Spyaxe: Startpage noch immer da

#0
03.01.2006, 17:59
...neu hier

Beiträge: 1
#1 Hallo
ich habe versucht die Anleitung durchzuackern
und es ist mir sogar gelungen das nervende immer wieder auftauchende rote dings von spyaxe fortzukriegen, nachdem ich spitrem durchgeführt hatte, ja ich dachte sogar spyaxe sei verschwunden, ich werde nun wieder plötzlich auf die seite http://www."updatesystempage".com/ weitergeleitet wenn ich meinen internet explorer starte, nachdem ich schon gedacht habe ich wäre das problem los, nun hoffe ich doch ihr könnt mir helfen.
p.s ach ja ich hab ein problem wenn ich meinen pc im abgesicherten modus hochfahren will, drücke ich f8 so kann ich lediglich auswählen woher ich booten will... ob von dvd laufwerk oder festplatte, möglicherweise liegt es auch an meiner raid-konfiguration wie komme ich trotzdem in den abgesicherten modus? wohlmöglich bin ich auch dadurch spyaxe nicht völlig entkommen

ich hoffe wirklich ihr könnt mir bei diesem problem helfen
angefügt sind noch die folgenden log dateien:
Logfile of HijackThis v1.99.1
Scan saved at 17:57:11, on 03.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\LVComS.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Dokumente und Einstellungen\Roman\Desktop\HijackThis.exe

O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hpD551.tmp
O3 - Toolbar: MSN Suche Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1105\de-ch\msntb.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPSON Stylus CX6400] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX6400" /O6 "USB001" /M "Stylus CX6400"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NAV CfgWiz] "C:\Programme\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [BootWarn] C:\Programme\Norton AntiVirus\BootWarn.exe /a
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\MSN Toolbar Suite\DS\02.05.0001.1119\de-ch\bin\WindowsSearch.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: &MSN Suche - res://C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1105\de-ch\msntb.dll/search.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0000.1105\de-ch\msntabres.dll/229?bb3dec4813b5442eac6bac3775cd3f22
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0000.1105\de-ch\msntabres.dll/230?bb3dec4813b5442eac6bac3775cd3f22
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - http://cam01/plugin/h263ctrl.cab
O16 - DPF: {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA} (Java Plug-in) -
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} (Java Plug-in) -
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8406-9CAB

Verzeichnis von C:\WINDOWS\system32

03.01.2006 17:57 5'084 ncompat.tlb
03.01.2006 17:49 13'646 wpa.dbl
03.01.2006 17:20 9'792 mssearchnet.exe
03.01.2006 17:11 10'018 hpD551.tmp
03.01.2006 17:11 24'064 ldD532.tmp
03.01.2006 15:50 15'736 nvctrl.exe
02.01.2006 20:18 14'660 mscornet.exe
28.12.2005 18:25 7'006 jupdate-1.5.0_06-b05.log
14.12.2005 09:24 118'784 sirenacm.dll
09.12.2005 01:21 2'723'680 MRT.exe
05.12.2005 17:07 325'112 FNTCACHE.DAT
05.12.2005 17:01 405'504 px.dll
05.12.2005 17:01 56'832 pxcpya64.exe
05.12.2005 17:01 108'544 pxcpyi64.exe
05.12.2005 17:01 56'320 pxinsa64.exe
05.12.2005 17:01 109'568 pxinsi64.exe
05.12.2005 17:01 1'191'936 pxsfs.dll
05.12.2005 17:01 339'968 pxwave.dll
05.12.2005 17:01 172'032 pxmas.dll
05.12.2005 17:01 61'440 pxhpinst.exe
05.12.2005 17:01 434'176 pxdrv.dll
05.12.2005 17:01 28'672 vxblock.dll
01.12.2005 04:31 1'492'480 shdocvw.dll
28.11.2005 07:38 43'520 CmdLineExt03.dll
24.11.2005 00:58 1'022'464 browseui.dll
24.11.2005 00:58 3'013'632 mshtml.dll
10.11.2005 13:03 127'078 javaws.exe
10.11.2005 13:03 49'265 jpicpl32.cpl
10.11.2005 11:27 49'250 javaw.exe
10.11.2005 11:27 49'248 java.exe
05.11.2005 04:16 606'208 urlmon.dll
05.11.2005 04:16 1'056'256 danim.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8406-9CAB

Verzeichnis von C:\DOKUME~1\Roman\LOKALE~1\Temp

03.01.2006 17:57 16'384 ~DF359D.tmp
03.01.2006 17:57 23 SymSetup.ini
03.01.2006 17:56 315 SNDunin.log
03.01.2006 17:56 3'694'792 Norton AntiVirus 2005 1-3-2006 17h53m42s.log
03.01.2006 17:55 36'924 symcprop.dat
03.01.2006 17:55 124 AVRES_OPTRF_LiveUpdate.dat
03.01.2006 17:55 124 SSALiveUpdate.dat
03.01.2006 17:54 822'424 SymLCSVC.EXE
03.01.2006 17:54 124 AVSTELiveUpdate.dat
03.01.2006 17:53 5'893 LSInstall.log
03.01.2006 17:51 343 PreScan.log
03.01.2006 17:21 206 jusched.log
03.01.2006 17:11 16'384 ~DF2CDB.tmp
13 Datei(en) 4'594'060 Bytes
0 Verzeichnis(se), 20'472'262'656 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8406-9CAB

Verzeichnis von C:\WINDOWS

03.01.2006 17:53 20'480 LUINSTALL.LOG
03.01.2006 17:50 1'656'075 WindowsUpdate.log
03.01.2006 17:13 120 setupact.log
03.01.2006 17:11 0 0.log
03.01.2006 17:11 159 wiadebug.log
03.01.2006 17:11 50 wiaservc.log
03.01.2006 17:10 2'048 bootstat.dat
03.01.2006 17:09 32'618 SchedLgU.Txt
03.01.2006 14:37 54'156 QTFont.qfn
02.01.2006 21:34 2'560 _MSRSTRT.EXE
02.01.2006 16:47 1'409 QTFont.for
31.12.2005 15:04 604 win.ini
24.12.2005 00:37 116 NeroDigital.ini
15.12.2005 06:59 505'864 iis6.log
15.12.2005 06:59 87'484 ntdtcsetup.log
15.12.2005 06:59 19'862 tabletoc.log
15.12.2005 06:59 10'396 KB910437.log
15.12.2005 06:59 22'492 ocmsn.log
15.12.2005 06:59 193'397 tsoc.log
15.12.2005 06:59 29'346 medctroc.Log
15.12.2005 06:59 20'776 msgsocm.log
15.12.2005 06:59 70'305 netfxocm.log
15.12.2005 06:59 382'886 FaxSetup.log
15.12.2005 06:59 135'080 msmqinst.log
15.12.2005 06:59 26'324 updspapi.log
15.12.2005 06:59 1'393 imsins.BAK
15.12.2005 06:59 16'167 KB905915.log
13.12.2005 08:48 63'530 War3Unin.dat
05.12.2005 17:03 316'640 WMSysPr9.prx
05.12.2005 17:02 4'161 ODBCINST.INI
10.11.2005 17:55 11'738 KB896424.log
05.11.2005 14:35 2'829 War3Unin.pif
05.11.2005 14:35 139'264 War3Unin.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8406-9CAB

Verzeichnis von C:\

03.01.2006 17:58 0 sys.txt
03.01.2006 17:58 9'013 system.txt
03.01.2006 17:58 947 systemtemp.txt
03.01.2006 17:57 103'676 system32.txt
03.01.2006 17:12 1'758 smitfiles.txt
03.01.2006 17:10 2'145'386'496 pagefile.sys
05.12.2005 20:04 0 AdobeDebug.txt
27.07.2005 17:49 26'504 MDacLog.txt
30.03.2005 15:22 211 boot.ini
28.03.2005 02:00 565 .officebib.history.dat
27.11.2004 14:36 183 LogiSetup.log
23.11.2004 13:54 47'564 NTDETECT.COM
23.11.2004 13:54 251'184 ntldr
23.11.2004 13:16 0 CONFIG.SYS
23.11.2004 13:16 0 MSDOS.SYS
23.11.2004 13:16 0 AUTOEXEC.BAT
23.11.2004 13:16 0 IO.SYS

vielen dank für eure bemühungen im voraus und ich wäre für eine hilfestellung dankbar
thx
mfg
Heliodor
Seitenanfang Seitenende
04.01.2006, 16:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Heliodor

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm

http://virus-protect.org/reg/mcor.reg

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg

------------------------------------------------------------------------
öffne das HijackThis-- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked


O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hpD551.tmp
-------------------------------------------------------------------------------

KILLBOX - Pocket KillBox

http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\wpa.dbl
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\hpD551.tmp
C:\WINDOWS\system32\ldD532.tmp
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mscornet.exe

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an
und klicke die

mcor.reg
spyaxe.reg

doppelt --> fuege sie mit "ja" oder "yes" der Registry bei

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

------------------------------------

deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
http://virus-protect.org/systemwiederherstellung.html

scanne mit Kaspersky und etrust --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html

scanne mit Panda --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: