Taskleiste: Your computer ist infected!

#1 Hallo,

rechts unten auf meiner Taskleiste ist seit ein paar Tagen ein roter Kreis mit weißem Kreuz und es erscheint die Meldung:

Your computer is infected!
Windows has detected spyware infection.

It is recommended to use special antispyware tools to prevent data loss.
Windows will now download and install the most up-to-date antispyware
for you.

Click here to protect your computer from spyware.

Klickt man drauf kommt man auf eine Seite namens SpyAxe.com wo sich auch automatisch ein Programm installiert. Habe dieses über Systemsteuerung - Software wieder deinstalliert. AntiVir, AdAware, Spyblaster, MS Antispyware habe ich alles laufen lassen. Auch schon etwas mit HJT (hijackthis.de) und Killbox weggekriegt, aber die Meldung kommt immer wieder. Genauso SmitRem.
Hoffe nur ich hab mir damit jetzt nicht alles versaut... :-(

Vielleicht könnte mir hier jemand helfen:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 18:50:44, on 11.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
D:\Palm\HOTSYNC.EXE
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Zottel\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.tagesschau.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tagesschau.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tagesschau.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tagesschau.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tagesschau.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tagesschau.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.tagesschau.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.tagesschau.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.tagesschau.de
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: HotSync Manager.lnk = D:\Palm\HOTSYNC.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/27d99167e15f6a05d720/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131650875240
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Datfindbat wird ja auch meistens benötigt (hab ich durch Suchen hier im Forum rausgefunden:

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D6-50A7

Verzeichnis von C:\WINDOWS\system32

11.11.2005 18:29 23.719 FFASTLOG.TXT
11.11.2005 17:46 8.192 Thumbs.db
08.11.2005 23:43 102.400 svchosts.dll
07.11.2005 20:30 2.184 wpa.dbl
31.10.2005 23:32 311.604 perfh009.dat
31.10.2005 23:32 39.992 perfc009.dat
31.10.2005 23:32 316.594 perfh007.dat
31.10.2005 23:32 48.156 perfc007.dat
31.10.2005 23:32 723.744 PerfStringBackup.INI
28.09.2005 22:29 693.248 DivX.dll
28.09.2005 22:29 688.128 divx_xx07.dll
28.09.2005 22:29 688.128 divx_xx0c.dll
28.09.2005 22:29 671.744 divx_xx11.dll
16.09.2005 21:17 733.184 divxdec.ax
08.09.2005 15:49 86.016 dpl100.dll
08.09.2005 15:49 589.824 dpuGUI11.dll
08.09.2005 15:49 200.704 dtu100.dll
08.09.2005 15:49 315.392 dpus11.dll
08.09.2005 15:49 57.344 dpv11.dll
08.09.2005 15:49 253.952 dpu11.dll
29.08.2005 16:22 1.044.480 roboex32.dll
29.08.2005 13:27 520.968 LegitCheckControl.DLL
29.08.2005 13:27 23.304 GWFSPidGen.DLL
09.08.2005 23:13 4.276 divxsm.tlb
09.08.2005 23:13 524.288 DivXsm.exe
09.08.2005 23:13 10.775 dsm_ja.qm
09.08.2005 23:13 15.351 dsm_de.qm
09.08.2005 23:13 15.153 dsm_fr.qm
09.08.2005 23:13 831.488 libeay32.dll
09.08.2005 23:13 245.408 unicows.dll
09.08.2005 23:13 159.744 ssleay32.dll
09.08.2005 23:12 3.596.288 qt-dx331.dll
09.08.2005 23:12 8.523 dpude.qm
09.08.2005 23:12 3.136 dtu_de.qm
09.08.2005 23:12 356.436 DivXMedia.ax
12.07.2005 15:35 117.976 hashlib.dll
12.07.2005 15:35 126.680 GCCollection.dll
12.07.2005 15:35 95.448 gcUnCompress.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D6-50A7

Verzeichnis von C:\DOKUME~1\Zottel\LOKALE~1\Temp

11.11.2005 18:29 32.768 ~DF6E63.tmp
11.11.2005 18:29 32.768 ~DF3D1B.tmp
2 Datei(en) 65.536 Bytes
0 Verzeichnis(se), 343.822.336 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D6-50A7

Verzeichnis von C:\WINDOWS

11.11.2005 18:29 0 0.log
11.11.2005 18:29 473.701 WindowsUpdate.log
11.11.2005 18:28 2.048 bootstat.dat
11.11.2005 18:27 244.814 ntbtlog.txt
11.11.2005 18:27 180.665 setupact.log
11.11.2005 18:22 32.580 SchedLgU.Txt
11.11.2005 17:47 80.896 Thumbs.db
10.11.2005 20:29 145.814 setupapi.log
27.10.2005 21:55 411 wiadebug.log
27.10.2005 21:53 50 wiaservc.log
21.07.2005 20:09 1.125 winamp.ini
29.05.2005 21:10 65.536 DUMP8669.tmp




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D6-50A7

Verzeichnis von C:\

11.11.2005 18:53 0 sys.txt
11.11.2005 18:53 7.530 system.txt
11.11.2005 18:53 342 systemtemp.txt
11.11.2005 18:52 91.269 system32.txt
11.11.2005 18:28 200.921.088 hiberfil.sys
11.11.2005 18:28 301.989.888 pagefile.sys
11.11.2005 18:26 998 smitfiles.txt
09.11.2005 19:48 5.256 ffastun.ffa
09.11.2005 19:48 163.840 ffastun.ffo
09.11.2005 19:48 237.568 ffastun.ffl
09.11.2005 19:48 462.848 ffastun0.ffx
10.12.2003 16:29 0 CONFIG.SYS

Wäre klasse wenn mir irgendjemand helfen könnte!!!

Vielen Dank schonmal im Voraus! :-)

#2 poste bitte noch das Log vom silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 @Sabina
Dein erster "SpyAxe"fall
Wieder so ein sch*** product,hatte es mal eben runtergeladen fand nur ein "Cookie"
Im Registry werden viele sachen hinzugefuegt
Es gibt 3 Seiten 2 davon aus der Ukrain
CounterSpy nicht benutzen zusammen mit M$ Anti Spy!
__________
MfG Argus

#4 Hi Sabina, hi Arnold,

hab es in der Zwischenzeit doch geschafft das Ding weg zu kriegen.
Hatte leider erst euren "Standard-Trojaner-weg"-Thread nicht gelesen.
Das kommt davon wenn man NUR die Suchfunktion benutzt.
eScan hat das Ding erkannt, dann noch mal AdAware + Spybot.
Hab auch Virenscanner und alles was ich noch hatte mal drüber laufen lassen.
Sorry für diesen "unnötigen" Thread... ;-)
Aber trotzdem VIELEN DANK für die Antwort!!! :-)

#5 Hallo Zottel....

ich bin sehr an dem Scanlog vom escan interessiert und auch an deinem neuen Log vom HijackTHis

muss geloescht werden:
svchosts.dll
scvhosts.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Arnold

SpyAxe --> wo ist das hier ??? Ist das nicht in einem anderen Thread ??? Ich erinnere mich, heute einen gesehen zu haben....
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Na

Zitat

Klickt man drauf kommt man auf eine Seite namens SpyAxe.com

__________
MfG Argus

#8 11.11.2005, 18:55
Zottel
...neu hier


Beiträge: 2
Hallo,

rechts unten auf meiner Taskleiste ist seit ein paar Tagen ein roter Kreis mit weißem Kreuz und es erscheint die Meldung:

Your computer is infected!
Windows has detected spyware infection.

It is recommended to use special antispyware tools to prevent data loss.
Windows will now download and install the most up-to-date antispyware
for you.

Click here to protect your computer from spyware.

Klickt man drauf kommt man auf eine Seite namens SpyAxe.com wo sich auch automatisch ein Programm installiert.
__________
MfG Argus

#9 was haelst du davon:???

http://virus-protect.org/artikel/spyware/spyaxe.html
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Kein Problem!

Hier das "damalige" eScan-Log:


--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Sat Nov 12 12:01:42 2005 => File C:\WINDOWS\System32\svchosts.dll infected by "not-virus:Hoax.Win32.Renos.v" Virus! Action Taken: No Action Taken.
2: Sat Nov 12 12:01:52 2005 => File C:\WINDOWS\System32\svchosts.dll infected by "not-virus:Hoax.Win32.Renos.v" Virus! Action Taken: No Action Taken.
3: Sat Nov 12 12:03:14 2005 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
4: Sat Nov 12 12:03:38 2005 => Offending file found: C:\Dokumente und Einstellungen\Zottel\Lokale Einstellungen\temporary internet files\content.ie5\d007lx0t\show_ads[2].js
5: Sat Nov 12 12:03:38 2005 => System found infected with whenu.savenow Spyware/Adware (show_ads[2].js)! Action taken: No Action Taken.
6: Sat Nov 12 12:03:39 2005 => Offending file found: C:\Dokumente und Einstellungen\Zottel\Lokale Einstellungen\temporary internet files\content.ie5\wdu7w9yj\stylesheet[1].css
7: Sat Nov 12 12:03:39 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken.
8: Sat Nov 12 12:03:41 2005 => Offending file found: C:\Dokumente und Einstellungen\Zottel\Lokale Einstellungen\Temporary Internet Files\content.ie5\d007lx0t\show_ads[2].js
9: Sat Nov 12 12:03:41 2005 => System found infected with whenu.savenow Spyware/Adware (show_ads[2].js)! Action taken: No Action Taken.
10: Sat Nov 12 12:03:41 2005 => Offending file found: C:\Dokumente und Einstellungen\Zottel\Lokale Einstellungen\Temporary Internet Files\content.ie5\wdu7w9yj\stylesheet[1].css
11: Sat Nov 12 12:03:41 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken.
12: Sat Nov 12 12:09:08 2005 => File C:\!KillBox\mssearchnet.exe infected by "Trojan-Downloader.Win32.Zlob.bb" Virus! Action Taken: No Action Taken.
13: Sat Nov 12 12:11:56 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
14: Sat Nov 12 12:19:45 2005 => File C:\System Volume Information\_restore{602DCA00-5236-4FC7-BB99-D87A3135DD0D}\RP213\A0078182.tlb infected by "Trojan.Win32.Agent.il" Virus! Action Taken: No Action Taken.
15: Sat Nov 12 12:20:02 2005 => File C:\System Volume Information\_restore{602DCA00-5236-4FC7-BB99-D87A3135DD0D}\RP216\A0078274.exe infected by "Trojan.Win32.Agent.il" Virus! Action Taken: No Action Taken.
16: Sat Nov 12 12:20:02 2005 => File C:\System Volume Information\_restore{602DCA00-5236-4FC7-BB99-D87A3135DD0D}\RP216\A0078275.tlb infected by "Trojan.Win32.Agent.il" Virus! Action Taken: No Action Taken.
17: Sat Nov 12 12:20:04 2005 => File C:\System Volume Information\_restore{602DCA00-5236-4FC7-BB99-D87A3135DD0D}\RP216\A0078280.exe infected by "Trojan-Downloader.Win32.Zlob.bb" Virus! Action Taken: No Action Taken.
18: Sat Nov 12 12:20:04 2005 => File C:\System Volume Information\_restore{602DCA00-5236-4FC7-BB99-D87A3135DD0D}\RP216\A0078286.exe infected by "Trojan-Downloader.Win32.Agent.yr" Virus! Action Taken: No Action Taken.
19: Sat Nov 12 12:31:25 2005 => File C:\WINDOWS\system32\1024\ld385A.tmp infected by "Trojan-Dropper.Win32.Small.ahg" Virus! Action Taken: No Action Taken.

--------------------------------------------------
--------------------- TAGGED ---------------------
--------------------------------------------------

1: Sat Nov 12 13:02:34 2005 => File D:\tetris\colortetris.exe tagged as "not-a-virus:AdWare.Win32.NavExcel.d". Action Taken: No Action Taken.

--------------------------------------------------
--------------------- ERRORS ---------------------
--------------------------------------------------

1: Sat Nov 12 12:01:52 2005 => ERROR!!! Invalid Entry {1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} = C:\WINDOWS\q554126.dll (in key Software\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler). No Action Taken.
2: Sat Nov 12 12:03:48 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\pxwma.dll". Action Taken: No Action Taken.
3: Sat Nov 12 12:03:48 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "F:\Office\Assistnt\logo.act". Action Taken: No Action Taken.
4: Sat Nov 12 12:03:48 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "F:\Office\Assistnt\scribble.act". Action Taken: No Action Taken.
5: Sat Nov 12 12:03:48 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "F:\Office\Assistnt\dot.act". Action Taken: No Action Taken.
6: Sat Nov 12 12:03:48 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "F:\Office\Assistnt\mnature.act". Action Taken: No Action Taken.
7: Sat Nov 12 12:03:48 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "F:\Office\Assistnt\hoverbot.act". Action Taken: No Action Taken.
8: Sat Nov 12 12:03:48 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "F:\Office\Assistnt\will.act". Action Taken: No Action Taken.
9: Sat Nov 12 12:03:48 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "F:\Office\Assistnt\powerpup.act". Action Taken: No Action Taken.
10: Sat Nov 12 12:03:48 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "F:\Office\Assistnt\genius.act". Action Taken: No Action Taken.
11: Sat Nov 12 12:03:49 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\AXDist.exe". Action Taken: No Action Taken.
12: Sat Nov 12 12:03:49 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\DOKUME~1\Zottel\LOKALE~1\Temp\_ISTMP1.DIR\_ISTMP0.DIR\FileGrp\Msvcrt10.dll". Action Taken: No Action Taken.
13: Sat Nov 12 12:03:52 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" refers to invalid object "C:\WINDOWS\System32\cmmgr32.exe". Action Taken: No Action Taken.
14: Sat Nov 12 12:03:52 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\QuickTimeUpdater.exe" refers to invalid object "D:\PROGRA~1\QUICKT~1\QuickTimeUpdater.exe". Action Taken: No Action Taken.
15: Sat Nov 12 12:03:52 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\YourApp.exe" refers to invalid object "c:\Gamesurround Muse Series Drivers\YourApp.exe". Action Taken: No Action Taken.
16: Sat Nov 12 12:03:52 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".1". Action Taken: No Action Taken.
17: Sat Nov 12 12:03:52 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".2". Action Taken: No Action Taken.
18: Sat Nov 12 12:03:52 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".3". Action Taken: No Action Taken.
19: Sat Nov 12 12:03:52 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".av". Action Taken: No Action Taken.
20: Sat Nov 12 12:03:52 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".cdr". Action Taken: No Action Taken.
21: Sat Nov 12 12:03:53 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".html/". Action Taken: No Action Taken.
22: Sat Nov 12 12:03:53 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".jpg@01C4D553[1]". Action Taken: No Action Taken.
23: Sat Nov 12 12:03:53 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".pf". Action Taken: No Action Taken.
24: Sat Nov 12 12:03:53 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".php". Action Taken: No Action Taken.
25: Sat Nov 12 12:03:53 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".VIR". Action Taken: No Action Taken.
26: Sat Nov 12 12:03:53 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "ACBrowserPopup5". Action Taken: No Action Taken.
27: Sat Nov 12 12:03:53 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Ad-aware 6 Personal". Action Taken: No Action Taken.
28: Sat Nov 12 12:03:55 2005 => Entry "HKCR\CLSID\{1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5}" refers to invalid object "C:\WINDOWS\q554126.dll". Action Taken: No Action Taken.
29: Sat Nov 12 12:03:58 2005 => Entry "HKCR\CLSID\{53707962-6F74-2D53-2644-206D7942484F}" refers to invalid object "C:\PROGRA~1\SPYBOT~1\SDHelper.dll". Action Taken: No Action Taken.
30: Sat Nov 12 12:03:58 2005 => Entry "HKCR\CLSID\{56336BCA-3D8A-11d6-A00B-0050DA18DE71}" refers to invalid object "C:\DOKUME~1\Zottel\LOKALE~1\Temp\InfoWindow.dll". Action Taken: No Action Taken.
31: Sat Nov 12 12:03:59 2005 => Entry "HKCR\CLSID\{5B02F836-7F38-420E-98D5-B88DA1636DB4}" refers to invalid object "C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe". Action Taken: No Action Taken.
32: Sat Nov 12 12:04:03 2005 => Entry "HKCR\CLSID\{B1EDCE8E-86A4-473a-8A36-54B322C3F618}" refers to invalid object "D:\Ulead Systems\Ulead PhotoImpact 8\wpe.dll". Action Taken: No Action Taken.
33: Sat Nov 12 12:04:08 2005 => Entry "HKCR\TypeLib\{67ADFC8F-0619-4095-ACDA-6DBCA8A8B683}" refers to invalid object "C:\DOKUME~1\Zottel\LOKALE~1\Temp\PPT10.0\ShockwaveFlashObjects.EXD". Action Taken: No Action Taken.
34: Sat Nov 12 12:04:08 2005 => Entry "HKCR\TypeLib\{7AF322C5-AB43-11D4-A00B-0050DA18DE71}" refers to invalid object "C:\DOKUME~1\Zottel\LOKALE~1\Temp\InfoWindow.dll". Action Taken: No Action Taken.
35: Sat Nov 12 12:04:08 2005 => Entry "HKCR\TypeLib\{810E9428-F543-4E9E-8E6F-FF4EB3A97811}" refers to invalid object "C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe". Action Taken: No Action Taken.
36: Sat Nov 12 12:04:09 2005 => Entry "HKCR\TypeLib\{C3F8F09B-AC5B-46C1-9246-9C44DD76C175}" refers to invalid object "C:\DOKUME~1\Zottel\LOKALE~1\Temp\VBE\MSForms.EXD". Action Taken: No Action Taken.
37: Sat Nov 12 12:04:09 2005 => Entry "HKCR\TypeLib\{C6207770-F06D-4A5C-AC58-8DFDB2A54DE0}" refers to invalid object "C:\DOKUME~1\Zottel\LOKALE~1\Temp\PPT10.0\ShockwaveFlashObjects.EXD". Action Taken: No Action Taken.
38: Sat Nov 12 12:04:09 2005 => Entry "HKCR\TypeLib\{CCAE1203-C293-4F63-80B3-CD2296FA476B}" refers to invalid object "C:\DOKUME~1\Zottel\LOKALE~1\Temp\VBE\MSForms.EXD". Action Taken: No Action Taken.
39: Sat Nov 12 12:04:09 2005 => Entry "HKCR\TypeLib\{D316D8AA-6F91-453E-BB81-AB7BDDCE4729}" refers to invalid object "C:\DOKUME~1\Zottel\LOKALE~1\Temp\VBE\MSForms.EXD". Action Taken: No Action Taken.
40: Sat Nov 12 12:04:09 2005 => Entry "HKCR\TypeLib\{D55CED4A-0E33-4B66-A503-7F51981EFE79}" refers to invalid object "C:\DOKUME~1\Zottel\LOKALE~1\Temp\VBE\MSForms.EXD". Action Taken: No Action Taken.
41: Sat Nov 12 12:04:13 2005 => Entry "HKCR\Connection Manager Profile\shell\open\command" refers to invalid object "C:\WINDOWS\System32\CMMGR32.EXE "%1"". Action Taken: No Action Taken.
42: Sat Nov 12 12:04:18 2005 => Entry "HKCR\Nero Cover Designer.Document\shell\open\command" refers to invalid object ""D:\Programme\Ahead\CoverDesigner\CoverDes.exe" /dde". Action Taken: No Action Taken.
43: Sat Nov 12 12:04:18 2005 => Entry "HKCR\Nero Cover Designer.Template\shell\open\command" refers to invalid object ""D:\Programme\Ahead\CoverDesigner\CoverDes.exe" /dde". Action Taken: No Action Taken.
44: Sat Nov 12 12:04:21 2005 => Entry "HKCR\Ulead.VOE.1" refers to invalid object "{6C91BBFD-0781-4936-A3DC-10D60BA3294D}

45: Sat Nov 12 12:09:39 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip is Not Scanned

--------------------------------------------------
-------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------
--------------------------------------------------

1: C:\WINDOWS\System32\svchosts.dll => not-virus:Hoax.Win32.Renos.v
2: C:\!KillBox\mssearchnet.exe => Trojan-Downloader.Win32.Zlob.bb
3: C:\System Volume Information\_restore{602DCA00-5236-4FC7-BB99-D87A3135DD0D}\RP213\A0078182.tlb => Trojan.Win32.Agent.il
4: C:\System Volume Information\_restore{602DCA00-5236-4FC7-BB99-D87A3135DD0D}\RP216\A0078274.exe => Trojan.Win32.Agent.il
5: C:\System Volume Information\_restore{602DCA00-5236-4FC7-BB99-D87A3135DD0D}\RP216\A0078275.tlb => Trojan.Win32.Agent.il
6: C:\System Volume Information\_restore{602DCA00-5236-4FC7-BB99-D87A3135DD0D}\RP216\A0078280.exe => Trojan-Downloader.Win32.Zlob.bb
7: C:\System Volume Information\_restore{602DCA00-5236-4FC7-BB99-D87A3135DD0D}\RP216\A0078286.exe => Trojan-Downloader.Win32.Agent.yr
8: C:\WINDOWS\system32\1024\ld385A.tmp => Trojan-Dropper.Win32.Small.ahg

--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------

Sat Nov 12 13:03:12 2005 => Total Objects Scanned: 74486
Sat Nov 12 13:03:12 2005 => Total Virus(es) Found: 15
Sat Nov 12 13:03:12 2005 => Total Errors: 125
Sat Nov 12 13:03:12 2005 => Virus Database Date: 2005/11/12
Sat Nov 12 13:03:12 2005 => Virus Database Count: 159364
Sat Nov 12 13:03:36 2005 => Total Objects Scanned: 74486
Sat Nov 12 13:03:36 2005 => Total Virus(es) Found: 15
Sat Nov 12 13:03:36 2005 => Total Errors: 125




Und hier das jetzige HJT:

Logfile of HijackThis v1.99.1
Scan saved at 18:57:41, on 12.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
D:\Palm\HOTSYNC.EXE
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Zottel\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.tagesschau.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tagesschau.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tagesschau.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tagesschau.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tagesschau.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tagesschau.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.tagesschau.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.tagesschau.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.tagesschau.de
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: HotSync Manager.lnk = D:\Palm\HOTSYNC.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/27d99167e15f6a05d720/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131650875240
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE





Zumindest das Symbol in der Taskleiste ist weg. Die Scaner finden bei mir auch nichts mehr (soweit ich das sagen kann, bin da kein Experte).
Denke es "müsste" wieder sauber sein hier! ;-)

#11 @Sabina
Ich werde diesen tool heute abend mal versuchen und mit hilfe von WORC mal sehen was passiert
Wenn Zottel noch weiss wo er die Infektion bekommen hat kann er mir ein PM schicken
In meinen Fall habe ich die Registry gereinigt mit den zweiten Knopf von CCleaner "Probleme" mehrmals!
Und danach nochmal mit TuneUp 2006
__________
MfG Argus

#12 @Sabina
Zeit wann traust du CWS?
Und wo ist das bild?
__________
MfG Argus

#13

Zitat

Arnold postete
@Sabina
Zeit wann traust du CWS?
Und wo ist das bild?

ich verstehe deine Fragen nicht .....
http://virus-protect.org/artikel/spyware/spyaxe.html

+++
__________
MfG Sabina

rund um die PC-Sicherheit

#14 hallo und schönen guten abend, ich hab mich hier extra registriert um

DANKE zu sagen, ich hatte auch dieses blöde

"Your Computer is infected" und hab stundenlang umsonst probiert und gesucht, und dann....hab ich
Sabinas Post gelesen, und es hat geholfen

http://virus-protect.org/artikel/spyware/spyaxe.html

danke Sabina !!!


[/b]

#15 Hallo, habe dassslebe problem, aber ich habe echt keine Ahnung wie ich das lösen soll. Waäre für jede Hilfe dankbar.

HAbe SpyAxeFix durchlaufen lassen, aber erfolglos
SpyAxeFix © by noahdfear
Microsoft Windows 2000 [Version 5.00.2195]



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1168 'explorer.exe'
Killing PID 1168 'explorer.exe'
Error 0x5 : Zugriff verweigert

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of rundll32.exe

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

DAnn habe ich datFind.Bat laufen lassen, aber damit kann ich nix anfangen
(Das sind die letzten 7 Monate)

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: FC02-9D23

Verzeichnis von C:\WINNT\system32

30.11.2005 12:06 1.024 pwdremover.dat
29.10.2005 06:52 307.200 atiiiexx.dll
29.10.2005 06:13 258.048 ATIDEMGR.dll
29.10.2005 05:32 6.684.672 atioglx1.dll
29.10.2005 04:27 4.866.048 atioglxx.dll
29.10.2005 04:12 247.296 ati2dvag.dll
29.10.2005 04:08 110.592 atipdlxx.dll
29.10.2005 04:07 77.824 Oemdspif.dll
29.10.2005 04:07 26.112 Ati2mdxx.exe
29.10.2005 04:07 40.960 ati2edxx.dll
29.10.2005 04:07 47.616 ati2evxx.dll
29.10.2005 04:06 389.120 ati2evxx.exe
29.10.2005 04:06 53.248 ATIDDC.DLL
29.10.2005 03:58 2.491.808 ati3duag.dll
29.10.2005 03:52 603.040 ativvaxx.dll
29.10.2005 03:40 151.552 atikvmag.dll
29.10.2005 03:21 17.408 atitvo32.dll
29.10.2005 03:16 237.568 ati2cqag.dll
28.10.2005 21:05 520.192 ati2sgag.exe
17.10.2005 15:15 110.293 atiicdxx.dat
12.10.2005 10:04 143.312 FNTCACHE.DAT
26.09.2005 18:13 15.360 BASSMOD.dll
24.08.2005 18:25 6.020 atifglpf.xml
14.08.2005 22:45 3.120 HSeNJ.ocx
10.08.2005 17:15 225.280 cJSetup.dll
10.08.2005 17:10 315.392 CTRSCT32.DLL
10.08.2005 17:10 315.392 msct32.dll
26.07.2005 18:05 35.657 cjbc_de.lan
17.07.2005 15:27 3.712 jupdate-1.5.0_04-b05.log
11.07.2005 10:47 131.072 cjppa32.dll
05.07.2005 16:42 413.696 Msvcp60.dll
12.06.2005 16:50 100.352 dfrg.msc
03.06.2005 02:52 127.078 javaws.exe
03.06.2005 02:52 49.265 jpicpl32.cpl
03.06.2005 01:24 49.250 javaw.exe
03.06.2005 01:24 49.248 java.exe
30.05.2005 10:48 143.360 lmgina.dll
30.05.2005 10:47 516.096 lmct.dll
28.05.2005 19:42 45.175 plugincpl131_16.cpl
28.05.2005 19:42 36.972 ActPanel.dll
22.05.2005 23:00 716.800 mslm.dll
20.05.2005 15:24 43.520 CmdLineExt03.dll
15.05.2005 15:12 2.982 jupdate-1.5.0_02-b09.log
01.05.2005 14:31 56 winxp32.sys
30.04.2005 09:38 35.328 TFTP3384
30.04.2005 09:29 0 TFTP1072
29.04.2005 23:24 0 TFTP2624
28.04.2005 22:01 0 TFTP1648
28.04.2005 21:59 0 TFTP1316
28.04.2005 21:57 0 TFTP1620
28.04.2005 21:55 0 TFTP1164
28.04.2005 21:54 0 TFTP1436
28.04.2005 21:54 0 TFTP1176
28.04.2005 21:54 0 TFTP292
28.04.2005 21:51 0 TFTP1264
28.04.2005 21:50 0 TFTP1512
28.04.2005 21:47 0 TFTP1624
28.04.2005 21:44 0 TFTP792
28.04.2005 21:44 0 TFTP1196
28.04.2005 18:45 33.792 TFTP832
28.04.2005 18:45 31.744 TFTP1408
28.04.2005 18:44 0 TFTP2376
28.04.2005 18:44 0 TFTP2368
28.04.2005 18:40 0 TFTP1016
28.04.2005 12:19 0 TFTP1560
28.04.2005 12:17 0 TFTP1216
28.04.2005 12:14 0 TFTP824
27.04.2005 19:20 0 TFTP1172
27.04.2005 19:14 0 TFTP456
27.04.2005 19:11 0 TFTP1060
27.04.2005 19:11 0 TFTP1236
27.04.2005 19:10 0 TFTP872
27.04.2005 19:10 0 TFTP1508
27.04.2005 19:04 49.152 cdrtc.dll
27.04.2005 19:04 45.056 cdral.dll
27.04.2005 19:04 0 TFTP308
27.04.2005 19:03 0 TFTP1212
27.04.2005 18:13 0 TFTP1612
27.04.2005 18:12 0 TFTP1256
27.04.2005 18:11 0 TFTP344
27.04.2005 18:09 0 TFTP1520
27.04.2005 18:07 0 TFTP1532
27.04.2005 18:06 0 TFTP1516
27.04.2005 18:06 0 TFTP1064
27.04.2005 18:06 0 TFTP1348
27.04.2005 18:04 0 TFTP1480
27.04.2005 18:03 0 TFTP904
27.04.2005 18:01 0 TFTP1328
27.04.2005 18:00 0 TFTP224
27.04.2005 17:59 0 TFTP1344


Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: FC02-9D23

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

30.11.2005 15:56 16.384 ~DFC04B.tmp
30.11.2005 15:55 32.768 ~DFAB09.tmp
30.11.2005 15:55 206 jusched.log
30.11.2005 15:32 16.384 ~DFE9BC.tmp
30.11.2005 15:32 32.768 ~DF9CB3.tmp
5 Datei(en) 98.510 Bytes
0 Verzeichnis(se), 5.137.084.416 Bytes frei


Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: FC02-9D23

Verzeichnis von C:\WINNT

30.11.2005 15:52 32.628 SchedLgU.Txt
30.11.2005 14:36 258.178 ShellIconCache
30.11.2005 13:55 762 ODBC.INI
30.11.2005 12:08 36 verypdf.ini
27.11.2005 12:54 1.999 desktop.html
27.11.2005 12:50 0 hosts
27.11.2005 12:50 0 secure32.html
27.11.2005 12:50 0 degbes.exe
27.11.2005 12:50 29.184 tool2.exe
27.11.2005 12:50 62.119 kl.exe
27.11.2005 12:50 0 uniq
25.11.2005 00:20 392 hbcikrnl.ini
25.11.2005 00:03 4.073 ODBCINST.INI
24.11.2005 21:39 45 winDecrypt.INI
23.11.2005 16:00 628 win.ini
22.11.2005 16:11 1.125 winamp.ini
22.11.2005 14:08 330 LEXSTAT.INI
04.11.2005 14:30 3.101 Ascd_tmp.ini
16.10.2005 22:18 249.856 Setup1.exe
16.10.2005 22:18 73.216 ST6UNST.EXE
10.10.2005 18:50 8.384 mozver.dat
25.09.2005 16:43 99.965 UninstallFirefox.exe
18.08.2005 22:56 238 ftrun32.INI
30.06.2005 12:21 20 Ž–†
28.06.2005 13:56 74.757 _detmp.1
28.06.2005 13:48 41.730 CFSETUP.TXT
28.06.2005 13:41 3.593 ModemLog_cFos DSL, Internet, PPPoE.txt
28.06.2005 13:28 2.560 _MSRSTRT.EXE
23.05.2005 17:13 62 DIADEM.INI
19.05.2005 19:28 316.640 WMSysPr9.prx
27.04.2005 23:52 40 ModemDet.txt
27.04.2005 23:48 231 system.ini
27.04.2005 19:09 23 wininit.ini
27.04.2005 19:04 57.344 uneng.exe ????
27.04.2005 18:02 0 nsreg.dat
27.04.2005 17:56 8.192 REGLOCS.OLD
27.04.2005 17:52 288.880 WMSysPrx.prx
27.04.2005 17:51 51.712 wc98pp.dll
27.04.2005 17:07 0 Sti_Trace.log
27.04.2005 16:59 0 control.ini
27.04.2005 16:58 271 desktop.ini
27.04.2005 16:58 21.817 folder.htt
27.04.2005 16:57 37 vbaddin.ini
27.04.2005 16:57 36 vb.ini



Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: FC02-9D23

Verzeichnis von C:\

30.11.2005 16:01 0 sys.txt
30.11.2005 16:01 4.983 system.txt
30.11.2005 16:01 511 systemtemp.txt
30.11.2005 15:59 95.241 system32.txt
30.11.2005 15:54 1.073.741.824 pagefile.sys
30.11.2005 12:06 78 pdfinfo.ini
27.11.2005 12:50 29.184 winstall.exe
07.11.2005 23:23 16 SYSBOOT.DAT
02.08.2005 14:46 41.253 DxDiag.txt
21.05.2005 13:59 0 TDSLCheck.txt
27.04.2005 16:59 0 MSDOS.SYS
27.04.2005 16:59 0 CONFIG.SYS
27.04.2005 16:59 0 AUTOEXEC.BAT
27.04.2005 16:59 0 IO.SYS
27.04.2005 16:55 192 boot.ini
19.06.2003 11:05 163.840 arcsetup.exe
19.06.2003 11:05 34.724 NTDETECT.COM
19.06.2003 11:05 150.528 arcldr.exe
19.06.2003 11:05 216.096 ntldr
19 Datei(en) 1.074.478.470 Bytes
0 Verzeichnis(se), 5.137.022.976 Bytes frei


Bin echt für jede Hilfe dankbar. Ich weiß echt nicht weiter. HAbe schon soviel Threads gelesen, aber gebracht hat es bis jetzt nix.