spyaxe!! bin infiziert!! |
||
---|---|---|
#0
| ||
29.11.2005, 17:57
...neu hier
Beiträge: 1 |
||
|
||
03.12.2005, 18:22
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@Sithlord
mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen http://virus-protect.org/reg/mcor.reg KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Delete File on Reboot -- anhaken C:\WINDOWS\system32\ncompat.tlb C:\WINDOWS\system32\nvapps.xml C:\WINDOWS\system32\msvol.tlb C:\WINDOWS\system32\hp7A31.tmp C:\WINDOWS\system32\ld7A02.tmp C:\WINDOWS\system32\ts.ico C:\WINDOWS\system32\dxole32.exe C:\WINDOWS\system32\ot.ico C:\WINDOWS\system32\mssearchnet.exe C:\WINDOWS\system32\nvctrl.exe C:\WINDOWS\system32\mscornet.exe und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg doppelt --> fuege sie mit " ja" der Registry bei wende CleanUp an http://virus-protect.org/cleanup.html loesche: C:\Programme\SpyAxe C:\WINDOWS\system32\1024 C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url scanne mit Panda--> poste den scanbericht http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.12.2005, 23:06
...neu hier
Beiträge: 6 |
#3
Hallo!
Ich bin auch Opfer von dieser Sch*ß-Malware geworden. Habe alles wie beschrieben durchgeführt, bin sie aber immer noch nicht los. Hier der Scanbericht von Panda: Incident Status Location Adware:Adware/SpyAxe Not desinfected C:\WINDOWS\system32\svchosts.dll Adware:adware/spyaxe Not desinfected C:\WINDOWS\SYSTEM32\svchosts.dll Adware:adware/antivirus-gold Not desinfected Windows Registry Bitte helft mir weiter! DANKE silverman |
|
|
||
03.12.2005, 23:47
Ehrenmitglied
Beiträge: 29434 |
#4
silverman
C:\WINDOWS\system32\svchosts.dll musst du auch noch loeschen ich habe die dll im obrigen Posting nicht mit aufgefuehrt....weil sie nicht da war ------------------------------------------------------------------------------- rechtsklick auf den Link--> Ziel speichern unter--> Du solltest jetzt auf dem Desktop diese Datei finden. http://www.bleepingcomputer.com/files/reg/avgoldfix.reg Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken) . Die Datei avgoldfix.reg auf dem Desktop doppelt-klicken und der Registry beifügen. lade den Firefox : http://virus-protect.org/firefox.html Info: AntivirusGold http://virus-protect.org/artikel/spyware/antivirusgold.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.12.2005, 11:52
...neu hier
Beiträge: 6 |
#5
Hallo und schönen Sonntag allerseits
Habe gestern morgen ebenfalls diese lästige spyaxe auf dem PC vorgefunden. Habe sofort den spyaxefix installiert und dies hat anfangs geholfen nur wurde beim starten des Iexplorers immer wieder die spyaxe Seite aufgezwungen. Mit sabina's Anleitungen bin ich nun die Quälerei los....Vielen vielen Dank !!! Als ausschliesslich Word - und Internetbenutzer war dies Anfangs nicht so einfach und will hier auch einen kleinen Hinweis über die Killbox beisteuern - bei Delete on reboot habe ich in den Options: Delete on Reboot / Process all in List anklicken müssen damit er überhaupt meine kopierten Files anerkannte... Beim anschliessenden Scannen mit Panda hat er mir plötzlich eine alarmierende Meldung gebracht hier der Text - wenn mir jemand helfen könnte wie ich diesen Mist weg bekomme wäre der Sonntag gerettet :o)) Incident Status Location Adware:adware/securityerror Not desinfected C:\Documents and Settings\Marco A\Favoris\Antivirus Test Online.url Adware:adware/dealhelper Not desinfected C:\WINDOWS\AppsInstalled.htm Adware:adware/cws.ns3 Not desinfected Windows Registry Spyware:Spyware/Fstb Not desinfected C:\jbond.chm[htm2chm_explorer] Dialerialer.NE Not desinfected C:\jbond.chm[d_jbond.exe] Adware:Adware/DealHelper Not desinfected C:\WINDOWS\DHP.dll Nochmals riesengrossen Dank an sabina für sein Hilfe. |
|
|
||
04.12.2005, 12:48
Ehrenmitglied
Beiträge: 29434 |
#6
mariopolo
das muss auch geloescht werden: C:\Documents and Settings\Marco A\Favoris\Antivirus Test Online.url das loesche mit der Killbox: C:\WINDOWS\AppsInstalled.htm C:\jbond.chm C:\WINDOWS\DHP.dll wende CleanUp an http://virus-protect.org/cleanup.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.12.2005, 14:30
...neu hier
Beiträge: 6 |
#7
@Sabina
Vielen Dank für die schnelle und kompetente Hilfe!!! Hat alles geklappt und ich bin den Schrott jetzt los. DANKE ! ! ! silverman |
|
|
||
04.12.2005, 15:25
...neu hier
Beiträge: 5 |
#8
Hallo Forum!
Mich hat es heute auch erwischt. :-( Hier mal kurz was HijackThis dazu sagt, vielleicht kann ja jemand etwas damit anfanbgen. Ich trau mir nämlich nicht recht da was zu entfernen. Logfile of HijackThis v1.97.7 Scan saved at 15:24:30, on 04.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\GEARSec.exe C:\WINDOWS\System32\inetsrv\inetinfo.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\VeriSign\NAVI\naviagent.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\SLEE401.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe C:\WINDOWS\system32\nvctrl.exe C:\WINDOWS\system32\mssearchnet.exe C:\Programme\DATA BECKER\Safe\Safe.exe C:\WINDOWS\system32\sistray.EXE C:\Programme\Gigabyte\Gigabyte Windows Utility Manager\ET4\ET4.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Moony\moony.exe C:\Programme\Steganos Security Suite 5\spm.exe C:\Programme\Mozilla1.7.11\Mozilla.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\HP PhotoSmart\Fotonachbearbeitungssoftware\Hpi_Mon.exe C:\Programme\ScannerU\AM32.exe C:\Programme\Corel\Graphics9\Register\Remind32.exe C:\Programme\Microsoft Office\Office\OUTLOOK.EXE C:\Programme\Norton AntiVirus\OPScan.exe C:\Programme\Messenger\msmsgs.exe F:\SoftwareUnterstüzung\ALLE\hijackthis1977\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll (file missing) O2 - BHO: (no name) - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hpE84C.tmp O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll (file missing) O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file) O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [DATA BECKER Safe] C:\Programme\DATA BECKER\Safe\Safe.exe -taskbar O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE O4 - HKLM\..\Run: [ZZZ_HPI_Boot] C:\Programme\HP PhotoSmart\Fotonachbearbeitungssoftware\HPI_Boot.EXE O4 - HKLM\..\Run: [EasyTuneIV] C:\Programme\Gigabyte\Gigabyte Windows Utility Manager\ET4\ET4.EXE O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [Moony] "C:\Programme\Moony\moony.exe" O4 - HKCU\..\Run: [SSS5SPM] "C:\Programme\Steganos Security Suite 5\spm.exe" /booting O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Mozilla1.7.11\Mozilla.exe" -turbo O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: Reminder-hpc40404.lnk = C:\Programme\HP PhotoSmart\Fotonachbearbeitungssoftware\OnLineReg\Remind32.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe O4 - Global Startup: Corel Registration.lnk = C:\Programme\Corel\Graphics9\Register\Remind32.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: Hilfe zu i-Nav (HKLM) O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav (HKLM) O9 - Extra 'Tools' menuitem: Optionen für i-Nav (HKLM) O9 - Extra button: eBay - Homepage (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (DownloadManager Control) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.3.5.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119655642078 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{372D1205-5332-4897-92F9-592A2D192A8A}: NameServer = 192.168.2.1 Vielen Dank für Eure Hilfe! |
|
|
||
04.12.2005, 15:57
Ehrenmitglied
Beiträge: 29434 |
#9
Dezember
1. Schritt wende CleanUp an http://virus-protect.org/cleanup.html 2. Schritt datfindbat--> kopiere hier die 4 Textdateien http://virus-protect.org/datfindbat.html ------------------ gesammelte Werke SpAxe http://virus-protect.org/artikel/spyware/spyaxe.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.12.2005, 16:45
...neu hier
Beiträge: 5 |
#10
Hollo und vielen Dank für die schnelle Antwort!
Hier die Daten: http://www.hempfer.de/datfind/sys.txt http://www.hempfer.de/datfind/system32.txt http://www.hempfer.de/datfind/system.txt http://www.hempfer.de/datfind/systemtemp.txt Werde mich mal weiter durchkämpfen! Vielen Dank nochmals für die freundliche Unterstützung! |
|
|
||
04.12.2005, 17:07
...neu hier
Beiträge: 5 |
#11
So, SpyAxeFix.exe © noahdfear hjat es sowie es vorerst scheint geschafft das
Ding zu entfernen. Aber es gehen immer noch seltsame Werbefenster auf. Ib der spyaxe.txt steht folgendes: ____________________________________________________ SpyAxeFix © by noahdfear Microsoft Windows XP [Version 5.1.2600] spyaxe directory present spyaxe uninstaller present Starting spyaxe uninstaller Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 548 'spyaxe.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 3460 'explorer.exe' Killing PID 3460 'explorer.exe' Killing PID 1796 'explorer.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Error, Cannot find a process with an image name of rundll32.exe svchosts.dll present 1024 directory present REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" SpyAxeFix © by noahdfear Microsoft Windows XP [Version 5.1.2600] Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 1564 'explorer.exe' Killing PID 2272 'explorer.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Error, Cannot find a process with an image name of rundll32.exe 1024 directory present REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" _____________________________________________________ Muß ich noch was machen? Freundliche Grüße |
|
|
||
04.12.2005, 17:09
Ehrenmitglied
Beiträge: 29434 |
#12
Dezember
Zitat Sabina postete __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.12.2005, 17:39
...neu hier
Beiträge: 3 |
#13
Hi,
mich hats gestern abend auch erwischt, adaware & co. helfen bisher nicht, über konkrete hilfe (welche dateien / einträge löschen) wäre ich dankbar. Hier das hijackthis-log: Logfile of HijackThis v1.99.1 Scan saved at 17:29:12, on 04.12.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\ATKKBService.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\René\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://eurarmyclan.de/wbb2/ O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\System32\hp952F.tmp (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: HPAiODevice(hp officejet d series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128621193953 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128621185125 O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - h**p://fdl.msn.com/zone/datafiles/heartbeat.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe |
|
|
||
04.12.2005, 17:50
Ehrenmitglied
Beiträge: 29434 |
#14
_SharK_
1. Schritt wende CleanUp an http://virus-protect.org/cleanup.html 2. Schritt datfindbat--> kopiere hier die 4 Textdateien http://virus-protect.org/datfindbat.html ------------------ gesammelte Werke SpAxe http://virus-protect.org/artikel/spyware/spyaxe.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.12.2005, 18:00
...neu hier
Beiträge: 3 |
#15
04.12.2005 17:16 23.773 nvapps.xml
03.12.2005 21:25 98.304 svchosts.dll 03.12.2005 19:23 2.206 wpa.dbl 09.11.2005 00:29 1.385.744 msvbvm60.dll |
|
|
||
Mich hat die Malware Spyaxe erwischt. Habe bereits eine Anleitung zum entfernen von Spyaxe gefunden. Ich habe im ersten Schritt CleanUp angewendet und dann SpyAxeFix.exe. Als nächsten Schritt soll ich die spyaxe.txt im Forum posten, keine Ahnung warum. Ich hoffe Ihr könnt mir helfen!
Hier der Inhalt der spyaxe.txt:
SpyAxeFix © by noahdfear
Microsoft Windows XP [Version 5.1.2600]
spyaxe directory present
spyaxe uninstaller present
Starting spyaxe uninstaller
Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of spyaxe.exe
Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1808 'explorer.exe'
Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 512 'rundll32.exe'
Killing PID 860 'rundll32.exe'
svchosts.dll present
1024 directory present
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
Und hier ist mein datfind.bat log ab 3 Monate:
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 9844-B400
Verzeichnis von C:\WINDOWS\system32
29.11.2005 18:02 5.384 ncompat.tlb
29.11.2005 17:56 17.145 nvapps.xml
29.11.2005 17:56 5.632 msvol.tlb
29.11.2005 17:55 20.480 hp7A31.tmp
29.11.2005 17:55 24.064 ld7A02.tmp
29.11.2005 16:32 4.286 ts.ico
29.11.2005 16:32 5.436 dxole32.exe
29.11.2005 16:32 4.286 ot.ico
29.11.2005 16:32 9.732 mssearchnet.exe
29.11.2005 16:32 13.952 nvctrl.exe
29.11.2005 16:30 14.560 mscornet.exe
27.11.2005 14:48 2.184 wpa.dbl
31.10.2005 14:55 98.304 CmdLineExt.dll
30.10.2005 09:50 39.992 perfc009.dat
30.10.2005 09:50 311.604 perfh009.dat
30.10.2005 09:50 48.156 perfc007.dat
30.10.2005 09:50 316.594 perfh007.dat
30.10.2005 09:50 723.744 PerfStringBackup.INI
smitfiles.txt:
smitRem © log file
version 2.7
by noahdfear
Microsoft Windows XP [Version 5.1.2600]
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
checking for ShudderLTD key
ShudderLTD key not present!
checking for PSGuard.com key
PSGuard.com key not present!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Existing Pre-run Files
~~~ Program Files ~~~
~~~ Shortcuts ~~~
~~~ Favorites ~~~
~~~ system32 folder ~~~
~~~ Icons in System32 ~~~
~~~ Windows directory ~~~
~~~ Drive root ~~~
~~~ Miscellaneous Files/folders ~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Remaining Post-run Files
~~~ Program Files ~~~
~~~ Shortcuts ~~~
~~~ Favorites ~~~
~~~ system32 folder ~~~
~~~ Icons in System32 ~~~
~~~ Windows directory ~~~
~~~ Drive root ~~~
~~~ Miscellaneous Files/folders ~~~
~~~ Wininet.dll ~~~
CLEAN!