spyaxe!! bin infiziert!!

#1 Hallo!

Mich hat die Malware Spyaxe erwischt. Habe bereits eine Anleitung zum entfernen von Spyaxe gefunden. Ich habe im ersten Schritt CleanUp angewendet und dann SpyAxeFix.exe. Als nächsten Schritt soll ich die spyaxe.txt im Forum posten, keine Ahnung warum. Ich hoffe Ihr könnt mir helfen!

Hier der Inhalt der spyaxe.txt:

SpyAxeFix © by noahdfear


Microsoft Windows XP [Version 5.1.2600]

spyaxe directory present

spyaxe uninstaller present

Starting spyaxe uninstaller

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of spyaxe.exe

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1808 'explorer.exe'


Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 512 'rundll32.exe'
Killing PID 860 'rundll32.exe'

svchosts.dll present
1024 directory present

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"


Und hier ist mein datfind.bat log ab 3 Monate:

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 9844-B400

Verzeichnis von C:\WINDOWS\system32

29.11.2005 18:02 5.384 ncompat.tlb
29.11.2005 17:56 17.145 nvapps.xml
29.11.2005 17:56 5.632 msvol.tlb
29.11.2005 17:55 20.480 hp7A31.tmp
29.11.2005 17:55 24.064 ld7A02.tmp
29.11.2005 16:32 4.286 ts.ico
29.11.2005 16:32 5.436 dxole32.exe
29.11.2005 16:32 4.286 ot.ico
29.11.2005 16:32 9.732 mssearchnet.exe
29.11.2005 16:32 13.952 nvctrl.exe
29.11.2005 16:30 14.560 mscornet.exe
27.11.2005 14:48 2.184 wpa.dbl
31.10.2005 14:55 98.304 CmdLineExt.dll
30.10.2005 09:50 39.992 perfc009.dat
30.10.2005 09:50 311.604 perfh009.dat
30.10.2005 09:50 48.156 perfc007.dat
30.10.2005 09:50 316.594 perfh007.dat
30.10.2005 09:50 723.744 PerfStringBackup.INI

smitfiles.txt:


smitRem © log file
version 2.7

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!

#2 Hallo@Sithlord

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen

http://virus-protect.org/reg/mcor.reg

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\nvapps.xml
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\hp7A31.tmp
C:\WINDOWS\system32\ld7A02.tmp
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\dxole32.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mscornet.exe

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg doppelt --> fuege sie mit " ja" der Registry bei

wende CleanUp an
http://virus-protect.org/cleanup.html

loesche:
C:\Programme\SpyAxe
C:\WINDOWS\system32\1024
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url

scanne mit Panda--> poste den scanbericht
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo!

Ich bin auch Opfer von dieser Sch*ß-Malware geworden. Habe alles wie beschrieben durchgeführt, bin sie aber immer noch nicht los.
Hier der Scanbericht von Panda:


Incident Status Location

Adware:Adware/SpyAxe Not desinfected C:\WINDOWS\system32\svchosts.dll

Adware:adware/spyaxe Not desinfected C:\WINDOWS\SYSTEM32\svchosts.dll

Adware:adware/antivirus-gold Not desinfected Windows Registry


Bitte helft mir weiter!
DANKE

silverman

#4 silverman

C:\WINDOWS\system32\svchosts.dll musst du auch noch loeschen
ich habe die dll im obrigen Posting nicht mit aufgefuehrt....weil sie nicht da war

-------------------------------------------------------------------------------
rechtsklick auf den Link--> Ziel speichern unter-->
Du solltest jetzt auf dem Desktop diese Datei finden.

http://www.bleepingcomputer.com/files/reg/avgoldfix.reg

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken) . Die Datei avgoldfix.reg auf dem Desktop doppelt-klicken und der Registry beifügen.

lade den Firefox :
http://virus-protect.org/firefox.html

Info: AntivirusGold
http://virus-protect.org/artikel/spyware/antivirusgold.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo und schönen Sonntag allerseits

Habe gestern morgen ebenfalls diese lästige spyaxe auf dem PC vorgefunden. Habe sofort den spyaxefix installiert und dies hat anfangs geholfen nur wurde beim starten des Iexplorers immer wieder die spyaxe Seite aufgezwungen.

Mit sabina's Anleitungen bin ich nun die Quälerei los....Vielen vielen Dank !!!
Als ausschliesslich Word - und Internetbenutzer war dies Anfangs nicht so einfach und will hier auch einen kleinen Hinweis über die Killbox beisteuern - bei Delete on reboot habe ich in den Options: Delete on Reboot / Process all in List anklicken müssen damit er überhaupt meine kopierten Files anerkannte...

Beim anschliessenden Scannen mit Panda hat er mir plötzlich eine alarmierende Meldung gebracht hier der Text - wenn mir jemand helfen könnte wie ich diesen Mist weg bekomme wäre der Sonntag gerettet :o))


Incident Status Location

Adware:adware/securityerror Not desinfected C:\Documents and Settings\Marco A\Favoris\Antivirus Test Online.url
Adware:adware/dealhelper Not desinfected C:\WINDOWS\AppsInstalled.htm
Adware:adware/cws.ns3 Not desinfected Windows Registry
Spyware:Spyware/Fstb Not desinfected C:\jbond.chm[htm2chm_explorer]
Dialerialer.NE Not desinfected C:\jbond.chm[d_jbond.exe]
Adware:Adware/DealHelper Not desinfected C:\WINDOWS\DHP.dll
Nochmals riesengrossen Dank an sabina für sein Hilfe.

#6 mariopolo

das muss auch geloescht werden:
C:\Documents and Settings\Marco A\Favoris\Antivirus Test Online.url

das loesche mit der Killbox:
C:\WINDOWS\AppsInstalled.htm
C:\jbond.chm
C:\WINDOWS\DHP.dll

wende CleanUp an
http://virus-protect.org/cleanup.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 @Sabina

Vielen Dank für die schnelle und kompetente Hilfe!!!
Hat alles geklappt und ich bin den Schrott jetzt los.
DANKE ! ! !

silverman

#8 Hallo Forum!

Mich hat es heute auch erwischt. :-(

Hier mal kurz was HijackThis dazu sagt, vielleicht kann ja jemand etwas damit anfanbgen. Ich trau mir nämlich nicht recht da was zu entfernen.

Logfile of HijackThis v1.97.7
Scan saved at 15:24:30, on 04.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\SLEE401.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\Programme\DATA BECKER\Safe\Safe.exe
C:\WINDOWS\system32\sistray.EXE
C:\Programme\Gigabyte\Gigabyte Windows Utility Manager\ET4\ET4.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Moony\moony.exe
C:\Programme\Steganos Security Suite 5\spm.exe
C:\Programme\Mozilla1.7.11\Mozilla.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\HP PhotoSmart\Fotonachbearbeitungssoftware\Hpi_Mon.exe
C:\Programme\ScannerU\AM32.exe
C:\Programme\Corel\Graphics9\Register\Remind32.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Norton AntiVirus\OPScan.exe
C:\Programme\Messenger\msmsgs.exe
F:\SoftwareUnterstüzung\ALLE\hijackthis1977\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll (file missing)
O2 - BHO: (no name) - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hpE84C.tmp
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll (file missing)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DATA BECKER Safe] C:\Programme\DATA BECKER\Safe\Safe.exe -taskbar
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [ZZZ_HPI_Boot] C:\Programme\HP PhotoSmart\Fotonachbearbeitungssoftware\HPI_Boot.EXE
O4 - HKLM\..\Run: [EasyTuneIV] C:\Programme\Gigabyte\Gigabyte Windows Utility Manager\ET4\ET4.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [Moony] "C:\Programme\Moony\moony.exe"
O4 - HKCU\..\Run: [SSS5SPM] "C:\Programme\Steganos Security Suite 5\spm.exe" /booting
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Mozilla1.7.11\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Reminder-hpc40404.lnk = C:\Programme\HP PhotoSmart\Fotonachbearbeitungssoftware\OnLineReg\Remind32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe
O4 - Global Startup: Corel Registration.lnk = C:\Programme\Corel\Graphics9\Register\Remind32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Hilfe zu i-Nav (HKLM)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav (HKLM)
O9 - Extra 'Tools' menuitem: Optionen für i-Nav (HKLM)
O9 - Extra button: eBay - Homepage (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (DownloadManager Control) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.3.5.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119655642078
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{372D1205-5332-4897-92F9-592A2D192A8A}: NameServer = 192.168.2.1

Vielen Dank für Eure Hilfe!

#9 Dezember

1. Schritt
wende CleanUp an
http://virus-protect.org/cleanup.html

2. Schritt
datfindbat--> kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html

------------------
gesammelte Werke SpAxe
http://virus-protect.org/artikel/spyware/spyaxe.html
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Hollo und vielen Dank für die schnelle Antwort!

Hier die Daten:

http://www.hempfer.de/datfind/sys.txt

http://www.hempfer.de/datfind/system32.txt

http://www.hempfer.de/datfind/system.txt

http://www.hempfer.de/datfind/systemtemp.txt

Werde mich mal weiter durchkämpfen!
Vielen Dank nochmals für die freundliche Unterstützung!

#11 So, SpyAxeFix.exe © noahdfear hjat es sowie es vorerst scheint geschafft das
Ding zu entfernen. Aber es gehen immer noch seltsame Werbefenster auf.

Ib der spyaxe.txt steht folgendes:

____________________________________________________

SpyAxeFix © by noahdfear


Microsoft Windows XP [Version 5.1.2600]

spyaxe directory present

spyaxe uninstaller present

Starting spyaxe uninstaller

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 548 'spyaxe.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 3460 'explorer.exe'
Killing PID 3460 'explorer.exe'
Killing PID 1796 'explorer.exe'


Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of rundll32.exe

svchosts.dll present
1024 directory present

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"


SpyAxeFix © by noahdfear


Microsoft Windows XP [Version 5.1.2600]




Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1564 'explorer.exe'
Killing PID 2272 'explorer.exe'


Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of rundll32.exe

1024 directory present

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

_____________________________________________________

Muß ich noch was machen?

Freundliche Grüße

#12 Dezember

Zitat

Sabina postete
mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen

http://virus-protect.org/reg/mcor.reg

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\ld982F.tmp
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\hp910B.tmp
C:\WINDOWS\system32\hpE84C.tmp
C:\WINDOWS\system32\ldE723.tmp
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mscornet.exe

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg doppelt --> fuege sie mit " ja" der Registry bei

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hpE84C.tmp
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)

PC neustarten

loesche:
C:\Programme\SpyAxe
C:\WINDOWS\system32\1024
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url

scanne mit Panda--> und poste den scanbericht
http://virus-protect.org/onlinescan.html

__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hi,

mich hats gestern abend auch erwischt, adaware & co. helfen bisher nicht, über konkrete hilfe (welche dateien / einträge löschen) wäre ich dankbar. Hier das hijackthis-log:

Logfile of HijackThis v1.99.1
Scan saved at 17:29:12, on 04.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\ATKKBService.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\René\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://eurarmyclan.de/wbb2/
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\System32\hp952F.tmp (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HPAiODevice(hp officejet d series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128621193953
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128621185125
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - h**p://fdl.msn.com/zone/datafiles/heartbeat.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe

#14 _SharK_

1. Schritt
wende CleanUp an
http://virus-protect.org/cleanup.html

2. Schritt
datfindbat--> kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html

------------------
gesammelte Werke SpAxe
http://virus-protect.org/artikel/spyware/spyaxe.html
__________
MfG Sabina

rund um die PC-Sicherheit

#15 04.12.2005 17:16 23.773 nvapps.xml
03.12.2005 21:25 98.304 svchosts.dll
03.12.2005 19:23 2.206 wpa.dbl
09.11.2005 00:29 1.385.744 msvbvm60.dll