Mich hat auch die Malware Spyaxe erwischt

#1 Hallo!

Mich hat die Malware Spyaxe erwischt. Habe bereits eine Anleitung zum entfernen von Spyaxe gefunden. Ich habe im ersten Schritt CleanUp angewendet und dann SpyAxeFix.exe. Als nächsten Schritt soll ich die spyaxe.txt im Forum posten, keine Ahnung warum. Ich hoffe Ihr könnt mir helfen!


SpyAxeFix © by noahdfear


Microsoft Windows XP [Version 5.1.2600]




Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 604 'explorer.exe'


Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of rundll32.exe


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"


Logfile of HijackThis v1.99.1
Scan saved at 17:26:23, on 05.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\Launcher.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\winstall.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Dieter\Desktop\hijackthis-1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\WINDOWS\System32\search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\System32\search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/WINDOWS/System32/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System32\search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PrimaLauncher] C:\WINDOWS\System32\Launcher.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe


Bin etwas von dieser rundll32.exe verunsichert. Ist das nicht ne Windows System Datei?


datFind.bat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 44B3-903D

Verzeichnis von C:\WINDOWS\system32

05.12.2005 13:45 0 z16.exe
05.12.2005 09:24 0 z15.exe
05.12.2005 09:19 0 z14.exe
05.12.2005 09:14 0 z13.exe
05.12.2005 09:09 0 z11.exe
05.12.2005 09:04 0 z12.exe
04.12.2005 21:18 29.184 jlkjkl.exe
04.12.2005 21:18 6.176 jkll.exe
04.12.2005 20:12 1.272 search.html
04.12.2005 20:08 7.168 Thumbs.db
04.12.2005 17:12 4 winsub.xml
04.12.2005 17:12 64 svcp.csv
04.12.2005 14:20 311.740 perfh009.dat
04.12.2005 14:20 40.128 perfc009.dat
04.12.2005 14:20 316.924 perfh007.dat
04.12.2005 14:20 48.354 perfc007.dat
04.12.2005 14:20 723.744 PerfStringBackup.INI
03.12.2005 13:59 2.240 wpa.dbl
17.04.2005 15:22 192.184 FNTCACHE.DAT
17.04.2005 15:16 16.832 amcompat.tlb
17.04.2005 15:16 23.392 nscompat.tlb
17.04.2005 15:15 2.272 w95inf16.dll
17.04.2005 15:15 4.608 w95inf32.dll
07.01.2005 18:05 827.392 FLASH.OCX
...

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 44B3-903D

Verzeichnis von C:\DOKUME~1\Dieter\LOKALE~1\Temp
...


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 44B3-903D

Verzeichnis von C:\WINDOWS

05.12.2005 16:57 0 0.log
05.12.2005 16:56 2.048 bootstat.dat
05.12.2005 16:55 32.618 SchedLgU.Txt
05.12.2005 16:48 870.814 ntbtlog.txt
05.12.2005 14:01 669 win.ini
04.12.2005 21:03 286 system.ini
04.12.2005 20:12 2.008 ModemLog_Trust 56K V92 PCI Modem.txt
04.12.2005 18:44 69 NeroDigital.ini
04.12.2005 15:13 216 wiadebug.log
04.12.2005 14:51 50 wiaservc.log
04.12.2005 13:58 24.570 wmsetup.log
04.12.2005 13:42 1.147.606 setupapi.log
03.12.2005 15:18 670 ULEAD32.INI
07.11.2005 10:18 54.156 QTFont.qfn
03.11.2005 18:22 72 pmxpower.INI
10.10.2005 16:34 48 ChssBase.ini
22.08.2005 17:54 12.590 PWRTWAIN.LOG
22.08.2005 17:47 37.928 COLORADO.LOG
22.08.2005 17:45 86.524 PRIMPAGE.LOG
03.08.2005 14:42 173.989 setupact.log

...




Und wie mache ich jetzt weiter???

#2 Komisch, das Ewido und Spybot den nicht gefunden haben:
C:\winstall.exe Teste die Datei bitte einmal hier und poste das Ergebnis:
http://virusscan.jotti.org/

Nachtrag: Fix das im abgesicherten Modus:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\WINDOWS\System32\search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\System32\search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/WINDOWS/System32/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System32\search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

Wegen der Rundll32, ja, die gibt es auch in Windows und wird benoetigt um DLL Dateien zu starten.
__________
MfG Ralf
SEO-Spam Hunter

#3 Loesche bitte noch diese Dateien:
05.12.2005 13:45 0 z16.exe
05.12.2005 09:24 0 z15.exe
05.12.2005 09:19 0 z14.exe
05.12.2005 09:14 0 z13.exe
05.12.2005 09:09 0 z11.exe
05.12.2005 09:04 0 z12.exe
04.12.2005 20:12 1.272 search.html

und pruefe diese Dateien auch bei Jotti, Ergebnisse bitte auch bekannt geben.
04.12.2005 21:18 29.184 jlkjkl.exe
04.12.2005 21:18 6.176 jkll.exe
__________
MfG Ralf
SEO-Spam Hunter

#4 Konnte leider bei Jotti nicht prüfen, da er busy war
aber nach dem Löschen von winstall.exe war das rote Kreuz inkl. Fehlermeldung in der Taskbar weg.
Nach dem Ausführen von jlkjkl.exe war die "Fehlermeldung"
wieder da.
Habe alles gelöscht und sieht ganz gut aus bis jetzt.

Ich lasse jetzt nochmal den Filewalker rüber rattern.