Spyaxe hat mein System voll im Griff !!!

#1 bin neu hier, habe die seite entdeckt, und hoffe hier um rat und hilfe, eine andere möglichkeit sehe ich nicht, wurde von spayaxe heimgesucht, und ich bin was arbeiten am betriebssystem angeht ziemlich unerfahren, brauche eine anleitung um das läßtige ding wieder wegzubekommen, gib es nur eine sorte von spyaxe virus oder gibt es dort auch unterschiede, ich höre immer was von hijackthis....bitte um hilfe !!!

#2 Bln_X-berg

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

kopiere die 4 Textdateien (2 Monate vom Datum her genuegen)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Entschuldigt bitte mein einmischen
Hallo Sabina,
da Du schon vielen geholfen hast bin ich guter Dinge, dass Du mir ebenfalls mit spyaxe helfen kannst.
Hier mein hijackthis.log

ogfile of HijackThis v1.99.1
Scan saved at 17:03:09, on 03.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\OfficeScan NT\ntrtscan.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\OfficeScan NT\tmlisten.exe
C:\WINDOWS\Explorer.EXE
C:\OfficeScan NT\ofcdog.exe
C:\WINDOWS\system32\nvctrl.exe
C:\OfficeScan NT\pccntmon.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Companion Suite Pro LM\MFServices.exe
C:\Programme\Companion Suite Pro LM\MFPrintServer.exe
C:\PROGRA~1\COMPAN~2\ONETOU~3.EXE
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\OfficeScan NT\Pop3Trap.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\TOBITI~1\DVREMIND.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\mssearchnet.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\hijackthis\HijackThis.exe

O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp970F.tmp
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ScheduleSync.Siemens.SmartSync.5.2.exe] C:\Programme\Mobile Phone Manager\SmartSync\ScheduleSync.exe
O4 - HKLM\..\Run: [MFServices] "C:\Programme\Companion Suite Pro LM\MFServices.exe" -n
O4 - HKLM\..\Run: [MFPrintServer] "C:\Programme\Companion Suite Pro LM\MFPrintServer.exe"
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [OneTouch Monitor] C:\PROGRA~1\COMPAN~2\ONETOU~3.EXE
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Tobit InfoCenter.LNK = C:\Programme\Tobit InfoCenter\DVWIN32.EXE
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\Preispiraten2\\preispiraten.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Preispiraten 2.5 - {2638A03E-1669-43BE-8119-B47087629A7F} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136285274718
O17 - HKLM\System\CCS\Services\Tcpip\..\{176D618F-CE91-4CC6-AC9E-18AA0C143C04}: NameServer = 194.25.2.129
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\OfficeScan NT\tmlisten.exe


Cleanup folgt in kürze

MFG
Breck


Und nun die nächsten Daten

1.

Verzeichnis von C:\WINDOWS\system32

03.01.2006 17:18 22 tmsock.tmp.tag
03.01.2006 17:18 5.084 ncompat.tlb
03.01.2006 17:18 5.632 msvol.tlb
03.01.2006 17:18 10.018 hp7908.tmp
03.01.2006 17:18 24.064 ld78E9.tmp
03.01.2006 16:59 9.792 mssearchnet.exe
03.01.2006 15:36 15.736 nvctrl.exe
03.01.2006 11:50 13.646 wpa.dbl
03.01.2006 10:54 4.286 ot.ico
03.01.2006 08:34 10.000 hp9CAD.tmp
02.01.2006 10:51 102.400 wbeconm.dll
02.01.2006 10:49 14.660 mscornet.exe
08.12.2005 16:25 2.723.680 MRT.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
09.11.2005 09:58 112.584 FNTCACHE.DAT
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
02.11.2005 07:49 48.156 perfc007.dat
02.11.2005 07:49 316.594 perfh007.dat
02.11.2005 07:49 311.604 perfh009.dat
02.11.2005 07:49 39.992 perfc009.dat
02.11.2005 07:49 723.744 PerfStringBackup.INI


2.

Verzeichnis von C:\DOKUME~1\Damann\LOKALE~1\Temp

03.01.2006 17:19 512 ~DF9C52.tmp
03.01.2006 17:19 898 TWAIN.LOG
03.01.2006 17:19 3 Twain001.Mtx
03.01.2006 17:19 156 Twunk001.MTX
03.01.2006 17:18 0 sa3.tmp
03.01.2006 17:18 0 Twunk002.MTX
03.01.2006 17:18 16.384 ~DFEC39.tmp
03.01.2006 17:18 206 jusched.log
03.01.2006 17:18 0 sa1.tmp
9 Datei(en) 18.159 Bytes
0 Verzeichnis(se), 11.938.738.176 Bytes frei


3.

Verzeichnis von C:\WINDOWS

03.01.2006 17:18 868 Tobit.ini
03.01.2006 17:18 0 0.log
03.01.2006 17:18 252 wiadebug.log
03.01.2006 17:18 1.992.617 WindowsUpdate.log
03.01.2006 17:18 50 wiaservc.log
03.01.2006 17:18 2.048 bootstat.dat
03.01.2006 17:17 32.626 SchedLgU.Txt
03.01.2006 15:39 290.816 Setup1.exe
03.01.2006 15:39 74.752 ST6UNST.EXE
03.01.2006 11:48 451.775 setupapi.log
03.01.2006 11:39 16.636 KB904706.log
02.01.2006 15:19 24 pccntmon.INI
02.01.2006 15:18 3.187 cfgall.ini
02.01.2006 15:18 55.947 OFCSCAN.INI
23.12.2005 16:36 324 Directx.log
20.12.2005 18:05 1.164 TMFilter.log
20.12.2005 09:58 54.156 QTFont.qfn
14.12.2005 14:47 16.222 tabletoc.log
14.12.2005 14:47 145.595 tsoc.log
14.12.2005 14:47 1.393 imsins.log
14.12.2005 14:47 17.301 ocmsn.log
14.12.2005 14:47 367.184 iis6.log
14.12.2005 14:47 67.554 ntdtcsetup.log
14.12.2005 14:47 114.172 comsetup.log
14.12.2005 14:47 9.940 KB910437.log
14.12.2005 14:47 15.703 msgsocm.log
14.12.2005 14:47 21.898 MedCtrOC.log
14.12.2005 14:47 54.774 netfxocm.log
14.12.2005 14:47 154.700 ocgen.log
14.12.2005 14:47 308.306 FaxSetup.log
14.12.2005 14:47 100.162 msmqinst.log
14.12.2005 14:47 23.971 updspapi.log
14.12.2005 14:47 16.891 KB905915.log
14.12.2005 14:47 1.393 imsins.BAK
09.12.2005 13:33 155 winamp.ini
24.11.2005 12:52 1.409 QTFont.for
09.11.2005 09:56 11.909 KB896424.log


4.

Verzeichnis von C:\

03.01.2006 17:21 0 sys.txt
03.01.2006 17:20 8.353 system.txt
03.01.2006 17:20 678 systemtemp.txt
03.01.2006 17:18 97.195 system32.txt
03.01.2006 17:17 535.613.440 hiberfil.sys
03.01.2006 17:17 805.306.368 pagefile.sys

Im voraus schon mal vielen Dank!

#4 Hallo Leute,
schön, dass Ihr alle so interessiert bei der Sache seid. Aber ich verstehe all diese Anweisungen bzgl. SpyAxe nicht. Eure Hinweise sind wirklich sehr gut, aber damit komm ich nicht weiter. Mittlerweile hat sich SpyAxe dermassen in mein System gefressen, dass kaum noch was geht. Nur auf Umwegen kann ich hier schreiben.
Ich erbitte simple Hilfe, die auch ICH verstehen und umsetzen kann.
Dafür schon vorab vielen vielen Dank.
ciao
TOM

#5 @bierindosen
Ist doch nicht so schwer zu verstehen

Zitat

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

kopiere die 4 Textdateien (2 Monate vom Datum her genuegen)
http://virus-protect.org/datfindbat.html
__________

__________
MfG Argus

#6 Hi Arnold, hab mal EWIDO probiert. Super !!! 160 infizierte Dateien, die Norton nicht entdeckte, sind nun gelöscht und alles funktioniert wieder ziemlich sauber. Leider ist Norton aber immer noch fast deaktiviert. Zeigt immer die Meldung "Automatische Updates deaktiviert an", auch wenn ich diese Einstellung ändere ! Wahrscheinlich bist Du selbst ein Profi. Entschuldige bitte, aber es gibt sowas wie "Betriebsblindheit". Das soll heissen: Man erklärt irgendwelche Sachen, die einem selbst einleuchtend erscheinen, aber doch für andere nicht so leicht verständlich sind.
MIR geht es leider so.
Vielleicht hast Du trotzdem einen weiteren Tipp.
Danke
tom

#7 Breck

http://www.malwareupload.com/
Log Dich mit Deiner E-Mail Adresse bei Malwareupload ein und lade die suspekte Datei hoch. Du wirst so schnell wie möglich per E-Mail darüber informiert, ob die Datei wirklich schädlich ist und um welchen Schädling es sich handelt. (scheint eine neue Variante von Spyaxe zu sein)

C:\WINDOWS\system32\tmsock.tmp.tag

-------------------------------------------------------------------

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm

http://virus-protect.org/reg/mcor.reg

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg

---------------------------------------------------------------------

öffne das HijackThis-- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp970F.tmp

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\tmsock.tmp.tag
C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\hp7908.tmp
C:\WINDOWS\system32\hp970F.tmp
C:\WINDOWS\system32\ld78E9.tmp
C:\WINDOWS\system32\mssearchnet.exe
C:\DOKUME~1\Damann\LOKALE~1\Temp\sa3.tmp
C:\DOKUME~1\Damann\LOKALE~1\Temp\sa1.tmp
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\wpa.dbl
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\hp9CAD.tmp
C:\WINDOWS\system32\wbeconm.dll
C:\WINDOWS\system32\mscornet.exe

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an
und klicke die

mcor.reg
spyaxe.reg

doppelt --> fuege sie mit "ja" oder "yes" der Registry bei

---------------------------------------------------------------------------

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
http://virus-protect.org/systemwiederherstellung.html

scanne mit Kaspersky --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html

scanne mit Panda --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Vielen Dank an alle,
hat geklappt. Nieder mit SpyAxe !!!
Aber...: Ein wirklich guter Tojaner, muss ich sagen. Perfekt gestaltet. Da fällt fast JEDER drauf rein.
ciao
TOM

#9

Zitat

bierindosen postete
Vielen Dank an alle,
hat geklappt. Nieder mit SpyAxe !!!
Aber...: Ein wirklich guter Tojaner, muss ich sagen. Perfekt gestaltet. Da fällt fast JEDER drauf rein.
ciao
TOM

Nee...ich wuerde nie etwas laden im Net, was mir ungebeten untergeschoben werden soll

schau mal hier...es gibt noch mehr .................
http://board.protecus.de/t20352.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#10 So, alles durchgeführt!
Der mist ist entlich weg!

VIELEN DANKE!!!