Home » Viren, Trojaner & Malware Forum » SpyAxe - bin infiziert » Themenansicht

SpyAxe - bin infiziert
#0
04.12.2005, 00:14
Baxter
...neu hier

Beiträge: 3
#1 Hallo!

Brauche Hilfe bzgl. SpyAxe. Habe schon diverse Sachen versucht die aber nicht von Erfolg gekrönt waren.
Dann bin ich auf folgende Seite
http://virus-protect.org/artikel/spyware/spyaxe.html
gestoßen. Ich hoffe ihr könnt mir helfen.
Hier meine SpyAxe.txt:


SpyAxeFix © by noahdfear
Microsoft Windows XP [Version 5.1.2600]
svchosts.dll present
1024 directory present

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

Hier mein Hijack Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 00:12:50, on 04.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\Norton Internet Security\ISSVC.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVirl\AVGUARD.EXE
D:\Programme\AntiVirl\AVWUPSRV.EXE
D:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
D:\WINDOWS\system32\nvctrl.exe
D:\WINDOWS\system32\mssearchnet.exe
D:\Programme\VIA\RAID\raid_tool.exe
D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Synaptics\SynTP\SynTPEnh.exe
D:\WINDOWS\sm56hlpr.exe
D:\Programme\AntiVirl\AVGNT.EXE
D:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\WINDOWS\system32\NOTEPAD.EXE
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Nils\löschen\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rp-online.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - D:\WINDOWS\system32\hpA7A9.tmp
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - D:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll (file missing)
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RaidTool] D:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPLpr] D:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] D:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Seri*hier nicht!*] sm56hlpr.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AntiVirl\AVGNT.EXE" /min
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NAVNet] "D:\WINDOWS\system32\1024\ldD732.tmp" /m
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132970953125
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O20 - Winlogon Notify: OdysseyClient - D:\WINDOWS\
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AntiVirl\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AntiVirl\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - D:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe

Hier noch datfindbat:

Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: 0492-166B

Verzeichnis von D:\WINDOWS\system32

04.12.2005 00:16 5.384 ncompat.tlb
04.12.2005 00:04 5.632 msvol.tlb
04.12.2005 00:03 24.064 ldA7F8.tmp
04.12.2005 00:03 20.480 hpA7A9.tmp
03.12.2005 21:58 98.304 svchosts.dll
03.12.2005 21:58 4.286 ts.ico
03.12.2005 21:58 4.286 ot.ico
03.12.2005 21:58 9.728 mssearchnet.exe
03.12.2005 21:58 13.964 nvctrl.exe
03.12.2005 21:56 14.580 mscornet.exe
03.12.2005 14:59 108.600 FNTCACHE.DAT
26.11.2005 15:43 5.531 jupdate-1.5.0_05-b05.log
26.11.2005 01:20 380.684 perfh009.dat
26.11.2005 01:20 63.976 perfc007.dat
26.11.2005 01:20 391.574 perfh007.dat
26.11.2005 01:20 53.098 perfc009.dat
26.11.2005 01:20 897.318 PerfStringBackup.INI
26.11.2005 00:59 16.832 amcompat.tlb
26.11.2005 00:59 23.392 nscompat.tlb
26.11.2005 00:51 146.650 BuzzingBee.wav
26.11.2005 00:51 940.794 LoopyMusic.wav
26.11.2005 00:42 139.330 odyGina.dll
26.11.2005 00:42 532.558 odGinaLibrary.dll
26.11.2005 00:42 106.496 odyEvent.dll
26.11.2005 00:17 2.206 wpa.dbl
26.11.2005 00:14 237 $winnt$.inf
26.11.2005 00:09 2.951 CONFIG.NT
26.11.2005 00:08 488 WindowsLogon.manifest
26.11.2005 00:08 488 logonui.exe.manifest
26.11.2005 00:08 749 sapi.cpl.manifest
26.11.2005 00:08 749 cdplayer.exe.manifest
26.11.2005 00:08 749 wuaucpl.cpl.manifest
26.11.2005 00:08 749 ncpa.cpl.manifest
26.11.2005 00:08 749 nwc.cpl.manifest
26.11.2005 00:06 21.740 emptyregdb.dat
26.11.2005 00:04 0 h323log.txt
26.08.2005 18:14 127.078 javaws.exe
26.08.2005 18:14 49.265 jpicpl32.cpl
26.08.2005 15:55 49.250 javaw.exe
26.08.2005 15:55 49.248 java.exe


Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: 0492-166B

Verzeichnis von D:\DOKUME~1\NILSB~1\LOKALE~1\Temp

04.12.2005 00:07 29.916 GRD$LOGFILE.LOG
03.12.2005 23:57 0 sa1.tmp
2 Datei(en) 29.916 Bytes
0 Verzeichnis(se), 53.662.216.192 Bytes frei

Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: 0492-166B

Verzeichnis von D:\WINDOWS

04.12.2005 00:03 171.768 WindowsUpdate.log
04.12.2005 00:03 0 0.log
04.12.2005 00:03 2.048 bootstat.dat
04.12.2005 00:02 2.828 SchedLgU.Txt
03.12.2005 23:44 5.680 iis6.log
03.12.2005 23:44 30.902 comsetup.log
03.12.2005 23:44 1.374 imsins.log
03.12.2005 23:44 4.457 ocmsn.log
03.12.2005 23:44 19.515 ntdtcsetup.log
03.12.2005 23:44 31.014 tsoc.log
03.12.2005 23:44 7.973 KB898461.log
03.12.2005 23:44 61.242 ocgen.log
03.12.2005 23:44 3.907 msgsocm.log
03.12.2005 23:44 59.474 FaxSetup.log
03.12.2005 23:44 363.771 setupapi.log
03.12.2005 23:44 1.374 imsins.BAK
03.12.2005 23:44 8.116 KB893803v2.log
03.12.2005 23:42 227 system.ini
03.12.2005 23:42 477 win.ini
03.12.2005 22:44 4.397 SYMEVENT.LOG
03.12.2005 22:35 1.450 LUINSTALL.LOG
03.12.2005 22:21 42.797 wmsetup.log
03.12.2005 22:01 8.204 ModemLog_Motorola SM56 Data Fax Modem.txt
03.12.2005 14:15 400 ODBC.INI
26.11.2005 21:15 6.589 DirectX.log
26.11.2005 20:13 54.156 QTFont.qfn
26.11.2005 19:37 1.409 QTFont.for
26.11.2005 19:36 357 GEARInstall.log
26.11.2005 15:56 73.728 ALCFDRTM.VER
26.11.2005 15:53 772 hpinfo.lnk
26.11.2005 00:59 466 wmsetup10.log
26.11.2005 00:59 316.640 WMSysPr9.prx
26.11.2005 00:51 73.728 ALCFDRTM.EXE
26.11.2005 00:49 112 init.ini
26.11.2005 00:38 319.808 SetupWLD.log
26.11.2005 00:35 836 SynInst.log
26.11.2005 00:35 182.453 setupact.log
26.11.2005 00:29 10.155 KB888111.log
26.11.2005 00:21 675 chipset.log
26.11.2005 00:17 829 OEWABLog.txt
26.11.2005 00:17 782.451 setuplog.txt
26.11.2005 00:15 8.192 REGLOCS.OLD
26.11.2005 00:09 4.829 KB834707.log
26.11.2005 00:09 4.482 KB873339.log
26.11.2005 00:09 2.487 KB883667.log
26.11.2005 00:09 4.817 KB885835.log
26.11.2005 00:09 4.238 KB885836.log
26.11.2005 00:09 4.380 KB886185.log
26.11.2005 00:09 0 control.ini
26.11.2005 00:09 4.161 ODBCINST.INI
26.11.2005 00:08 749 WindowsShell.Manifest
26.11.2005 00:06 37 vbaddin.ini
26.11.2005 00:06 36 vb.ini
26.11.2005 00:06 133 DtcInstall.log
26.11.2005 00:06 1.023 sessmgr.setup.log
26.11.2005 00:04 200 cmsetacl.log
26.11.2005 00:03 50 wiaservc.log
26.11.2005 00:03 509 wiadebug.log
26.11.2005 00:03 0 Sti_Trace.log
26.11.2005 00:02 1.348 regopt.log
26.11.2005 00:01 0 setuperr.log


Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: 0492-166B

Verzeichnis von D:\

04.12.2005 00:23 0 sys.txt
04.12.2005 00:22 5.650 system.txt
04.12.2005 00:21 343 systemtemp.txt
04.12.2005 00:18 89.509 system32.txt
04.12.2005 00:03 1.610.612.736 pagefile.sys
5 Datei(en) 1.610.708.238 Bytes
0 Verzeichnis(se), 53.662.269.440 Bytes frei
Dieser Beitrag wurde am 04.12.2005 um 00:23 Uhr von Baxter editiert.
Seitenanfang Seitenende
05.12.2005, 14:36
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Baxter

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen

http://virus-protect.org/reg/mcor.reg

-------------------------------------------------------------------------------
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

D:\WINDOWS\system32\ncompat.tlb
D:\WINDOWS\system32\msvol.tlb
D:\WINDOWS\system32\ldA7F8.tmp
D:\WINDOWS\system32\hpA7A9.tmp
D:\WINDOWS\system32\1024\ldD732.tmp
D:\WINDOWS\system32\1024
D:\WINDOWS\system32\svchosts.dll
D:\WINDOWS\system32\ts.ico
D:\WINDOWS\system32\ot.ico
D:\DOKUME~1\NILSB~1\LOKALE~1\Temp\sa1.tmp
D:\WINDOWS\system32\mssearchnet.exe
D:\WINDOWS\system32\nvctrl.exe
D:\WINDOWS\system32\mscornet.exe

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg doppelt --> fuege sie mit " ja" der Registry bei

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - D:\WINDOWS\system32\hpA7A9.tmp
O4 - HKLM\..\Run: [NAVNet] "D:\WINDOWS\system32\1024\ldD732.tmp" /m

PC neustarten

loesche;
D:\Programme\SpyAxe
D:\WINDOWS\system32\1024
D:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
D:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url

deaktiviere die Systemwiederherstellung (dann wieder aktivieren)

scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.12.2005, 20:57
sCrfCe
...neu hier

Beiträge: 10
#3 Brauche ebenfalls hilfe.

SpyAxeFix © by noahdfear
Microsoft Windows XP [Version 5.1.2600]
spyaxe directory present
spyaxe directory present

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 232 'explorer.exe'
Killing PID 232 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of rundll32.exe

1024 directory present

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{C1A8B6A1-2C81-1C3D-A3C6-A1CCDB10B47F}"="Windows Update"

SpyAxeFix © by noahdfear
Microsoft Windows XP [Version 5.1.2600]

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 496 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of rundll32.exe

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{C1A8B6A1-2C81-1C3D-A3C6-A1CCDB10B47F}"="Windows Update"


Logfile of HijackThis v1.99.1
Scan saved at 20:48:56, on 11.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Gemeinsame Dateien\STOPzilla!\SZServer.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\STOPzilla!\STOPzilla.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\User\LOKALE~1\Temp\~AceTemp\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.0.1
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: STOPzilla Browser Helper Object - {E3215F20-3212-11D6-9F8B-00D0B743919D} - C:\Programme\STOPzilla!\SZIEBHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [STOPzilla] C:\Programme\STOPzilla!\STOPzilla.exe /autostart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O20 - Winlogon Notify: STOPzilla - C:\WINDOWS\SYSTEM32\IS3WLHandler.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: STOPzilla Service (szserver) - Unknown owner - C:\Programme\Gemeinsame Dateien\STOPzilla!\SZServer.exe



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C4E-AAA4

Verzeichnis von C:\WINDOWS\system32

11.12.2005 15:51 98.304 ioctrl.dll
11.12.2005 14:42 13.646 wpa.dbl
04.12.2005 10:54 311.740 perfh009.dat
04.12.2005 10:54 316.924 perfh007.dat
04.12.2005 10:54 40.128 perfc009.dat
04.12.2005 10:54 48.354 perfc007.dat
04.12.2005 10:54 722.222 PerfStringBackup.INI
16.11.2005 21:09 93 NULL
11.11.2005 17:44 2.266 qtplugin.log
11.11.2005 17:43 361 QuickTime.qtp
09.11.2005 13:16 119.744 FNTCACHE.DAT
08.11.2005 11:13 290.867 IS3DBA.dll
08.11.2005 11:13 127.027 IS3LSR.dll
08.11.2005 11:13 45.107 IS3VFS.dll
08.11.2005 11:12 327.730 IS3UI.dll
08.11.2005 11:12 49.205 IS3Hooks.dll
08.11.2005 11:12 32.768 IS3XData.dll
08.11.2005 11:12 127.029 IS3Win32.dll
08.11.2005 11:12 65.588 IS3Inet.dll
08.11.2005 11:12 61.491 IS3Svc.dll
08.11.2005 11:11 450.612 IS3Base.dll
02.11.2005 06:34 2.377.568 MRT.exe
22.10.2005 14:42 4.212 zllictbl.dat
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
04.10.2005 16:26 3.013.120 mshtml.dll
24.09.2005 13:36 32 {55634283-2E3E-4777-85BB-72DA7FF2AEC0}.dat
24.09.2005 13:35 14 SR2.dat
23.09.2005 04:06 8.491.520 shell32.dll
14.09.2005 20:17 53.248 pxhpinst.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C4E-AAA4

Verzeichnis von C:\DOKUME~1\Stefan\LOKALE~1\Temp

11.12.2005 20:44 0 sa2.tmp
11.12.2005 20:44 203 jusched.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C4E-AAA4

Verzeichnis von C:\WINDOWS

11.12.2005 20:44 1.484.474 WindowsUpdate.log
11.12.2005 20:44 159 wiadebug.log
11.12.2005 20:44 50 wiaservc.log
11.12.2005 20:44 0 0.log
11.12.2005 20:44 2.048 bootstat.dat
11.12.2005 20:43 32.396 SchedLgU.Txt
11.12.2005 20:23 178.343 setupact.log
11.12.2005 20:19 227 system.ini
11.12.2005 20:19 641 win.ini
11.12.2005 18:37 514.427 setupapi.log
11.12.2005 16:26 114.580 ntbtlog.txt
10.12.2005 11:47 25.607 wmsetup.log
08.12.2005 19:25 69 NeroDigital.ini
04.12.2005 10:54 64.087 iis6.log
04.12.2005 10:54 119.192 comsetup.log
04.12.2005 10:54 72.590 ntdtcsetup.log
04.12.2005 10:54 15.739 ocmsn.log
04.12.2005 10:54 167.281 tsoc.log
04.12.2005 10:54 4.566 imsins.log
04.12.2005 10:54 233.342 ocgen.log
04.12.2005 10:54 21.646 msgsocm.log
04.12.2005 10:54 416.927 FaxSetup.log
30.11.2005 12:56 1.125 winamp.ini
21.11.2005 11:37 400 ODBC.INI
13.11.2005 19:03 89.088 DirectX.log
09.11.2005 13:04 1.374 imsins.BAK
09.11.2005 13:04 11.865 KB896424.log
09.11.2005 13:04 27.655 updspapi.log
01.11.2005 13:09 600 Rtcw.INI
31.10.2005 14:18 80 sierra.ini
29.10.2005 21:18 1.519 OEWABLog.txt
22.10.2005 15:56 23.083 KB901017.log
22.10.2005 15:56 25.570 KB902400.log
22.10.2005 15:56 15.957 KB896688.log
22.10.2005 15:56 14.121 KB905414.log
22.10.2005 15:56 13.967 KB900725.log
22.10.2005 15:56 11.241 KB904706.log
22.10.2005 15:56 11.847 KB905749.log
02.10.2005 10:59 10.240 rlplwvwv.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C4E-AAA4

Verzeichnis von C:\

11.12.2005 20:56 0 sys.txt
11.12.2005 20:56 7.860 system.txt
11.12.2005 20:56 339 systemtemp.txt
11.12.2005 20:55 96.722 system32.txt
11.12.2005 20:43 805.306.368 pagefile.sys
11.12.2005 20:23 1.333 smitfiles.txt
11.12.2005 20:19 211 boot.ini
25.11.2005 16:16 45 TEST.XML
16.11.2005 21:09 284 TO_InstallLog.txt
13.08.2005 22:40 268.270 grutcrs3rscd.rar
23.07.2005 11:05 211 BOOT.BKK
23.07.2005 11:01 47.564 NTDETECT.COM
23.07.2005 11:01 251.184 ntldr
21.07.2005 01:59 0 IO.SYS
21.07.2005 01:59 0 CONFIG.SYS
21.07.2005 01:59 0 AUTOEXEC.BAT
21.07.2005 01:59 0 MSDOS.SYS
29.08.2002 13:00 4.952 bootfont.bin
Dieser Beitrag wurde am 11.12.2005 um 21:13 Uhr von sCrfCe editiert.
Seitenanfang Seitenende
11.12.2005, 23:22
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 sCrfCe

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\ioctrl.dll



------------------------------------------------------------------------

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm

http://virus-protect.org/reg/mcor.reg

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an
und klicke die

mcor.reg
spyaxe.reg

doppelt --> fuege sie mit "ja" oder "yes" der Registry bei

--------------------------------------------------------------------------


loeschen:
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\sa2.tmp



SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und kopiere die Textdatei in den Thread
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.12.2005, 12:39
sCrfCe
...neu hier

Beiträge: 10
#5 smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

spyaxe uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~

SpyAxe


~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

ncompat.tlb
logfiles


~~~ Icons in System32 ~~~

ts.ico
ot.ico


~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 880 'explorer.exe'
Killing PID 880 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN! ;)


~~~ Upon reboot ~~~

wininet.old not present!
oleadm.dll not present!
oleext.dll not present!


~~~ Upon completion ~~~

wininet.old not present!
oleadm.dll not present!
oleext.dll not present!


~~~~ Rechecking C:\WINDOWS\system32\wininet.dll for infection ~~~~


~~~~ C:\WINDOWS\system32\wininet.dll Clean! ;) ~~~~
Seitenanfang Seitenende
12.12.2005, 12:48
sCrfCe
...neu hier

Beiträge: 10
#6 Achso, ja hatte ich vergessen,...


Antivirus Version Update Result
AntiVir 6.33.0.61 12.12.2005 no virus found
Avast 4.6.695.0 12.10.2005 Win32:Hoaxalarm-M
AVG 718 12.08.2005 no virus found
Avira 6.33.0.61 12.12.2005 no virus found
BitDefender 7.2 12.12.2005 no virus found
CAT-QuickHeal 8.00 12.12.2005 no virus found
ClamAV devel-20051108 12.12.2005 no virus found
DrWeb 4.33 12.12.2005 no virus found
eTrust-Iris 7.1.194.0 12.11.2005 no virus found
eTrust-Vet 12.3.3.0 12.12.2005 Win32/Spax!generic
Fortinet 2.54.0.0 12.11.2005 no virus found
F-Prot 3.16c 12.09.2005 no virus found
Ikarus 0.2.59.0 12.12.2005 no virus found
Kaspersky 4.0.2.24 12.12.2005 no virus found
McAfee 4647 12.09.2005 potentially unwanted program Adware-Spyaxe
NOD32v2 1.1318 12.11.2005 no virus found
Norman 5.70.10 12.12.2005 no virus found
Panda 8.02.00 12.11.2005 no virus found
Sophos 4.00.0 12.12.2005 no virus found
Symantec 8.0 12.12.2005 no virus found
TheHacker 5.9.1.053 12.12.2005 no virus found
VBA32 3.10.5 12.12.2005 no virus found
Seitenanfang Seitenende
12.12.2005, 12:52
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Toll !!!!!!!!!!!!!!!!
Ich wusste es

loeschen !!!
C:\WINDOWS\system32\ioctrl.dll

http://virus-protect.org/microtrend.html
poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.12.2005, 12:57
sCrfCe
...neu hier

Beiträge: 10
#8 Ich glaub ich bin zu blöd...

- Zugriff verweigert -

oder soll ich die datei nich manuell löschen?


EDIT: Ok Problem gelöst: Datei weg, SpyAxe scheinbar auch.... bericht poste ich trotzdem nochmal oder?
Dieser Beitrag wurde am 12.12.2005 um 13:03 Uhr von sCrfCe editiert.
Seitenanfang Seitenende
12.12.2005, 13:03
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 mit der Killbox:

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:

C:\WINDOWS\system32\ioctrl.dll

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "yes

PC neustarten


http://virus-protect.org/microtrend.html
poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1