SpyAxe - was ist das?

#31 Panda wird das finden:

Favorites ~~~
Free XXX Sites List.url
Antivirus Test Online.url

system32 folder ~~~
1024

poste dann den scanreport

-----------------------------
Java Sun
http://java.com/de/download/index.jsp
__________
MfG Sabina

rund um die PC-Sicherheit

#32 so, das ist der panda scanreport:

Incident Status Location

Adware:adware/ezula Not desinfected C:\WINDOWS\SYSTEM32\ezPopStub.exe
Adware:adware/instafinder Not desinfected C:\WINDOWS\SYSTEM32\InstaFinder_inst.exe
Adware:adware/p2pnetworking Not desinfected C:\WINDOWS\DOWNLOADED PROGRAM FILES\WebP2PInstaller.dll
Adware:adware/securityerror Not desinfected C:\Dokumente und Einstellungen\Alle\Favoriten\Take It Here - Daily Updated Porn Links.url
Adware:adware/ist.istbar Not desinfected C:\PROGRAMME\GEMEINSAME DATEIEN\Totem Shared
Adware:adware/keenvalue Not desinfected C:\PROGRAMME\PerfectNav
Adware:adware/powerscan Not desinfected C:\PROGRAMME\Power Scan
Adware:adware/ilookup Not desinfected C:\WINDOWS\iLookup
Spyware:spyware/altnet Not desinfected Windows Registry
Adware:Adware/SecurityError Not desinfected C:\!KillBox\ldB0A2.tmp
Spyware:Spyware/New.net Not desinfected C:\!KillBox\NDNuninstall6_38.exe
Adware:Adware/SpyAxe Not desinfected C:\!KillBox\svchosts.dll
Virus:Trojan Horse Disinfected C:\Dokumente und Einstellungen\Alle\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\counter-67a1d5c0-6f9f2e1d.zip[Go.class]
Adware:Adware/PortalScan Not desinfected C:\Programme\AVPersonal\INFECTED\Xhrmy.VIR
Spyware:Spyware/New.net Not desinfected C:\Programme\FileSubmit\Britney Spears v1\NNEZSTB3.exe
Spyware:Spyware/New.net Not desinfected C:\Programme\FileSubmit\Britney Spears v1\NNEZTX638.exe
Adware:Adware/EShopper Not desinfected C:\Spiele\css\Counter-Strike Source gecrackt\cstrike\ChaosScriptUninstal.exe
Adware:Adware/P2PNetworking Not desinfected C:\WINDOWS\Downloaded Program Files\WebP2PInstaller.dll
Adware:Adware/Gator Not desinfected C:\WINDOWS\iGator\trickler3103_pic_fs_dmpt_3103.exe
Adware:Adware/eZula Not desinfected C:\WINDOWS\iLookup\ezStub22.exe
Adware:Adware/nCase Not desinfected C:\WINDOWS\iNetPal\EZThemes_m3tsp8.exe
Virus:Bck/Dumador.CU Disinfected C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS.bak
Adware:Adware/eZula Not desinfected C:\WINDOWS\SYSTEM32\ezPopStub.exe
Adware:Adware/ISearch Not desinfected C:\WINDOWS\SYSTEM32\HLInstaller1.exe
Adware:Adware/PortalScan Not desinfected C:\WINDOWS\SYSTEM32\HyperLinker1.exe
Adware:Adware/nCase Not desinfected C:\WINDOWS\SYSTEM32\InstaFinder_inst.exe
Adware:Adware/P2PNetworking Not desinfected C:\WINDOWS\SYSTEM32\P2P Networking v124.cpl

nach dem counterspy durchgang wurden außerdem noch über 300 infizierte registry dateien gefunden die ich dann nicht entfernen konnte... die spyware ist angeblich weg.
was kann man noch vorsorglich tun dass man so etwas nicht wieder bekommt? gibt es gute freeware? (ich benutze nur antivir und zone alarm)
kann ich die ganze spyware remove software dann löschen oder soll ich damit regelmäßig das system scannen?
Danke!

#33 SebboF

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:

C:\WINDOWS\SYSTEM32\ezPopStub.exe
C:\WINDOWS\SYSTEM32\InstaFinder_inst.exe
C:\WINDOWS\DOWNLOADED PROGRAM FILES\WebP2PInstaller.dll
C:\WINDOWS\iGator\trickler3103_pic_fs_dmpt_3103.exe
C:\WINDOWS\SYSTEM32\HLInstaller1.exe
C:\WINDOWS\SYSTEM32\HyperLinker1.exe
C:\WINDOWS\SYSTEM32\P2P Networking v124.cpl
C:\Programme\AVPersonal\INFECTED\Xhrmy.VIR
C:\WINDOWS\iNetPal\EZThemes_m3tsp8.exe
C:\Spiele\css\Counter-Strike Source gecrackt\cstrike\ChaosScriptUninstal.exe
C:\Programme\FileSubmit\Britney Spears v1\NNEZSTB3.exe
C:\Programme\FileSubmit\Britney Spears v1\NNEZTX638.exe

PC neustarten

loesche manuell:
C:\Dokumente und Einstellungen\Alle\Favoriten\Take It Here - Daily Updated Porn Links.url
C:\!KillBox\ldB0A2.tmp
C:\!KillBox\NDNuninstall6_38.exe
C:\!KillBox\svchosts.dll

Killbox
DelTree (include SubDirectories)
Man will zum Beispiel einen Ordner löschen . Nun muss man nicht alle Dateien im Ordner einzeln eingeben, sondern klickt die Option DelTree (include subdirectories).
Hierbei wird ein komplettes Archiv mitsamt der Unterordner gelöscht.

C:\PROGRAMME\GEMEINSAME DATEIEN\Totem Shared
C:\PROGRAMME\PerfectNav
C:\PROGRAMME\Power Scan
C:\WINDOWS\iLookup
C:\WINDOWS\iNetPal
C:\Programme\FileSubmit
C:\WINDOWS\iGator
C:\Spiele\css\Counter-Strike Source gecrackt

PC neustarten

ClearProg
http://www.clearprog.de/downloads.php
mit dem Tool kann man auch das java-Cache leeren...mache das bitte

so wird geloescht:
counter-67a1d5c0-6f9f2e1d.zip[Go.class]

TuneUp 2006 (30 Tage free) Shareware
http://virus-protect.org/reinigungstoolsregistry.html
wende an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner


------------------------------------------------------------------------------------------
der PC ist so verseucht, weil du:
a) auf suspekten Seiten rumsurfst, um Crac*hier nicht!* zu laden
b) P2P benutzt
__________
MfG Sabina

rund um die PC-Sicherheit

#34 Leikamoser

scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#35 alles klar! ich werde mal mehr aufpassen!
noch ein letztes: meine firewall fragt desöfteren ob ich zugriffe von "svchost.exe" zulassen soll. ich habe jedoch keine ahnung was das programm bewirkt. soll ich es zulassen oder nicht?
danke noch einmal für alles... scheint wieder super zu funktionieren!

#36 SebboF

svchost.exe ist notwendig fuer verschiedene Anwendungen, es gibt aber auch Viren, welche ungepatchte Systeme..die Sicherheitsluecken ausnutzend...befallen.

wende an:
http://virus-protect.org/windsdoorcleaner.html

Eingeschränktes Benutzerkonto/Administratorrechte unter Windows
http://virus-protect.org/administrator.html

und surfe mit mehr Vorsicht....
__________
MfG Sabina

rund um die PC-Sicherheit

#37 Hallo!
Ich bin leider auch betroffen...
hier ist meine hijackthis logfile:
Logfile of HijackThis v1.99.1
Scan saved at 10:11:17, on 28.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ASUS\ASUS Live Update\ALU.exe
C:\Programme\ASUS\Wireless Console\wcourier.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\XemiComputers\Active Desktop Calendar\ADC.exe
C:\Programme\Asus\Asus ChkMail\ChkMail.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Wolfi\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hpA3BD.tmp
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [Wireless Console] C:\Programme\ASUS\Wireless Console\wcourier.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Zshutdown] c:\sysprep\patch\sysprep.cmd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Active Desktop Calendar] C:\Programme\XemiComputers\Active Desktop Calendar\ADC.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programme\Asus\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com

O15 - Trusted Zone: http://*.billingnow.com
O15 - Trusted Zone: http://*.reliablestats.com
O15 - Trusted Zone: http://*.winantispyware.com
O15 - Trusted Zone: http://*.winantivirus.com
O15 - Trusted Zone: http://*.winantiviruspro.com
O15 - Trusted Zone: http://*.winfixer.com
O15 - Trusted Zone: http://*.winnanny.com
O15 - Trusted Zone: http://*.winsoftware.com
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

----

und die datfind dinger:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C464-1DE1

Verzeichnis von C:\WINDOWS\system32

28.11.2005 10:07 5.384 ncompat.tlb
28.11.2005 10:02 5.632 msvol.tlb
28.11.2005 10:02 20.480 hpA3BD.tmp
28.11.2005 10:02 24.064 ld9FF4.tmp
28.11.2005 10:01 35.864 vsconfig.xml
27.11.2005 19:59 1.158 wpa.dbl
25.11.2005 12:42 2 stera.job
25.11.2005 11:41 98.304 svchosts.dll
25.11.2005 11:41 4.286 ot.ico
25.11.2005 11:41 4.286 ts.ico
25.11.2005 11:41 9.732 mssearchnet.exe
25.11.2005 11:41 13.916 nvctrl.exe
24.11.2005 15:13 43.520 CmdLineExt03.dll
24.11.2005 12:41 15.461 mscornet.exe
23.11.2005 11:54 4.212 zllictbl.dat
20.11.2005 22:17 189.000 FNTCACHE.DAT
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
15.11.2005 00:34 54.960 vsutil_loc0407.dll
11.11.2005 06:00 2.377.568 MRT.exe
01.11.2005 23:01 17.212 SIntf32.dll
01.11.2005 23:01 12.067 SIntf16.dll
01.11.2005 23:01 21.840 SIntfNT.dll
01.11.2005 21:55 23.392 nscompat.tlb
01.11.2005 21:55 16.832 amcompat.tlb
25.10.2005 17:17 3.778 qtplugin.log
25.10.2005 12:31 311.938 perfh009.dat
25.10.2005 12:31 723.568 PerfStringBackup.INI
25.10.2005 12:31 317.168 perfh007.dat
25.10.2005 12:31 48.552 perfc007.dat
25.10.2005 12:31 40.326 perfc009.dat
24.10.2005 21:19 75 LuResult.txt
23.10.2005 22:16 0 $winnt$.inf
23.10.2005 22:04 333 $ncsp$.inf
23.10.2005 22:02 308 results.txt
23.10.2005 21:57 146.650 BuzzingBee.wav
23.10.2005 21:57 940.794 LoopyMusic.wav
23.10.2005 21:44 2.540 OEMINFO.INI
23.10.2005 21:38 2.951 CONFIG.NT

#38 jake81

es fehlen noch drei Log von der datfindbat....dann beginnt die Reinigung

Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#39 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C464-1DE1

Verzeichnis von C:\DOKUME~1\Wolfi\LOKALE~1\Temp

28.11.2005 10:02 0 saA.tmp
28.11.2005 09:09 0 sa9.tmp
27.11.2005 22:40 0 sa8.tmp
27.11.2005 22:00 0 sa7.tmp
27.11.2005 21:20 0 sa6.tmp
27.11.2005 20:40 0 sa5.tmp
27.11.2005 20:00 0 sa4.tmp
26.11.2005 10:10 0 sa3.tmp
25.11.2005 14:10 0 sa31.tmp
25.11.2005 13:34 2.930.065 sa2C.exe
25.11.2005 13:30 0 sa2C.tmp
25.11.2005 12:52 2.930.065 sa27.exe
25.11.2005 12:50 0 sa27.tmp
25.11.2005 12:29 4.592 SIntfIcn.ani
25.11.2005 12:29 20.016 SIntf32.dll
25.11.2005 12:29 12.305 SIntf16.dll
25.11.2005 12:29 24.744 SIntfNT.dll
25.11.2005 12:18 131.072 ~DFF15C.tmp
25.11.2005 12:15 0 wa6Support.log
25.11.2005 12:14 8.929.677 ~wa6psetup.exe
25.11.2005 12:10 2.930.065 sa2.exe
25.11.2005 12:06 0 sa2.tmp
25.11.2005 12:02 0 sa1.tmp
24.11.2005 12:16 0 CacheInfo.dnl
22.11.2005 18:47 0 z785.tmp
21.11.2005 19:07 98 0FD1A8EB.TMP
15.11.2005 19:24 2.036 IMT1.xml
15.11.2005 19:24 426 IMT2.xml
15.11.2005 19:24 797.676 IMT3.xml
14.11.2005 21:47 2.036 IMT5.xml
14.11.2005 21:47 426 IMT6.xml
14.11.2005 21:47 797.676 IMT7.xml
07.11.2005 23:16 426 IMT5B.xml
07.11.2005 23:16 2.036 IMT5A.xml
07.11.2005 23:16 797.676 IMT5C.xml
07.11.2005 23:16 2.036 IMT49.xml
07.11.2005 23:16 797.676 IMT4B.xml
07.11.2005 23:16 426 IMT4A.xml
07.11.2005 23:15 426 IMT3E.xml
07.11.2005 23:15 797.676 IMT3F.xml
07.11.2005 23:15 2.036 IMT3D.xml
07.11.2005 23:15 426 IMT35.xml
07.11.2005 23:15 797.676 IMT36.xml
07.11.2005 23:15 2.036 IMT34.xml
07.11.2005 23:15 797.676 IMT33.xml
07.11.2005 23:15 426 IMT32.xml
07.11.2005 23:15 2.036 IMT31.xml
07.11.2005 23:14 2.036 IMT1C.xml
07.11.2005 23:14 797.676 IMT1E.xml
07.11.2005 23:14 426 IMT1D.xml
07.11.2005 23:14 426 IMT18.xml
07.11.2005 23:14 2.036 IMT17.xml
07.11.2005 23:14 797.676 IMT19.xml
07.11.2005 23:14 426 IMT13.xml
07.11.2005 23:14 797.676 IMT14.xml
07.11.2005 23:14 2.036 IMT12.xml
07.11.2005 22:48 426 IMTF.xml
07.11.2005 22:48 2.036 IMTE.xml
07.11.2005 22:48 797.676 IMT10.xml
03.11.2005 14:49 0 q043.tmp
03.11.2005 14:45 0 49h2.tmp
03.11.2005 14:45 0 s451.tmp
02.11.2005 14:33 36.864 CmdLineExt02.dll
01.11.2005 21:38 3.734 msiutil(1).log
01.11.2005 15:45 74 Install.log
01.11.2005 12:19 0 3CF921.dmp
31.10.2005 00:02 416.724 Microsoft Office 2003 Setup(0001)_Task(0001).txt
31.10.2005 00:02 10.111 Microsoft Office 2003 Setup(0001).txt
30.10.2005 23:59 49.984 offcln11.log
30.10.2005 23:51 29.884 ColorProfile.log
30.10.2005 23:49 852 PDFMaker.log
30.10.2005 23:48 61.952 81a1bb.mst
30.10.2005 23:48 0 ~8D.tmp
27.10.2005 13:31 426 IMTA.xml
27.10.2005 13:31 797.676 IMTB.xml
27.10.2005 13:31 2.036 IMT9.xml
25.10.2005 21:10 919.931 tmp.xpi
25.10.2005 18:31 296 temp.bat
24.10.2005 22:06 0 TSK7.tmp
24.10.2005 22:06 0 TSK4.tmp
24.10.2005 22:06 0 TSK1.tmp
24.10.2005 21:22 407 SYMDEL.bat
24.10.2005 21:22 6.279.778 Norton Internet Security 10-24-2005 3h19m45s.log
24.10.2005 21:21 3.140 LSInstall.log
24.10.2005 21:21 537 SNDunin.log
24.10.2005 21:21 75 IDSinst.LOG
24.10.2005 21:20 105.396 symcprop.dat
24.10.2005 21:19 556 SymSCLiveUpdate.dat
24.10.2005 03:20 172 AVRES_OPTRF_LiveUpdate.dat
24.10.2005 03:18 280 MSI116de.LOG
23.10.2005 21:59 1.082 tempfd076.iss
23.10.2005 21:56 7.662.214 Norton Internet Security 10-23-2005 21h53m34s.log
10.04.2005 14:48 32.847 ICQRT.dll
03.02.2005 16:30 5.739 ICQTIK.dll
16.01.2005 15:48 561.152 UIUCU2.EXE
17.12.2004 11:51 36.864 ICQInstall.exe
04.08.2004 14:00 230.400 setb2.tmp
04.08.2004 14:00 299.520 setb0.tmp
04.08.2004 14:00 237.568 setb4.tmp
04.08.2004 14:00 151.552 setb3.tmp
04.08.2004 14:00 809.984 setb1.tmp
04.08.2004 14:00 778.240 setup_wm.exe
04.08.2004 14:00 2.105.344 setb5.tmp
22.05.2003 05:49 307.200 war3_Install.exe
19.05.2001 17:04 397.312 d2l_Install.exe
06.04.2000 13:00 263.168 binkw32.dll
21.01.1999 14:40 9.728 GLF67.tmp
21.01.1999 14:40 9.728 GLF6F.tmp
21.01.1999 14:40 9.728 GLF6B.tmp
21.01.1999 14:40 9.728 GLF59.tmp
110 Datei(en) 49.354.200 Bytes
0 Verzeichnis(se), 8.069.513.216 Bytes frei
---

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C464-1DE1

Verzeichnis von C:\WINDOWS

28.11.2005 10:01 0 0.log
28.11.2005 10:01 2.048 bootstat.dat
28.11.2005 09:23 1.865.441 WindowsUpdate.log
28.11.2005 09:23 32.638 SchedLgU.Txt
25.11.2005 12:17 550.040 setupapi.log
24.11.2005 13:11 54.156 QTFont.qfn
24.11.2005 12:42 31.778 wmsetup.log
23.11.2005 22:13 1.409 QTFont.for
22.11.2005 10:03 116 NeroDigital.ini
20.11.2005 22:16 1.393 imsins.log
20.11.2005 22:16 12.640 ocmsn.log
20.11.2005 22:16 11.547 msgsocm.log
20.11.2005 22:16 91.875 tsoc.log
20.11.2005 22:16 50.981 ntdtcsetup.log
20.11.2005 22:16 86.816 comsetup.log
20.11.2005 22:16 11.885 KB896424.log
20.11.2005 22:16 222.414 FaxSetup.log
20.11.2005 22:16 35.902 iis6.log
20.11.2005 22:16 116.642 ocgen.log
20.11.2005 22:16 15.237 updspapi.log
16.11.2005 15:22 1.864 OEWABLog.txt
15.11.2005 18:00 215.536 setupact.log
08.11.2005 22:27 50 wiaservc.log
08.11.2005 22:27 216 wiadebug.log
07.11.2005 23:17 341 nsw.log
02.11.2005 08:21 60.634 War3Unin.dat
01.11.2005 23:44 31.433 DIIUnin.dat
01.11.2005 21:56 324 wmsetup10.log
01.11.2005 21:54 316.640 WMSysPr9.prx
01.11.2005 15:45 102.400 DIIUnin.exe
01.11.2005 15:45 2.829 DIIUnin.pif
31.10.2005 17:28 2.829 War3Unin.pif
31.10.2005 17:28 139.264 War3Unin.exe
31.10.2005 00:01 400 ODBC.INI
31.10.2005 00:01 573 win.ini
30.10.2005 21:55 28 nanoPEG.ini
30.10.2005 21:54 2.056 HCWPNP.INI
25.10.2005 23:45 10.154 KB893803v2.log
25.10.2005 21:10 3.257 mozver.dat
25.10.2005 17:20 8.413 KB898461.log
25.10.2005 12:29 31.169 KB899587.log
25.10.2005 12:29 1.393 imsins.BAK

24.10.2005 22:03 0 nsreg.dat
23.10.2005 22:54 99.965 UninstallFirefox.exe
23.10.2005 22:16 920.492 setuplog.txt
23.10.2005 22:13 2.741 sessmgr.setup.log
23.10.2005 22:13 641 DtcInstall.log
23.10.2005 22:11 2.750 regopt.log
23.10.2005 22:10 8.192 REGLOCS.OLD
23.10.2005 22:04 61 smscfg.ini
23.10.2005 22:02 152.299 SetupWLD.log
23.10.2005 22:01 503.808 Asus_A6_ScreenSaver.scr
23.10.2005 22:01 606.848 flashax.exe
23.10.2005 22:01 12.288 impborl.dll
23.10.2005 21:51 583 chipset.log
23.10.2005 21:49 836 SynInst.log
23.10.2005 21:44 4.015 KB888111.log
23.10.2005 21:43 849 orun32.ini
23.10.2005 21:43 197.043 orun32.isu
23.10.2005 21:38 0 control.ini
23.10.2005 21:37 4.161 ODBCINST.INI
23.10.2005 21:36 749 WindowsShell.Manifest
23.10.2005 21:35 36 vb.ini
23.10.2005 21:35 37 vbaddin.ini
23.10.2005 21:34 200 cmsetacl.log
23.10.2005 21:33 0 Sti_Trace.log
23.10.2005 21:30 231 system.ini
23.10.2005 21:30 0 setuperr.log
27.05.2005 01:22 10.752 hh.exe
25.05.2005 00:38 2.032.128 MicCal.exe
25.05.2005 00:37 14.477.312 RTHDCPL.EXE
18.05.2005 01:01 9.698.816 RTLCPL.EXE
03.05.2005 19:01 2.805.248 ALCWZRD.EXE
03.05.2005 03:43 90.112 SoundMan.exe
03.05.2005 03:43 69.632 Alcmtr.exe
16.04.2005 07:20 487.424 RtlExUpd.dll

145 Datei(en) 44.760.718 Bytes
0 Verzeichnis(se), 8.069.513.216 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C464-1DE1

Verzeichnis von C:\

28.11.2005 10:29 7.437 system.txt
28.11.2005 10:29 5.637 systemtemp.txt
28.11.2005 10:26 93.327 system32.txt
28.11.2005 10:15 0 sys.txt
28.11.2005 10:01 1.610.612.736 PAGEFILE.SYS
23.10.2005 22:16 211 boot.ini
23.10.2005 22:04 9 Finish.log
23.10.2005 21:38 0 MSDOS.SYS
23.10.2005 21:38 0 AUTOEXEC.BAT
23.10.2005 21:38 0 CONFIG.SYS
23.10.2005 21:38 0 IO.SYS
08.06.2005 20:36 524.288 A6VA.bin
07.06.2005 20:28 524.288 A6VC.bin
16.05.2005 23:49 38 RECOVERY.DAT
07.09.2004 13:21 14 XPHG_SP2.GER
04.08.2004 14:00 47.564 NTDETECT.COM
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 251.184 ntldr
05.11.2003 17:02 6 A6V.20
19 Datei(en) 1.612.071.691 Bytes
0 Verzeichnis(se), 8.069.513.216 Bytes frei
---

ich danke auch schonmal für all die mühe!
gruß,
jakob

#40 wende CleanUp an (muss leer sein:C:\DOKUME~1\Wolfi\LOKALE~1\Temp
)
http://virus-protect.org/cleanup.html

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen

http://virus-protect.org/reg/mcor.reg

-------------------------------------------------------------------
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken

reinkopieren:
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\hpA3BD.tmp
C:\WINDOWS\system32\ld9FF4.tmp
C:\WINDOWS\system32\vsconfig.xml
C:\WINDOWS\system32\stera.job
C:\WINDOWS\system32\svchosts.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mscornet.exe

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg doppelt --> fuege sie mit " ja" der Registry bei

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hpA3BD.tmp
O15 - Trusted Zone: http://*.billingnow.com
O15 - Trusted Zone: http://*.reliablestats.com
O15 - Trusted Zone: http://*.winantispyware.com
O15 - Trusted Zone: http://*.winantivirus.com
O15 - Trusted Zone: http://*.winantiviruspro.com
O15 - Trusted Zone: http://*.winfixer.com
O15 - Trusted Zone: http://*.winnanny.com
O15 - Trusted Zone: http://*.winsoftware.com

PC neustarten

smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und kopiere die Textdatei in den Thread im Sicherheitsforum

versuchen, SpyAxe zu deinstallieren

loesche mit der Killbox wie auf der Seite beschrieben : (oder loesche manuell)
http://virus-protect.org/killbox.html

DelTree (include SubDirectories)
Man will zum Beispiel einen Ordner löschen . Nun muss man nicht alle Dateien im Ordner einzeln eingeben, sondern klickt die Option DelTree (include subdirectories). Hierbei wird ein komplettes Archiv mitsamt der Unterordner gelöscht.

C:\Programme\SpyAxe
C:\WINDOWS\system32\1024

scanne mit Panda--> loesche dann manuell, was gefunden wird (poste also den scanreport )
http://virus-protect.org/onlinescan.html

----------------------------------------------------------------------------------------------------
falls SpyAxe noch in der Registry vorhanden ist

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die spyaxe.reg doppelt --> fuege sie mit " ja" der Registry bei
__________
MfG Sabina

rund um die PC-Sicherheit

#41 [quote]Hallo, irgendwie hab ich da wohl was falsch gemacht. Zuerst war es weg und nun ist er wieder da...der ist ja noch sturer wie ich...fg.

Also hier noch mal meine

Logfile of HijackThis v1.99.1
Scan saved at 15:42:13, on 28.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\TV Movie\TV Movie ClickFinder\tvtip.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOKUME~1\STEFAN~1.USE\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online_ZusatzSoftware\Virenschutz\NAV\External\NORTON\APP\NAVShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [TVTip] C:\Programme\TV Movie\TV Movie ClickFinder\tvtip.EXE /m
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Bo-Shot.lnk = C:\Programme\Bo-Shot\Bo-Shot.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Watch.lnk = C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Dan die vier Datfinder Logfils:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 28CB-CBF6

Verzeichnis von C:\

28.11.2005 15:38 0 sys.txt
28.11.2005 15:38 6.109 system.txt
28.11.2005 15:37 1.304 systemtemp.txt
28.11.2005 15:37 103.197 system32.txt
28.11.2005 15:08 1.207.959.552 pagefile.sys
27.11.2005 16:24 1.082 smitfiles.txt
27.11.2005 14:52 87.826 hpfr3740.log
17.11.2005 08:44 598 TO_InstallLog.txt
09.11.2005 19:42 19.515.336 CAPTURE.AVI
05.11.2005 18:17 640 TOnlProt.log
04.11.2005 20:28 211 boot.ini
04.11.2005 20:22 47.564 NTDETECT.COM
04.11.2005 20:22 251.184 ntldr
04.11.2005 19:54 0 CONFIG.SYS
04.11.2005 17:17 0 Schedule.Bak
03.11.2005 18:10 30 Schedule.Dat
06.05.2005 19:20 35 autoexec.bat
24.08.2004 20:07 0 MSDOS.SYS
24.08.2004 20:07 0 IO.SYS
07.11.2002 00:28 108.020 setup.ini
18.08.2001 11:00 4.952 bootfont.bin
21 Datei(en) 1.228.087.640 Bytes
0 Verzeichnis(se), 9.709.907.968 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 28CB-CBF6

Verzeichnis von C:\WINDOWS

28.11.2005 15:08 0 0.log
28.11.2005 15:08 159 wiadebug.log
28.11.2005 15:08 51 wiaservc.log
28.11.2005 15:08 2.048 bootstat.dat
28.11.2005 15:07 1.390.259 WindowsUpdate.log
28.11.2005 15:02 304.728 ntbtlog.txt
28.11.2005 15:01 32.616 SchedLgU.Txt
27.11.2005 16:25 180 setupact.log
27.11.2005 16:25 0 setuperr.log
27.11.2005 13:45 9.390 ModemLog_U.S. Robotics 56K FAX EXT.txt
27.11.2005 13:06 939 IE4 Error Log.txt
27.11.2005 12:15 3.761 setupapi.log
26.11.2005 22:14 69 NeroDigital.ini
25.11.2005 14:22 996 win.ini
17.11.2005 23:27 496 ULEAD32.INI
17.11.2005 23:27 52 Pex.INI
17.11.2005 08:43 316.640 WMSysPr9.prx
17.11.2005 08:37 219 uno.ini
16.11.2005 21:03 212.853 hpdj3740.his
16.11.2005 21:03 10.571 hpdj3740.ini
14.11.2005 21:03 1.167 cdplayer.ini
14.11.2005 20:48 238.451 hpdj3740.hi1
14.11.2005 20:48 9.072 hpdj3740.bu1
14.11.2005 20:44 9.197 hpdj3740.bu2
14.11.2005 20:44 226.554 hpdj3740.hi2
13.11.2005 14:03 0 nsreg.dat
13.11.2005 14:02 2.608 mozver.dat
10.11.2005 19:07 9.216 Thumbs.db
07.11.2005 21:09 107 telephon.ini
06.11.2005 23:05 112.128 CdaC14BA.DLL
06.11.2005 23:05 30.720 CdaC13BA.EXE
06.11.2005 14:57 45.056 NCUNINST.EXE
06.11.2005 11:56 296.640 WBDCC34I.DLL
05.11.2005 18:35 5.540 ModemLog_Standard 56000 bps Modem.txt
05.11.2005 00:01 132 winamp.ini
04.11.2005 23:19 92 CMISETUP.INI
04.11.2005 23:19 26 CMCDPLAY.INI
04.11.2005 22:40 400 ODBC.INI
04.11.2005 22:34 63 vbaddin.ini
04.11.2005 20:44 32 {3007970F-0FE2-412C-9063-71D232C3BFDC}.dat
04.11.2005 20:43 32 {1370F2DA-F1F9-42CF-B719-3DD6F0C435D7}.dat
04.11.2005 20:42 32 {7B69B508-1E83-48F6-B8CE-EF6E48A0ADCA}.dat
04.11.2005 20:41 32 {8D6037C5-5444-41FC-85F3-A4AE9A3301DB}.dat
04.11.2005 20:41 32 {D6024AE2-CF7B-411A-84E1-6BB178B2C3EE}.dat
04.11.2005 20:41 32 {716E8D77-F73D-41CB-92D8-858895B17EA2}.dat
04.11.2005 20:40 32 {E4713C7D-337D-4408-A7B1-3CBF07E06089}.dat
04.11.2005 19:58 8.192 REGLOCS.OLD
04.11.2005 19:54 0 control.ini
04.11.2005 19:54 299.552 WMSysPrx.prx
04.11.2005 19:53 4.161 ODBCINST.INI
04.11.2005 19:52 749 WindowsShell.Manifest
04.11.2005 19:50 36 vb.ini
04.11.2005 19:43 0 Sti_Trace.log
04.11.2005 19:39 231 system.ini
24.06.2005 13:22 428.032 WRServices.dll
27.05.2005 00:22 10.752 hh.exe
04.08.2004 00:58 288.768 winhlp32.exe
04.08.2004 00:58 32.866 slrundll.exe
04.08.2004 00:58 153.600 regedit.exe
04.08.2004 00:58 70.144 notepad.exe
04.08.2004 00:57 1.035.264 explorer.exe
04.08.2004 00:57 50.688 twain_32.dll
17.07.2004 11:40 19.528 002138_.tmp
17.03.2004 14:12 362 hpfins_s04_main.dat
17.03.2004 14:11 5.428 hpfmdl_s04_main.dat

Verzeichnis von C:\DOKUME~1\STEFAN~1.USE\LOKALE~1\Temp

28.11.2005 15:33 512 ~DF6F9D.tmp
28.11.2005 15:09 2.930.065 sa2.exe
28.11.2005 15:09 16.384 ~DF36B9.tmp
28.11.2005 15:09 0 sa2.tmp
28.11.2005 14:56 16.384 ~DF4553.tmp
28.11.2005 14:49 2.930.065 sa1.exe
28.11.2005 14:49 16.384 ~DF72BD.tmp
28.11.2005 14:48 0 sa1.tmp
28.11.2005 14:39 16.384 ~DF168.tmp
28.11.2005 14:35 2.930.065 sa4.exe
28.11.2005 14:34 0 sa4.tmp
28.11.2005 14:34 16.384 ~DF5386.tmp
28.11.2005 08:58 16.384 ~DFE7E1.tmp
28.11.2005 08:33 16.384 ~DFBC2A.tmp
28.11.2005 00:20 16.384 ~DF251A.tmp
27.11.2005 17:04 16.384 ~DFF519.tmp
27.11.2005 16:58 16.384 ~DF8594.tmp
27.11.2005 16:54 16.384 ~DF5BFD.tmp
27.11.2005 16:34 16.384 ~DF8372.tmp
27.11.2005 14:30 16.384 ~DFE7C2.tmp
27.11.2005 14:16 16.384 ~DF8C92.tmp
22.11.2005 00:29 98 0FD1A8EB.TMP

22 Datei(en) 9.020.181 Bytes
0 Verzeichnis(se), 9.709.907.968 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 28CB-CBF6

Verzeichnis von C:\WINDOWS\system32

28.11.2005 15:02 2.126 wpa.dbl
17.11.2005 08:56 313.968 FNTCACHE.DAT
17.11.2005 08:44 46.220 NULL
17.11.2005 08:43 23.392 nscompat.tlb
17.11.2005 08:43 16.832 amcompat.tlb
17.11.2005 08:41 383.254 perfh009.dat
17.11.2005 08:41 53.608 perfc009.dat
17.11.2005 08:41 394.500 perfh007.dat
17.11.2005 08:41 64.598 perfc007.dat
17.11.2005 08:41 880.622 PerfStringBackup.INI
10.11.2005 21:17 2.377.568 MRT.exe
10.11.2005 19:04 6.656 Thumbs.db
10.11.2005 18:41 1.854 anfysaver.html
05.11.2005 00:43 76.518 VGAunistlog.ini
05.11.2005 00:43 2.448 VGAchecklog.txt
05.11.2005 00:43 187.470 VGAsetup2.ini
05.11.2005 00:41 117.915 VGAsetup1.ini
04.11.2005 20:44 32 {0843E3C8-1A20-4D26-BC94-63868D4A6729}.dat
04.11.2005 20:43 32 {232C38BE-790C-4E1F-8C6C-112E7F3F199A}.dat
04.11.2005 20:42 32 {B34BFB41-F6B3-494F-9414-039FDDECCF07}.dat
04.11.2005 20:41 32 {798D2723-ADB4-4DE8-AC3E-86154CBEB796}.dat
04.11.2005 20:41 32 {D2E0FF8C-B0F9-4FFB-AFE4-90751D7E9A68}.dat
04.11.2005 20:41 32 {D7D18109-C681-47BA-9FA8-B6E6CC220820}.dat
04.11.2005 20:40 32 {C58423CA-A13D-4468-8F20-41A6583AC03F}.dat
04.11.2005 20:39 14 SR2.dat
04.11.2005 20:34 247 spupdwxp.log
04.11.2005 20:00 25.065 wmpscheme.xml
04.11.2005 19:57 261 $winnt$.inf
04.11.2005 19:54 2.951 CONFIG.NT
04.11.2005 19:52 488 logonui.exe.manifest
04.11.2005 19:52 488 WindowsLogon.manifest
04.11.2005 19:52 749 sapi.cpl.manifest
04.11.2005 19:52 749 nwc.cpl.manifest
04.11.2005 19:52 749 cdplayer.exe.manifest
04.11.2005 19:52 749 ncpa.cpl.manifest
04.11.2005 19:52 749 wuaucpl.cpl.manifest
04.11.2005 19:50 21.740 emptyregdb.dat
04.11.2005 19:46 0 h323log.txt
04.11.2005 16:27 534.280 LegitCheckControl.DLL
04.11.2005 16:27 23.304 GWFSPidGen.DLL
06.10.2005 04:18 280.064 gdi32.dll
__________
Danke für Eure super Unterstützung!
Lg Stefan

#42 Okto1967

Zitat

Verzeichnis von C:\DOKUME~1\STEFAN~1.USE\LOKALE~1\Temp
28.11.2005 15:33 512 ~DF6F9D.tmp
28.11.2005 15:09 2.930.065 sa2.exe <<--->>da ist er....
28.11.2005 15:09 16.384 ~DF36B9.tmp
28.11.2005 15:09 0 sa2.tmp<<--->>da ist er....
28.11.2005 14:56 16.384 ~DF4553.tmp
28.11.2005 14:49 2.930.065 sa1.exe
28.11.2005 14:49 16.384 ~DF72BD.tmp
28.11.2005 14:48 0 sa1.tmp<<--->>da ist er....
28.11.2005 14:39 16.384 ~DF168.tmp
28.11.2005 14:35 2.930.065 sa4.exe<<--->>da ist er....
28.11.2005 14:34 0 sa4.tmp<<--->>da ist er....

wende Cleanup an
http://virus-protect.org/cleanup.html

Lade SpyAxeFix.exe © noahdfear
http://virus-protect.org/artikel/tools/SpyAxeFix.exe

-->> schliesse alle anderen Programme
-->> doppeltklicken SpyAxeFix.exe
-->> SpyAxeFix map
-->> SpyAxeFix.bat
-->> wenn deas Tool abgearbeitet ist, wird der PC neustarten

kopiere die spyaxe.txt ab
__________
MfG Sabina

rund um die PC-Sicherheit

#43 mal sehen ob du dies meinst.


SpyAxeFix © by noahdfear


Microsoft Windows XP [Version 5.1.2600]

spyaxe directory present

spyaxe uninstaller present

Starting spyaxe uninstaller

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of spyaxe.exe

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 3432 'explorer.exe'


Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 3216 'rundll32.exe'


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"


lg Stefan



und hier noch der Scanbericht von ewido:

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 18:49:20, 28.11.2005
+ Report-Checksumme: C6A5C460

+ Scanergebnis:

C:\!KillBox\mssearchnet.exe -> TrojanDownloader.Zlob.bo : Gesäubert mit Backup
:mozilla.12:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\joqidhsm.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.16:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\joqidhsm.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup
:mozilla.17:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\joqidhsm.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup
:mozilla.18:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\joqidhsm.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup
:mozilla.19:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\joqidhsm.default\cookies.txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
:mozilla.20:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\joqidhsm.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.21:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\joqidhsm.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.22:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\joqidhsm.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.23:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\joqidhsm.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.24:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\joqidhsm.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.29:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\joqidhsm.default\cookies.txt -> Spyware.Cookie.Bfast : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\p2psetup.exe -> Spyware.P2PNetworking : Gesäubert mit Backup
C:\Programme\Yahoo!\Messenger\ycomp.dll -> Spyware.Yahoo : Gesäubert mit Backup


::Report Ende


Muss noch was getan werden?

Danke euch

lg Stefan.
__________
Danke für Eure super Unterstützung!
Lg Stefan

#44 hier ist die smitfiles datei:

smitRem © log file
version 2.7

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!
---

ich habe auch gar kein spyaxe mehr als programm drauf und auch nicht den windowsordner "1024" (nur 1025 und ein paar andere...)
p.s. wie merke ich dass spyaxe noch in der registry ist?

#45 jake81

Zitat

windowsordner "1024" (nur 1025 und ein paar andere...)

schreibe mit hier auf...welche es sind...dann loesche sie

Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

SpyAxe

Press 'OK'

warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
MfG Sabina

rund um die PC-Sicherheit