SpyAxe - was ist das?

#0
17.11.2005, 15:00
Member

Beiträge: 26
#1 Hallo, habe ein Problem! (Vermustlcih SpyAxe!!!)
Unten in der Taskleiste ist ein Symbol dass DAUERND (alle 3 sekunden) auch wenn ich es wegmache diese Meldung in einem kleinen gelben Info Fenster Anzeigt:

Your Computer is infected!
Windows has detected spyware infection.

Its recomment to use Special antispyware tools to prevent data loss.
Windows will now download ans Install the most up-to-date antispyware for you..

Click here to protect your Computer from Spyware.


Wenn ich daraufklicke, dann kommt eine Seite:www.spyaxe.com (oder so)
Nun muss ich das SHIT Spyware herununterladen und dannl zwingt er mich zum Kaufen (was ich natürlich nicht mache!

Ich benötige BITTE sofortige Hilfe!!!!!(habe Zone ALarm und Antivir)
Danke. Christoph
Seitenanfang Seitenende
17.11.2005, 15:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@mcedesign

Information spyaxe
http://virus-protect.org/artikel/spyware/spyaxe.html

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

CCleaner
http://virus-protect.org/temp.html
lösche alle temp-Dateien

kopiere die 4 Textdateien hier
http://virus-protect.org/datfindbat.html

-----------------------------



__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.11.2005, 15:39
Member

Themenstarter

Beiträge: 26
#3 So, hier mal das Hjackthis:
Hjackthis Anzeigen

Dann, noch was? ähm:

OK, hier die anderen Datfind Dateien:
System 32

Volume

Windows

Datei 4

Hoffe es funzt, lg Christoph
Dieser Beitrag wurde am 17.11.2005 um 16:00 Uhr von mcedesign editiert.
Seitenanfang Seitenende
18.11.2005, 10:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:

C:\WINDOWS\system32\hp7CB1.tmp
C:\WINDOWS\system32\ld7B0C.tmp

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten


O2 - BHO: HomepageBHO - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINDOWS\system32\hp7CB1.tmp

PC neustarten

loeschen, falls du es findest:
C:\Programme\SpyAxe
C:\WINDOWS\system32\1024

Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php

und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

SpyAxe

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

http://www.bleepingcomputer.com/files/regsearch.php

scanne mit panda ud poste den Scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.11.2005, 14:05
Member

Themenstarter

Beiträge: 26
#5 Also, hab das mal gemacht:
Hier der erste Scan:

www.2fast-2moped.at/test/RegSearch.txt

Und mit dem Zweiten gibt es ein kleines Problem- Funktioniert nicht!
Seitenanfang Seitenende
18.11.2005, 14:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Start--> Ausfuehren--> regedit

bearbeiten--> suchen --> SpyAxe

loesche diese Eintraege

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06506B3A-857D-431f-BE0B-038B1EC386B3}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0BFF94F7-9748-43d1-BAC4-D963351B63E7}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0C580891-CA9D-4619-BDC9-85378EB65931}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5DEB9A24-19E0-49e6-A6B2-110BC3E1062A}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E1ACE2A-8638-4775-8AA9-5C187AD40A82}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{629C4FE9-B627-4905-AF5B-AD652BB1B5C5}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{659F78EA-6FF2-40f8-8EA3-06F7418A209E}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7616A7F7-DF99-432f-870D-4AFEA0D079F4}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7EB22F36-2CCD-4003-89EE-6CF40EBC4282}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A0D06AA3-499B-4156-9FFD-0BE236F0D4E5}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B6610F1D-DA77-42c4-8300-721D9DA9D70B}

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SpyAxe

PC neustarten

Search&Destroy
http://virus-protect.org/antispytools.html
Spybot - Search && Destroy process list report,-->bitte abkopieren und posten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.11.2005, 14:20
Member

Themenstarter

Beiträge: 26
#7

Zitat

Sabina postete


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06506B3A-857D-431f-BE0B-038B1EC386B3}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0BFF94F7-9748-43d1-BAC4-D963351B63E7}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0C580891-CA9D-4619-BDC9-85378EB65931}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5DEB9A24-19E0-49e6-A6B2-110BC3E1062A}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E1ACE2A-8638-4775-8AA9-5C187AD40A82}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{629C4FE9-B627-4905-AF5B-AD652BB1B5C5}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{659F78EA-6FF2-40f8-8EA3-06F7418A209E}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7616A7F7-DF99-432f-870D-4AFEA0D079F4}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7EB22F36-2CCD-4003-89EE-6CF40EBC4282}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A0D06AA3-499B-4156-9FFD-0BE236F0D4E5}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B6610F1D-DA77-42c4-8300-721D9DA9D70B}
Ich finde CSLSID nicht! weder mit der suche noch sonst wo
Seitenanfang Seitenende
18.11.2005, 14:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 wenn du Spyaxe in die Suche eingibst...findest du noch was?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.11.2005, 14:26
Member

Themenstarter

Beiträge: 26
#9 spy Axe Backup 1 oder so irgendwas
AH, jetzt habe ich CLSID gefunden, des is ja wo anders gewesen.
lg Christoph
Seitenanfang Seitenende
18.11.2005, 14:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 loesche alle, starte den pC neu +
Search&Destroy
http://virus-protect.org/antispytools.html
Spybot - Search && Destroy process list report,-->bitte abkopieren und posten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.11.2005, 14:36
Member

Themenstarter

Beiträge: 26
#11 Mhm, einträge sind jetzt gelöscht, aber dei Link
http://virus-protect.org/antispytools.html
will nicht wirklich funktionieren! weder mit IE noch mit Firefox
er lädt extrem lange, (mehr wie 3 minuten) bis das was komm!

lg Christoph
Seitenanfang Seitenende
18.11.2005, 14:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 es gibt irgendwelche probleme auf dem Server...jetzt funktioiert es wohl wieder ;)
wenn nicht:
http://www.safer-networking.org/en/download/index.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.11.2005, 14:50
Member

Themenstarter

Beiträge: 26
#13 Ok, fertig:

www.2fast-2moped.at/test/results.txt

lg Christoph
Dieser Beitrag wurde am 18.11.2005 um 16:03 Uhr von mcedesign editiert.
Seitenanfang Seitenende
24.11.2005, 12:30
...neu hier

Beiträge: 3
#14 hab dasselbe problem, und zusätzlich kann killbox wenn ich bei der letzten datei auf restart klicke keine einträge schreiben, kommt immer fehlermeldung Entrys removed by external process.

[script]
Logfile of HijackThis v1.99.1
Scan saved at 12:25:06, on 24.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Brother\Brmfcmon\BrMfimon.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\ARZT~1.GOT\LOKALE~1\Temp\Rar$EX00.032\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wcc-gilde.de.vu/
O2 - BHO: (no name) - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hp92CA.tmp
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: WoWLauncher.lnk = C:\Programme\WoWLauncher\WoWLauncher.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O20 - Winlogon Notify: gs - C:\WINDOWS\adsldpbd.dll (file missing)
O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
[/script]

Kann ebenfalls die momentan laufende anwendung auch ned abschiesen, und sie wird auch im abgesicherten Modus geladen. Die daten wie es in der oberen aleitung bei virusprotect beschrieben is sind alle da. Kann aber mit Killbox keine löschen, aufgrund des oben genannten fehlers.
Seitenanfang Seitenende
24.11.2005, 12:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Hallo arzt

CCleaner
http://virus-protect.org/temp.html
lösche alle temp-Dateien

poste bitte die 4 Textdateien...ich schau es mir mal an
http://virus-protect.org/datfindbat.html
+
das Log vom Silentrunner
http://virus-protect.org/silentrunner.html

------------------------------------------------------
Info:
O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll
C:\WINDOWS\system32\mssearchnet.exe
http://virus-protect.org/artikel/spyware/st3_dll.html
http://virus-protect.org/artikel/spyware/msresearch.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: