"Your system is infected with spyware" *sry*

#0
27.11.2005, 13:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 chrissi25

hast du die reg-Datei richtig angewendet?

Wenn ja...duerfte das hier nicht mehr da sein:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
ForceActiveDesktopOn 1

Gehe in die Registry und veraendere ForceActiveDesktopOn 1 --> 0
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.11.2005, 16:05
...neu hier

Themenstarter

Beiträge: 10
#17 Natürlich hab ich die reg-Datei benutzt. :o

Und der Eintrag, wie du ihn beschreibst existiert auch gar nicht. Seh selbst:

http://www.chrissi25.de/registry.jpg

LG chrissi
Seitenanfang Seitenende
27.11.2005, 18:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 komisch, dass der Eintrag vom Counterspy noch gefunden wurde....aber dann wahrscheinlich rausgeloescht... ;)

Scanne mit panda und poste den scanbericht
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.11.2005, 13:52
...neu hier

Themenstarter

Beiträge: 10
#19 Hab Panda durchchecken lassen. Hat eine Sache gefunden.

+++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++

Incident Possible Virus.

Status Not desinfected

Location C:\Dokumente und Einstellungen\User\Anwendungsdaten\Thunderbird\Profiles\h2bukfce.default\Mail\Local Folders\Inbox[crack.exe]

+++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++

Während des Scans sprang Norton an und hat gemeldet, dass es bei den tem´porären Dateien eine "crack.exe" gelöscht hätte. Hab außerdem im Mailproggi alles durchgecheckt. Papierkorb geleert etc. Danach nochmal CleanUp durchlaufen lassen.

Hat aber irgendwie alles nicht geholfen Panda hat Scan danach nochmal das gleiche gefunden (und Norton ist wieder angesprungen, mit gleicher Meldung).

Steckt das jetzt schonwieder irgendwo tiefer drin? oÔ

LG chrissi
Seitenanfang Seitenende
28.11.2005, 13:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20

Zitat

so kann man die Mail restlos aus der Inbox zu entfernen:
1. Mail aus Inbox löschen
2. Mülleimer leeren
3. Inbox komprimieren (Datei-Menü)

Hintergrund: Die gesamte Inbox ist auf der Festplatte als eine einzige Datei abgelegt. Darin stehen alle Mails untereinander, und auch die "gelöschten" Mails bleiben stehen (nur sind sie als gelöscht markiert). Erst durch das Komprimieren werden tatsächlich Teile aus der Datei entfernt. Das ist bei allen Mozilla/Netscape-Varianten gleich.
http://virus-protect.org/artikel/newsletter/deutbkfraud.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.11.2005, 14:47
...neu hier

Themenstarter

Beiträge: 10
#21 Hab ich gemacht und Panda nochmal durchlaufen lassen.

Ist nun scheinbar alles weg, hat nichts gefunden. ;)

Danke, hab super vielen Dank!!!
Seitenanfang Seitenende
30.11.2005, 11:07
...neu hier

Beiträge: 10
#22 Hallo,
habe mir scheinabr auch den Mist eingefangen. "Your System is infected"-Warnung erscheint dauernd. Wie werde ich das Ding jetzt los. Mein zusätzliches Problem ist, dass ich mich jetzt nicht mal mehr, mit meinem Compi surfen kann!!! Er kann sich zwar ins Netz einwählen, aber es werden keine Daten mehr übertragen :-(((((.
Habe das System mit HighJackThis gescannt:
Logfile of HijackThis v1.99.1
Scan saved at 21:22:02, on 29.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://signin.ebay.de/ws/eBayISAPI.dll?SignIn&UsingSSL=1&pUserId=&co_partnerId=2&siteid=
77&ru=http%3A%2F%2Fmy.ebay.de%3A80%2Fws%2FeBayISAPI.dll%3FMyeBay&pageType=1883
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hp4EDB.tmp (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CorelCorelDRAW10 Reminder] "C:\Programme\Corel\Graphics10\Register\NAVBrowser.exe" /r /i "C:\Programme\Corel\Graphics10\Register\NavLoad.ini"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ich hoffe Ihr könnt mir schnell helfen, allerdings sind meine Computer-Fähigkeiten doch recht limitiert.
Ein weiteres Problem ist, dass ich von meinem Arbeitgeber aus kommuniziernen muss. Dieser hat aber jegliche Seiten, die "download etc" enthalten gesperrt. Somit komme ich nicht an alle Software, die hier empfohlen wird.

Im Voraus schon mal vielen Dank für mögliche Hilfe!!!!

Gruss
ociii
Seitenanfang Seitenende
30.11.2005, 11:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 ociii

öffne das HijackThis -- Button "scan" -- vor den Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hp4EDB.tmp (file missing)

PC neustarten

gehe zur Systemsteuerung
--> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als datfind.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
pause

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
pause

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
pause

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
Suche auf dem Desktop die datFind.bat
doppelklick auf die bat-Datei , der Editor öffnet sich
- nun kopiere zusammen mit dem Pfad ( Verzeichnis von C:\WINDOWS\system32) ca.3 Monate ab und in deinen Thread im Sicherheitsforum.
Das schwarze DOS-Fenster ist noch geoeffnet...klicke irgendeine Taste, dann oeffnet sich wieder der Texteditor mit einem neuen log....
das machst du viermal, es sind 4 Textdateien
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.11.2005, 16:48
...neu hier

Beiträge: 10
#24 Hallo Sabina,
erst mal 1000 Dank für die schnelle Hilfe, habe Deine Anweisungen befolgt und folgende Daten erhalten:

Verzeichnis von C:\WINDOWS\system32

30.11.2005 15:22 35.874 vsconfig.xml
29.11.2005 20:46 2.206 wpa.dbl
29.11.2005 19:56 552 d3d8caps.dat
25.11.2005 17:23 8.192 Thumbs.db
24.11.2005 07:14 4.212 zllictbl.dat
23.11.2005 22:57 98.304 svchosts.dll
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
15.11.2005 00:34 54.960 vsutil_loc0407.dll
31.10.2005 13:11 312.220 perfh009.dat
31.10.2005 13:11 48.396 perfc007.dat
31.10.2005 13:11 40.224 perfc009.dat
31.10.2005 13:11 317.290 perfh007.dat
31.10.2005 13:11 725.576 PerfStringBackup.INI
06.10.2005 16:12 174.672 FNTCACHE.DAT
29.08.2005 16:22 1.044.480 roboex32.dll
29.08.2005 16:22 49.152 inetwh32.dll
12.06.2005 10:17 50 BRIDF04A.dat
11.06.2005 11:26 30 brss01a.ini
11.06.2005 11:26 184 brsvc01a.bsi
10.06.2005 08:31 102.386 VGAunistlog.ini
09.06.2005 17:36 0 h323log.txt
09.06.2005 16:45 261 $winnt$.inf
09.06.2005 16:42 2.951 CONFIG.NT
09.06.2005 16:42 16.832 amcompat.tlb
09.06.2005 16:42 23.392 nscompat.tlb
09.06.2005 16:40 488 WindowsLogon.manifest
09.06.2005 16:40 488 logonui.exe.manifest
09.06.2005 16:40 749 wuaucpl.cpl.manifest
09.06.2005 16:40 749 cdplayer.exe.manifest
09.06.2005 16:40 749 sapi.cpl.manifest
09.06.2005 16:40 749 nwc.cpl.manifest
09.06.2005 16:40 749 ncpa.cpl.manifest
09.06.2005 16:38 21.740 emptyregdb.dat
08.09.2004 10:12 24.064 msxml3a.dll

Verzeichnis von C:\DOKUME~1\Dirk\LOKALE~1\Temp

30.11.2005 15:29 147.456 ~WRF0000.tmp
30.11.2005 15:29 512 ~DF31FE.tmp
30.11.2005 15:29 512 ~DF30F1.tmp
30.11.2005 15:22 16.384 ~DF9BC4.tmp
30.11.2005 15:22 0 sa5.tmp
30.11.2005 15:22 16.384 ~DFB3B2.tmp
30.11.2005 15:22 0 vga2.tmp
30.11.2005 15:17 16.384 ~DF327F.tmp
30.11.2005 15:16 0 sa4.tmp
30.11.2005 15:16 16.384 ~DFA46C.tmp
30.11.2005 15:16 0 vga1.tmp
30.11.2005 07:44 16.384 ~DFA8CE.tmp

Verzeichnis von C:\WINDOWS

30.11.2005 15:28 362.122 WindowsUpdate.log
30.11.2005 15:22 261 wiadebug.log
30.11.2005 15:22 50 wiaservc.log
30.11.2005 15:22 0 0.log
30.11.2005 15:22 2.048 bootstat.dat
30.11.2005 15:21 32.626 SchedLgU.Txt
30.11.2005 07:46 10.796 ModemLog_Sportster MessagePlus V.90 PnP.txt
30.11.2005 07:43 403 ODBC.INI
30.11.2005 07:40 370.797 setupapi.log
29.11.2005 20:14 480.682 ntbtlog.txt
29.11.2005 19:30 182.448 setupact.log
25.11.2005 17:23 69 NeroDigital.ini
24.11.2005 22:10 15.872 Thumbs.db
17.10.2005 18:05 54.835 iis6.log
06.10.2005 16:11 231 system.ini
06.10.2005 13:58 2.393 wmsetup.log
19.08.2005 08:18 498 win.ini
12.06.2005 18:17 0 Brownie.ini
12.06.2005 18:10 231 WISO.INI
12.06.2005 17:54 468 BRWMARK.INI
11.06.2005 11:26 27 BRPP2KA.INI
10.06.2005 08:29 2.562 Ascd_tmp.ini
10.06.2005 08:26 92 CMISETUP.INI
10.06.2005 08:26 26 CMCDPLAY.INI
10.06.2005 08:26 0 Wininit.ini
09.06.2005 17:31 0 Sti_Trace.log
09.06.2005 17:28 1.348 regopt.log
09.06.2005 17:27 0 setuperr.log
09.06.2005 17:02 824.290 setuplog.txt
09.06.2005 16:55 829 OEWABLog.txt
09.06.2005 16:46 8.192 REGLOCS.OLD
09.06.2005 16:45 15.908 comsetup.log
09.06.2005 16:45 7.946 ntdtcsetup.log
09.06.2005 16:45 10.187 tsoc.log
09.06.2005 16:45 1.252 tabletoc.log
09.06.2005 16:45 4.326 imsins.log
09.06.2005 16:45 885 ocmsn.log
09.06.2005 16:42 0 control.ini
09.06.2005 16:42 316.640 WMSysPr9.prx
09.06.2005 16:42 4.161 ODBCINST.INI
09.06.2005 16:40 749 WindowsShell.Manifest
09.06.2005 16:39 1.487 MedCtrOC.log
09.06.2005 16:39 871 msgsocm.log
09.06.2005 16:39 14.732 ocgen.log
09.06.2005 16:39 11.537 FaxSetup.log
09.06.2005 16:39 1.023 sessmgr.setup.log
09.06.2005 16:39 2.790 netfxocm.log
09.06.2005 16:38 37 vbaddin.ini
09.06.2005 16:38 36 vb.ini
09.06.2005 16:38 133 DtcInstall.log
09.06.2005 16:38 10.064 msmqinst.log
09.06.2005 16:36 200 cmsetacl.log
04.08.2004 01:59 1.014.663 SET3.tmp
04.08.2004 01:55 14.043 SET8.tmp
04.08.2004 01:53 1.086.058 SET4.tmp
04.08.2004 00:58 288.768 winhlp32.exe
04.08.2004 00:58 153.600 regedit.exe
04.08.2004 00:58 70.144 NOTEPAD.EXE
04.08.2004 00:57 10.752 hh.exe
04.08.2004 00:57 1.035.264 explorer.exe
04.08.2004 00:57 50.688 twain_32.dll
11.12.2003 08:32 147.456 brunin03.dll
07.11.2003 10:39 127.681 VGAsetup.ini
24.09.2003 10:37 27.114 maxlink.ini
05.08.2003 13:23 266.240 CMIUninstall.exe
22.07.2003 10:15 225.280 CmiRmRedundDir.exe
18.10.2002 14:56 28.672 CMIRmDriver.dll
12.07.2002 11:15 106.496 SiSUSBrg.exe
02.01.2002 08:40 32.768 SIS_LIB.DLL
07.12.2001 03:11 3.583 SiSport.sys
15.11.2001 00:00 6.224 CVRPAGE.bmp
01.09.2000 09:42 9.522 Zapotek.bmp
01.09.2000 09:42 707 _default.pif
01.09.2000 09:42 34.818 wmprfDEU.prx
01.09.2000 09:42 257.568 winhelp.exe
01.09.2000 09:42 48.680 winnt.bmp
01.09.2000 09:42 48.680 winnt256.bmp
01.09.2000 09:42 18.944 vmmreg32.dll
01.09.2000 09:42 25.600 twunk_32.exe
01.09.2000 09:42 94.800 twain.dll
01.09.2000 09:42 49.680 twunk_16.exe
01.09.2000 09:42 15.872 TASKMAN.EXE
01.09.2000 09:42 2 desktop.ini
01.09.2000 09:42 65.832 Santa Fe-Stuck.bmp
01.09.2000 09:42 17.362 Rhododendron.bmp
01.09.2000 09:42 26.680 F"cher.bmp
01.09.2000 09:41 65.954 Pr"riewind.bmp
01.09.2000 09:41 1.405 msdfmap.ini
01.09.2000 09:40 17.336 Angler.bmp
01.09.2000 09:40 26.582 Granit.bmp
01.09.2000 09:40 16.730 Feder.bmp
01.09.2000 09:40 80 explorer.scf
01.09.2000 09:40 82.944 clock.avi
01.09.2000 09:40 17.062 Kaffeetasse.bmp
01.09.2000 09:39 1.272 Blaue Spitzen 16.bmp
01.09.2000 09:39 65.978 Seifenblase.bmp
11.06.1999 17:18 28.252 corelpf.lrs
21.10.1998 17:43 328.704 IsUn0407.exe

Verzeichnis von C:\

30.11.2005 15:32 0 sys.txt
30.11.2005 15:31 5.112 system.txt
30.11.2005 15:29 817 systemtemp.txt
30.11.2005 15:27 93.984 system32.txt
30.11.2005 15:22 704.643.072 pagefile.sys
29.11.2005 19:29 1.166 smitfiles.txt
28.11.2005 22:35 68.831 hpfr3600.log
09.06.2005 16:42 0 AUTOEXEC.BAT
09.06.2005 16:42 0 CONFIG.SYS
09.06.2005 16:42 0 IO.SYS
09.06.2005 16:42 0 MSDOS.SYS
09.06.2005 16:36 211 boot.ini
03.08.2004 22:59 251.184 ntldr
03.08.2004 22:38 47.564 NTDETECT.COM
01.09.2000 09:39 4.952 bootfont.bin

Ich hoffe, Du findest Deine Infos darin. Also für alles weitere Dank.

ociiii
Seitenanfang Seitenende
30.11.2005, 17:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"wininet.dll"=-
"nvctrl.exe"=-
"kernel32.dll"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\SpyAxe.EXE]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{70F17C8C-1744-41B6-9D07-575DB448DCC5}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06506B3A-857D-431f-BE0B-038B1EC386B3}\LocalServer32]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0BFF94F7-9748-43d1-BAC4-D963351B63E7}\LocalServer32]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0C580891-CA9D-4619-BDC9-85378EB65931}\LocalServer32]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53525A6C-3774-4b47-B317-BC7DFE4FC7ED}\LocalServer32]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5DEB9A24-19E0-49e6-A6B2-110BC3E1062A}\LocalServer32]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E1ACE2A-8638-4775-8AA9-5C187AD40A82}\LocalServer32]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{629C4FE9-B627-4905-AF5B-AD652BB1B5C5}\LocalServer32]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{659F78EA-6FF2-40f8-8EA3-06F7418A209E}\LocalServer32]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7616A7F7-DF99-432f-870D-4AFEA0D079F4}\LocalServer32]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7EB22F36-2CCD-4003-89EE-6CF40EBC4282}\LocalServer32]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A0D06AA3-499B-4156-9FFD-0BE236F0D4E5}\LocalServer32]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B6610F1D-DA77-42c4-8300-721D9DA9D70B}\LocalServer32]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Backup]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Backup.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.EngineListener]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.EngineListener.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Log]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Log.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.LogRecord]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.LogRecord.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Paths]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Paths.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Quarantine]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Quarantine.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.RunAs]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.RunAs.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Scanner]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Scanner.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.SearchItem]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.SearchItem.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Thread]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Thread.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2BB3BCBF-411A-4C67-8E69-F4BB301DC333}\1.0]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\spyaxe.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpyAxe"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyAxe]

[-HKEY_LOCAL_MACHINE\SOFTWARE\SpyAxe]
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken


Schritt 1
Erstelle eine Datei C:\bad

Schritt 2 :
Start - Ausführen - cmd (reinschreiben)

kopiere in das DOS-Fenster:
-- und klicke -- [enter]

move C:\WINDOWS\system32\svchosts.dll C:\bad


Schritt 3 :

C:\bad loeschen

Schritt 4
Spyaxe deinstallieren


----------------------------------
berichte bitte, ob bis hier alles funktioniert hat, also die reg-Datei und Spyaxe loeschen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.11.2005, 18:23
...neu hier

Beiträge: 10
#26 Hallo,
habe es gerade versucht, wenn ich alles richtig gemacht habe, geht es nicht. Beim Löschen meckert das System, dass svchosts.dll nicht gelöscht werden kann, da schreibgeschützt. Ich weiss, aber nicht, ob ich es richtig gemcht habe mit der fixme.reg. Nach Doppelklick werde ich - glaube ich - gefragt, ob die Datei in die Registrierung kopiert werden soll? Habe ich bejaht.

Gruss

Dirk
Seitenanfang Seitenende
30.11.2005, 20:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben, bestätigen, dann erscheit ein Notepad editor.
Oder: unter Start/Programme/Zubehör/Editor

2. kopiere diesen Code

Zitat

@ECHO OFF

attrib -s -r -h C:\WINDOWS\system32\svchosts.dll
del C:\WINDOWS\system32\svchosts.dll
exit
abspeichern als clean.bat
Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. boote den PC in den abgesicherten Modus (F8 drücken, wenn der PC hochfährt) und klicke die clean.bat

dann berichte, ob du wieder Internet hast.
dann lade:

smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.12.2005, 13:55
...neu hier

Beiträge: 10
#28 Hallo Sabina,
also Internetverbindung habe ich noch immer nicht :-(
Aber das smitRem habe ich neulich vom Arbeitsplatz laden können. Hier die smitfiles.txt-Datei:
smitRem © log file
version 2.7

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN! ;)

Oder kann das Problem mit dem Internet-Zugang an etwas anderem liegen?

Gruss und 1000 Dank

Dirk
Seitenanfang Seitenende
01.12.2005, 14:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#29 inzwischen ist der PC (anscheinend von SpyAxe geheilt) ;)
Es muss also an etwas anderem liegen.

Schau mal beim Zonealarm nach......
oder bei der Firewall vom XP.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.12.2005, 17:03
...neu hier

Beiträge: 10
#30 Ja, das nervende "Your systeme is infected" ist nicht mehr erschienen!!!!!!!
Danke!! Aber für mich ist es doch etwas mystisch, was Du mich dort hast machen lassen! Ich absolut nichts verstanden, aber scheint auf fruchtbaren Boden gestossen zu sein. Ist denn das Problem nun physikalisch behoben? Oder ist der Plagegeist nur irgendwo in Quarantäne?
Wie verhindere ich, dass das wieder passiert und wo holt man sich das?


Gruss und nochmals 10000000000000 DANKE für Deine Hilfe!


ociii
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: