logfile und berichten dartus |
Hallo dartus, vielen Dank für die prompte Hilfe. Ich habe das jetzt alles mal abgearbeitet, und siehe da: Kein SpyAxe-Alarm mehr in der Taskleiste! Eine Datei usbn.exe habe ich allerdings nicht gefunden...?! Jedenfalls funktioniert jetzt soweit alles wieder. Zwei etwas nervende und meiner Meinung nach ungewöhnliche Dinge gibt es allerdings noch: 1. Seit gestern verlangt Windows bei jedem Start (abgesichert oder normal) vor dem Anmeldebildschirm die Tastenkombination Alt+Strg+Entf. Woher kommt das wohl, und wie werde ich das wieder los? 2. Schon seit längerem öffnet sich bei jedem normalen Start des Rechners automatisch der Internet Explorer, ich habe keine Ahnung, warum. Vielleicht hast Du dazu ja auch noch ein paar Tipps für einen Unwissenden parat. Ansonsten danke ich nochmal herzlich für die freundliche Unterstützung und gehe nach dem Posten des aktuellen HJT-Logfiles erstmal schlafen. Gute Nacht!:sleepy: Logfile of HijackThis v1.99.1 Scan saved at 01:42:20, on 23.11.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Analog Devices\SoundMAX\SMTray.exe C:\Programme\Scansoft\PaperPort\pptd40nt.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\Microsoft Office\Office\MSOFFICE.EXE C:\Programme\Microsoft Office\Office\OSA.EXE C:\WINDOWS\system32\wuauclt.exe C:\DOKUME~1\buero\LOKALE~1\Temp\Temporäres Verzeichnis 8 für hijackthis.zip\HijackThis.exe O2 - BHO: (no name) - {7caf96a2-c556-460a-988e-76fc7895d284} - (no file) O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\Scansoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\Scansoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121342203843 O17 - HKLM\System\CCS\Services\Tcpip\..\{83EC81F9-EC26-4BE7-9474-D36939300C83}: NameServer = 192.168.99.50 O17 - HKLM\System\CS1\Services\Tcpip\..\{83EC81F9-EC26-4BE7-9474-D36939300C83}: NameServer = 192.168.99.50 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe |
Hallo Heiner, Hier http://virusscan.jotti.org/de/ läßt du diese Datei mal scannen und berichtest. O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe Irrlicht |
Moin irrlicht, habe die iexplore.exe bei jotti scannen lassen, keine Funde. Gruß heiner69 |
Hallo heiner69, zu 1. HIER sollte etwas dabei sein. zu 2. Start -> Ausführen -> msconfig eingeben -> Systemstart -> Häckchen bei IExplorer entfernen dartus |
Hallo dartus, danke für die Hinweise, auch das hat wieder wunderbar geklappt! Jetzt nur noch eine Kleinigkeit (hatte ich vorher nicht erwähnt, weil ich dachte, das hinge mit dem IE-Start zusammen): Jedesmal beim Systemstart erscheint folgende Meldung CODEBASE FEHLER Fehler #: -120 Fehler #: 80606 Schreiben einer Datei attempt to write to a read-only file IWATCH Auch beim Beenden der ISDN-Verbindung erscheint diese Meldung, bzw. folgende: ISDN WATCH Datenbankfehler -120 aufgetreten Wenn wir das auch noch bereinigt kriegen, bin ich fürs erste wunschlos glücklich...:) Gruß heiner69 |
Hallo, Google sagt das das etwas mit deiner Fritz! Software (Wlan) zu tun haben müßte. Ein Versuch wäre mal das klassische deinstallieren und wieder installieren. Oder, bzw. wenn das nicht funktioniert mal den AVM Support anrufen, die haben bei mir in der Vergangenheit einen ziemlich kompetenten Eindruck hinterlassen. Grüße Wildone |
Wollte nur noch mal schnell ein dickes Dankeschön an dartus, irrlicht und Wildone für die hervorragende Unterstützung loswerden! :aplaus: Die Mühle läuft jetzt wieder einwandfrei, und ich hoffe, dass wir nicht so schnell wieder voneinander hören (ihr wisst schon, was ich meine...):rolleyes: Ansonsten weiß ich mich hier in guten Händen!:daumenhoc Gruß heiner69 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:06 Uhr. |
Copyright ©2000-2024, Trojaner-Board