spyaxe, entfernt oder nicht?

#0
04.12.2005, 19:28
...neu hier

Beiträge: 4
#1 ich hatte und hab auch spyaxe auf meinem computer und ich muss leider sagen, dass ich nicht so furchtbar viel davon verstehen. na ja, ich hab auf jeden fall alles gemacht, was so in diesem forum gesagt wurde und es scheint auch so, als wenn jetzt wieder alles in ordnung ist. komischer weise konnte ich mein antivir programm nicht mehr aktivieren als ich fertig war. hab mir das dann neu runtergeladen und neu installiert und nun ist es auch wieder aktiv. ich kann auch keine spyaxe dateien mehr finden und das rote x ist auch weg. ich wollte eigentlich fragen, wie ich sicher gehen kann, dass es jetzt komplett von meinem pc entfernt ist.
Seitenanfang Seitenende
04.12.2005, 20:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@susie

Hijackthis
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

wende Cleanup an
http://virus-protect.org/cleanup.html

kopiere hier die 4 Textdateien

http://virus-protect.org/datfindbat.html

-----------------

gesammelte Werke SpyAxe
http://virus-protect.org/artikel/spyware/spyaxe.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.12.2005, 21:32
...neu hier

Themenstarter

Beiträge: 4
#3 Logfile of HijackThis v1.99.1
Scan saved at 21:26:59, on 04.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\CleanUp!\Cleanup.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOKUME~1\Ingrid\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37460.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Volume in Laufwerk C: hat keine Bezeichnung.

Verzeichnis von C:\WINDOWS\system32

04.12.2005 21:08 5.384 ncompat.tlb
04.12.2005 19:37 35.870 vsconfig.xml
04.12.2005 19:36 21.828 nvapps.xml
04.12.2005 19:36 24.064 ld4630.tmp

04.12.2005 19:35 4.212 zllictbl.dat
04.12.2005 16:33 0 asfiles.txt
04.12.2005 16:29 2.550 Uninstall.ico
04.12.2005 16:29 1.406 Help.ico
04.12.2005 16:29 1.718 Open.ico
04.12.2005 16:29 1.406 AddQuit.ico
04.12.2005 16:29 5.350 IE.ico
04.12.2005 16:29 9.470 Desktop.ico
04.12.2005 16:29 1.718 Quick.ico
04.12.2005 13:57 14.568 mscornet.exe
02.12.2005 19:44 13.646 wpa.dbl
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
15.11.2005 00:34 54.960 vsutil_loc0407.dll

Volume in Laufwerk C: hat keine Bezeichnung.

Verzeichnis von C:\DOKUME~1\Ingrid\LOKALE~1\Temp

04.12.2005 19:38 16.384 ~DFFF26.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 68.001.275.904 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.

Verzeichnis von C:\WINDOWS

04.12.2005 19:37 0 0.log
04.12.2005 19:37 1.950.194 WindowsUpdate.log
04.12.2005 19:36 2.048 bootstat.dat
04.12.2005 19:36 32.642 SchedLgU.Txt
04.12.2005 19:31 598.921 setupapi.log
04.12.2005 18:34 362.026 ntbtlog.txt
04.12.2005 17:27 555 win.ini
04.12.2005 16:36 4 RM_RESULT.DAT
04.12.2005 16:36 679 TSC.ini
04.12.2005 16:35 170 GetServer.ini
04.12.2005 15:47 0 nsreg.dat
01.12.2005 13:18 16.655.063 lpt$vpn.981
01.12.2005 13:18 16.655.063 VPTNFILE.981
29.11.2005 21:22 2.459.627 tsc.ptn
28.11.2005 14:42 28.606 yacs.log
28.11.2005 14:34 67 StationRipper.INI
19.11.2005 00:09 47 wiaservc.log
19.11.2005 00:09 216 wiadebug.log
15.11.2005 20:12 45.764 wmsetup.log
09.11.2005 22:05 66.889 iis6.log
09.11.2005 22:05 137.936 comsetup.log
09.11.2005 22:05 84.002 ntdtcsetup.log
09.11.2005 22:05 175.941 tsoc.log
09.11.2005 22:05 20.298 ocmsn.log
09.11.2005 22:05 1.374 imsins.log
09.11.2005 22:05 11.811 KB896424.log
09.11.2005 22:05 247.186 ocgen.log
09.11.2005 22:05 22.832 msgsocm.log
09.11.2005 22:05 437.168 FaxSetup.log
09.11.2005 22:05 20.909 updspapi.log
09.11.2005 00:40 47.098 TMVAmain.ptn
09.11.2005 00:35 181.880 TMVAINFO.xml
19.10.2005 22:22 1.142.784 TMUPDATE.DLL
19.10.2005 22:22 69.689 UNZIP.DLL
19.10.2005 22:22 208.896 PATCH.EXE
15.10.2005 18:58 22.046 KB901017.log
15.10.2005 18:58 24.500 KB902400.log
15.10.2005 18:57 15.079 KB896688.log
15.10.2005 18:57 14.121 KB905414.log
15.10.2005 18:57 13.869 KB900725.log
15.10.2005 18:57 11.242 KB904706.log
15.10.2005 18:57 19.527 KB905749.log
02.10.2005 12:32 16 wininit.ini
01.10.2005 23:12 3.386.984 tmadce.ptn
25.09.2005 21:28 99.970 UninstallFirefox.exe
25.09.2005 21:28 7.956 mozver.dat
14.09.2005 17:09 240 BUHL.INI

Volume in Laufwerk C: hat keine Bezeichnung.

Verzeichnis von C:\

04.12.2005 21:30 0 sys.txt
04.12.2005 21:29 8.459 system.txt
04.12.2005 21:29 293 systemtemp.txt
04.12.2005 21:24 93.584 system32.txt
04.12.2005 19:36 536.399.872 hiberfil.sys
04.12.2005 19:36 805.306.368 pagefile.sys
Seitenanfang Seitenende
05.12.2005, 00:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 susie

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen

http://virus-protect.org/reg/mcor.reg

-----------------------------------------------------------------------
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\vsconfig.xml
C:\WINDOWS\system32\nvapps.xml
C:\WINDOWS\system32\ld4630.tmp
C:\WINDOWS\system32\mscornet.exe

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg doppelt --> fuege sie mit " ja" der Registry bei

LOESCHEN:
C:\Programme\SpyAxe
C:\WINDOWS\system32\1024
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url

scanne mit Panda--> POSTE DEN SCANREPORT
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.12.2005, 02:20
...neu hier

Themenstarter

Beiträge: 4
#5 Panda hat bei mir nichts gefunden. Heißt das, dass jetzt alles weg ist ?
Seitenanfang Seitenende
05.12.2005, 11:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 wenn Panda nichts mehr gefunden hat, scanne noch mit kaspersky, wahrscheinlich musst du die Systemwiederherstellung deaktivieren (dort hat sich der Schaedling festgesetzt)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.12.2005, 13:49
...neu hier

Themenstarter

Beiträge: 4
#7 Also ich hab das jetzt mit kaspersky noch mal gemacht und wie du schon gesagt hast, war da auch noch was undzwar dieser report:

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\

Scan Statistics:
Total number of scanned objects: 38549
Number of viruses found: 5
Number of infected objects: 13
Number of suspicious objects: 0
Duration of the scan process: 1890 sec

Infected Object Name - Virus Name
C:\!KillBox\ld4630.tmp Infected: Trojan-Downloader.Win32.Zlob.bz
C:\!KillBox\mscornet.exe Infected: Trojan-Downloader.Win32.Zlob.bz
C:\!KillBox\msvol.tlb Infected: Trojan-Downloader.Win32.Zlob.cb
C:\System Volume Information\_restore{0665D84B-D4B7-4F70-A9BC-72A2AD25D482}\RP178\A0024164.tlb Infected: Trojan.Win32.Puper.bp
C:\System Volume Information\_restore{0665D84B-D4B7-4F70-A9BC-72A2AD25D482}\RP178\A0024226.tlb Infected: Trojan.Win32.Puper.bp
C:\System Volume Information\_restore{0665D84B-D4B7-4F70-A9BC-72A2AD25D482}\RP178\A0024231.exe Infected: Trojan.Win32.Puper.bp
C:\System Volume Information\_restore{0665D84B-D4B7-4F70-A9BC-72A2AD25D482}\RP178\A0024366.tlb Infected: Trojan-Downloader.Win32.Zlob.cb
C:\System Volume Information\_restore{0665D84B-D4B7-4F70-A9BC-72A2AD25D482}\RP178\A0024370.exe Infected: Trojan-Downloader.Win32.Zlob.by
C:\System Volume Information\_restore{0665D84B-D4B7-4F70-A9BC-72A2AD25D482}\RP178\A0024428.exe Infected: Trojan-Downloader.Win32.Zlob.ca
C:\System Volume Information\_restore{0665D84B-D4B7-4F70-A9BC-72A2AD25D482}\RP178\A0024429.exe Infected: Trojan-Downloader.Win32.Zlob.cb
C:\System Volume Information\_restore{0665D84B-D4B7-4F70-A9BC-72A2AD25D482}\RP178\A0024495.tlb Infected: Trojan-Downloader.Win32.Zlob.cb
C:\System Volume Information\_restore{0665D84B-D4B7-4F70-A9BC-72A2AD25D482}\RP179\A0026715.exe Infected: Trojan-Downloader.Win32.Zlob.bz
C:\System Volume Information\_restore{0665D84B-D4B7-4F70-A9BC-72A2AD25D482}\RP179\A0026718.exe Infected: Trojan-Downloader.Win32.Zlob.bz

Scan process completed.


daraufhin hab ich dann die systemwiederherstellung deaktiviert und den killbox ordner gelöscht. dann hab ich noch mal gescannt und jetzt findet er nichts mehr.

ich muss jetzt erst noch mal danke sagen, weil ich das ganze ohne hilfe überhaupt gar nicht hinbekommen hätte....

ich hab noch eine frage, da du dich ja ganz gut auszukennen scheinst. ich hab im moment antivir als antivirusprogramm auf meinem PC. ich überlege aber schon lange mir mal norton zuzulegen.wollte mal fragen, ob du das für sinnvoll hälst...
Seitenanfang Seitenende
05.12.2005, 14:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 antivirus ist o.k. (ich halte nichts vom Norton)

dann mache folgendes:

Microsoft Windows Antispy + Guard aktivieren
http://virus-protect.org/ms.html

Eingeschränktes Benutzerkonto/Administratorrechte unter Windows
http://virus-protect.org/administrator.html

alles Gute fuer dich + PC ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: