Probleme mit SpyAxe (inkl. spyaxe.txt, HijackThis-Logfile und datFind.bat)

#1 Hallo, ich bin jetzt wahrscheinlich das zig-tausendste SpyAxe-Opfer, das sich meldet, aber so wie es aussieht, braucht man ja wohl etwas Hilfe, um diese kleine Sch...erchen wieder loszuwerden. Den virus-protect.org-Artikel habe ich schon gefunden und die Punkte 1 bis 3 abgearbeitet. Dabei kam folgendes raus:

spyaxe.txt:

SpyAxeFix © by noahdfear

Microsoft Windows XP [Version 5.1.2600]

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1356 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of rundll32.exe

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"


Logfile of HijackThis v1.99.1Scan saved at 23:34:40, on 07.12.2005

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.exe
C:\HP\KBD\KBD.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\AVPersonalPremium\AVGNT.EXE
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\PROGRAMME\AVPERSONALPREMIUM\AVGUARD.EXE
C:\PROGRAMME\AVPERSONALPREMIUM\AVESVC.EXE
C:\Programme\AVPersonalPremium\AVWUPSRV.EXE
c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\PROGRAMME\AVPERSONALPREMIUM\AVMAILC.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Downloads\Zlob-Virus\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
O2 - BHO: HomepageBHO - {724510c3-f3c8-4fb7-879a-d99f29008a2f} - C:\WINDOWS\system32\hp440D.tmp (file missing)
O3 - Toolbar: HP-Ansicht - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programme\HP\Digital Imaging\bin\HPDTLK02.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Programme\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonalPremium\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AcronisTrueImage Monitor] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116112953656
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2B5E276-5218-4D45-8CF1-8559091C4989}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - AntiVir PersonalProducts GmbH. - C:\PROGRAMME\AVPERSONALPREMIUM\AVMAILC.EXE
O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - AntiVir PersonalProducts GmbH - C:\PROGRAMME\AVPERSONALPREMIUM\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVE Service (AVEService) - AntiVir PersonalProducts GmbH - C:\PROGRAMME\AVPERSONALPREMIUM\AVESVC.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonalPremium\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe


datFind.bat:

Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: C465-B2A9

Verzeichnis von C:\WINDOWS\system32

05.12.2005 00:00 1.158 wpa.dbl
01.12.2005 00:02 478.208 autoprnt.exe
01.12.2005 00:02 37.888 setupnt.dll
01.12.2005 00:02 122.880 snapapi.dll
13.11.2005 00:42 167.504 FNTCACHE.DAT
02.11.2005 06:34 2.377.568 MRT.exe
30.10.2005 10:58 381.828 perfh009.dat
30.10.2005 10:58 392.842 perfh007.dat
30.10.2005 10:58 53.572 perfc009.dat
30.10.2005 10:58 64.650 perfc007.dat
30.10.2005 10:58 902.476 PerfStringBackup.INI
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
04.10.2005 16:26 3.013.120 mshtml.dll


Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: C465-B2A9

Verzeichnis von C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp

07.12.2005 23:25 1.885 hpodvd09.log
07.12.2005 23:25 894 LSBurnWatcher.log
07.12.2005 23:25 224 jusched.log
3 Datei(en) 3.003 Bytes
0 Verzeichnis(se), 183.032.492.032 Bytes frei


Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: C465-B2A9

Verzeichnis von C:\WINDOWS

07.12.2005 23:26 1.719.208 WindowsUpdate.log
07.12.2005 23:25 0 0.log
07.12.2005 23:25 159 wiadebug.log
07.12.2005 23:25 50 wiaservc.log
07.12.2005 23:25 2.048 bootstat.dat
07.12.2005 23:24 32.608 SchedLgU.Txt
07.12.2005 23:00 683.751 setupapi.log
02.12.2005 22:42 116 NeroDigital.ini
11.11.2005 00:03 16.134 ocmsn.log
11.11.2005 00:03 105.739 comsetup.log
11.11.2005 00:03 1.393 imsins.log
11.11.2005 00:03 116.179 tsoc.log
11.11.2005 00:03 63.290 ntdtcsetup.log
11.11.2005 00:03 44.557 iis6.log
11.11.2005 00:03 11.890 KB896424.log
11.11.2005 00:03 151.448 ocgen.log
11.11.2005 00:03 14.726 msgsocm.log
11.11.2005 00:03 302.465 FaxSetup.log
11.11.2005 00:03 23.530 updspapi.log
02.11.2005 18:58 30 Iedit.INI
20.10.2005 23:53 21.915 KB901017.log
20.10.2005 23:53 25.779 KB902400.log
20.10.2005 23:53 16.098 KB896688.log
20.10.2005 23:52 14.080 KB905414.log
20.10.2005 23:52 14.295 KB900725.log
20.10.2005 23:52 11.307 KB904706.log
20.10.2005 23:52 11.894 KB905749.log


Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: C465-B2A9

Verzeichnis von C:\

07.12.2005 23:38 0 sys.txt
07.12.2005 23:38 7.627 system.txt
07.12.2005 23:38 398 systemtemp.txt
07.12.2005 23:35 94.627 system32.txt
07.12.2005 23:25 1.072.222.208 hiberfil.sys
07.12.2005 23:24 1.610.612.736 pagefile.sys
10.05.2005 23:59 295 boot.ini
01.01.2005 23:17 2 hpbi.log



Jetzt könnte ich ein wenig Hilfe brauchen, für die ich sehr dankbar wäre.
Zu SpyAxe hätte ich mal noch eine allgemeine Frage: Was macht das Ding eigentlich auf meinem PC - außer zu nerven?

Im Voraus schon mal vielen Dank für eure Hilfe.

Euer SteveM

#2 SteveM

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\autoprnt.exe
c:\windows\system\hpsysdrv.exe

----------------------------------------------------------------------
1. Schritt
wende CleanUp an
http://virus-protect.org/cleanup.html

2. Schritt
mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm

http://virus-protect.org/reg/mcor.reg

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg


------------------------------------------------------------------
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: HomepageBHO - {724510c3-f3c8-4fb7-879a-d99f29008a2f} - C:\WINDOWS\system32\hp440D.tmp (file missing)

PC neustarten
starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an
und klicke die

mcor.reg
spyaxe.reg

doppelt --> fuege sie mit " ja" oder "yes" der Registry bei


-------------------------------------------------
4. Schritt
SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und kopiere die Textdatei hier


dann sehen wir weiter, was die Virenscanner betrifft
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,

zunächst mal vielen Dank für die Antwort. Die beiden Dateien scheinen unauffällig zu sein. Hier die Rückmeldungen von VirusTotal:

This is a report processed by VirusTotal on 12/09/2005 at 22:05:12 (CET) after scanning the file "autoprnt.exe" file.

Antivirus Version Update Result
AntiVir 6.33.0.61 12.09.2005 no virus found
Avast 4.6.695.0 12.09.2005 no virus found
AVG 718 12.08.2005 no virus found
Avira 6.33.0.61 12.09.2005 no virus found
BitDefender 7.2 12.09.2005 no virus found
CAT-QuickHeal 8.00 12.09.2005 no virus found
ClamAV devel-20051108 12.08.2005 no virus found
DrWeb 4.33 12.09.2005 no virus found
eTrust-Iris 7.1.194.0 12.09.2005 no virus found
eTrust-Vet 11.9.1.0 12.09.2005 no virus found
Fortinet 2.54.0.0 12.09.2005 no virus found
F-Prot 3.16c 12.07.2005 no virus found
Ikarus 0.2.59.0 12.09.2005 no virus found
Kaspersky 4.0.2.24 12.09.2005 no virus found
McAfee 4647 12.09.2005 no virus found
NOD32v2 1.1317 12.09.2005 no virus found
Norman 5.70.10 12.09.2005 no virus found
Panda 8.02.00 12.09.2005 no virus found
Sophos 4.00.0 12.09.2005 no virus found
Symantec 8.0 12.09.2005 no virus found
TheHacker 5.9.1.052 12.09.2005 no virus found
VBA32 3.10.5 12.09.2005 no virus found

This is a report processed by VirusTotal on 12/09/2005 at 22:08:41 (CET) after scanning the file "hpsysdrv.exe" file.

Antivirus Version Update Result
AntiVir 6.33.0.61 12.09.2005 no virus found
Avast 4.6.695.0 12.09.2005 no virus found
AVG 718 12.08.2005 no virus found
Avira 6.33.0.61 12.09.2005 no virus found
BitDefender 7.2 12.09.2005 no virus found
CAT-QuickHeal 8.00 12.09.2005 no virus found
ClamAV devel-20051108 12.08.2005 no virus found
DrWeb 4.33 12.09.2005 no virus found
eTrust-Iris 7.1.194.0 12.09.2005 no virus found
eTrust-Vet 11.9.1.0 12.09.2005 no virus found
Fortinet 2.54.0.0 12.09.2005 no virus found
F-Prot 3.16c 12.07.2005 no virus found
Ikarus 0.2.59.0 12.09.2005 no virus found
Kaspersky 4.0.2.24 12.09.2005 no virus found
McAfee 4647 12.09.2005 no virus found
NOD32v2 1.1317 12.09.2005 no virus found
Norman 5.70.10 12.09.2005 no virus found
Panda 8.02.00 12.09.2005 no virus found
Sophos 4.00.0 12.09.2005 no virus found
Symantec 8.0 12.09.2005 no virus found
TheHacker 5.9.1.052 12.09.2005 no virus found
VBA32 3.10.5 12.09.2005 no virus found


smitRem kam zu folgendem Ergebnis:

smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

spyaxe uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~

Free XXX Sites List.url
Antivirus Test Online.url


~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1284 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!


Soweit der aktuelle Stand.

MfG SteveM

#4 SteveM

loesche:
C:\Programme\SpyAxe
C:\Program Files\SpyAxe
C:\WINDOWS\system32\1024
C:\Dokumente und Einstellungen\All Users\Startmenü\Antivirus Test Online.url
C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url


Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina,

Zitat

Sabina postete

loesche:
C:\Programme\SpyAxe
C:\Program Files\SpyAxe
C:\WINDOWS\system32\1024
C:\Dokumente und Einstellungen\All Users\Startmenü\Antivirus Test Online.url
C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url

Hab ich gemacht, hab aber die ersten drei Dateien/Ordner nicht auf meinem Rechner gefunden. Die anderen hießen anders:
...Startmenü\Online Security Center
...Startmenü\Security Troubleshooting
...Favoriten\Take It Here - Daily Updated Porn Links

Nach dem f-secure-Scan habe ich keine Textdatei auf dem Desktop gefunden. Habe dann nach Textdateien mit heutigem Bearbeitungsdatum gesucht und u.a. fsbl-20051211152520.log gefunden. Inhalt:

12/11/05 16:25:20 [Info]: BlackLight Engine 1.0.29 initialized
12/11/05 16:25:20 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/11/05 16:25:20 [Note]: 7019 4
12/11/05 16:25:20 [Note]: 7005 0
12/11/05 16:25:27 [Note]: 7006 0
12/11/05 16:25:27 [Note]: 7011 1360
12/11/05 16:25:27 [Note]: FSRAW library version 1.7.1013
12/11/05 16:26:05 [Note]: 7007 0

Ich weiß jetzt nicht, ob das die richtige Datei ist. Auf jeden Fall hat f-secure nichts gefunden.

Hoffentlich kannst du damit was anfangen.

MfG SteveM

#6 scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina,

der Scan mit Kaspersky brachte folgendes Ergebnis:


-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Sunday, December 11, 2005 18:56:29
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 11/12/2005
Kaspersky Anti-Virus database records: 154538
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\

Scan Statistics:
Total number of scanned objects: 65778
Number of viruses found: 6
Number of infected objects: 12
Number of suspicious objects: 0
Duration of the scan process: 2197 sec

Infected Object Name - Virus Name
C:\!KillBox\mscornet.exe Infected: Trojan-Downloader.Win32.Zlob.bz
C:\!KillBox\mssearchnet.exe Infected: Trojan-Downloader.Win32.Zlob.ca
C:\!KillBox\msvol.tlb Infected: Trojan.Win32.Puper.bq
C:\!KillBox\nvctrl.exe Infected: Trojan.Win32.Puper.bq
C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\Identities\{B6BB143C-AE1C-4589-8AF2-ABE8E58DDC6E}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From DEUTSCHE POSTBANK <support_id_1598@postbank.de>][Date Fri, 17 Jun 2005 07:16:21 -0400]/UNNAMED/html Infected: Trojan-Spy.HTML.Bankfraud.km
C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\Identities\{B6BB143C-AE1C-4589-8AF2-ABE8E58DDC6E}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From DEUTSCHE POSTBANK <support_id_1598@postbank.de>][Date Fri, 17 Jun 2005 07:16:21 -0400]/UNNAMED Infected: Trojan-Spy.HTML.Bankfraud.km
C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\Identities\{B6BB143C-AE1C-4589-8AF2-ABE8E58DDC6E}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From eBay <custservice_ref_2@ebay.com>][Date Sun, 26 Jan 2003 17:40:33 -0700]/UNNAMED/html Infected: Trojan-Spy.HTML.Bayfraud.hn
C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\Identities\{B6BB143C-AE1C-4589-8AF2-ABE8E58DDC6E}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From eBay <custservice_ref_2@ebay.com>][Date Sun, 26 Jan 2003 17:40:33 -0700]/UNNAMED Infected: Trojan-Spy.HTML.Bayfraud.hn
C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\Identities\{B6BB143C-AE1C-4589-8AF2-ABE8E58DDC6E}\Microsoft\Outlook Express\Gelöschte Objekte.dbx Infected: Trojan-Spy.HTML.Bayfraud.hn
C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\Identities\{CF776FDA-053D-4DD5-83B8-AEF2857D29D1}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From Volksbanken Raiffeisenbanken <supprefnum50827@volksbank.de>][Date Sat, 19 Nov 2005 03:19:19 -0500]/UNNAMED/html Infected: Trojan-Spy.HTML.Bankfraud.kd
C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\Identities\{CF776FDA-053D-4DD5-83B8-AEF2857D29D1}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From Volksbanken Raiffeisenbanken <supprefnum50827@volksbank.de>][Date Sat, 19 Nov 2005 03:19:19 -0500]/UNNAMED Infected: Trojan-Spy.HTML.Bankfraud.kd
C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\Identities\{CF776FDA-053D-4DD5-83B8-AEF2857D29D1}\Microsoft\Outlook Express\Gelöschte Objekte.dbx Infected: Trojan-Spy.HTML.Bankfraud.kd

Scan process completed.


Da kommt mal Freude auf! Und jetzt?

MfG SteveM

#8 nun musst du die geloeschten Mails komprimieren, ich weiss nicht, ob das bei Outlook geht

Zitat

so geht es beimThunderbird:
so kann man die Mail restlos aus der Inbox zu entfernen:
1. Mail aus Inbox löschen
2. Mülleimer leeren
3. Inbox komprimieren (Datei-Menü)

Hintergrund: Die gesamte Inbox ist auf der Festplatte als eine einzige Datei abgelegt. Darin stehen alle Mails untereinander, und auch die "gelöschten" Mails bleiben stehen (nur sind sie als gelöscht markiert). Erst durch das Komprimieren werden tatsächlich Teile aus der Datei entfernt. Das ist bei allen Mozilla/Netscape-Varianten gleich.

leere: C:\!KillBox\

und verzichte in Zukunft auf den Outlook
http://virus-protect.org/mailprogs.html
Verzichte auf den IE
http://virus-protect.org/firefox.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabina,

Mails komprimieren geht auch in Outlook. Das wollte das Programm ohnehin schon die ganze Zeit von mir (da kam eine automatische Anfrage, ob ich die Ordner komprimieren lassen wolle, ich hatte aber keine Ahnung, was das eigentlich bedeuten sollte).

Den Verzicht auf Outlook und IE hatte ich sowieso schon in Arbeit. Ich habe gerade Opera getestet, war damit aber nicht wirklich zufrieden. Firefox und Thunderbird scheinen da deutlich besser zu sein bzw. meinen Anforderungen eher zu entsprechen.

Kann ich denn davon ausgehen, dass mein System jetzt clean ist (ich habe natürlich deine letzte Anweisung ausgeführt und C:\!KillBox\ geleert)?

Abschließend nochmal meine Frage: Was hat dieses SpyAxe eigentlich jetzt auf meinem Rechner angestellt?

Vielen Dank für die außerordentlich kompetente Unterstützung! I'm very impressed!

MfG SteveM

#10 SteveM

es gibt noch Domains, in der Registry.

Zitat

Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\all-tgp.org
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\free-spy-cam.net
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\loadcash.biz
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\s13.tempx.cc
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sex-pics.biz
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\toolbarbiz.biz
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\trackhits.cc
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\tracktraff.cc
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\traff-store.com
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\vparivalka.com
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\win-eto.com
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\windfind4u.com
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\xawm.biz
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\zviframe.biz

Um die nicht alles manuell loeschen zu muessen:
http://virus-protect.org/microtrend.html

der Spyaxe spioniert nicht, sondern er will, dass die User das Tool kaufen (bezahlen) oder die Startseite wird staendig auf Seiten umgeleitet, welche den Erstellern wiederum Geld einbringen.

http://board.protecus.de/t20352.htm
http://virus-protect.org/artikel/spyware/spyaxe.html
http://virus-protect.org/artikel/spyware/spyaxe1.html

Zitat

Benutzter Server: [ whois.enom.com ]
spyaxe.com = [ 195.225.176.68 ]
Registration Service Provided By: WMDomains.NET
Contact: support@wmdomains.net
Visit: http://www.wmdomains.net
Domain name: spyaxe.com
Registrant Contact:
U-12
Joshua Veronimo admin@spyaxe.com
632.8323123
Fax: 632.8323123
U-12 Gamma Commercial Complex 47 Rizal Highway cor. Manila
Olongapo City 1300

ein gewisser Schutz gegen solche Sachen ist ein eingeschraenktes Benutzerkonto: (und bestimmte Seiten meiden.....)
http://virus-protect.org/administrator.html

alles Gute fuer dich + PC
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo Leute leider bin ich auch spyaxe opfer was muss ich jetzt machen??
Logfile of HijackThis v1.99.1


Scan saved at 10:39:09, on 13.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\hpb2ksrv.exe
C:\WINDOWS\System32\hpbhksrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\Programme\SinEspias\no-spy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Mitgliederverwaltung\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fujitsu-siemens.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.fujitsu-siemens.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.bn-online.net:3128
O2 - BHO: HomepageBHO - {1ca480cd-c0e5-4548-874e-b85b17905b3a} - C:\WINDOWS\system32\hpE407.tmp
O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.fujitsu-siemens.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{A318101B-8AC8-410A-B07A-6595EEC6833C}: NameServer = 192.168.1.250
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: HP Status - Hewlett-Packard Company - C:\WINDOWS\System32\hpb2ksrv.exe
O23 - Service: HP Status Print - Unknown owner - C:\WINDOWS\System32\hpbhksrv.exe

Bitte um dringende hilfe danke.
Hier die Dat datei


13.12.2005 10:58 5.096 ncompat.tlb
13.12.2005 10:45 24.064 ld701F.tmp
13.12.2005 10:45 9.938 hp6FA2.tmp
12.12.2005 16:07 36.864 intercept.dll
12.12.2005 15:41 98.304 ioctrl.dll
12.12.2005 15:41 9.780 mssearchnet.exe
12.12.2005 15:41 15.504 nvctrl.exe
12.12.2005 15:15 14.536 mscornet.exe
12.12.2005 08:11 1.158 wpa.dbl
09.12.2005 10:18 7.006 jupdate-1.5.0_06-b05.log
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
10.11.2005 08:06 306.008 FNTCACHE.DAT
02.11.2005 06:34 2.377.568 MRT.exe
31.10.2005 09:21 45.408 perfc009.dat
31.10.2005 09:21 363.734 perfh009.dat
31.10.2005 09:21 371.028 perfh007.dat
31.10.2005 09:21 54.788 perfc007.dat

#12 KJAY

SpyAxeFix.exe
http://noahdfear.geekstogo.com/click%20counter/click.php?id=8

-->> schliesse alle anderen Programme
-->> doppeltklicken SpyAxeFix.exe
-->> SpyAxeFix.bat
-->> wenn deas Tool abgearbeitet ist, wird der PC neustarten


--------------------------------------------------------------------------
mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm

http://virus-protect.org/reg/mcor.reg

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg

-----------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\Programme\SinEspias\no-spy.exe
C:\Programme\SinEspias
C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\ld701F.tmp
C:\WINDOWS\system32\hp6FA2.tmp
C:\WINDOWS\system32\hpE407.tmp
C:\WINDOWS\system32\intercept.dll
C:\WINDOWS\intercept.dll
C:\WINDOWS\system32\ioctrl.dll
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mscornet.exe

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an
und klicke die

mcor.reg
spyaxe.reg

doppelt --> fuege sie mit "ja" oder "yes" der Registry bei

-------------------------------------------------------------------

öffne das HijackThis
-- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: HomepageBHO - {1ca480cd-c0e5-4548-874e-b85b17905b3a} - C:\WINDOWS\system32\hpE407.tmp
O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun

loeschefalls du es findest)
C:\Programme\SpyAxe
C:\Program Files\SpyAxe
C:\WINDOWS\system32\1024
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url

C:\Dokumente und Einstellungen\Username\Favoriten\Take It Here - Daily Updated Porn Links.url
C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url
C:\Dokumente und Einstellungen\Username\Favoriten\Antivirus Test Online.url

pc neustarten

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)


Trend Micro Anti-Spyware
http://virus-protect.org/microtrend.html

deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
http://virus-protect.org/systemwiederherstellung.html

scanne mit Kaspersky --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit