spyaxe!! bin infiziert!!

#46 Hallo Sabina,

vielen Dank schon mal für Deine Hilfe.

eInastall.dat:

C:\PROGRA~1\eScan\0006c9d5.key
C:\PROGRA~1\eScan\0006c9d6.key

mslck.dat:

indexg_dateien
D:\Tools\ETrustAntivirus\English\TL\
1

Soll ich die Dateien, die Du rot gefärbt hast löschen?

Liebe Grüße
Knaller

#47 Knaller

SpyAxeFix.exe
http://virus-protect.org/artikel/tools/SpyAxeFix.exe

-->> schliesse alle anderen Programme
-->> doppeltklicken SpyAxeFix.exe
-->> SpyAxeFix.bat
-->> wenn deas Tool abgearbeitet ist, wird der PC neustarten

------------------------------------------------------------------------
mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm

http://virus-protect.org/reg/mcor.reg

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg

---------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico
C:\DOKUME~1\TREVOR~1\LOKALE~1\Temp\sa3.tmp
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mscornet.exe

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an
und klicke die

mcor.reg
spyaxe.reg

doppelt --> fuege sie mit "ja" oder "yes" der Registry bei

-----------------------------------------------------------------------
SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

Trend Micro Anti-Spyware
http://virus-protect.org/microtrend.html

deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
http://virus-protect.org/systemwiederherstellung.html

scanne mit Kaspersky und etrust --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#48 Hallo, ich hatte auch den "spyaxe" auf meinem PC, habs dann mit dem "Generic Smitfraud Remover" (Forum "Chip-online") versucht - Ergebnis: "spyaxe" scheint entfernt zu sein, aber mein PC ist nun superlangsam beim Runterfahren und starten tut er auch nur mit Nachfrage. Außerdem hab ich seitdem noch den Effekt, dass ich meine LAN-Verbindung nicht mehr "Deaktivieren" kann.

Hab mit Panda gescannt, keine Funde.

Könnt ihr mir helfen, bin ich damit hier richtig?

#49 Forthi

kopiere hier die 4 textdateien
http://virus-protect.org/datfindbat.html
+
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

(ich kann erst morgen nachsehen)
__________
MfG Sabina

rund um die PC-Sicherheit

#50 Hallo Sabina,

hat gut geklappt, läuft wieder, viiiiiielen Dank!

Liebe Grüße
Knaller

#51 Hallo Sabina, vielen Dank für die Rückmeldung ...

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9084-55E0

Verzeichnis von C:\WINDOWS\system32

14.12.2005 15:13 0 asfiles.txt
14.12.2005 15:11 2.550 Uninstall.ico
14.12.2005 15:11 1.406 Help.ico
14.12.2005 15:11 1.718 Open.ico
14.12.2005 15:11 1.406 AddQuit.ico
14.12.2005 15:11 5.350 IE.ico
14.12.2005 15:11 9.470 Desktop.ico
14.12.2005 15:11 1.718 Quick.ico
04.12.2005 14:54 2.206 wpa.dbl
28.11.2005 21:27 90.279 NULL
08.11.2005 22:52 137.256 FNTCACHE.DAT
08.11.2005 18:26 312.946 perfh009.dat
08.11.2005 18:26 40.664 perfc009.dat
08.11.2005 18:26 318.106 perfh007.dat
08.11.2005 18:26 49.028 perfc007.dat
08.11.2005 18:26 728.442 PerfStringBackup.INI
04.11.2005 16:27 534.280 LegitCheckControl.DLL
02.11.2005 06:34 2.377.568 MRT.exe
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
04.10.2005 16:26 3.013.120 mshtml.dll
26.09.2005 10:47 3.799 jupdate-1.5.0_04-b05.log
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 605.696 urlmon.dll
03.09.2005 00:53 474.112 shlwapi.dll
03.09.2005 00:53 39.424 pngfilt.dll
03.09.2005 00:53 55.808 extmgr.dll
03.09.2005 00:53 448.512 mshtmled.dll
03.09.2005 00:53 205.312 dxtrans.dll
03.09.2005 00:53 146.432 msrating.dll
03.09.2005 00:53 1.484.288 shdocvw.dll
03.09.2005 00:53 251.392 iepeers.dll
03.09.2005 00:53 96.768 inseng.dll
03.09.2005 00:53 530.432 mstime.dll
03.09.2005 00:53 1.019.904 browseui.dll
03.09.2005 00:53 152.064 cdfview.dll
03.09.2005 00:53 1.055.744 danim.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9084-55E0

Verzeichnis von C:\DOKUME~1\Falk\LOKALE~1\Temp

14.12.2005 20:15 797.676 IMT41.xml
14.12.2005 20:15 426 IMT40.xml
14.12.2005 20:15 2.036 IMT3F.xml
14.12.2005 20:11 797.676 IMT39.xml
14.12.2005 20:11 426 IMT38.xml
14.12.2005 20:11 2.036 IMT37.xml
14.12.2005 18:08 5.825 INDEX.INI
12.10.2004 11:14 57.344 InstHelp.dll
11.04.2001 17:28 54.784 set3.tmp
9 Datei(en) 1.718.229 Bytes
0 Verzeichnis(se), 2.482.122.752 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9084-55E0

Verzeichnis von C:\WINDOWS

15.12.2005 20:19 419.856 WindowsUpdate.log
15.12.2005 20:15 0 0.log
15.12.2005 20:15 1.938 SchedLgU.Txt
14.12.2005 19:06 33.652 setupapi.log
14.12.2005 19:00 116 NeroDigital.ini
14.12.2005 18:46 50 wiaservc.log
14.12.2005 18:46 216 wiadebug.log
14.12.2005 14:01 56 CoolTips.INI
14.12.2005 13:46 211 uno.ini
12.12.2005 13:42 0 Sti_Trace.log
12.12.2005 10:42 2.048 bootstat.dat
01.12.2005 18:55 1.409 QTFont.for
01.12.2005 18:55 54.156 QTFont.qfn
01.12.2005 14:56 100.482 UninstallThunderbird.exe
01.12.2005 14:56 8.967 mozver.dat
01.12.2005 14:56 704 win.ini
30.11.2005 17:42 107.132 UninstallFirefox.exe
08.11.2005 17:41 91 ChssBase.ini
04.10.2005 17:22 10 popcinfo.dat
31.07.2005 12:49 750 TomCat.INI


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9084-55E0

Verzeichnis von C:\

15.12.2005 20:20 0 sys.txt
15.12.2005 20:20 4.053 system.txt
15.12.2005 20:19 667 systemtemp.txt
15.12.2005 20:19 94.218 system32.txt
15.12.2005 20:14 1.063.407.616 hiberfil.sys
15.12.2005 20:14 1.598.029.824 pagefile.sys
28.11.2005 21:27 386 TO_InstallLog.txt
11.05.2005 08:41 211 boot.ini



Logfile of HijackThis v1.99.1
Scan saved at 20:30:06, on 15.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONALPREMIUM\AVGUARD.EXE
C:\PROGRAMME\AVPERSONALPREMIUM\AVESVC.EXE
C:\Programme\AVPersonalPremium\AVWUPSRV.EXE
C:\PROGRAMME\AVPERSONALPREMIUM\AVMAILC.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\umonit.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\Falk\Desktop\hijackthis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\umonit.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonalPremium\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106482764937
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - AntiVir PersonalProducts GmbH. - C:\PROGRAMME\AVPERSONALPREMIUM\AVMAILC.EXE
O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - AntiVir PersonalProducts GmbH - C:\PROGRAMME\AVPERSONALPREMIUM\AVGUARD.EXE
O23 - Service: AVE Service (AVEService) - AntiVir PersonalProducts GmbH - C:\PROGRAMME\AVPERSONALPREMIUM\AVESVC.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonalPremium\AVWUPSRV.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Beste Grüße
Forthi

#52 Viele Hörer und Portalbesucher von Radio VHR können ein Lied davon singen, wie hartnäckig die Malware "Spyaxe" ist.
Es gibt zwar viele sehr umständliche Methoden diesen von Hand zu entfernen, jedoch ist auch hier oft der Erolg nicht gegeben.

Wäre toll wenn wir eine Resonanz bekommen würden, ob es bei euch auch geklappt hat!

Euer Team von Radio VHR
---------------------------------------------------------------
edit by Mod

#53 Forthi

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm

http://virus-protect.org/reg/mcor.reg

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg


starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an
und klicke die

mcor.reg
spyaxe.reg

doppelt --> fuege sie mit "ja" oder "yes" der Registry bei


--------------------------------------------------------------------
loesche:C:\DOKUME~1\Falk\LOKALE~1\Temp\set3.tmp


SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und kopiere die Textdatei in den Thread
__________
MfG Sabina

rund um die PC-Sicherheit

#54 Hallo Sabina,

hat glaube ich alles funktioniert, weiß ja nich ..., aber er fährt immer noch nur mit Nachfrage und auch langsamer als vorher hoch -- ob das jetzt allerdings noch was mit meinem ursprünglichen Problem zu tun hat, weiß ich auch nicht.

Wenn das jetzt alles war, was von hier aus zu tun ist, dann bedanke ich mich echt herzlich, denn das ist schon toll, so' ne Hilfe!!!

Danke
Forthi




smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

spyaxe uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 788 'explorer.exe'
Killing PID 788 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!

#55 Forthi

scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#56 Hallo Sabina, der Scan-Report ...

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Saturday, December 17, 2005 12:40:10
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 17/12/2005
Kaspersky Anti-Virus database records: 155629
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
H:\
I:\
J:\
K:\
L:\
M:\

Scan Statistics:
Total number of scanned objects: 50226
Number of viruses found: 3
Number of infected objects: 7
Number of suspicious objects: 0
Duration of the scan process: 2668 sec

Infected Object Name - Virus Name
C:\Dokumente und Einstellungen\Falk\Anwendungsdaten\Thunderbird\Profiles\9qy1qut4.default\Mail\Local Folders\Junk/[From DEUTSCHE BANK <custservice_43@deutsche-bank.de>][Date Sat, 03 Dec 2005 22:41:16 +0300]/html Infected: Trojan-Spy.HTML.Bankfraud.li
C:\Dokumente und Einstellungen\Falk\Anwendungsdaten\Thunderbird\Profiles\9qy1qut4.default\Mail\Local Folders\Junk Infected: Trojan-Spy.HTML.Bankfraud.li
C:\Dokumente und Einstellungen\Falk\Anwendungsdaten\Thunderbird\Profiles\9qy1qut4.default\Mail\Local Folders\Trash/[From Deutsche Bank AG <custservice_ref_04076856295799@deutsche-bank.de>][Date Fri, 02 Dec 2005 15:31:36 +0500]/html Infected: Trojan-Spy.HTML.Bankfraud.ky
C:\Dokumente und Einstellungen\Falk\Anwendungsdaten\Thunderbird\Profiles\9qy1qut4.default\Mail\Local Folders\Trash/[From DEUTSCHE BANK <custservice_43@deutsche-bank.de>][Date Sat, 03 Dec 2005 22:41:16 +0300]/UNNAMED/html Infected: Trojan-Spy.HTML.Bankfraud.li
C:\Dokumente und Einstellungen\Falk\Anwendungsdaten\Thunderbird\Profiles\9qy1qut4.default\Mail\Local Folders\Trash/[From DEUTSCHE BANK <custservice_43@deutsche-bank.de>][Date Sat, 03 Dec 2005 22:41:16 +0300]/UNNAMED Infected: Trojan-Spy.HTML.Bankfraud.li
C:\Dokumente und Einstellungen\Falk\Anwendungsdaten\Thunderbird\Profiles\9qy1qut4.default\Mail\Local Folders\Trash Infected: Trojan-Spy.HTML.Bankfraud.li
C:\System Volume Information\_restore{CC989FFC-9ED8-4289-9728-206B5C84E9C2}\RP181\A0068198.exe Infected: Trojan-Downloader.Win32.Zlob.cq


Beste Grüße
Forthi

#57 hi Sabina! also ich hab hier auch das bekannte spyaxe problem und arbeite gerade deine ( http://virus-protect.org/artikel/spyware/spyaxe.html ) liste ab.
bei schritt 3 stand am ende meiner smitfiles.txt "CLEAN! "
so bin jez bei schritt 4 und poste die datfindbat sachen :

Verzeichnis von C:\WINDOWS\system32

16.12.2005 18:33 41 AuxDrv32b_g.oxc
16.12.2005 18:33 41 SndDrv32a_g.oxc
16.12.2005 18:15 2.206 wpa.dbl
14.12.2005 23:39 2 stera.job
08.12.2005 16:25 2.723.680 MRT.exe
01.12.2005 12:14 86.091 S32EVNT1.DLL
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
12.11.2005 13:18 274.968 FNTCACHE.DAT
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
03.11.2005 14:58 383.736 perfh009.dat
03.11.2005 14:58 394.958 perfh007.dat
03.11.2005 14:58 54.886 perfc009.dat
03.11.2005 14:58 65.950 perfc007.dat
03.11.2005 14:58 910.314 PerfStringBackup.INI
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 152.064 cdfview.dll
20.10.2005 23:25 1.094.144 esent.dll
13.10.2005 00:15 15.584 spmsg.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
28.09.2005 17:52 0 h323log.txt
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll
30.08.2005 04:55 1.292.800 quartz.dll
29.08.2005 12:27 520.968 LegitCheckControl.DLL
23.08.2005 04:39 124.416 umpnpmgr.dll
22.08.2005 19:31 197.632 netman.dll


Verzeichnis von C:\DOKUME~1\SRENNO~1\LOKALE~1\Temp

(leer)



Verzeichnis von C:\WINDOWS

18.12.2005 17:46 0 0.log
18.12.2005 17:46 3.922 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
18.12.2005 17:44 2.048 bootstat.dat
18.12.2005 17:43 1.915.116 WindowsUpdate.log
18.12.2005 17:42 312.297 setupact.log
18.12.2005 17:29 301.456 ntbtlog.txt
18.12.2005 17:28 32.594 SchedLgU.Txt
18.12.2005 17:16 655.706 setupapi.log
18.12.2005 16:34 1.125 Winamp.ini
16.12.2005 18:18 50 wiaservc.log
16.12.2005 18:18 214 wiadebug.log
16.12.2005 18:17 155.212 iis6.log
16.12.2005 18:17 372.779 comsetup.log
16.12.2005 18:17 237.088 ntdtcsetup.log
16.12.2005 18:17 450.546 tsoc.log
16.12.2005 18:17 1.393 imsins.log
16.12.2005 18:17 48.796 ocmsn.log
16.12.2005 18:17 18.293 KB905915.log
16.12.2005 18:17 683.239 ocgen.log
16.12.2005 18:17 59.151 msgsocm.log
16.12.2005 18:17 1.098.056 FaxSetup.log
16.12.2005 18:17 28.472 updspapi.log
16.12.2005 18:17 1.393 imsins.BAK
16.12.2005 18:17 7.228 KB910437.log
09.12.2005 17:38 34.871 wmsetup.log
28.11.2005 16:36 110.309 DirectX.log
28.11.2005 16:36 253 game.ini
11.11.2005 23:23 11.865 KB896424.log
13.10.2005 14:44 23.696 KB901017.log
13.10.2005 14:43 26.146 KB902400.log
13.10.2005 14:43 18.350 KB905414.log
13.10.2005 14:43 20.528 KB896688.log
13.10.2005 14:43 13.932 KB900725.log
13.10.2005 14:42 11.336 KB904706.log
13.10.2005 14:42 12.029 KB905749.log
30.09.2005 17:50 108.493 War3Unin.dat
26.09.2005 15:37 26 ATICIM.MIF
17.09.2005 19:42 1.541 eReg.dat
11.08.2005 18:40 17.220 KB899587.log
11.08.2005 18:40 16.720 KB899591.log
11.08.2005 18:40 16.835 KB893756.log
11.08.2005 18:40 16.180 KB896423.log
11.08.2005 18:40 16.651 KB896727.log
11.08.2005 18:39 11.867 KB899588.log



Verzeichnis von C:\

18.12.2005 18:02 0 sys.txt
18.12.2005 18:01 16.360 system.txt
18.12.2005 18:01 127 systemtemp.txt
18.12.2005 17:58 103.504 system32.txt
18.12.2005 17:44 536.399.872 hiberfil.sys
18.12.2005 17:44 804.495.360 pagefile.sys
18.12.2005 17:41 1.243 smitfiles.txt
21.02.2005 20:07 190 drwtsn32.log
17.01.2005 18:26 1.493 TDSLCheck.txt
16.01.2005 20:38 9.610 eventstorage.xml
16.01.2005 20:38 53 eventstorage.ctrl
16.01.2005 20:38 48 paused_eventstorage.ctrl
07.01.2005 20:31 211 boot.ini
07.01.2005 20:24 47.564 NTDETECT.COM
07.01.2005 20:24 251.184 ntldr
06.01.2005 19:02 102 Platform.ini
08.02.2004 14:33 773.911 KAVITABC.DAT
20.09.2003 18:12 499 IPH.PH
20.09.2003 15:50 0 IO.SYS
20.09.2003 15:50 0 CONFIG.SYS
20.09.2003 15:50 0 MSDOS.SYS
20.09.2003 15:50 0 AUTOEXEC.BAT
02.04.2003 13:00 4.952 bootfont.bin
23 Datei(en) 1.342.106.283 Bytes
0 Verzeichnis(se), 8.926.003.200 Bytes frei





wie genau muss ich jez weiter vorgehn?? also woher weiss ich was ich mit killbox entfernen muss??

#58 Forthi

so kann man die Mail restlos aus der Inbox zu entfernen:
1. Mail aus Inbox löschen
2. Mülleimer leeren
3. Inbox komprimieren (Datei-Menü)

Hintergrund: Die gesamte Inbox ist auf der Festplatte als eine einzige Datei abgelegt. Darin stehen alle Mails untereinander, und auch die "gelöschten" Mails bleiben stehen (nur sind sie als gelöscht markiert). Erst durch das Komprimieren werden tatsächlich Teile aus der Datei entfernt.

deaktiviere die systemwiederherstellung, dann aktiviere sie wieder und scanne noch mal mit kaspersky
http://virus-protect.org/systemwiederherstellung.html
__________
MfG Sabina

rund um die PC-Sicherheit

#59 Zyste

ich kann nichts mehr sehen ( ausser 14.12.2005 23:39 2 stera.job), wobei ich aber nicht mir Sicherheit weiss, wozu diese Datei gehoert. Sie ist mir schon im Zusammenhang mit spyaxe aufgefallen, aber wie gesagt, ich weiss nicht, ob sie zur malware gehoert.

Sacnne dann noch mit kaspersky und berichte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#60 ok danke erstmal, bin grad am scannen. das symbol unten rechts "Your Computer is infected" is auch weg. wegen 14.12.2005 23:39 2 stera.job , das passt zeitlich genau zum beginn des ganzen problems. bei der google suche bin ich auch immer wieder auf hilfe-threads in bezug auf spyaxe gestoßen. könnte ich das ding irgendwie mit hilfe der killbox entfernen?

hab dann noch 2 fragen und zwar hab ich im taskmanager 5mal den prozess "svchost.exe" laufen, zweimal unter SYSTEM, 2mal als Netzwerkdienst und einmal als Lokalen Dienst. Einer der unter System läuft hat eine Speicherauslastung von ~33.996K. das scheint mir irgendwie ein wenig merkwürdig...

so und zum andern hab ich seit gestern folgende Meldung wenn ich www.ebay.de besuchen möchte :
"Spybot-S&D hat erkannt, dass Sie "/DoubleClick" besuchen wollen. Dies ist eine bekannte Bedrohung. Wollen Sie diese Quelle blockieren?"
Die Meldung kommt 4-5mal, jedes mal hab ich mit JA bestätigt.
weisst du ob das was mit spyaxe zutun hat? hab mich seitdem die meldung kommt nicht mehr bei ebay eingeloggt...

ich schliess mich schonmal den anderen danksagungen an!!! DANKE!!!!