Rotes Kreuz und Spyaxe wie weiter..?

#1 Habe ein grösseres Problem. Suche seit Tagen im Internet nach einer Lösung um das rote Kreuz und Spy Axe zu besiegen. Bis jetzt leider ohne nennenswerten erfolg.

Wäre um jede Antwort dankbar
Gruss
bam


Logfile of HijackThis v1.99.1
Scan saved at 23:00:03, on 08.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rmctrl.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\INTEL\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hpAC5D.tmp
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

#2 SpyAxeFix © by noahdfear


Microsoft Windows XP [Version 5.1.2600]




Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1220 'explorer.exe'
Killing PID 1220 'explorer.exe'


Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 992 'rundll32.exe'
Killing PID 3232 'rundll32.exe'


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

#3 bam

1. Schritt
wende CleanUp an
http://virus-protect.org/cleanup.html

2. Schritt
mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm

http://virus-protect.org/reg/mcor.reg

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg

3.Schritt:
öffne das HijackThis
-- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hpAC5D.tmp

PC neustarten
starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an
und klicke die

mcor.reg
spyaxe.reg

doppelt --> fuege sie mit " ja" oder "yes" der Registry bei


-------------------------------------------------
4. Schritt
SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und kopiere die Textdatei hier

5.Schritt
datfindbat--> kopiere nur die 1. Textdatei (1 Monat vom Datum her genuegt)
http://virus-protect.org/datfindbat.html

dann sehen wir weiter
__________
MfG Sabina

rund um die PC-Sicherheit

#4 Hey sabine

1.Leider hat nicht alles geklappt :-(. Habe den Virus (W32.Sinnaka.A@mm) immer noch auf dem PC.

Folgendes Problem: Beim 3.Schritt im abgesicherten Modus habe die beiden Link "mcor.reg" und "spyaxe.reg" nicht auf dem Desctop!

Was mache ich falsch?

2. In 4.Schritt muss ich in welchem Modus arbeiten im "agesicherten Modus" oder im "normalen Modus"?



Gruss
bam

Gruss
bam[/img][/url]

#5 4.Im abgesicherten Modus

Hallo Bam
Vielleicht kannst du mir per PM mitteilen wie/wo du diese Infektion bekommen hast
__________
MfG Argus

#6 Hallo Arnold

Wo genau weiss ich nicht. Ist gut möglich das ich die Infektion per kurzem Videoclip aufgelesen habe. Per Mail vermute ich eher nicht, da ich keine fremde Mails nicht erkennbare Mails lösche und das Vorschau fenster auch nicht geöffnet habe.
Komisch ist, dass im abgesicherten Modus das Programm Spybot - Search & Destroy und "mcor.reg" und "spyaxe.reg" nicht ersichtlich ist. Bevor ich die 5 Schritte abgerackert habe, löschte ich zwei verseuchte Dateien "nvctr.exe" und "mssearchnet.exe"

bam

#7 Hallo Bam
Poste mal das log von Smitrem "C:\smitfiles.txt"
Und den 5.Schritt
__________
MfG Argus

#8 Hey Arnold

Übriegens habe ich das Spyaxe nicht mehr auf dem Rechner ich konnte es deinstallieren! Auch das weisse Kreuz im roten Kreis ist nicht mehr unter rechts neben der Zeit ersichtlich.

Wie kann ich Dir das log von smitrem liefern? Genügt Dir folgendes?:

delfiles.cmd
process.exe
pv.exe
replace.cmd
runthis.bat
swreg.exe

Log 5.Schritt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3439-7AB9

Verzeichnis von C:\WINDOWS\system32

09.12.2005 22:58 5'096 ncompat.tlb
09.12.2005 21:51 24'064 ldC39E.tmp
09.12.2005 21:31 6'144 msvol.tlb
09.12.2005 21:31 20'480 hpFCAA.tmp
09.12.2005 21:23 20'480 hpC763.tmp
09.12.2005 20:04 20'480 hpAB24.tmp
09.12.2005 20:01 4'286 ot.ico
09.12.2005 20:01 4'286 ts.ico
08.12.2005 18:51 2'206 wpa.dbl
04.12.2005 12:22 14'568 mscornet.exe
03.12.2005 15:07 2'050 DslWz.log
03.12.2005 12:29 40'972 perfc009.dat
03.12.2005 12:29 314'644 perfh009.dat
03.12.2005 12:29 320'424 perfh007.dat
03.12.2005 12:29 49'372 perfc007.dat
03.12.2005 12:29 725'674 PerfStringBackup.INI
02.12.2005 22:35 83'208 S32EVNT1.DLL
02.12.2005 22:35 124'167 SYMEVNT.386
02.12.2005 22:11 241'536 FNTCACHE.DAT
02.12.2005 12:18 253 spupdwxp.log
02.12.2005 11:42 25'065 wmpscheme.xml
02.12.2005 11:17 261 $winnt$.inf
02.12.2005 11:14 2'951 CONFIG.NT
02.12.2005 11:14 16'832 amcompat.tlb
02.12.2005 11:14 23'392 nscompat.tlb
02.12.2005 11:12 488 logonui.exe.manifest
02.12.2005 11:12 488 WindowsLogon.manifest
02.12.2005 11:12 749 nwc.cpl.manifest
02.12.2005 11:12 749 wuaucpl.cpl.manifest
02.12.2005 11:12 749 cdplayer.exe.manifest
02.12.2005 11:12 749 sapi.cpl.manifest
02.12.2005 11:12 749 ncpa.cpl.manifest
02.12.2005 11:10 21'740 emptyregdb.dat
02.12.2005 10:55 0 h323log.txt
15.11.2005 12:12 126'680 GCCollection.dll
15.11.2005 12:12 117'976 hashlib.dll
15.11.2005 12:12 95'448 gcUnCompress.dll
22.04.2005 11:58 328'128 gcTypLibA.tlb
04.08.2004 01:12 1'788 dcache.bin
04.08.2004 01:00 333'312 netsetup.exe
04.08.2004 00:58 87'176 rdpwsx.dll
04.08.2004 00:58 92'168 rdpdd.dll
04.08.2004 00:58 12'168 tsddd.dll

#9 Klicke auf runthis.bat dan wird ein Dos-fenster öffnen folge die anweisungen
Dein Rechner wird neu gestartet suche dan auf C:\ nach smitfiles.txt und poste den inhalt
Und dan nochmal den 5.Schritt
__________
MfG Argus

#10 Nach dem Klick auf runthis.bat sind einige Fehlermeldungen vom Programm Spybot - Search & Destroy aufgegangen immer wieder die gleichen. Wenn ich das Internet öffne errscheint die Startseite und nicht den Virus W32.Sinnaka.A@mm !

wie gewünscht... Log vom smitfiles.txt

smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

spyaxe uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~

shopping


~~~ system32 folder ~~~

ld****.tmp
ncompat.tlb
mscornet.exe
hp***.tmp


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 2184 'explorer.exe'
Killing PID 2184 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~

shopping


~~~ system32 folder ~~~

ld****.tmp
ncompat.tlb
mscornet.exe
hp***.tmp


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!





Log von 5.Schritt.
nur bis zum Datum 4.8.2004 zurück. Brauchst Du noch weiter zurück. Es sind Total 1909 Dateien

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3439-7AB9

Verzeichnis von C:\WINDOWS\system32

09.12.2005 23:55 5'096 ncompat.tlb
09.12.2005 23:48 24'064 ldD67A.tmp
09.12.2005 23:45 0 present1.txt
09.12.2005 23:45 0 present.txt
09.12.2005 21:31 20'480 hpFCAA.tmp
08.12.2005 18:51 2'206 wpa.dbl
04.12.2005 12:22 14'568 mscornet.exe
03.12.2005 15:07 2'050 DslWz.log
03.12.2005 12:29 314'644 perfh009.dat
03.12.2005 12:29 40'972 perfc009.dat
03.12.2005 12:29 320'424 perfh007.dat
03.12.2005 12:29 49'372 perfc007.dat
03.12.2005 12:29 725'674 PerfStringBackup.INI
02.12.2005 22:35 124'167 SYMEVNT.386
02.12.2005 22:35 83'208 S32EVNT1.DLL
02.12.2005 22:11 241'536 FNTCACHE.DAT
02.12.2005 12:18 253 spupdwxp.log
02.12.2005 11:42 25'065 wmpscheme.xml
02.12.2005 11:17 261 $winnt$.inf
02.12.2005 11:14 2'951 CONFIG.NT
02.12.2005 11:14 16'832 amcompat.tlb
02.12.2005 11:14 23'392 nscompat.tlb
02.12.2005 11:12 488 WindowsLogon.manifest

#11 Das beste ist es um auf Sabina zu warten die ist die Beste Virenkiller(in) die ich kenne
Es hat sich nämlich nichts geändert
__________
MfG Argus

#12 Danke mal vorerst. Ich habe noch das Programm Spybot - Search & Destroy laufen lassen. Folgende Virus/Spam... kann das Programm nicht löschen
samitfraud-C.
Vielen Dank vorerst. Würde mich freuen wenn Sabina noch die logs nach Viren scanen könnte....
Gruss
bam

#13 bam

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm

http://virus-protect.org/reg/mcor.reg

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg


KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\ldD67A.tmp
C:\WINDOWS\system32\present1.txt
C:\WINDOWS\system32\present.txt
C:\WINDOWS\system32\hpFCAA.tmp
C:\WINDOWS\system32\mscornet.exe

PC neustarten
starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an
und klicke die

mcor.reg
spyaxe.reg

doppelt --> fuege sie mit " ja" oder "yes" der Registry bei

----------------------------------------------------------

SpyAxeFix.exe
http://noahdfear.geekstogo.com/click%20counter/click.php?id=8

-->> schliesse alle anderen Programme
-->> doppeltklicken SpyAxeFix.exe
-->> SpyAxeFix.bat
-->> wenn deas Tool abgearbeitet ist, wird der PC neustarten

loesche:
C:\Programme\SpyAxe
C:\Program Files\SpyAxe
C:\WINDOWS\system32\1024
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url

deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
http://virus-protect.org/systemwiederherstellung.html

scanne mit Kaspersky --> kopiere hier den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Sabina

Folgendes Problem: im abgesicherten Modus habe die beiden Link "mcor.reg" und "spyaxe.reg" nicht auf dem Desctop!

-C:\WINDOWS\system32\ldD67A.tmp und C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url
habe ich nicht gefunden

Please wait to update the virus definitions...
Downloading from url: http://eu1h.kaspersky-labs.com
Downloading remote file: master.xml

#15 das ist nicht der Scan vom Kaspersky (also der das Endergebnis anzeigt)

und die reg-Dateien musst du beim Laden gleich auf dem Desktop abspeichern, sonst sind sie...logisch...woanders.

lade, scanne und poste den scanreport
http://virus-protect.org/microtrend.html
__________
MfG Sabina

rund um die PC-Sicherheit