Spyaxe infiziert

#0
04.12.2005, 17:42
...neu hier

Beiträge: 2
#1 Hallo, ich habe mich auch mit Spyaxe infiziert. HijachThis habe ich bereits laufen lassen. Kann mir jemand weiterhelfen. Hier füge ich das log-file ein:

Logfile of HijackThis v1.99.0
Scan saved at 17:35:38, on 04.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hp89BC.tmp
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\system32\1024\ld248E.tmp" /m
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Cisco Systems VPN Client.lnk = E:\Programme\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - E:\Programme\AIM\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Programme\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm (file missing) (HKCU)
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1115.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/26ef0ceb6b9bd9d76b23/netzip/RdxIE601.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {CFC01863-0CCE-43F6-8790-7A5DC52ABEC0} (VaeCtrl Control Object) - http://www.visviva.com/download/webplug/VaeCtrl.CAB
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_11110.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab30149.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Bluetooth Service - Unknown - E:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - E:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MATLAB Server - Unknown - E:\Programme\MATLAB6p1\webserver\bin\win32\matlabserver.exe
O23 - Service: McAfee WSC Integration - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield - Unknown - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: WLTRYSVC - Unknown - C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe (file missing)

Vielen Dank im Voraus!!
Seitenanfang Seitenende
04.12.2005, 20:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@typhoon

wende Cleanup an
http://virus-protect.org/cleanup.html

kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html

-----------------

gesammelte Werke lol SpyAxe
http://virus-protect.org/artikel/spyware/spyaxe.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.12.2005, 20:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 Hallo@typhoon

was soll dieses Durcheinander ''????????????
http://board.protecus.de/t20606.htm

Zitat

Selbes Problem bei mir. Kann mir jemand sagen wie jetzt weiter vorzugehen ist?? Hier sind die datFind txt-dateien:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A02C-5B80

Verzeichnis von C:\WINDOWS\system32

04.12.2005 18:49 5.360 ncompat.tlb
04.12.2005 17:31 78.651 nvModes.001
04.12.2005 16:23 5.632 msvol.tlb
04.12.2005 16:23 17.112 nvapps.xml
04.12.2005 16:23 20.480 hp89BC.tmp
04.12.2005 16:23 24.064 ld8944.tmp
04.12.2005 14:29 98.304 svchosts.dll
04.12.2005 14:29 4.286 ot.ico
04.12.2005 14:29 4.286 ts.ico
04.12.2005 14:29 9.728 mssearchnet.exe
04.12.2005 14:29 13.964 nvctrl.exe
04.12.2005 14:27 14.568 mscornet.exe
20.11.2005 22:57 78.651 nvModes.dat
09.11.2005 15:26 140.440 FNTCACHE.DAT
02.11.2005 06:34 2.377.568 MRT.exe
30.10.2005 21:34 311.938 perfh009.dat
30.10.2005 21:34 40.326 perfc009.dat
30.10.2005 21:34 317.168 perfh007.dat
30.10.2005 21:34 48.552 perfc007.dat
30.10.2005 21:34 723.926 PerfStringBackup.INI
24.10.2005 17:01 2.206 wpa.dbl
18.10.2005 11:08 349.760 mcinsctl.dll
13.10.2005 00:11 118.784 sirenacm.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
04.10.2005 16:26 3.013.120 mshtml.dll
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 55.808 extmgr.dll
03.09.2005 00:53 448.512 mshtmled.dll
03.09.2005 00:53 530.432 mstime.dll
03.09.2005 00:53 605.696 urlmon.dll
03.09.2005 00:53 146.432 msrating.dll
03.09.2005 00:53 1.484.288 shdocvw.dll
03.09.2005 00:53 96.768 inseng.dll
03.09.2005 00:53 251.392 iepeers.dll
03.09.2005 00:53 39.424 pngfilt.dll
03.09.2005 00:53 474.112 shlwapi.dll
03.09.2005 00:53 205.312 dxtrans.dll
03.09.2005 00:53 1.055.744 danim.dll
03.09.2005 00:53 1.019.904 browseui.dll
03.09.2005 00:53 152.064 cdfview.dll
01.09.2005 02:44 292.352 winsrv.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A02C-5B80

Verzeichnis von C:\DOKUME~1\Flo\LOKALE~1\Temp

04.12.2005 18:38 16.384 ~DF8755.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 1.106.571.264 Bytes frei




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A02C-5B80

Verzeichnis von C:\WINDOWS

04.12.2005 18:36 54.156 QTFont.qfn
04.12.2005 18:36 1.409 QTFont.for
04.12.2005 16:23 159 wiadebug.log
04.12.2005 16:23 2.059.744 WindowsUpdate.log
04.12.2005 16:23 50 wiaservc.log
04.12.2005 16:23 0 0.log
04.12.2005 16:23 2.048 bootstat.dat
04.12.2005 16:17 32.514 SchedLgU.Txt
04.12.2005 14:56 633.588 setupapi.log
04.12.2005 14:30 7.898 ModemLog_PCTEL 2304WT V.9x MDC Modem.txt
04.12.2005 11:51 98.019 wmsetup.log
02.12.2005 16:37 155 winamp.ini
30.11.2005 21:30 158 matlab.ini
19.11.2005 22:25 116 NeroDigital.ini
09.11.2005 15:46 182.421 setupact.log
09.11.2005 14:36 938.309 iis6.log
09.11.2005 14:36 204.618 comsetup.log
09.11.2005 14:36 134.227 ntdtcsetup.log
09.11.2005 14:36 299.911 tsoc.log
09.11.2005 14:36 1.374 imsins.log
09.11.2005 14:36 26.704 tabletoc.log
09.11.2005 14:36 31.327 ocmsn.log
09.11.2005 14:36 11.893 KB896424.log
09.11.2005 14:36 103.264 netfxocm.log
09.11.2005 14:36 26.540 medctroc.Log
09.11.2005 14:36 389.831 ocgen.log
09.11.2005 14:36 30.529 msgsocm.log
09.11.2005 14:36 558.228 FaxSetup.log
09.11.2005 14:36 233.828 msmqinst.log
09.11.2005 14:36 23.285 updspapi.log
31.10.2005 16:02 250 scummvm.ini
20.10.2005 17:46 1.393 imsins.BAK
20.10.2005 17:46 19.008 KB896688.log
14.10.2005 07:43 19.900 KB901017.log
14.10.2005 07:42 22.922 KB902400.log
14.10.2005 07:42 14.192 KB899589.log
14.10.2005 07:42 14.445 KB905414.log
14.10.2005 07:41 14.088 KB900725.log
14.10.2005 07:41 11.448 KB904706.log
14.10.2005 07:41 12.105 KB905749.log
15.09.2005 20:36 0 setuperr.log
09.09.2005 16:31 7.168 Thumbs.db
05.09.2005 08:12 984 win.ini
05.09.2005 08:12 982 Wlink89.ini



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A02C-5B80

Verzeichnis von C:\

04.12.2005 18:52 0 sys.txt
04.12.2005 18:52 9.640 system.txt
04.12.2005 18:51 290 systemtemp.txt
04.12.2005 18:49 105.377 system32.txt
04.12.2005 16:23 805.306.368 pagefile.sys
23.11.2005 20:18 13.030 PDOXUSRS.NET
03.08.2005 19:14 105 test.txt
28.05.2005 01:16 62 error.txt
06.04.2005 01:47 425 log.txt
02.09.2004 02:21 211 boot.ini
02.09.2004 02:05 47.564 NTDETECT.COM
02.09.2004 02:05 251.184 ntldr
03.07.2004 00:45 116 .tps
24.05.2004 20:25 0 CONFIG.SYS
24.05.2004 20:25 0 IO.SYS
24.05.2004 20:25 0 AUTOEXEC.BAT
24.05.2004 20:25 0 MSDOS.SYS
11.09.2002 15:57 4.952 bootfont.bin
18 Datei(en) 805.739.324 Bytes
0 Verzeichnis(se), 1.106.554.880 Bytes frei

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.12.2005, 20:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@typhoon

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen

http://virus-protect.org/reg/mcor.reg

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\nvapps.xml
C:\WINDOWS\system32\hp89BC.tmp
C:\WINDOWS\system32\ld8944.tmp
C:\WINDOWS\system32\svchosts.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\SpyAxe\spyaxe.exe
C:\WINDOWS\system32\mscornet.exe

starten den PC neu --> in den abgesicherten Modus
(F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg doppelt --> fuege sie mit " ja" der Registry bei

öffne das HijackThis
-- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten


O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hp89BC.tmp
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h

PC neustarten

loesche mit der Killbox wie auf der Seite beschrieben : (oder loesche manuell)
http://virus-protect.org/killbox.html
DelTree
(include SubDirectories)
Man will zum Beispiel einen Ordner löschen . Nun muss man nicht alle Dateien im Ordner einzeln eingeben, sondern klickt die Option DelTree (include subdirectories). Hierbei wird ein komplettes Archiv mitsamt der Unterordner gelöscht.

C:\Programme\SpyAxe
C:\WINDOWS\system32\1024

loesche:
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
C:\Dokumente und Einstellungen\Flo\Favoriten\Free XXX Sites List.url

scanne mit Panda-
-> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.12.2005, 00:54
...neu hier

Themenstarter

Beiträge: 2
#5 Sieht so aus als hätte das funktioniert. Vielen Dank und entschuldigung wegen dem doppel post!
Seitenanfang Seitenende
06.12.2005, 21:19
...neu hier

Beiträge: 8
#6 Hallo,ich brauch auch dringend hilfe,ich habe das gleiche problem mit der SPYAXE.
So das HijackThis hab ich schon durchlaufen lassen,hier die daten. bitte beim erklären einfach,ich hab nämlich nich viel ahnung mit ahnung mit computern.

Logfile of HijackThis v1.99.1
Scan saved at 21:15:02, on 06.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvctrl.exe
C:\WINDOWS\System32\mssearchnet.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\WinFast\WFTVFM\WFWIZ.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\MSI\FuzzyLogic4\FuzzyLogic4.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Winamp\winamp.exe
C:\Dokumente und Einstellungen\Mr.Hanky\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fh-zwickau.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.fh-zwickau.de/misc/proxy.proxy
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\System32\hp86FD.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll (file missing)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Ubisoft register.lnk = C:\Programme\Ubisoft\Register\schedule.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Fuzzy Logic 4.lnk = C:\Programme\MSI\FuzzyLogic4\FuzzyLogic4.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct2_x.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/257713d26b682ef9ad22/netzip/RdxIE601_de.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B68C5961-D7E6-4331-BFA7-E3B20B160AF3}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = fh-zwickau.de,zw.fh-zwickau.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = fh-zwickau.de,zw.fh-zwickau.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = fh-zwickau.de,zw.fh-zwickau.de
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe


++
Seitenanfang Seitenende
07.12.2005, 00:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Hallo@Mr.Hanky

wende Cleanup an
http://virus-protect.org/cleanup.html

kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.12.2005, 17:32
...neu hier

Beiträge: 8
#8 mit dem clean up was muß ich da genau machen?kann das sein,das der irgendwie ein haufen dateien löscht?nich das nachher nix mehr geht...???
Seitenanfang Seitenende
07.12.2005, 18:08
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#9

Stelle ClaenUp so ein,klick OK>>>>>Klicke ClaenUp und am Ende,NO
__________
MfG Argus
Seitenanfang Seitenende
07.12.2005, 18:48
...neu hier

Beiträge: 2
#10 Hallo,
auch ich habe das kleine Problem mit Spyaxe, würde mich freuen, wenn mir einer helfen kann... habe leider auch nicht besonders viel Ahnung... auf jeden Fall haben Spybot und Ad-Aware nicht funktioniert.
Aus den anderen Postings habe ich erfahren, dass wohl das folgende zu machen ist:

Hijackthis gibt mir folgendes Log:

Logfile of HijackThis v1.99.1
Scan saved at 18:28:41, on 07.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\System32\usbtapnp.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\StarOffice7\program\soffice.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Martin Mynarek\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: HomepageBHO - {724510c3-f3c8-4fb7-879a-d99f29008a2f} - C:\WINDOWS\system32\hpFB09.tmp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [USBTA] C:\WINDOWS\System32\usbtapnp.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Startup: StarOffice 7.lnk = C:\Programme\StarOffice7\program\quickstart.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129656967109
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

bitte verzeiht, dass ich nicht "aufgeräumt" habe, fühle mich nicht wirklich kompetent genug dafür.

Habe dann Cleanup angewendet und bin auch dem Link zu datfind.bat gefolgt.
Hier kommen die Daten:

system32.txt (nur die Dateien mit Datum von diesem Jahr, hoffe, das reicht und ist nicht zu viel...):
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1C65-17E0

Verzeichnis von C:\WINDOWS\system32

07.12.2005 18:42 332 ncompat.tlb
07.12.2005 18:09 35.873 vsconfig.xml
07.12.2005 01:51 5.632 msvol.tlb
06.12.2005 23:43 98.304 svchosts.dll
06.12.2005 23:42 9.736 mssearchnet.exe
06.12.2005 23:42 13.892 nvctrl.exe
06.12.2005 23:39 14.400 mscornet.exe

06.12.2005 22:51 1.158 wpa.dbl
29.11.2005 21:07 4.212 zllictbl.dat
23.11.2005 07:48 311.938 perfh009.dat
23.11.2005 07:48 48.552 perfc007.dat
23.11.2005 07:48 40.326 perfc009.dat
23.11.2005 07:48 723.568 PerfStringBackup.INI
23.11.2005 07:48 317.168 perfh007.dat
15.11.2005 00:51 71.440 zlcommdb.dll



So, ich hoffe, ich habe euch nicht zu sehr vollgemüllt und mich mit meinem Posting nicht ganz disqualifiziert.
Vielen Dank für die Hilfe im Voraus, ist echt nett, dass ihr so hilfsbereit seid. :-)
Seitenanfang Seitenende
07.12.2005, 18:50
...neu hier

Beiträge: 8
#11 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: ACEF-91B8

Verzeichnis von C:\DOKUME~1\MR0717~1.HAN\LOKALE~1\Temp


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: ACEF-91B8

Verzeichnis von C:\WINDOWS\system32

07.12.2005 18:40 5.360 ncompat.tlb
07.12.2005 17:24 5.632 msvol.tlb
07.12.2005 17:23 20.480 hp8335.tmp
07.12.2005 17:23 24.064 ld80D3.tmp
06.12.2005 21:33 20.480 hpBB2E.tmp
06.12.2005 17:57 20.480 hp86FD.tmp
06.12.2005 17:56 2.206 wpa.dbl
30.11.2005 21:03 98.304 svchosts.dll
30.11.2005 21:03 4.286 ts.ico
30.11.2005 21:03 4.286 ot.ico
30.11.2005 21:02 9.732 mssearchnet.exe
30.11.2005 21:02 13.964 nvctrl.exe
29.11.2005 20:16 14.560 mscornet.exe

02.11.2005 18:16 311.740 perfh009.dat
02.11.2005 18:16 40.128 perfc009.dat
02.11.2005 18:16 316.924 perfh007.dat
02.11.2005 18:16 48.354 perfc007.dat
02.11.2005 18:16 723.744 PerfStringBackup.INI
08.10.2005 09:52 363.320 FNTCACHE.DAT
07.10.2005 19:23 80.384 RfR2Ctx.dll



was muß ich jetzt tun?
Seitenanfang Seitenende
07.12.2005, 19:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Mr.Hanky

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen

http://virus-protect.org/reg/mcor.reg


rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg

-----------------------------------------------------------------------------------
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\hp8335.tmp
C:\WINDOWS\system32\ld80D3.tmp
C:\WINDOWS\system32\hpBB2E.tmp
C:\WINDOWS\system32\hp86FD.tmp
C:\WINDOWS\system32\wpa.dbl
C:\WINDOWS\system32\svchosts.dll
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mscornet.exe

starten den PC neu
--> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die

mcor.reg
spyaxe.reg

doppelt --> fuege sie mit " ja" der Registry bei

öffne das HijackThis
-- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten


O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\System32\hp86FD.tmp

PC neustarten
------------------------------------------------------------------------------
Direktdownload SpyAxeFix.exe http://noahdfear.geekstogo.com/click%20counter/click.php?id=8

-->> schliesse alle anderen Programme
-->> doppeltklicken SpyAxeFix.exe
-->> SpyAxeFix map
-->> SpyAxeFix.bat
-->> wenn deas Tool abgearbeitet ist, wird der PC neustarten

kopiere die spyaxe.txt ab

------------------------------------------------------------------
deinstalliere Spyaxe

loesche:
C:\Programme\SpyAxe
C:\Windows\system32\1024
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url

wende CleanUp an
http://virus-protect.org/cleanup.html

deaktiviere die Systemwiederherstellung
(dann aktiviere sie wieder)
http://virus-protect.org/systemwiederherstellung.html

scanne mit Kaspersky
--> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html

scanne mit Panda --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.12.2005, 19:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 zwoeff

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen

http://virus-protect.org/reg/mcor.reg


rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg

-----------------------------------------------------------------------------------
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\vsconfig.xml
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\svchosts.dll
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\hpFB09.tmp
C:\WINDOWS\system32\mscornet.exe

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die

mcor.reg
spyaxe.reg

doppelt --> fuege sie mit " ja" der Registry bei

öffne das HijackThis
-- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten


O2 - BHO: HomepageBHO - {724510c3-f3c8-4fb7-879a-d99f29008a2f} - C:\WINDOWS\system32\hpFB09.tmp

PC neustarten

------------------------------------------------------------------------------
Direktdownload SpyAxeFix.exe http://noahdfear.geekstogo.com/click%20counter/click.php?id=8

-->> schliesse alle anderen Programme
-->> doppeltklicken SpyAxeFix.exe
-->> SpyAxeFix map
-->> SpyAxeFix.bat
-->> wenn deas Tool abgearbeitet ist, wird der PC neustarten

kopiere die spyaxe.txt ab

------------------------------------------------------------------
deinstalliere Spyaxe

loesche:
C:\Programme\SpyAxe
C:\Windows\system32\1024
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url

wende CleanUp an
http://virus-protect.org/cleanup.html

deaktiviere die Systemwiederherstellung (dann aktiviere sie wieder)
http://virus-protect.org/systemwiederherstellung.html

scanne mit Kaspersky --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html

scanne mit Panda --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html
__________
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.12.2005, 20:02
...neu hier

Beiträge: 8
#14 So ich habe jetzt alles gemacht bis zu dem zeitpunkt

öffne das HijackThis
-- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\System32\hp86FD.tmp

PC neustarten


bis jetzt ging alles,der punkt der immer blinkt is jetzt weg.soll ich jetzt weiter nach plan gehen mit dem Dierektdownload SPYAxeFix.exe...?

wenn ich fertig sein sollte,was kann ich tun,damit ich das ding nicht wieder bekomme?mit welchen programm kann ich nochmal scannen um zu schauen,ob noch was drauf ist?
Seitenanfang Seitenende
07.12.2005, 20:13
...neu hier

Beiträge: 7
#15 SpyAxeFix © by noahdfear


Microsoft Windows XP [Version 5.1.2600]

spyaxe directory present

spyaxe uninstaller present

Starting spyaxe uninstaller

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of spyaxe.exe

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1688 'explorer.exe'


Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 3780 'rundll32.exe'
Killing PID 3948 'rundll32.exe'

svchosts.dll present
1024 directory present

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5}"="st3"
"{C7CF1142-0785-4B12-A280-B64681E4D45E}"="z"
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: