SpyAxe und weitere Probleme (hijackthis logfile liegt bei)

#31 hallo Sabina,
hier auch die Antwort von Malewareupload:

Hallo,
Wir haben Ihre Datei svchosts.dll überprüft und kamen zu folgendem
Ergebnis:
Trojan-Downloader.Spax



:-(
gruss Kappo

#32 Kappo

C:\WINDOWS\system32\svchosts.dll --> Trojan-Downloader.Spax

mich interssieren die anderen ! ..das sind Viren !!!! Nur...welche ?
C:\q250204.exe
C:\soundmx.exe
C:\ntldr.exe
C:\q.exe
C:\p.exe
C:\m.exe
C:\mssys.com
C:\winspec.dat
__________
MfG Sabina

rund um die PC-Sicherheit

#33 jimmyjonny

wende Cleanup an
http://virus-protect.org/cleanup.html

kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#34 Hallo Sabina,

vielen Dank für Deine Hilfe. ich aheb dummerweise das cleanup zuerst mit den falschen options laufen lassen :-( also 2 mal insgesamt...

hier sind die Textdateien von datfind.bat:
Volume in drive C has no label.
Volume Seri*hier nicht!* Number is C8A1-8EF7

Directory of C:\WINNT\system32

07.12.2005 13:15 5.104 ncompat.tlb
07.12.2005 12:42 5.632 msvol.tlb
07.12.2005 12:42 19.968 hp44B7.tmp
07.12.2005 12:42 24.064 ld41E6.tmp
07.12.2005 12:41 24 fwlog.txt
06.12.2005 11:26 16.384 Perflib_Perfdata_81c.dat
05.12.2005 20:01 98.304 svchosts.dll
05.12.2005 20:01 4.286 ot.ico
05.12.2005 20:01 4.286 ts.ico
05.12.2005 20:01 9.736 mssearchnet.exe
05.12.2005 20:01 13.892 nvctrl.exe
05.12.2005 14:45 14.396 mscornet.exe
01.12.2005 11:31 16.384 Perflib_Perfdata_468.dat
29.11.2005 19:47 16.384 Perflib_Perfdata_798.dat
18.11.2005 13:49 16.384 Perflib_Perfdata_684.dat
15.11.2005 13:49 768 d3d8caps.dat
15.11.2005 09:40 96.664 FNTCACHE.DAT
02.11.2005 19:19 4.322 jupdate-1.4.2_10-b03.log
02.11.2005 10:49 2.368.864 MRT.exe
02.11.2005 08:11 16.384 Perflib_Perfdata_2c4.dat
18.10.2005 12:54 1.044.480 roboex32.dll
18.10.2005 12:54 49.152 inetwh32.dll
14.10.2005 19:20 16.384 Perflib_Perfdata_654.dat
10.10.2005 16:29 61.555 jpicpl32.cpl
10.10.2005 15:09 45.163 javaw.exe
10.10.2005 15:09 45.161 java.exe
10.10.2005 00:31 13.536 spmsg.dll
07.10.2005 07:19 233.744 GDI32.DLL
07.10.2005 07:04 4.212 zllictbl.dat
06.10.2005 10:33 1.638.672 WIN32K.SYS
04.10.2005 11:19 2.700.288 MSHTML.DLL
28.09.2005 15:35 226.832 ddBACCTM.cpl
28.09.2005 15:35 751.120 Ddbaccpl.cpl
27.09.2005 17:30 16.384 Perflib_Perfdata_660.dat
25.09.2005 18:56 16.384 Perflib_Perfdata_6dc.dat
23.09.2005 12:03 1.120.016 webvw.dll

#35 die Dateien aus dem 19.Jahrhundert interessieren mich nicht so sehr....es war von max. 3Monaten die Rede...poste noch die anderen 3 Textdatein
__________
MfG Sabina

rund um die PC-Sicherheit

#36 Hallo Sabina,

sorry, hier nochmal:

07.12.2005 15:43 5.104 ncompat.tlb
07.12.2005 15:38 5.632 msvol.tlb
07.12.2005 15:38 19.968 hp5646.tmp
07.12.2005 15:38 24.064 ld52F3.tmp
07.12.2005 15:36 234 fwlog.txt
06.12.2005 11:26 16.384 Perflib_Perfdata_81c.dat
05.12.2005 20:01 98.304 svchosts.dll
05.12.2005 20:01 4.286 ot.ico
05.12.2005 20:01 4.286 ts.ico
05.12.2005 20:01 9.736 mssearchnet.exe
05.12.2005 20:01 13.892 nvctrl.exe
05.12.2005 14:45 14.396 mscornet.exe
01.12.2005 11:31 16.384 Perflib_Perfdata_468.dat
29.11.2005 19:47 16.384 Perflib_Perfdata_798.dat
18.11.2005 13:49 16.384 Perflib_Perfdata_684.dat
15.11.2005 13:49 768 d3d8caps.dat
15.11.2005 09:40 96.664 FNTCACHE.DAT
02.11.2005 19:19 4.322 jupdate-1.4.2_10-b03.log
02.11.2005 10:49 2.368.864 MRT.exe
02.11.2005 08:11 16.384 Perflib_Perfdata_2c4.dat
18.10.2005 12:54 1.044.480 roboex32.dll
18.10.2005 12:54 49.152 inetwh32.dll
14.10.2005 19:20 16.384 Perflib_Perfdata_654.dat
10.10.2005 16:29 61.555 jpicpl32.cpl
10.10.2005 15:09 45.163 javaw.exe
10.10.2005 15:09 45.161 java.exe
10.10.2005 00:31 13.536 spmsg.dll
07.10.2005 07:19 233.744 GDI32.DLL
07.10.2005 07:04 4.212 zllictbl.dat
06.10.2005 10:33 1.638.672 WIN32K.SYS
04.10.2005 11:19 2.700.288 MSHTML.DLL
28.09.2005 15:35 226.832 ddBACCTM.cpl
28.09.2005 15:35 751.120 Ddbaccpl.cpl
27.09.2005 17:30 16.384 Perflib_Perfdata_660.dat
25.09.2005 18:56 16.384 Perflib_Perfdata_6dc.dat
23.09.2005 12:03 1.120.016 webvw.dll
23.09.2005 12:03 245.008 WINSRV.DLL
23.09.2005 12:03 17.680 linkinfo.dll
23.09.2005 12:03 2.360.592 SHELL32.DLL
22.09.2005 12:18 16.384 Perflib_Perfdata_6b0.dat
12.09.2005 05:00 409.088 shlwapi.dll
05.09.2005 09:18 122.640 mtxoci.dll
05.09.2005 09:18 71.440 stclient.dll
05.09.2005 09:18 35.600 mtxlegih.dll
05.09.2005 09:18 19.216 xolehlp.dll
05.09.2005 09:18 153.872 msdtcui.dll
05.09.2005 09:18 52.496 mtxclu.dll
05.09.2005 09:18 726.288 msdtcprx.dll
05.09.2005 09:18 1.200.400 msdtctm.dll
05.09.2005 09:18 26.896 mtxdm.dll
05.09.2005 09:18 625.936 comuid.dll
05.09.2005 09:18 1.471.248 comsvcs.dll
05.09.2005 09:18 96.016 msdtclog.dll
05.09.2005 09:18 69.392 olecli32.dll
05.09.2005 09:18 97.552 comrepl.dll
05.09.2005 09:18 36.624 OLECNV32.DLL
05.09.2005 09:18 595.728 catsrvut.dll
05.09.2005 09:18 97.040 clbcatex.dll
05.09.2005 09:18 165.648 catsrv.dll
05.09.2005 09:18 41.744 colbact.dll
05.09.2005 09:18 551.184 clbcatq.dll
05.09.2005 09:18 398.608 txfaux.dll
05.09.2005 09:18 212.240 rpcss.dll
05.09.2005 09:18 242.448 es.dll
------------------

Volume in drive C has no label.
Volume Seri*hier nicht!* Number is C8A1-8EF7

Directory of C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp

07.12.2005 15:39 31.520 SALanguage.ini
07.12.2005 15:38 216 jusched.log
03.12.2005 20:58 120 0FD1A8EB.TMP
3 File(s) 31.856 bytes
0 Dir(s) 6.669.684.736 bytes free

----------------
Directory of C:\WINNT

07.12.2005 15:41 3.039 ModemLog_cFos DSL, Internet, PPPoE.txt
07.12.2005 15:36 2.081.843 WindowsUpdate.log
07.12.2005 13:25 32.556 SchedLgU.Txt
07.12.2005 13:24 1.017.628 ShellIconCache
05.12.2005 12:52 476.923 setupapi.log
05.12.2005 10:41 7.996 gte.ini
02.12.2005 17:17 942 ODBC.INI
28.11.2005 10:49 459 win.ini
23.11.2005 11:11 408 wincmd.ini
23.11.2005 11:05 321 wcx_ftp.ini
22.11.2005 10:30 60.486 CFSETUP.TXT
15.11.2005 08:26 455.462 iis5.log
15.11.2005 08:26 194.942 comsetup.log
15.11.2005 08:26 1.429 imsins.log
15.11.2005 08:26 14.093 KB896424.log
15.11.2005 08:26 166.173 ocgen.log
15.11.2005 08:26 12.955 ockodak.log
15.11.2005 08:25 50.836 updspapi.log
15.11.2005 08:25 26.972 KB904706.log
10.11.2005 15:50 87.112 DirectX.log
05.11.2005 13:22 24.292 KB905414.log
05.11.2005 13:21 23.606 KB905749.log
05.11.2005 13:20 11.014 KB896688-IE6SP1-20051004.130236.log
05.11.2005 13:19 25.239 KB902400.log
05.11.2005 13:17 15.920 KB901017.log
05.11.2005 13:16 5.344 KB904368.log
04.11.2005 13:18 14.874 KB900725.log
04.11.2005 13:16 16.726 KB899589.log
04.11.2005 13:16 3.403 KB905495-IE6SP1-20050805.184113.log
07.09.2005 12:48 2.385 ModemLog_Bluetooth Modem.txt
------------------

Volume in drive C has no label.
Volume Seri*hier nicht!* Number is C8A1-8EF7

Directory of C:\

07.12.2005 15:47 0 sys.txt
07.12.2005 15:46 8.374 system.txt
07.12.2005 15:46 383 systemtemp.txt
07.12.2005 15:44 92.607 system32.txt
07.12.2005 15:36 805.306.368 pagefile.sys
07.09.2005 13:00 137 BcBtRmv.log

Danke!

jimmyjonny

#37 REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "SpyAxe" 07.12.2005 15:55:24

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\SpyAxe.EXE]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{70F17C8C-1744-41B6-9D07-575DB448DCC5}]
@="SpyAxe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2BB3BCBF-411A-4C67-8E69-F4BB301DC333}\1.0]
@="SpyAxe 1.0 Type Library"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2BB3BCBF-411A-4C67-8E69-F4BB301DC333}\1.0\0\win32]
@="C:\\Programme\\SpyAxe\\spyaxe.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2BB3BCBF-411A-4C67-8E69-F4BB301DC333}\1.0\HELPDIR]
@="C:\\Programme\\SpyAxe\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpyAxe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpyAxe]
"item"="spyaxe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpyAxe]
"command"="C:\\Programme\\SpyAxe\\spyaxe.exe /h"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\spyaxe.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\spyaxe.exe]
@="C:\\Programme\\SpyAxe\\spyaxe.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpyAxe"="C:\\Programme\\SpyAxe\\spyaxe.exe /h"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyAxe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyAxe]
"DisplayName"="SpyAxe 3.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyAxe]
"UninstallString"="C:\\Programme\\SpyAxe\\uninst.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyAxe]
"DisplayIcon"="C:\\Programme\\SpyAxe\\spyaxe.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyAxe]
"NSIS:StartMenuDir"="SpyAxe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyAxe]
"URLInfoAbout"="http://www.spyaxe.com"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyAxe]
"Publisher"="SpyAxe"

[HKEY_LOCAL_MACHINE\SOFTWARE\SpyAxe]

[HKEY_USERS\S-1-5-21-1606980848-299502267-725345543-1003\Software\Microsoft\Search Assistant\ACMru\5603]
"001"="spyaxe"

[HKEY_USERS\S-1-5-21-1606980848-299502267-725345543-1003\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\OpenSaveMRU\*]
"j"="C:\\Dokumente und Einstellungen\\Simo\\Desktop\\SpyAxeFix.exe"

[HKEY_USERS\S-1-5-21-1606980848-299502267-725345543-1003\Software\Microsoft\Windows\CurrentVersion
\Explorer\ComDlg32\OpenSaveMRU\exe]
"i"="C:\\Dokumente und Einstellungen\\Simo\\Desktop\\SpyAxeFix.exe"

[HKEY_USERS\S-1-5-21-1606980848-299502267-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\SpyAxe]

[HKEY_USERS\S-1-5-21-1606980848-299502267-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\SpyAxe\\spyaxe.exe"="Anti-spyware software"

[HKEY_USERS\S-1-5-21-1606980848-299502267-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\DOKUME~1\\Simo\\LOKALE~1\\Temp\\sa9.exe"="SpyAxe Software Installer"

[HKEY_USERS\S-1-5-21-1606980848-299502267-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\SpyAxe\\uninst.exe"="SpyAxe Software Installer"

[HKEY_USERS\S-1-5-21-1606980848-299502267-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\DOKUME~1\\Simo\\LOKALE~1\\Temp\\~nsu.tmp\\Au_.exe"="SpyAxe Software Installer"

[HKEY_USERS\S-1-5-21-1606980848-299502267-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\DOKUME~1\\Simo\\LOKALE~1\\Temp\\sa4.exe"="SpyAxe Software Installer"

#38 simeon

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen

http://virus-protect.org/reg/mcor.reg


rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg


KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINNT\system32\ncompat.tlb
C:\WINNT\system32\msvol.tlb
C:\WINNT\system32\hp5646.tmp
C:\WINNT\system32\ld52F3.tmp
C:\WINNT\system32\fwlog.txt
C:\WINNT\system32\svchosts.dll
C:\WINNT\system32\ot.ico
C:\WINNT\system32\ts.ico
C:\WINNT\system32\mssearchnet.exe
C:\WINNT\system32\nvctrl.exe
C:\WINNT\system32\mscornet.exe

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die

mcor.reg
spyaxe.reg

doppelt --> fuege sie mit " ja" der Registry bei

------------------------------------------------------------------------------
Direktdownload SpyAxeFix.exe http://noahdfear.geekstogo.com/click%20counter/click.php?id=8

-->> schliesse alle anderen Programme
-->> doppeltklicken SpyAxeFix.exe
-->> SpyAxeFix map
-->> SpyAxeFix.bat
-->> wenn deas Tool abgearbeitet ist, wird der PC neustarten

kopiere die spyaxe.txt ab

--------------------------------------------------------------------------------
gehe in die Registry

Start-->Ausfuehren--> regedit

bearbeiten--> suchen--> spyaxe
loesche alles, was noch da ist.

zum Beispiel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpyAxe


öffne das HijackThis --> laden: http://computercops.biz/zx/Merijn/hijackthis.zip
-- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINNT\system32\hp5646.tmp
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h

pc neustarten

deinstalliere Spyaxe

loesche:
C:\Programme\SpyAxe
C:\WINNT\system32\1024
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url

wende CleanUp an
http://virus-protect.org/cleanup.html

scanne mit Kaspersky --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html

scanne mit Panda --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#39 hallo Sabina,
ich kann wie schon gesagt, die besagten Dateien nicht finden??

#40 Hallo Sabina,

bitte guck doch naochmal in meine Textdateien und gib mir einen Tipp!

Danke im Voraus
jimmyjonny

#41 jimmyjonny

Direkt download
SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
scanne und poste den scanreport

Zitat

öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

----------------------------------------------------------------------------

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen

http://virus-protect.org/reg/mcor.reg

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg

-----------------------------------------------------------------------------------
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINNT\system32\ncompat.tlb
C:\WINNT\system32\msvol.tlb
C:\WINNT\system32\hp5646.tmp
C:\WINNT\system32\hpE574.tmp
C:\WINNT\system32\ld52F3.tmp
C:\WINNT\system32\fwlog.txt
C:\WINNT\system32\svchosts.dll
C:\WINNT\system32\ot.ico
C:\WINNT\system32\ts.ico
C:\WINNT\system32\mssearchnet.exe
C:\WINNT\system32\\nvctrl.exe
C:\WINNT\system32\mscornet.exe
C:\WINNT\ShellIconCache

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die

mcor.reg
spyaxe.reg

doppelt --> fuege sie mit " ja" der Registry bei

-----------------------------------------------------------------------
öffne das HijackThis
-- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINNT\system32\hpE574.tmp
O4 - HKLM\..\Run: [SpyAxe] C:\Program Files\SpyAxe\spyaxe.exe /h

PC neustarten
------------------------------------------------------------------------------
Direktdownload SpyAxeFix.exe http://noahdfear.geekstogo.com/click%20counter/click.php?id=8

-->> schliesse alle anderen Programme
-->> doppeltklicken SpyAxeFix.exe
-->> SpyAxeFix.bat
-->> wenn deas Tool abgearbeitet ist, wird der PC neustarten

kopiere die spyaxe.txt ab

------------------------------------------------------------------
deinstalliere Spyaxe

loesche:
C:\Program Files\SpyAxe
C:\WINNT\system32\1024
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url

wende CleanUp an
http://virus-protect.org/cleanup.html

scanne mit Kaspersky --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html

scanne mit Panda --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html
__________

Zitat

ist fuer mich:.......

07.12.2005 13:24 1.017.628 ShellIconCache

Löschen Sie danach die Datei "ShellIconCache" aus dem Windowsverzeichnis und starten Sie den Rechner neu. Die Datei wird bei Bedarf automatisch wieder neu angelegt, unter Umständen geschieht dies erst beim nächsten Neustart
http://www.winfaq.de/faq_html/tip0058.htm

.

__________
MfG Sabina

rund um die PC-Sicherheit

#42 Kappo

ich brauche noch mal die datfindbat-Daten :
vom Dezember 2004 --> 12.12.2004

----------------------------------------------------------------------


SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
scanne und poste den scanreport
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread
---------------------------------------------------------------------------------

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen

http://virus-protect.org/reg/mcor.reg

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg

------------------------------------------------------------------------------
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\svchosts.dll
C:\q250204.exe
C:\soundmx.exe
C:\ntldr.exe
C:\q.exe
C:\p.exe
C:\m.exe
C:\mssys.com
C:\winspec.dat

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die

mcor.reg
spyaxe.reg

doppelt --> fuege sie mit " ja" der Registry bei

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h

PC neustarten

deinstalliere (falls es noch da ist)
SpyAxe

loesche:
C:\Programme\SpyAxe
C:\WINNT\system32\1024
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url

scanne und berichte, was gefunden wurde
http://virus-protect.org/cureit.html

Zitat

ist fuer mich (anderer PC)
C:\
01/31/2005 06:37 10.250 move_before.xml
01/31/2005 06:37 10.250 move_after.xml
01/21/2005 02:32 0 mssys.com
01/21/2005 02:32 0 m.exe
01/21/2005 02:32 0 ntldr.exe
01/21/2005 02:32 0 winspec.dat
01/21/2005 02:32 0 p.exe
01/21/2005 02:32 0 q.exe

C:\WINDOWS
01/21/2005 02:32 0 inetdata
01/21/2005 02:32 0 cvchost.exe
01/21/2005 02:32 0 rocky.exe
01/21/2005 02:32 0 runwin32.exe
01/21/2005 02:32 0 mstaskss.exe
01/21/2005 02:32 0 msstasks.exe
01/21/2005 02:32 0 mssys.com
01/21/2005 02:32 0 ntldr.exe
01/21/2005 02:32 0 system.exe

C:\WINDOWS\system32
01/21/2005 02:32 0 jac.dll
01/21/2005 02:32 0 a.exe
01/21/2005 02:32 0 mcc.exe
01/21/2005 02:32 0 services
10/22/2004 19:29 0 d3djci.dll

__________
MfG Sabina

rund um die PC-Sicherheit

#43 Hallo Sabina : - )

hier der "smitfiles.txt" :

smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SpyAxeFix © by noahdfear

spyaxe directory present

spyaxe uninstaller present

Starting spyaxe uninstaller

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~

SpyAxe


~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

svchosts.dll


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1192 'explorer.exe'
Killing PID 1192 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~

SpyAxe


~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!


~~~ Upon reboot ~~~

wininet.old present!
oleadm.dll not present!
oleext.dll not present!


~~~ Upon completion ~~~

wininet.old not present!
oleadm.dll not present!
oleext.dll not present!


~~~~ Rechecking C:\WINDOWS\system32\wininet.dll for infection ~~~~


~~~~ C:\WINDOWS\system32\wininet.dll Clean! ~~~~


Bin dann alles Punkt für Punkt durchgegangen.
Dieser Eintrag fehlte beim Scan mit HijackThis:
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h

und auch dieses brauchte ich nicht zu löschen, da es nicht vorhanden war:
C:\Programme\SpyAxe
C:\WINNT\system32\1024

den Rest hab ich gelöscht g*

Und hier das Ergebnis vom Scan (ich musste es abschreiben, da es sich nicht kopieren ließ)

BERICHT:

A0081510.dll -> Trojan.PWS.Banker.238 -> Gelöscht
A0099074.exe -> Trojan.Popuper -> Gelöscht
A0099436.dll -> Trojan.Fakealert -> Gelöscht

Anbei eine Frage, was ist eigentlich der Unterschied zwischen infizierte Datei "umbennen" und "desinfizieren" ? Es ist nämlich so, dass in dem Dr. Web Link beschrieben wird, man soll eine infizierte Datei "umbenennen"! Als ich den Dr. Web aber scannen ließ, wurde ich nicht dazu aufgefordert, Infizierte Dateien umzubennen, sondern hatte nur die eine Option zur Auswahl, diese zu "desinfizieren"..... also tat ich das auch, in der Hoffnung, dass es auf etwa das selbe hinausläuft? Bitte gib mir hierzu eine Hilfestellung, damit ich in Zukunft endlich ma Klarheit hab, denn bei meinem Antivirusprogramm (Antivir), bin ich mir auch nie sicher, was ich mit infizierten Dateien machen soll, ob löschen, umbennen, überschreiben und was es da noch so alles an Optionen gibt... ?! Keine Ahnung.

Vielen Dank dir Sabina : - )
Mfg Kappo[/u]

#44 es gibt Viren, die sollten nur desinfiziert werden oder werden umbenannt, wie: wininet.old.... und sind somit nicht mehr gefaehrlich, andere kann man gleich loeschen lassen, da es aber nicht immer moeglich ist, benennen die scanner um

ich brauche noch mal die datfindbat-Daten : (alle 4 Textdateien)
vom Dezember 2004 --> 12.12.2004

das ist wichtig
__________
MfG Sabina

rund um die PC-Sicherheit

#45 ouh mann, ich hoff ich hab die richtigen kopiert, ansonsten wird das jetzt ne sehr peinlich Nummer werden. das nämlich verdammt viel:

windows/system 32 ????
20.12.2004 19:37 53.248 pxhpinst.exe
20.12.2004 19:37 28.672 vxblock.dll
20.12.2004 19:37 319.488 pxdrv.dll
20.12.2004 19:37 286.720 pxwave.dll
20.12.2004 19:37 143.360 pxmas.dll
20.12.2004 19:37 462.848 px.dll
14.12.2004 21:53 47.610 interceptor.sys
14.12.2004 21:53 45.056 WNASPI32.DLL
12.12.2004 19:30 7.140 eInstall.dat
12.12.2004 06:09 0 mcc.exe
12.12.2004 06:09 0 d2kpax.exe
12.12.2004 06:09 0 system32.dll
12.12.2004 06:09 0 winproc32.exe
12.12.2004 06:09 0 services
12.12.2004 06:09 0 d2kpax.dll
12.12.2004 06:09 0 a.exe
12.12.2004 06:09 0 jac.dll
12.12.2004 06:09 0 bridge.dll
12.12.2004 06:09 0 msxslab.dll
07.12.2004 20:33 96.768 srvsvc.dll
02.12.2004 02:05 20.484 SystemsHook.dll
18.11.2004 22:30 249 spupdwxp.log
17.11.2004 18:42 356.352 hypertrm.dll
16.11.2004 22:17 68.608 hlink.dll
29.10.2004 18:19 278.528 mwtsp.dll
28.10.2004 02:23 729.600 lsasrv.dll
21.10.2004 15:00 626.688 contfilt.dll
08.10.2004 11:46 53.248 InstMed.exe
08.10.2004 10:55 77.824 LVCOMCX.dll
08.10.2004 10:52 258.048 LVMAENUM.dll
08.10.2004 10:52 221.184 LVCOMSX.EXE
24.09.2004 15:56 77.824 mwnsp.dll
26.08.2004 11:25 163.840 cmuda.dll
11.08.2004 20:45 9.216 asferror.dll
11.08.2004 20:45 228.352 wmerror.dll

windows ??
15.12.2004 20:55 9.842 KB885836.log
15.12.2004 20:55 9.830 KB873339.log
15.12.2004 20:55 6.102 KB886185.log
15.12.2004 20:55 10.532 KB885835.log
14.12.2004 21:59 417 MININU.LOG
13.12.2004 05:56 4.231 mailremv.log
13.12.2004 05:56 288 INST_TSP.LOG
13.12.2004 05:56 36.869 ESCAN.LOG
13.12.2004 05:52 1.203 frights.log
12.12.2004 20:57 724 MAILINST.LOG
12.12.2004 19:29 117.844 winsbak2.reg
12.12.2004 19:29 16.786 winsbak.reg
12.12.2004 06:09 0 seksdialer.exe
12.12.2004 06:09 0 inetdata
12.12.2004 06:09 0 system.exe
12.12.2004 06:09 0 dl.exe
12.12.2004 06:09 0 dlm.exe
12.12.2004 06:09 0 msstasks.exe
12.12.2004 06:09 0 mstasks1.exe
12.12.2004 06:09 0 mstaskss.exe
12.12.2004 06:09 0 msxmidi.exe
12.12.2004 06:09 0 runwin32.exe
12.12.2004 06:09 0 wininet32.exe
12.12.2004 06:09 0 rocky.exe
12.12.2004 06:09 0 ntldr.exe
12.12.2004 06:09 0 reg33.exe
12.12.2004 06:09 0 cvchost.exe
12.12.2004 06:09 0 mssys.com
04.12.2004 23:00 335 nsreg.dat
04.12.2004 22:57 87.184 NSUninst.exe
21.11.2004 21:34 307 thin-114-1-x-x.exe
19.11.2004 10:48 8.112 KB834707.log
18.11.2004 22:32 28.966 spupdsvc.log

C:\
18.11.2004 13:56 211 boot.ini
18.11.2004 13:41 47.564 NTDETECT.COM
18.11.2004 13:41 251.184 ntldr
06.06.2004 10:50 0 MSDOS.SYS
06.06.2004 10:50 0 IO.SYS




*duck :-)