Probleme beim Entfernen von SpyAxe

Thema ist geschlossen!
Thema ist geschlossen!
#0
27.12.2005, 19:54
...neu hier

Beiträge: 3
#1 Hallo,

habe mir "SpyAxe 3.0" eingefangen.
Bin froh, dass ich auf dieses Forum gestoßen bin.
Habe mir jetzt ne ganze Weile diverse Beiträge zu dem Thema durchgelesen.

Könnte mir vielleicht jemand helfen. Weiß nicht, welche Datein nun gefixt werden müssen...

Bis jetzt sind noch keine Schritte unternommen.

Habe mit Hijack-this folgendes gescannt:

Logfile of HijackThis v1.99.1
Scan saved at 19:46:57, on 27.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\keyhook.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\Mixer.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\GetRight\getright.exe
C:\Programme\Fujitsu Siemens\WinManager\WinManager.exe
C:\Programme\GetRight\getright.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\PimpMyPC\Desktop\Virus\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WallPaper] C:\PROGRA~1\WALLPA~1\WALLPA~1.EXE /h
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinManager.lnk = C:\Programme\Fujitsu Siemens\WinManager\WinManager.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124743821734
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

Hier die datfind.bat Texte:

Datentr„ger in Laufwerk C: ist WINXP
Volumeseriennummer: 28CD-0A75

Verzeichnis von C:\WINDOWS\system32

27.12.2005 19:29 380.350 perfh009.dat
27.12.2005 19:29 52.764 perfc009.dat
27.12.2005 19:29 391.000 perfh007.dat
27.12.2005 19:29 63.580 perfc007.dat
27.12.2005 19:29 897.954 PerfStringBackup.INI
27.12.2005 16:03 0 asfiles.txt
27.12.2005 16:00 2.550 Uninstall.ico
27.12.2005 16:00 1.406 Help.ico
27.12.2005 16:00 1.718 Open.ico
27.12.2005 16:00 1.406 AddQuit.ico
27.12.2005 16:00 5.350 IE.ico
27.12.2005 16:00 9.470 Desktop.ico
27.12.2005 16:00 1.718 Quick.ico
27.12.2005 15:27 36.864 intercept.dll
27.12.2005 13:28 102.400 wbeconm.dll

26.12.2005 20:35 2.206 wpa.dbl
11.12.2005 14:51 145.216 FNTCACHE.DAT
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
11.11.2005 06:00 2.377.568 MRT.exe
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
27.10.2005 20:37 53.248 dpuGUI10.dll
27.10.2005 20:37 86.016 dpl100.dll
27.10.2005 20:37 593.920 dpuGUI11.dll
27.10.2005 20:37 200.704 dtu100.dll
27.10.2005 20:37 339.968 dpus11.dll
27.10.2005 20:37 57.344 dpv11.dll
27.10.2005 20:37 294.912 dpu10.dll
27.10.2005 20:37 294.912 dpu11.dll
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 251.392 iepeers.dll
17.10.2005 20:58 65.536 QuickTimeVR.qtx
17.10.2005 20:57 49.152 QuickTime.qts
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
28.09.2005 22:29 693.248 DivX.dll
28.09.2005 22:29 688.128 divx_xx07.dll
28.09.2005 22:29 688.128 divx_xx0c.dll


Datentr„ger in Laufwerk C: ist WINXP
Volumeseriennummer: 28CD-0A75

Verzeichnis von C:\DOKUME~1\PimpMyPC\LOKALE~1\Temp

27.12.2005 19:25 0 vga6.tmp
27.12.2005 19:25 612 jusched.log
27.12.2005 19:25 0 vga5.tmp
27.12.2005 19:02 2.600.393 sa8.exe
27.12.2005 19:00 0 sa8.tmp
27.12.2005 19:00 0 sa7.tmp
27.12.2005 19:00 0 vga4.tmp
27.12.2005 19:00 0 vga3.tmp
27.12.2005 18:46 31.692 SALanguage.ini
27.12.2005 18:39 2.600.393 sa4.exe
27.12.2005 18:39 0 sa4.tmp
27.12.2005 18:38 0 vga2.tmp
27.12.2005 18:38 0 vga1.tmp
27.12.2005 18:36 0 sa6.tmp
27.12.2005 18:35 0 sa5.tmp

24.12.2005 23:01 120 0FD1A8EB.TMP
22.12.2005 03:25 148 FEE5E75C.TMP
17 Datei(en) 5.233.358 Bytes
0 Verzeichnis(se), 1.702.293.504 Bytes frei


Datentr„ger in Laufwerk C: ist WINXP
Volumeseriennummer: 28CD-0A75

Verzeichnis von C:\WINDOWS

27.12.2005 19:25 0 0.log
27.12.2005 19:25 1.154.785 WindowsUpdate.log
27.12.2005 19:25 2.048 bootstat.dat
27.12.2005 19:24 32.626 SchedLgU.Txt
27.12.2005 18:59 18.054 KB905915.log
27.12.2005 18:59 1.393 imsins.log
27.12.2005 18:59 441.985 iis6.log
27.12.2005 18:59 128.998 comsetup.log
27.12.2005 18:59 19.896 ocmsn.log
27.12.2005 18:59 167.905 tsoc.log
27.12.2005 18:59 18.046 tabletoc.log
27.12.2005 18:59 77.581 ntdtcsetup.log
27.12.2005 18:59 17.801 msgsocm.log
27.12.2005 18:59 25.219 MedCtrOC.log
27.12.2005 18:59 62.350 netfxocm.log
27.12.2005 18:59 183.618 ocgen.log
27.12.2005 18:59 350.237 FaxSetup.log
27.12.2005 18:59 119.416 msmqinst.log
27.12.2005 18:58 28.272 updspapi.log
27.12.2005 18:37 452.884 ntbtlog.txt
27.12.2005 18:36 182.208 setupact.log
27.12.2005 16:29 627.375 setupapi.log
27.12.2005 16:02 536 win.ini
27.12.2005 15:27 36.864 intercept.dll
27.12.2005 13:32 46.174 wmsetup.log
18.12.2005 22:17 1.125 winamp.ini
17.12.2005 15:09 216 wiadebug.log
17.12.2005 12:36 116 NeroDigital.ini
17.12.2005 12:35 50 wiaservc.log
10.12.2005 21:22 1.393 imsins.BAK
10.12.2005 21:22 12.046 KB896424.log
20.11.2005 17:37 498 GEARInstall.log
30.10.2005 13:24 25 mixerdef.ini
25.10.2005 22:37 75.509 KB901017.log
25.10.2005 22:37 79.455 KB902400.log
25.10.2005 22:36 43.436 KB896688.log
25.10.2005 22:36 68.293 KB899589.log
25.10.2005 22:36 68.611 KB905414.log
25.10.2005 22:36 69.013 KB900725.log
25.10.2005 22:36 65.813 KB904706.log
25.10.2005 22:36 66.466 KB905749.log
24.10.2005 20:04 1.174 OEWABLog.txt
20.10.2005 19:41 457 wmsetup10.log


Datentr„ger in Laufwerk C: ist WINXP
Volumeseriennummer: 28CD-0A75

Verzeichnis von C:\

27.12.2005 19:50 0 sys.txt
27.12.2005 19:49 6.939 system.txt
27.12.2005 19:49 1.030 systemtemp.txt
27.12.2005 19:48 95.042 system32.txt
27.12.2005 19:24 754.974.720 pagefile.sys
27.12.2005 18:35 1.330 smitfiles.txt
25.10.2005 07:19 6.852.522 AVG7DB_F.DAT
28.08.2005 20:34 0 AUTOEXEC.BAT
28.08.2005 20:24 6.636.429 51826.zip
23.08.2005 07:00 12.404.209 AVG7QT.DAT
22.08.2005 21:53 13.235.784 avg70free_338a597.exe
22.08.2005 21:47 20.066.961 VGA(354).zip
22.08.2005 21:46 21.228.698 C-Media(2042).zip
22.08.2005 21:39 327.444 K7S41GX200.zip
22.08.2005 21:16 210 boot.ini
22.08.2005 20:51 0 CONFIG.SYS
22.08.2005 20:51 0 IO.SYS
22.08.2005 20:51 0 MSDOS.SYS
03.08.2004 22:59 251.184 ntldr
03.08.2004 22:38 47.564 NTDETECT.COM
23.08.2001 13:00 4.952 bootfont.bin
21 Datei(en) 836.135.018 Bytes
0 Verzeichnis(se), 1.702.281.216 Bytes frei


Kann mir vielleicht jemand die betreffenden Dateien nennen?
Wenn ich das richtig verstanden hab, muss ich diese dann mit Killbox und Hijack entfernen.

Dann im abgesicherten Modus als Admin die mcor.reg und spyaxe.reg ausführen.

ISt das soweit korrekt oder oder sind noch andere Dinge zu beachten?


Danke schonmal fürs lesen!

Peter
Seitenanfang Seitenende
27.12.2005, 21:04
Moderator

Beiträge: 7805
#2 Loesche bitte das:

27.12.2005 16:03 0 asfiles.txt
27.12.2005 16:00 2.550 Uninstall.ico
27.12.2005 16:00 1.406 Help.ico
27.12.2005 16:00 1.718 Open.ico
27.12.2005 16:00 1.406 AddQuit.ico
27.12.2005 16:00 5.350 IE.ico
27.12.2005 16:00 9.470 Desktop.ico
27.12.2005 16:00 1.718 Quick.ico

Schicke das an virus@protecus.de un benenne es um:

27.12.2005 15:27 36.864 intercept.dll
27.12.2005 13:28 102.400 wbeconm.dll

und benutze die Datentraegerbereinigung: http://support.microsoft.com/default.aspx?scid=kb;de;315246

Spybot von www.spybot.info waere auch hilfreich.

Edit: Die Reg Dateien sind nicht noetig, wenn du den Smitrem genutzt hast.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.12.2005, 23:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 GlobeTrotter

an raman schicken;) , dann umbenennen und loeschen

C:\WINDOWS\system32\intercept.dll
C:\WINDOWS\system32\wbeconm.dll
C:\WINDOWS\intercept.dll

Zitat

C:\WINDOWS\intercept.dll -->> Adware.Spyaxe
C:\WINDOWS\SYSTEM32\intercept.dll -->> Adware.Spyaxe

aber C:\WINDOWS\system32\wbeconm.dll scheint eine neue variante zu sein
loeschen (ist vom Spyaxe)

Verzeichnis von C:\DOKUME~1\PimpMyPC\LOKALE~1\Temp

27.12.2005 19:25 0 vga6.tmp
27.12.2005 19:25 0 vga5.tmp
27.12.2005 19:02 2.600.393 sa8.exe
27.12.2005 19:00 0 sa8.tmp
27.12.2005 19:00 0 sa7.tmp
27.12.2005 19:00 0 vga4.tmp
27.12.2005 19:00 0 vga3.tmp
27.12.2005 18:39 2.600.393 sa4.exe
27.12.2005 18:39 0 sa4.tmp
27.12.2005 18:38 0 vga2.tmp
27.12.2005 18:38 0 vga1.tmp
27.12.2005 18:36 0 sa6.tmp
27.12.2005 18:35 0 sa5.tmp

loesche: (falls du es findest)
C:\Programme\SpyAxe
C:\Program Files\SpyAxe
C:\WINDOWS\system32\1024

deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
http://virus-protect.org/systemwiederherstellung.html

scanne mit Kaspersky und --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html

scanne mit Panda --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html

http://virus-protect.org/artikel/spyware/spyaxe.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.12.2005, 12:05
...neu hier

Themenstarter

Beiträge: 3
#4

Zitat

an raman schicken , dann umbenennen und loeschen

C:\WINDOWS\system32\intercept.dll
C:\WINDOWS\system32\wbeconm.dll
C:\WINDOWS\intercept.dll
HAb ich nicht ganz verstanden!
Kann ich die Datein nicht einfach löschen?
Seitenanfang Seitenende
28.12.2005, 14:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5

Zitat

Schicke das an virus@protecus.de ( die Dateien in einen Ordner packen...zippen)

C:\WINDOWS\system32\intercept.dll
C:\WINDOWS\system32\wbeconm.dll
C:\WINDOWS\intercept.dll

l
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\DOKUME~1\PimpMyPC\LOKALE~1\Temp\vga6.tmp
C:\DOKUME~1\PimpMyPC\LOKALE~1\Temp\vga5.tmp
C:\DOKUME~1\PimpMyPC\LOKALE~1\Temp\sa8.exe
C:\DOKUME~1\PimpMyPC\LOKALE~1\Temp\sa8.tmp
C:\DOKUME~1\PimpMyPC\LOKALE~1\Temp\sa7.tmp
C:\DOKUME~1\PimpMyPC\LOKALE~1\Temp\vga4.tmp
C:\DOKUME~1\PimpMyPC\LOKALE~1\Temp\vga3.tmp
C:\DOKUME~1\PimpMyPC\LOKALE~1\Temp\SALanguage.ini
C:\DOKUME~1\PimpMyPC\LOKALE~1\Temp\sa4.exe
C:\DOKUME~1\PimpMyPC\LOKALE~1\Temp\sa4.tmp
C:\DOKUME~1\PimpMyPC\LOKALE~1\Temp\vga2.tmp
C:\DOKUME~1\PimpMyPC\LOKALE~1\Temp\vga1.tmp
C:\DOKUME~1\PimpMyPC\LOKALE~1\Temp\sa6.tmp
C:\DOKUME~1\PimpMyPC\LOKALE~1\Temp\sa5.tmp
C:\WINDOWS\system32\intercept.dll
C:\WINDOWS\system32\wbeconm.dll
C:\WINDOWS\intercept.dll

pc neustarten

-----------------------------------------------------------------------
seit gestern erkennt smitrem schon die
wbeconm.dll

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und kopiere die Textdatei in den Thread
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.12.2005, 21:13
...neu hier

Themenstarter

Beiträge: 3
#6 Ok, danke.
Habs jetzt auch hinbekommen.

Auf jeden Fall vielen Dank für die schnelle Hilfe hier!!!

Guten Rutsch
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: