SpyAxe - was ist das? |
||
---|---|---|
#0
| ||
17.11.2005, 15:00
Member
Beiträge: 26 |
||
|
||
17.11.2005, 15:02
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@mcedesign
Information spyaxe http://virus-protect.org/artikel/spyware/spyaxe.html Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" CCleaner http://virus-protect.org/temp.html lösche alle temp-Dateien kopiere die 4 Textdateien hier http://virus-protect.org/datfindbat.html ----------------------------- __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.11.2005, 15:39
Member
Themenstarter Beiträge: 26 |
||
|
||
18.11.2005, 10:50
Ehrenmitglied
Beiträge: 29434 |
#4
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html Delete File on Reboot -- anhaken reinkopieren: C:\WINDOWS\system32\hp7CB1.tmp C:\WINDOWS\system32\ld7B0C.tmp und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: HomepageBHO - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINDOWS\system32\hp7CB1.tmp PC neustarten loeschen, falls du es findest: C:\Programme\SpyAxe C:\WINDOWS\system32\1024 Download Registry Search by Bobbi Flekman http://www.bleepingcomputer.com/files/regsearch.php und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) SpyAxe in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. http://www.bleepingcomputer.com/files/regsearch.php scanne mit panda ud poste den Scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.11.2005, 14:05
Member
Themenstarter Beiträge: 26 |
#5
Also, hab das mal gemacht:
Hier der erste Scan: www.2fast-2moped.at/test/RegSearch.txt Und mit dem Zweiten gibt es ein kleines Problem- Funktioniert nicht! |
|
|
||
18.11.2005, 14:11
Ehrenmitglied
Beiträge: 29434 |
#6
Start--> Ausfuehren--> regedit
bearbeiten--> suchen --> SpyAxe loesche diese Eintraege [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06506B3A-857D-431f-BE0B-038B1EC386B3} [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0BFF94F7-9748-43d1-BAC4-D963351B63E7} [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0C580891-CA9D-4619-BDC9-85378EB65931} [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5DEB9A24-19E0-49e6-A6B2-110BC3E1062A} [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E1ACE2A-8638-4775-8AA9-5C187AD40A82} [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{629C4FE9-B627-4905-AF5B-AD652BB1B5C5} [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{659F78EA-6FF2-40f8-8EA3-06F7418A209E} [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7616A7F7-DF99-432f-870D-4AFEA0D079F4} [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7EB22F36-2CCD-4003-89EE-6CF40EBC4282} [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A0D06AA3-499B-4156-9FFD-0BE236F0D4E5} [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B6610F1D-DA77-42c4-8300-721D9DA9D70B} [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SpyAxe PC neustarten Search&Destroy http://virus-protect.org/antispytools.html Spybot - Search && Destroy process list report,-->bitte abkopieren und posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.11.2005, 14:20
Member
Themenstarter Beiträge: 26 |
#7
Zitat Sabina posteteIch finde CSLSID nicht! weder mit der suche noch sonst wo |
|
|
||
18.11.2005, 14:22
Ehrenmitglied
Beiträge: 29434 |
#8
wenn du Spyaxe in die Suche eingibst...findest du noch was?
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.11.2005, 14:26
Member
Themenstarter Beiträge: 26 |
#9
spy Axe Backup 1 oder so irgendwas
AH, jetzt habe ich CLSID gefunden, des is ja wo anders gewesen. lg Christoph |
|
|
||
18.11.2005, 14:32
Ehrenmitglied
Beiträge: 29434 |
#10
loesche alle, starte den pC neu +
Search&Destroy http://virus-protect.org/antispytools.html Spybot - Search && Destroy process list report,-->bitte abkopieren und posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.11.2005, 14:36
Member
Themenstarter Beiträge: 26 |
#11
Mhm, einträge sind jetzt gelöscht, aber dei Link
http://virus-protect.org/antispytools.html will nicht wirklich funktionieren! weder mit IE noch mit Firefox er lädt extrem lange, (mehr wie 3 minuten) bis das was komm! lg Christoph |
|
|
||
18.11.2005, 14:48
Ehrenmitglied
Beiträge: 29434 |
#12
es gibt irgendwelche probleme auf dem Server...jetzt funktioiert es wohl wieder
wenn nicht: http://www.safer-networking.org/en/download/index.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.11.2005, 14:50
Member
Themenstarter Beiträge: 26 |
#13
Ok, fertig:
www.2fast-2moped.at/test/results.txt lg Christoph Dieser Beitrag wurde am 18.11.2005 um 16:03 Uhr von mcedesign editiert.
|
|
|
||
24.11.2005, 12:30
...neu hier
Beiträge: 3 |
#14
hab dasselbe problem, und zusätzlich kann killbox wenn ich bei der letzten datei auf restart klicke keine einträge schreiben, kommt immer fehlermeldung Entrys removed by external process.
[script] Logfile of HijackThis v1.99.1 Scan saved at 12:25:06, on 24.11.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\nvctrl.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Brother\ControlCenter2\brctrcen.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\crypserv.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe C:\Programme\Brother\Brmfcmon\BrMfimon.exe C:\WINDOWS\system32\mssearchnet.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\DOKUME~1\ARZT~1.GOT\LOKALE~1\Temp\Rar$EX00.032\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wcc-gilde.de.vu/ O2 - BHO: (no name) - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hp92CA.tmp O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: WoWLauncher.lnk = C:\Programme\WoWLauncher\WoWLauncher.exe O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O20 - Winlogon Notify: gs - C:\WINDOWS\adsldpbd.dll (file missing) O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe [/script] Kann ebenfalls die momentan laufende anwendung auch ned abschiesen, und sie wird auch im abgesicherten Modus geladen. Die daten wie es in der oberen aleitung bei virusprotect beschrieben is sind alle da. Kann aber mit Killbox keine löschen, aufgrund des oben genannten fehlers. |
|
|
||
24.11.2005, 12:34
Ehrenmitglied
Beiträge: 29434 |
#15
Hallo arzt
CCleaner http://virus-protect.org/temp.html lösche alle temp-Dateien poste bitte die 4 Textdateien...ich schau es mir mal an http://virus-protect.org/datfindbat.html + das Log vom Silentrunner http://virus-protect.org/silentrunner.html ------------------------------------------------------ Info: O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll C:\WINDOWS\system32\mssearchnet.exe http://virus-protect.org/artikel/spyware/st3_dll.html http://virus-protect.org/artikel/spyware/msresearch.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Unten in der Taskleiste ist ein Symbol dass DAUERND (alle 3 sekunden) auch wenn ich es wegmache diese Meldung in einem kleinen gelben Info Fenster Anzeigt:
Your Computer is infected!
Windows has detected spyware infection.
Its recomment to use Special antispyware tools to prevent data loss.
Windows will now download ans Install the most up-to-date antispyware for you..
Click here to protect your Computer from Spyware.
Wenn ich daraufklicke, dann kommt eine Seite:www.spyaxe.com (oder so)
Nun muss ich das SHIT Spyware herununterladen und dannl zwingt er mich zum Kaufen (was ich natürlich nicht mache!
Ich benötige BITTE sofortige Hilfe!!!!!(habe Zone ALarm und Antivir)
Danke. Christoph