SpyAxe und kein Ende

#1 Habe seit gestern Abend auch dieses F***** SpyAxe-Teil auf'm Rechner, alles probiert, (Spybot , Ad-Aware, dann Mal das 'Microsoft Anti-Spyware Tool' ausprobiert, immer noch die Pop-Ups, am Ende habe ich Spybot entfernt, da es mit seinen Meldungen alles blockiert hat...) Dann über den Rechner meiner Frau (hoffentlich erwischt es den nicht auch noch) über google Euch gefunden, Anleitung ausgedruckt, alle Files 'runtergeladen und die Anleitung abgearbeitet und bin jetzt bei dem Punkt 'Killbox' angekommen und weiss natürlich nicht, welche Dateien ich löschen muß...
Das 'Your computer is infected'-PopUp ist immer noch da/aktiv !
Hier nun die Files (hoffe, die Reihenfolge stimmt noch, habe sie per Diskette von meinem auf diesen Computer mitgenommen) :
1. spyaxe.txt
SpyAxeFix © by noahdfear
Microsoft Windows XP [Version 5.1.2600]
Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1560 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of rundll32.exe


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{C1A8B6A1-2C81-1C3D-A3C6-A1CCDB10B47F}"="Windows Update"

2.HijackThis. log
Logfile of HijackThis v1.99.1
Scan saved at 12:03:54, on 13.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\Norton SystemWorks\Norton Antivirus\navapsvc.exe
E:\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
F:\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
F:\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
E:\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
E:\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
E:\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Norton SystemWorks\Norton Antivirus\NavShExt.dll (file missing)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTSysVol] F:\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] F:\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [RemoteControl] E:\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [TerraTec Scheduler] "C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [gcasServ] "E:\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Alles mit FlashGet laden - E:\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - E:\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FlashGet\flashget.exe
O15 - Trusted Zone: http://www.***.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - E:\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - E:\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe



habe datfindbat durchlaufen lassen ,weiss jetzt aber nicht, was ich damit anfangen soll... (muss ich die auch noch posten ???)
Was soll mir die error-Meldung im spyaxe.txt sagen ???
Soll ich 'Microsoft Anti-Spyware Tool' wieder deinstallieren, damit die Programme sich nicht gegenseitig "behindern" ?
Schon mal vielen Dank im voraus,
oskar

#2 oskar

kopiere hier die 4 Textdateien von datfindbat, ich schaue dann nach
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Ach so, habe Win XP erst seit ca. 2 Monaten auf'm Rechner...
Programme hab ich auf Partition E.... Muß ich da was anders machen ?

Datentr„ger in Laufwerk C: ist WIN XP
Volumeseriennummer: 5028-C382

Verzeichnis von C:\WINDOWS

13.12.2005 14:26 359 lexstat.ini
13.12.2005 11:23 0 0.log
13.12.2005 11:23 4.933.048 {00000000-00000000-0000000A-00001102-00000004-20021102}.CDF
13.12.2005 11:22 159 wiadebug.log
13.12.2005 11:22 50 wiaservc.log
13.12.2005 11:22 2.048 bootstat.dat
13.12.2005 11:21 1.526.021 WindowsUpdate.log
13.12.2005 11:14 182.329 setupact.log
13.12.2005 11:07 117.900 ntbtlog.txt
13.12.2005 11:05 32.608 SchedLgU.Txt
13.12.2005 00:30 718.814 setupapi.log
12.12.2005 11:41 69 NeroDigital.ini
10.12.2005 12:00 316.640 WMSysPr9.prx
30.11.2005 13:46 435 nsw.log
20.11.2005 14:25 24.863 wmsetup.log
11.11.2005 00:51 416.959 iis6.log

Verzeichnis von C:\WINDOWS\system32

13.12.2005 11:05 384 DVCStateBkp-{00000000-00000000-0000000A-00001102-00000004-20021102}.dat
13.12.2005 11:05 1.080 settingsbkup.sfm
13.12.2005 11:05 384 DVCState-{00000000-00000000-0000000A-00001102-00000004-20021102}.dat
13.12.2005 11:05 1.080 settings.sfm
13.12.2005 11:05 30.528 BMXBkpCtrlState-{00000000-00000000-0000000A-00001102-00000004-20021102}.rfx
13.12.2005 11:05 30.528 BMXCtrlState-{00000000-00000000-0000000A-00001102-00000004-20021102}.rfx
13.12.2005 11:05 31.056 BMXStateBkp-{00000000-00000000-0000000A-00001102-00000004-20021102}.rfx
13.12.2005 11:05 31.056 BMXState-{00000000-00000000-0000000A-00001102-00000004-20021102}.rfx
12.12.2005 23:22 98.304 ioctrl.dll
03.12.2005 17:10 13.646 wpa.dbl
29.11.2005 19:23 43.520 CmdLineExt03.dll
15.11.2005 12:12 117.976 hashlib.dll
15.11.2005 12:12 126.680 GCCollection.dll
15.11.2005 12:12 95.448 gcUnCompress.dll


Hoffe, das reicht....
Frustriert und genervt,
oskar

#4 oskar

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\saE.tmp
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\saD.tmp
C:\WINDOWS\system32\ioctrl.dll

PC neustarten

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und kopiere die Textdatei in den Thread

scanne mit Kaspersky und etrust und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo meine Retterin !
Nochmal 'ne Verständnisfrage :
Jetzt nur die 3 Dateien aus dem letzten Beitrag löschen oder alle übriggebliebenen im 3. Beitrag ???

Sorry, aber langsam versagt vor lauter Zorn der Verstand....

LG,
oskar

#6 HAllo Oskar,

Ich würde nochmal alles von vorne machen. Am besten im Abgesicherten Modus.
Auf dieser Seite findest su sonst auch noch sehr gute Infos.

http://virus-protect.org/artikel/spyware/spyaxe.html

Am besten verwendest du die Tools von der Seite. Und Spybot kan ich auch noch empfehlen.
Hab die Sch.... Spyware auch grad erst runter bekommen am wichtigsten ist die ioctrl.dll wenn du die nicht löscht dann Installiert sich das Teil immer wieder von neuem. Bin per zufall drauf gekommen das die ioctrl.dll auch weg muss.

Also viel glück.

Gruss Marco

#7 Hallo Sabina !
Habe mit Killbox die drei oberen (und alle neuen ...\temp\saF.tmp(sa1,sa3,sa10,sa11,sa132,sa133,sa134,etc. entsteht wohl jedesmal, wenn man das PopUp wegklickt) gelöscht,ab da keine PopUps mehr(!!!), SmitRem laufen lassen, dann die immer noch vorhandenen Verknüpfungen auf'm Desktop bzw. im Startmenü gelöscht, Clean Up nochmal laufen lassen, Microsoft Anti Spyware -Tool laufen lassen (hat nix mehr entdeckt), dann endlich wieder getraut, das Netzwerkkabel reinzustecken und bin gerade beim Kaspersky onlinecheck....
Systemwiederherstellungspunkte sind anscheinend alle bis gestern weg, Systemsteuerung > Software zeigt nur ein weisses Fenster ( Wie kriegt man das wieder hin ???) Windows Update meldet neue Updates (schon runterladen oder noch nicht ?).
Sch*****, Kaspersky hat schon 3 Viren u. 20 infizierte Dateien gefunden.....


Hier nun SmitRem und das Kaspersky (oh je!!!) Ergebnis, während etrust mich weiter demoralisiert :

smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

spyaxe uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~

shopping


~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 784 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~

shopping


~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Wednesday, December 14, 2005 04:19:55
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 14/12/2005
Kaspersky Anti-Virus database records: 155050
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
L:\
M:\
N:\

Scan Statistics:
Total number of scanned objects: 39162
Number of viruses found: 12
Number of infected objects: 41
Number of suspicious objects: 0
Duration of the scan process: 1475 sec

Infected Object Name - Virus Name
C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count3.jar-7907a8df-7fdc9805.zip/Beyond.class Infected: Exploit.Java.Bytverify
C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count3.jar-7907a8df-7fdc9805.zip/BlackBox.class Infected: Exploit.Java.Bytverify
C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count3.jar-7907a8df-7fdc9805.zip Infected: Exploit.Java.Bytverify
C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-1032651c-5927120f.zip/GetAccess.class Infected: Trojan-Downloader.Java.OpenConnection.aj
C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-1032651c-5927120f.zip/Installer.class Infected: Trojan-Downloader.Java.OpenConnection.aj
C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-1032651c-5927120f.zip Infected: Trojan-Downloader.Java.OpenConnection.aj
C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-2898a363-405998f5.zip/GetAccess.class Infected: Trojan-Downloader.Java.OpenConnection.aj
C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-2898a363-405998f5.zip/Installer.class Infected: Trojan-Downloader.Java.OpenConnection.aj
C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-2898a363-405998f5.zip Infected: Trojan-Downloader.Java.OpenConnection.aj
C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-7ef0e8ce-48a0c6c2.zip/GetAccess.class Infected: Trojan-Downloader.Java.OpenConnection.aj
C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-7ef0e8ce-48a0c6c2.zip/Installer.class Infected: Trojan-Downloader.Java.OpenConnection.aj
C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-7ef0e8ce-48a0c6c2.zip Infected: Trojan-Downloader.Java.OpenConnection.aj
C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv441.jar-384c27b2-2f099149.zip/Matrix.class Infected: Trojan-Downloader.Java.OpenStream.c
C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv441.jar-384c27b2-2f099149.zip Infected: Trojan-Downloader.Java.OpenStream.c
C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv599.jar-5dc51bcf-140e7c1b.zip/Matrix.class Infected: Trojan-Downloader.Java.OpenStream.c
C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv599.jar-5dc51bcf-140e7c1b.zip Infected: Trojan-Downloader.Java.OpenStream.c
C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv599.jar-762b5a16-284a06c5.zip/Matrix.class Infected: Trojan-Downloader.Java.OpenStream.c
C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv599.jar-762b5a16-284a06c5.zip Infected: Trojan-Downloader.Java.OpenStream.c
C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv645.jar-78a941a3-1eba22dd.zip/Matrix.class Infected: Trojan-Downloader.Java.OpenStream.c
C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv645.jar-78a941a3-1eba22dd.zip Infected: Trojan-Downloader.Java.OpenStream.c
C:\System Volume Information\_restore{07D4C8A0-4A85-453C-B54C-AF1D0C38729E}\RP181\A0062933.tlb Infected: Trojan-Downloader.Win32.Zlob.cs
C:\System Volume Information\_restore{07D4C8A0-4A85-453C-B54C-AF1D0C38729E}\RP181\A0062948.tlb Infected: Trojan-Downloader.Win32.Zlob.cs
C:\System Volume Information\_restore{07D4C8A0-4A85-453C-B54C-AF1D0C38729E}\RP181\A0062972.tlb Infected: Trojan-Downloader.Win32.Zlob.cs
C:\System Volume Information\_restore{07D4C8A0-4A85-453C-B54C-AF1D0C38729E}\RP181\A0062999.tlb Infected: Trojan-Downloader.Win32.Zlob.cs
C:\System Volume Information\_restore{07D4C8A0-4A85-453C-B54C-AF1D0C38729E}\RP181\A0063067.tlb Infected: Trojan-Downloader.Win32.Zlob.cs
C:\System Volume Information\_restore{07D4C8A0-4A85-453C-B54C-AF1D0C38729E}\RP181\A0063075.tlb Infected: Trojan-Downloader.Win32.Zlob.cs
C:\System Volume Information\_restore{07D4C8A0-4A85-453C-B54C-AF1D0C38729E}\RP181\A0063093.tlb Infected: Trojan-Downloader.Win32.Zlob.cs
C:\System Volume Information\_restore{07D4C8A0-4A85-453C-B54C-AF1D0C38729E}\RP181\A0063104.tlb Infected: Trojan-Downloader.Win32.Zlob.cs
C:\System Volume Information\_restore{07D4C8A0-4A85-453C-B54C-AF1D0C38729E}\RP181\A0063105.exe Infected: Trojan-Downloader.Win32.Zlob.cs
C:\System Volume Information\_restore{07D4C8A0-4A85-453C-B54C-AF1D0C38729E}\RP181\A0063107.exe Infected: Trojan-Downloader.Win32.Zlob.cs
C:\System Volume Information\_restore{07D4C8A0-4A85-453C-B54C-AF1D0C38729E}\RP181\A0063108.exe Infected: Trojan-Downloader.Win32.Zlob.cq
E:\Norton SystemWorks\Norton Antivirus\Quarantine\15810916.class Infected: Trojan.Java.ClassLoader.d
E:\Norton SystemWorks\Norton Antivirus\Quarantine\1C7B7A4B.class Infected: Trojan-Downloader.Java.OpenConnection.ah
E:\Norton SystemWorks\Norton Antivirus\Quarantine\32C46030.html Infected: Trojan-Dropper.VBS.Inor.cz
E:\Norton SystemWorks\Norton Antivirus\Quarantine\32CB3429.class Infected: Trojan.Java.ClassLoader.h
E:\Norton SystemWorks\Norton Antivirus\Quarantine\32CB3429.zip/BlackBox.class Infected: Exploit.Java.ByteVerify
E:\Norton SystemWorks\Norton Antivirus\Quarantine\32CB3429.zip/VerifierBug.class Infected: Exploit.Java.ByteVerify
E:\Norton SystemWorks\Norton Antivirus\Quarantine\32CB3429.zip/Beyond.class Infected: Trojan-Downloader.Java.OpenConnection.aa
E:\Norton SystemWorks\Norton Antivirus\Quarantine\32CB3429.zip Infected: Trojan-Downloader.Java.OpenConnection.aa
E:\Norton SystemWorks\Norton Antivirus\Quarantine\43473BBD.class Infected: Trojan.Java.ClassLoader.ak
E:\Norton SystemWorks\Norton Antivirus\Quarantine\545909B7.class Infected: Trojan.Java.ClassLoader.ak

Scan process completed.



etrust
Scan-Ergebnisse: 38473 Dateien wurden gescannt. 34 Viren wurden gefunden.

Datei Infektion Status Pfad
ioctrl.dll Win32.Spax.E kann nicht bereinigen C:\!KillBox\
2.jr-5c4197cf-19dbaeb6.zip>Dummy.class Java.ByteVerify!exploit kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
2.jr-5c4197cf-19dbaeb6.zip>javautil.zip Win32.Bambo.BX kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
archive1213.jar-248af025-10c35440.zip>Dummy.class Java.ByteVerify!exploit kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
archive1213.jar-4abd4de6-4431cfe0.zip>Dummy.class Java.ByteVerify!exploit kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
archive1213.jar-58bfb3e3-245ed954.zip>Dummy.class Java.ByteVerify!exploit kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
count3.jar-7907a8df-7fdc9805.zip>Beyond.class Java.Shinwow.AW kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
count3.jar-7907a8df-7fdc9805.zip>BlackBox.class Java.ByteVerify!exploit kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
count3.jar-7907a8df-7fdc9805.zip>Dummy.class Java.ByteVerify!exploit kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
counters.jar-150edeef-63a819cb.zip>Gummy.class Java.ByteVerify!exploit kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
counters.jar-150edeef-63a819cb.zip>web.exe Win32.Bambo.BX kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
ie0502b.jar-4cf2508a-1bd257e7.zip>NewSecurityClassLoader.class Java.ByteVerify!exploit kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
ie0502b.jar-4cf2508a-1bd257e7.zip>NewURLClassLoader.class Java.ByteVerify!exploit kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
java.jar-1032651c-5927120f.zip>GetAccess.class Java.ByteVerify!exploit kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
java.jar-1032651c-5927120f.zip>Installer.class Java.Shinwow.AZ kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
java.jar-1032651c-5927120f.zip>NewSecurityClassLoader.class Java.ByteVerify!exploit kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
java.jar-1032651c-5927120f.zip>NewURLClassLoader.class Java.ByteVerify!exploit kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
java.jar-2898a363-405998f5.zip>GetAccess.class Java.ByteVerify!exploit kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
java.jar-2898a363-405998f5.zip>Installer.class Java.Shinwow.AZ kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
java.jar-2898a363-405998f5.zip>NewSecurityClassLoader.class Java.ByteVerify!exploit kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
java.jar-2898a363-405998f5.zip>NewURLClassLoader.class Java.ByteVerify!exploit kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
java.jar-7ef0e8ce-48a0c6c2.zip>GetAccess.class Java.ByteVerify!exploit kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
java.jar-7ef0e8ce-48a0c6c2.zip>Installer.class Java.Shinwow.AZ kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
java.jar-7ef0e8ce-48a0c6c2.zip>NewSecurityClassLoader.class Java.ByteVerify!exploit kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
java.jar-7ef0e8ce-48a0c6c2.zip>NewURLClassLoader.class Java.ByteVerify!exploit kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
loaderadv441.jar-384c27b2-2f099149.zip>Matrix.class Java.Shinwow.W kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
loaderadv441.jar-384c27b2-2f099149.zip>Dummy.class Java.ByteVerify!exploit kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
loaderadv599.jar-5dc51bcf-140e7c1b.zip>Matrix.class Java.Shinwow.W kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
loaderadv599.jar-5dc51bcf-140e7c1b.zip>Dummy.class Java.ByteVerify!exploit kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
loaderadv599.jar-762b5a16-284a06c5.zip>Matrix.class Java.Shinwow.W kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
loaderadv599.jar-762b5a16-284a06c5.zip>Dummy.class Java.ByteVerify!exploit kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
loaderadv645.jar-78a941a3-1eba22dd.zip>Matrix.class Java.Shinwow.W kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
loaderadv645.jar-78a941a3-1eba22dd.zip>Dummy.class Java.ByteVerify!exploit kann nicht bereinigen C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
A0064133.dll Win32.Spax.E kann nicht bereinigen C:\System Volume Information\_restore{07D4C8A0-4A85-453C-B54C-AF1D0C38729E}\RP181\

Frage: kann ich gefahrlos meine Email's abrufen ???

Wenn Dateien löschen, mit welchem Programm (oder ist das jetzt egal?) ???

MfG
oskar

@Marco H. : seeehr lustig, mit dieser Anleitung habe ich ja hier angefangen....

#8

Zitat

Systemsteuerung > Software zeigt nur ein weisses Fenster

bin ratlos................

-----------------------------------------------------------------------
im Grunde muss nur noch das Java-Cache geleert werden
C:\Dokumente und Einstellungen\Administrator1\Anwendungsdaten\Sun\Java\Deployment\cache

das kannst du machen mit:
ClearProg
http://www.clearprog.de/downloads.php
-----------------------------------
ioctrl.dll in der C:\!KillBox\ loeschen
-----------------------------------

Zitat

Systemwiederherstellungspunkte sind anscheinend alle bis gestern weg

das kann nicht sein, denn der Kaspersky zeigt sie noch alle an...d.h. die Viren, die dort gespeichert sind....

Zitat

C:\System Volume Information\_restore{07D4C8A0-4A85-453C-B54C-AF1D0C38729E}\RP181\A0062933.tlb Infected: Trojan-Downloader.Win32.Zlob.cs

systemwiederherstellung deaktivieren (dann wieder aktivieren)
http://virus-protect.org/systemwiederherstellung.html
-----------------------------------

dann noch mal alle scans machen (zur Ueberpruefung)
__________
MfG Sabina

rund um die PC-Sicherheit

#9

Zitat

Marco H. postete
HAllo Oskar,

Ich würde nochmal alles von vorne machen. Am besten im Abgesicherten Modus.
Auf dieser Seite findest su sonst auch noch sehr gute Infos.

http://virus-protect.org/artikel/spyware/spyaxe.html

Am besten verwendest du die Tools von der Seite. Und Spybot kan ich auch noch empfehlen.
Hab die Sch.... Spyware auch grad erst runter bekommen am wichtigsten ist die ioctrl.dll wenn du die nicht löscht dann Installiert sich das Teil immer wieder von neuem. Bin per zufall drauf gekommen das die ioctrl.dll auch weg muss.

Also viel glück.
Gruss Marco

Das ist meine Seite, Oscar ist also an der richtigen Stelle gelandet
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Hallo Sabina !
Erst mal wieder vielen, vielen Dank !!!
Muss ich noch was mit der mcor.reg bzw. spyaxe.reg machen ????

LG
oskar

#11

Zitat

oskar postete
Hallo Sabina !
Erst mal wieder vielen, vielen Dank !!!
Muss ich noch was mit der mcor.reg bzw. spyaxe.reg machen ????

LG
oskar

hast du sie geladen und im abgesicherten Modus der Registry beigefuegt?
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Servus Sabina !

Es scheint, daß ich's überstanden habe (Kaspesrky uns etrust haben nix mehr gefunden!), aber das Problem mit Systemsteuerung > Software (Bitte warten Sie, während die Liste erstellt wird...) und dann bleibt's leer, ist immer noch da. Hat da ein Programm was zuviel gelöscht ? Kann man da mit der Windows - Fehlerüberprüfung + Defragmentieren noch was erreichen ?
Na ja, werd's heute Nacht mal durchlaufen lassen, mal sehen, ob's was bringt...

Für Deine hilfreichen Tips hast Du Dir jedenfalls schon jetzt den Titel "Frau des Monats" gesichert und wirst beim Jahresrückblick ganz sicher unter die ersten 3 kommen! ;-)

Fröhliche Weihnachten im Kreise Deiner Lieben und 'nen 'guten Rutsch',
oskar

P.S.: Trotz Defragmentieren braucht Systemsteuerung > Software "nur" schlappe 21 Minuten bis es die installierte Software anzeigt !!! Weiss da jemand Rat ????

#13 versuche es mal damit:
TuneUp 2006 (30 Tage free) Shareware
http://virus-protect.org/reinigungstoolsregistry.html
wende an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Hallo Sabina !
Hab' ich bereits heute Nacht gemacht, hat einen Haufen Fehler gefunden, das Problem Systemsteuerung >Software ist gelöst (juchuuu!), aber jetzt hab' ich ein neues entdeckt: wenn ich die Systeminformationen (Zubehör> Systemprogramme> Systeminformatinen oder Start> Ausführen > MsInfo32.exe) haben möchte, wird immer die 'Hilfe und Support'-Seite angezeigt. Auch von da aus komm ich nicht dran, obwohl alle Links auf den richtigen Speicherplatz verweisen (C:\Programme\Gemeinsame Dateien\Microsoft Shared\MSInfo\msinfo32.exe).Habe in dem Ordner aber eine Datei gefunden, die Montag abend geändert wurde (msinfo32.GID > 18KB), hat's vielleicht damit was zu tun ???

MfG
oskar

P.S.: was passiert eigentlich mit den Änderungen durch Tune Up wenn ich's dann deinstalliere ??

#15 nun , hier kann ich nicht mehr weiterhelfen, da ich nicht weiss, was du so alles am System verstellst...umbenennst.
Das musst du allein geloest bekommen.
__________
MfG Sabina

rund um die PC-Sicherheit