SpyAxe - hat er mich schon??

Thema ist geschlossen!
Thema ist geschlossen!
#0
13.12.2005, 11:05
...neu hier

Beiträge: 8
#1 Hallo zusammen!

Es scheint, als hätte ich mir vorhin spyaxe eingefangen. Zumindest wurden einige Explorer-Fenster geschlossen und wenig später hatte ich den Hinweis: "Your computer is defected...". Als ich das Symbol anklicke, baut sich ein Fenster von SpyAxe 3.0 auf. Ich folge dummerweise erst dem Programm, wo ich mich angeblich sichern kann. Mittendrin kommt mir es aber spanisch vor und ich unterbrech (Pause) das Programm, um erstmal was über spyaxe nachzulesen...

Was ist nun?? Bin ich bereits infiziert?? Oder kann ich das Programm noch abbrechen?? Wäre froh, wenn mir jemand schnell helfen könnte. Ich stecke gerade in meiner Examensarbeit... Bitte, bitte!!!
Seitenanfang Seitenende
13.12.2005, 15:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Mille

wende CleanUp an (so wie auf der Seite erklaert....)
http://virus-protect.org/cleanup.html

kopiere hier die 4 Textdateien (2 Monate vom Datum her genuegen)
http://virus-protect.org/datfindbat.html

----------------------------

SpyAxe
http://virus-protect.org/artikel/spyware/spyaxe.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.12.2005, 16:54
...neu hier

Themenstarter

Beiträge: 8
#3 Hi Sabina!

Danke für deine Antwort! Zwischenzeitlich habe ich mal eine Systemwiederherstellung vorgenommen (von gestern) und alles scheint wieder normal zu laufen. Es sind auch keine Symbole mehr zu sehen. Trotzdem habe ich mal deinen Anweisungen gefolgt und hier sind die Ergebnisse:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: A062-6B94

Verzeichnis von C:\WINDOWS\system32

13.12.2005 10:25 9.938 hp59FB.tmp
13.12.2005 10:17 24.064 ldE9DE.tmp

01.12.2005 09:34 2.206 wpa.dbl
24.11.2005 09:01 217.656 FNTCACHE.DAT
07.11.2005 11:47 52.764 perfc009.dat
07.11.2005 11:47 380.350 perfh009.dat
07.11.2005 11:47 391.000 perfh007.dat
07.11.2005 11:47 63.580 perfc007.dat
07.11.2005 11:47 786.220 PerfStringBackup.INI
02.11.2005 06:34 2.377.568 MRT.exe
13.10.2005 00:11 118.784 sirenacm.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
04.10.2005 16:26 3.013.120 mshtml.dll
23.09.2005 04:06 8.491.520 shell32.dll

---

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: A062-6B94

Verzeichnis von C:\DOKUME~1\Mille\LOKALE~1\Temp

---

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: A062-6B94

Verzeichnis von C:\WINDOWS

13.12.2005 15:46 2 bild.ini
13.12.2005 13:12 3.793 Germanwings Schn„ppchen Finder (Trial) Uninstall Log.txt
13.12.2005 12:47 0 0.log
13.12.2005 12:46 159 wiadebug.log
13.12.2005 12:46 2.091.090 WindowsUpdate.log
13.12.2005 12:46 50 wiaservc.log
13.12.2005 12:46 2.048 bootstat.dat
13.12.2005 12:44 32.630 SchedLgU.Txt
03.12.2005 02:37 1.611 discwriter.log
02.12.2005 22:36 71.109 wmsetup.log
02.12.2005 20:21 0 OrangeBurn.log
24.11.2005 23:13 34.122 setupapi.log
11.11.2005 20:23 0 PowerReg.dat
08.11.2005 21:33 62.638 iis6.log
08.11.2005 21:33 146.925 comsetup.log
08.11.2005 21:33 88.942 ntdtcsetup.log
08.11.2005 21:33 21.458 ocmsn.log
08.11.2005 21:33 163.824 tsoc.log
08.11.2005 21:33 1.374 imsins.log
08.11.2005 21:33 11.904 KB896424.log
08.11.2005 21:33 207.078 ocgen.log
08.11.2005 21:33 21.165 msgsocm.log
08.11.2005 21:33 407.108 FaxSetup.log
08.11.2005 21:33 20.593 updspapi.log
07.11.2005 12:30 1.454 COM+.log
07.11.2005 11:51 12.639 Germanwings Schn„ppchen Finder (Trial) Setup Log.txt
17.10.2005 00:35 1.393 imsins.BAK
17.10.2005 00:35 21.086 KB901017.log
17.10.2005 00:35 23.463 KB902400.log
17.10.2005 00:35 14.115 KB896688.log
17.10.2005 00:34 13.601 KB905414.log
17.10.2005 00:34 13.466 KB900725.log
17.10.2005 00:33 11.239 KB904706.log
17.10.2005 00:33 11.925 KB905749.log
11.08.2005 09:17 63 mdm.ini

---

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: A062-6B94

Verzeichnis von C:\

13.12.2005 16:52 0 sys.txt
13.12.2005 16:51 8.506 system.txt
13.12.2005 16:51 124 systemtemp.txt
13.12.2005 16:49 93.288 system32.txt
13.12.2005 12:46 402.653.184 pagefile.sys
24.01.2005 09:12 211 boot.ini

---

Das sollte es sein! Ich kann offen gesagt überhaupt nix damit anfangen. Was also nun??
Seitenanfang Seitenende
14.12.2005, 14:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo Mille

SpyAxeFix.exe
http://virus-protect.org/artikel/tools/SpyAxeFix.exe

-->> schliesse alle anderen Programme
-->> doppeltklicken SpyAxeFix.exe
-->> SpyAxeFix.bat
-->> wenn deas Tool abgearbeitet ist, wird der PC neustarten

------------------------------------------------------------------------------
mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm

http://virus-protect.org/reg/mcor.reg

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg

-----------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\hp59FB.tmp
C:\WINDOWS\system32\ldE9DE.tmp

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an
und klicke die

mcor.reg
spyaxe.reg

doppelt --> fuege sie mit "ja" oder "yes" der Registry bei

-------------------------------------------------------------------

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)


scanne mit Kaspersky und etrust
--> poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.12.2005, 01:25
...neu hier

Themenstarter

Beiträge: 8
#5 Hi Sabina!

Obwohl mein Rechner scheinbar normal läuft, bin ich deinen Anweisungen gefolgt und hab dann durch kaspersky Folgendes aufgedeckt:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Saturday, December 17, 2005 01:20:36
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 16/12/2005
Kaspersky Anti-Virus database records: 155587
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\

Scan Statistics:
Total number of scanned objects: 179395
Number of viruses found: 8
Number of infected objects: 13
Number of suspicious objects: 0
Duration of the scan process: 12763 sec

Infected Object Name - Virus Name
C:\!KillBox\hp59FB.tmp Infected: Trojan-Downloader.Win32.Zlob.cs
C:\!KillBox\ldE9DE.tmp Infected: Trojan-Downloader.Win32.Zlob.bv
C:\Programme\longplusface\locksway.exe Infected: Trojan-Downloader.Win32.Swizzor.br
C:\Programme\longplusface\pilereffirst.exe Infected: Trojan-Downloader.Win32.Swizzor.bm
C:\Programme\longplusface\xqsjhjdd.exe Infected: Trojan-Downloader.Win32.Swizzor.bn
C:\Programme\MoreLoud01\ooze window.exe Infected: Trojan-Downloader.Win32.Swizzor.bo
C:\RECYCLER\S-1-5-21-3133978997-400550780-4210259494-1005\Dc121.exe Infected: Trojan-Downloader.Win32.Swizzor.bm
C:\RECYCLER\S-1-5-21-3133978997-400550780-4210259494-1005\Dc124.exe Infected: Trojan-Downloader.Win32.Swizzor.bg
C:\System Volume Information\_restore{3021385E-CC7F-491A-B631-6C6E4A1E7F70}\RP656\A0040289.exe Infected: Trojan-Downloader.Win32.Swizzor.br
C:\System Volume Information\_restore{8B05AF0B-6616-4704-B0F7-06CDAD293AA0}\RP348\A0031241.exe Infected: Trojan-Downloader.Win32.Zlob.cs
C:\System Volume Information\_restore{8B05AF0B-6616-4704-B0F7-06CDAD293AA0}\RP348\A0031257.tlb Infected: Trojan-Downloader.Win32.Zlob.cs
C:\System Volume Information\_restore{8B05AF0B-6616-4704-B0F7-06CDAD293AA0}\RP348\A0031274.exe Infected: Trojan-Downloader.Win32.Zlob.cs
C:\System Volume Information\_restore{8B05AF0B-6616-4704-B0F7-06CDAD293AA0}\RP348\A0031276.exe Infected: Trojan-Downloader.Win32.Zlob.ct

Scan process completed.

------

Es scheint, als wäre mein Rechner voll mit Viren! Etrust habe ich noch nicht durchlaufen lassen können. Das kann ich morgen nachholen. Was sagst du zu den bisherigen Ergebnissen???
Seitenanfang Seitenende
17.12.2005, 10:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Mille

loesche:
C:\Programme\longplusface
C:\Programme\MoreLoud01
C:\!KillBox\hp59FB.tmp
C:\!KillBox\ldE9DE.tmp


Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:



dir %Windir%\tasks /a h > files.txt
notepad files.txt


- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text

------------------------------------------------

deaktiviere die systemwiederherstellung....dann aktiviere sie wieder ;)
http://virus-protect.org/systemwiederherstellung.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.12.2005, 11:44
...neu hier

Themenstarter

Beiträge: 8
#7 Hier der Text aus der findjobs.bat. Vielen Dank schon mal für deine Hilfe....


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: A062-6B94

Verzeichnis von C:\WINDOWS\tasks

02.09.2004 22:52 <DIR> .
02.09.2004 22:52 <DIR> ..
18.08.2001 13:00 65 desktop.ini
17.12.2005 11:10 6 SA.DAT
2 Datei(en) 71 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\Mille\Desktop


Und hier noch der Scan von eTrust. 5 Viren wurden noch gefunden:


Online Security Guide.url Win32.Moisho infected C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\

Online Security Guide.url Win32.Moisho infected C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\

Security Troubleshooting.url Win32.Moisho infected C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\

Dc3.tmp Win32.Beovens.AV infected C:\RECYCLER\S-1-5-21-1078081533-1972579041-725345543-1004\

Dc4.tmp Win32.Puper.BI infected C:\RECYCLER\S-1-5-21-1078081533-1972579041-725345543-1004\


Was nun???
Dieser Beitrag wurde am 17.12.2005 um 14:56 Uhr von Mille editiert.
Seitenanfang Seitenende
18.12.2005, 19:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 loeschen

C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Security Troubleshooting.url
C:\RECYCLER\S-1-5-21-3133978997-400550780-4210259494-1005\Dc121.exe
C:\RECYCLER\S-1-5-21-3133978997-400550780-4210259494-1005\Dc124.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.12.2005, 15:32
...neu hier

Themenstarter

Beiträge: 8
#9 Ok, die ersten drei Dateien sind gelöscht. Die unteren beiden kann ich nicht finden. Nicht mal den Ordner Recycler. Woran liegt das? Oder sind die schon weg??

Mille
Seitenanfang Seitenende
22.12.2005, 16:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 scanne mit panda
http://virus-protect.org/onlinescan.html

wir schauen dann mal, was der Scanner noch anzeigt ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.12.2005, 01:04
...neu hier

Themenstarter

Beiträge: 8
#11 Hier der Scan-Bericht von Panda:


Incident Status Location

Adware:adware/securityerror Not desinfected C:\Dokumente und Einstellungen\Mille\Favoriten\Antivirus Test Online.url
Adware:adware/wintools Not desinfected C:\PROGRAMME\GEMEINSAME DATEIEN\WinTools
Adware:Adware/Lop Not desinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memooncenouncamp\delete face.exe
Adware:Adware/WinTools Not desinfected C:\Dokumente und Einstellungen\Harry\Lokale Einstellungen\Temp\~449687.tmp
Adware:Adware/WinTools Not desinfected C:\Dokumente und Einstellungen\Harry\Lokale Einstellungen\Temp\~586247.tmp
Adware:Adware/WinTools Not desinfected C:\Dokumente und Einstellungen\Harry\Lokale Einstellungen\Temp\~607691.tmp
Adware:Adware/WinTools Not desinfected C:\Dokumente und Einstellungen\Harry\Lokale Einstellungen\Temp\~627927.tmp
Adware:Adware/WinTools Not desinfected C:\Dokumente und Einstellungen\Harry\Lokale Einstellungen\Temp\~973895.tmp
Adware:Adware/Gator Not desinfected C:\PROGRAM FILES\fsg-ag.exe
Adware:Adware/WinTools Not desinfected C:\Programme\Gemeinsame Dateien\WinTools\WSup.exe
Adware:Adware/WinTools Not desinfected C:\Programme\Gemeinsame Dateien\WinTools\WToolsA.exe
Adware:Adware/WinTools Not desinfected C:\Programme\Gemeinsame Dateien\WinTools\WToolsB.dll
Adware:Adware/WinTools Not desinfected C:\Programme\Gemeinsame Dateien\WinTools\WToolsD.cfg
Adware:Adware/Lop Not desinfected C:\RECYCLER\S-1-5-21-1078081533-1972579041-725345543-1004\Dc1\locksway.exe
Adware:Adware/Lop Not desinfected C:\RECYCLER\S-1-5-21-1078081533-1972579041-725345543-1004\Dc1\pilereffirst.exe
Adware:Adware/Lop Not desinfected C:\RECYCLER\S-1-5-21-1078081533-1972579041-725345543-1004\Dc1\xlaalmkt.exe
Adware:Adware/Lop Not desinfected C:\RECYCLER\S-1-5-21-1078081533-1972579041-725345543-1004\Dc1\xqsjhjdd.exe
Adware:Adware/Lop Not desinfected C:\RECYCLER\S-1-5-21-1078081533-1972579041-725345543-1004\Dc2\ooze window.exe
Adware:Adware/Lop Not desinfected C:\RECYCLER\S-1-5-21-3133978997-400550780-4210259494-1005\Dc120.exe
Adware:Adware/Lop Not desinfected C:\RECYCLER\S-1-5-21-3133978997-400550780-4210259494-1005\Dc121.exe
Adware:Adware/Lop Not desinfected C:\RECYCLER\S-1-5-21-3133978997-400550780-4210259494-1005\Dc124.exe
Adware:Adware/Lop Not desinfected C:\RECYCLER\S-1-5-21-3133978997-400550780-4210259494-1005\Dc125.dll
Adware:Adware/DownloadWare Not desinfected C:\RECYCLER\S-1-5-21-3133978997-400550780-4210259494-1005\Dc126\v15\RH.DLL
Adware:Adware/DownloadWare Not desinfected C:\RECYCLER\S-1-5-21-3133978997-400550780-4210259494-1005\Dc126\v15\RH.exe
Virus:Bck/Dumador.CU Disinfected C:\WINDOWS\system32\drivers\etc\hosts
Seitenanfang Seitenende
23.12.2005, 01:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren



stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

loesche:
C:\Dokumente und Einstellungen\Mille\Favoriten\Antivirus Test Online.url
C:\Programme\Gemeinsame Dateien\WinTools
C:\PROGRAM FILES\fsg-ag.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memooncenouncamp

leere den papierkorb

loesche:
C:\RECYCLER\S-1-5-21-1078081533-1972579041-725345543-1004\Dc1
C:\RECYCLER\S-1-5-21-1078081533-1972579041-725345543-1004\Dc2
C:\RECYCLER\S-1-5-21-3133978997-400550780-4210259494-1005\Dc120.exe
C:\RECYCLER\S-1-5-21-3133978997-400550780-4210259494-1005\Dc121.exe
C:\RECYCLER\S-1-5-21-3133978997-400550780-4210259494-1005\Dc124.exe
C:\RECYCLER\S-1-5-21-3133978997-400550780-4210259494-1005\Dc125.dll
C:\RECYCLER\S-1-5-21-3133978997-400550780-4210259494-1005\Dc126
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.12.2005, 12:36
...neu hier

Themenstarter

Beiträge: 8
#13 Hi Sabina!

Hab alles so gemacht wie oben beschrieben. Als ich aber die Recycler-Dateien löschen wollte, konnte ich lediglich die oben angegebenen Ordner auffinden. Sie waren jedoch alle leer und dementsprechnend konnte ich nix löschen. Ist das gut oder schlecht?

Lieben Gruß!

Mille
Seitenanfang Seitenende
23.12.2005, 14:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14
TuneUp 2006 (30 Tage free) Shareware

http://virus-protect.org/reinigungstoolsregistry.html
wende an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner

ueberpruefen wir es: scanne noch mal mit panda ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.12.2005, 15:52
...neu hier

Themenstarter

Beiträge: 8
#15 Ok, ich hab jetzt bei Panda unter "My computer" gescannt. Oder hätte ich besser unter "Local Discs" scannen sollen?? Das ist jedenfalls das Ergebnis von "my computer":


Incident
Status
Location
Adware:Adware/Lop Not desinfected C:\RECYCLER\S-1-5-21-3133978997-400550780-4210259494-1005\Dc120.exe
Adware:Adware/Lop Not desinfected C:\RECYCLER\S-1-5-21-3133978997-400550780-4210259494-1005\Dc121.exe
Adware:Adware/Lop Not desinfected C:\RECYCLER\S-1-5-21-3133978997-400550780-4210259494-1005\Dc124.exe
Adware:Adware/Lop Not desinfected C:\RECYCLER\S-1-5-21-3133978997-400550780-4210259494-1005\Dc125.dll
Adware:Adware/DownloadWare Not desinfected C:\RECYCLER\S-1-5-21-3133978997-400550780-4210259494-1005\Dc126\v15\RH.DLL
Adware:Adware/DownloadWare Not desinfected C:\RECYCLER\S-1-5-21-3133978997-400550780-4210259494-1005\Dc126\v15\RH.exe


\Dc124.exe
Adware:Adware/Lop Not desinfected C:\RECYCLER\S-1-5-21-3133978997-400550780-4210259494-1005\Dc125.dll
Adware:Adware/DownloadWare Not desinfected C:\RECYCLER\S-1-5-21-3133978997-400550780-4210259494-1005\Dc126\v15\RH.DLL
Adware:Adware/DownloadWare Not desinfected C:\RECYCLER\S-1-5-21-3133978997-400550780-4210259494-1005\Dc126\v15\RH.exe
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: