spyaxe!! bin infiziert!!

#16 _SharK_

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen

http://virus-protect.org/reg/mcor.reg

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Delete on Reboot / Process all in List )--> anhaken

C:\DOKUME~1\REN~1\LOKALE~1\Temp\saD.exe
C:\DOKUME~1\REN~1\LOKALE~1\Temp\saD.tmp
C:\WINDOWS\System32\svchosts.dll

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg doppelt --> fuege sie mit " ja" der Registry bei

öffne das HijackThis
-- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\System32\hp952F.tmp (file missing)

PC neustarten

scanne mit Panda--> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#17 vielen dank sabina!

bin das ding endlich los, hoffe auch nach neustart *g*

/kiss

#18 So, nun scheint der Zauber vorbei zu sein!

Vielen, vielen Dank an Sabina!

Hier die Ergebnisse:

C:\WINDOWS\system32\ld982F.tmp --> wurde nicht gefunden
C:\WINDOWS\system32\msvol.tlb --> wurde nicht gefunden
C:\WINDOWS\system32\ncompat.tlb --> wurde nicht gefunden
C:\WINDOWS\system32\hp910B.tmp --> statt dessen hp810.tmp gelöscht
C:\WINDOWS\system32\hpE84C.tmp --> wurde nicht gefunden
C:\WINDOWS\system32\ldE723.tmp --> statt dessen idD63B.tmp gelöscht
C:\WINDOWS\system32\mssearchnet.exe --> gelöscht
C:\WINDOWS\system32\nvctrl.exe --> gelöscht
C:\WINDOWS\system32\mscornet.exe --> gelöscht

Hier der Scanbericht von http://virus-protect.org/onlinescan.html :

Incident: Virus:W32/Klez.F
Status: Not desinfected
Location: E:\Schaltplaene\S O R T I E R E N ! ! !\[SPS] - Startaggregat.rar[demo.pif]

Also, einen Virus gefunden der mit der Sache wohl nichts zu tun hat. - Habe ich trotzdem sofort gelöscht.

Schade nur, dass die bezahlte Version von symantec mein Problem nicht in den Griff bekam. Auch der Firewall von WinXPpro hat versagt und auch der Hardware - Firewall des Routers ist offensichtlich den Anforderungen nicht gewachsen....

Bleibt die Frage: Wie kann man sich wirksam schützen?

Vielen, vielen Dank an Sabina!!!

PS: Nur so aus Neugier: Sabina, bist Du ein Mädchen?
PPS: Mein Bericht hat etwas länger gedauert weil der Onlinescan (1.700.000 Datein) nicht so schnell ging.

#19 hi,

also ich hatte heute auch diesen mist auf dem rechner. zum glück hatte ich hinter diesen heimtückischen windowslike-dekors der seite von spyaxe schon so was vermutet.
letztlich hatte ich das problem wie folgt behoben:

1. hijackthis gezogen
2. von hijackthis scannen und log schreiben lassen
3. auch www.hijackthis.de gehen, den log in das angezeigte fenster kopieren
und schon habe ich eine auswertung bekommen.
4. habe dann mit killbox die dateien, die böse waren gelöscht (mit reboot)
und dann noch die als unnötig angezeigten dateien von hijackthis löschen
lassen
und alles war wieder ok.
zu guter letzt noch den spybot drauf und scannen lassen.
alles ok.

#20 Dezember

Zitat

Bleibt die Frage: Wie kann man sich wirksam schützen?
Vielen, vielen Dank an Sabina!!!
PS: Nur so aus Neugier: Sabina, bist Du ein Mädchen?

auf meiner Seite finde ich folgendes zum Thema

Spywarescanner mit Guard
Trend Micro Anti-Spyware (30 Tage free)
http://virus-protect.org/microtrend.html
oder:
Microsoft Windows Antispy (free)
http://virus-protect.org/ms.html

Eingeschränktes Benutzerkonto/Administratorrechte unter Windows
http://virus-protect.org/administrator.html

Firefox
http://virus-protect.org/firefox.html

*bestimmte Seiten im Web meiden ....... *

zur letzten Frage, ich heisse Sabina und ich BIN ein Maedchen
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Vielen Dank Sabina für die zahlreichen nützlichen Links.

Ich war mir auch fast sicher, dass Du ein Mädchen bist.
Ein ziemlich kluges Mädchen und eines mit sehr solidarischer Natur.
Ich mag solche Leute und hoffe, ich kann auch mal hier helfen!

DANKE!

#22 hallo,
ich hab das alles mit killbox und so mal ausgeführt bin aber wohl noch nicht alles los geworden. ich hab allerdings auch nicht so viel ahnung von dem ganzen zeug. jedenfalls ist dat nervige blinken unten weg aber die startseite ist noch da und bei panda kam das hier raus:

Incident Status Location

Adware:adware/spyaxe Not desinfected C:\WINDOWS\system32\hpA42F.tmp
Adware:adware/spyaxe Not desinfected C:\WINDOWS\SYSTEM32\hpA42F.tmp
Adware:adware/securityerror Not desinfected C:\WINDOWS\SYSTEM32\ncompat.tlb
Adware:adware/antivirus-gold Not desinfected Windows Registry
Adware:Adware/SpyAxe Not desinfected C:\!KillBox\svchosts.dll

kann mir einer sagen was ich ganua machen muss.
bitte für doofys
danke

#23

Zitat

uwrspieler postete
hallo,
ich hab das alles mit killbox und so mal ausgeführt bin aber wohl noch nicht alles los geworden. ich hab allerdings auch nicht so viel ahnung von dem ganzen zeug. jedenfalls ist dat nervige blinken unten weg aber die startseite ist noch da und bei panda kam das hier raus:

Incident Status Location

Adware:adware/spyaxe Not desinfected C:\WINDOWS\system32\hpA42F.tmp
Adware:adware/spyaxe Not desinfected C:\WINDOWS\SYSTEM32\hpA42F.tmp
Adware:adware/securityerror Not desinfected C:\WINDOWS\SYSTEM32\ncompat.tlb
Adware:adware/antivirus-gold Not desinfected Windows Registry
Adware:Adware/SpyAxe Not desinfected C:\!KillBox\svchosts.dll

kann mir einer sagen was ich ganua machen muss.
bitte für doofys
danke

die infizierten Dateien loeschen
C:\WINDOWS\system32\hpA42F.tmp
-------------------------------------------------------------------
rechtsklick auf den Link--> Ziel speichern unter--> Du solltest jetzt auf dem Desktop diese Datei finden.

http://www.bleepingcomputer.com/files/reg/avgoldfix.reg

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken) . Die Datei avgoldfix.reg auf dem Desktop doppelt-klicken und der Registry beifügen.

-------------------------------------------------------------------
dann scanne noch mal mit kaspersky und poste den scanbericht
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#24

Zitat

Sabina postete

Zitat

uwrspieler postete
hallo,
ich hab das alles mit killbox und so mal ausgeführt bin aber wohl noch nicht alles los geworden. ich hab allerdings auch nicht so viel ahnung von dem ganzen zeug. jedenfalls ist dat nervige blinken unten weg aber die startseite ist noch da und bei panda kam das hier raus:

Incident Status Location

Adware:adware/spyaxe Not desinfected C:\WINDOWS\system32\hpA42F.tmp
Adware:adware/spyaxe Not desinfected C:\WINDOWS\SYSTEM32\hpA42F.tmp
Adware:adware/securityerror Not desinfected C:\WINDOWS\SYSTEM32\ncompat.tlb
Adware:adware/antivirus-gold Not desinfected Windows Registry
Adware:Adware/SpyAxe Not desinfected C:\!KillBox\svchosts.dll

kann mir einer sagen was ich ganua machen muss.
bitte für doofys

danke

die infizierten Dateien loeschen
C:\WINDOWS\system32\hpA42F.tmp
C:\WINDOWS\SYSTEM32\ncompat.tlb
C:\!KillBox\svchosts.dll <---
-------------------------------------------------------------------
rechtsklick auf den Link--> Ziel speichern unter--> Du solltest jetzt auf dem Desktop diese Datei finden.

http://www.bleepingcomputer.com/files/reg/avgoldfix.reg

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken) . Die Datei avgoldfix.reg auf dem Desktop doppelt-klicken und der Registry beifügen.

-------------------------------------------------------------------
dann scanne noch mal mit kaspersky und poste den scanbericht
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#25 Hi Sabina

Mein PC hatte sich ebenfalls mit diesem lästigen spyaxe infiziert und ich hatte die selben Nebenwirkungen wie auf der Seite beschrieben wurden. Zudem hatte ich auch noch den spytrooper,..... aufgelesen (gehört ja vielleicht auch alles in den gleichen Topf).

Ich surfte lange herum um eine Lösung für mein Problem zu finden. Nach zig Tagen surfen und nach dem ich dies und jenes ohne Erfolg ausprobiert hatte, gab ich meine Hoffnung schon fast auf, diese nervigen Dinger auf eine relativ einfache Art wieder loszuwerden.

Doch dann plötzlich stiess ich auf diese Seite

Ich probierte Deinen Tipp aus und siehe da, es hat funktioniert!!! Und noch besser, es war gar nicht so schwierig. Ich hatte da ein wenig meine Befürchtungen (wegen mir )..........., aber - es klappte sehr gut! Genau nach deiner Anweisung, hehe

Ich wollte einfach DANKE sagen!!! Ich bin happy, dass mein PC wieder gesund ist.

Besten Dank für die Tipps!

es grüessli
dani

#26

Zitat

Sabina postete
Dezember

1. Schritt
wende CleanUp an
http://virus-protect.org/cleanup.html

Hab ich gemacht. Die Sache hat nur leider einen Haken.....meine Outlook Express-Dateien sind irgendwie unsichtbar geworden.

Im Speicherordner der Mails sind alle Dateien für die Ordner noch so groß wie sie sein sollten, aber im OE werden nur noch leere Mails angezeigt. Der Hinweis auf Anhänge besteht nach wie vor, und auch die Ordnerstruktur ist wie sie sein sollte, aber die Mails sind komplett leer. Auch neu eingehende Mails sind "leer"....

Im Log im Speicherordner steht Folgendes:


Outlook Express 6.00.2800.1123
CLEANUP Log started at 10/24/2004 10:36:38
CLEANUP: 10:36:38 [db] C:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\Identities\{305E6FAD-87D1-4F45-BE26-F85379EBFAA0}\Microsoft\Outlook Express
CLEANUP: 10:36:39 [db] Starting Background Cleanup Cycle...
CLEANUP: 10:36:39 [db] Entwürfe.dbx, CompactAt: 20%, Wasted: 00%, File: 000060116, Records: 00000000, Allocated: 000000080, Freed: 00000000, Streams: 00000000, RemovedRead: 0, RemovedExpired: 0, JunkDeleted: 0
CLEANUP: 10:36:39 [db] Gelöschte Objekte.dbx, CompactAt: 20%, Wasted: 319%, File: 000191188, Records: 00000001, Allocated: 000016204, Freed: 00051812, Streams: 00014784, RemovedRead: 0, RemovedExpired: 0, JunkDeleted: 0
CLEANUP: 10:36:40 [db] Gesendete Objekte.dbx, CompactAt: 20%, Wasted: 00%, File: 075571312, Records: 00000458, Allocated: 075449712, Freed: 00054000, Streams: 75168720, RemovedRead: 0, RemovedExpired: 0, JunkDeleted: 0
CLEANUP: 10:36:40 [db] Postausgang.dbx, CompactAt: 20%, Wasted: 00%, File: 000060116, Records: 00000000, Allocated: 000000080, Freed: 00000000, Streams: 00000000, RemovedRead: 0, RemovedExpired: 0, JunkDeleted: 0
CLEANUP: 10:36:40 [db] Posteingang.dbx, CompactAt: 20%, Wasted: 02%, File: 069086960, Records: 00000575, Allocated: 068984144, Freed: 01834084, Streams: 66836352, RemovedRead: 0, RemovedExpired: 0, JunkDeleted: 0
CLEANUP: 10:36:40 [db] Aerzte.dbx, CompactAt: 20%, Wasted: 00%, File: 018236272, Records: 00000249, Allocated: 018108012, Freed: 00044948, Streams: 17938800, RemovedRead: 0, RemovedExpired: 0, JunkDeleted: 0
CLEANUP: 10:36:40 [db] Foren.dbx, CompactAt: 20%, Wasted: 12%, File: 000139376, Records: 00000014, Allocated: 000037072, Freed: 00004604, Streams: 00024816, RemovedRead: 0, RemovedExpired: 0, JunkDeleted: 0
CLEANUP: 10:36:40 [db] bilder.dbx, CompactAt: 20%, Wasted: 00%, File: 014756564, Records: 00000024, Allocated: 014643504, Freed: 00044388, Streams: 14627712, RemovedRead: 0, RemovedExpired: 0, JunkDeleted: 0
CLEANUP: 10:36:40 [db] Folders.dbx, CompactAt: 20%, Wasted: 28%, File: 000074720, Records: 00000010, Allocated: 000003692, Freed: 00001064, Streams: 00000000, RemovedRead: 0, RemovedExpired: 0, JunkDeleted: 0
CLEANUP: 10:36:40 [db] Pop3uidl.dbx, CompactAt: 20%, Wasted: 00%, File: 000009404, Records: 00000000, Allocated: 000000000, Freed: 00000000, Streams: 00000000, RemovedRead: 0, RemovedExpired: 0, JunkDeleted: 0
CLEANUP: 10:36:41 [db] Offline.dbx, CompactAt: 20%, Wasted: 00%, File: 000009656, Records: 00000000, Allocated: 000000000, Freed: 00000000, Streams: 00000000, RemovedRead: 0, RemovedExpired: 0, JunkDeleted: 0


Hoffentlich kann mir jemand helfen die Mails wieder sichtbar zu machen....

#27 FreddyFreddy

ich weiss nicht, wie du den CleanUp angewendet hast.....ich hoffe, das Tool hat keinen Bug..in diesem Fall werde ich es von meiner seite nehmen.
Hast du es so angewendet, wie auf meiner seite erklaert ?
http://virus-protect.org/cleanup.html
__________
MfG Sabina

rund um die PC-Sicherheit

#28 Anscheinend hat das Programm tatsächlich einen Bug, im Programm-Forum tritt das Problem auch bei anderen Usern auf....

#29 FreddyFreddy

versuche es mal mit einer Systemwiederherstellung. dann berichte
__________
MfG Sabina

rund um die PC-Sicherheit

#30 hi,
mich hat spyaxe auch erwischt, habe clean up ausgeführt und poste jetzt wie beschrieben meine ergebnisse ins forum.
smitfiles.txt:
smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

spyaxe uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~

Antivirus Test Online.url


~~~ system32 folder ~~~

1024 dir
msvol.tlb
ld****.tmp
ncompat.tlb
nvctrl.exe
mscornet.exe
hp***.tmp


~~~ Icons in System32 ~~~

ts.ico
ot.ico


~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 600 'explorer.exe'
Killing PID 600 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

ld****.tmp
ncompat.tlb
nvctrl.exe
mscornet.exe
hp***.tmp


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!


und mein ergebnis von spyaxe.txt
SpyAxeFix © by noahdfear


Microsoft Windows XP [Version 5.1.2600]




Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1196 'explorer.exe'
Killing PID 1196 'explorer.exe'


Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 128 'rundll32.exe'
Killing PID 2300 'rundll32.exe'


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"


SpyAxeFix © by noahdfear


Microsoft Windows XP [Version 5.1.2600]




Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 3200 'explorer.exe'
Killing PID 3200 'explorer.exe'


Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 3896 'rundll32.exe'
Killing PID 1800 'rundll32.exe'


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"


hoffe auf hilfe.