Bin auch von Spyaxe befallen worden

#1 Hallo Zusammen!


Mich hat leider auch der Spyaxe Virus befallen und auf der Suche nach einen geeigneten Programm bin ich auf eure Seite gestoßen und habe bemerkt dass ich nicht alleine mit meinen Problem dastehe!

Könntest du mir vieleicht helfen???

Gruß aus Österreich (Salzburg)

#2 feuerwehr

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

kopiere die 4 Textdateien
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina!

Erstmal die Hijackthis Logs


Logfile of HijackThis v1.99.1
Scan saved at 15:03:36, on 04.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\IC Card Reader Driver v1.8e2\Disk_Monitor.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\TelefonCD\OtbStart.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
C:\WINDOWS\system32\lexpps.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Feuerwehr\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.feuerwehrverband-salzburg.at/
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp8BF9.tmp
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll (file missing)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\\IC Card Reader Driver v1.8e2\Disk_Monitor.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OtbStart] C:\Programme\TelefonCD\OtbStart.EXE
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [OESpamTest] C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - http://www.browserplugin.com/eroticAccess/cabs/1767031.cab
O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - file://D:\selbsttest\webplayer\awswaxf.cab
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_AT.cab
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


und dann noch die Dateien von Datfindbat: habe nur die letzten 4 Monate genommen!

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2078-C1CD

Verzeichnis von C:\WINDOWS\system32

04.01.2006 15:06 5.072 ncompat.tlb
04.01.2006 15:00 5.632 msvol.tlb
04.01.2006 15:00 10.013 hp8BF9.tmp
04.01.2006 13:47 10.013 hpCA34.tmp
04.01.2006 13:47 24.064 ldC731.tmp
04.01.2006 13:09 10.013 hpA7E5.tmp
04.01.2006 13:03 10.013 hp9C1F.tmp
04.01.2006 12:59 100 LuResult.txt
04.01.2006 12:37 4.286 ot.ico
04.01.2006 12:37 4.286 ts.ico
04.01.2006 12:37 15.732 nvctrl.exe
03.01.2006 13:08 14.656 mscornet.exe
01.01.2006 18:12 1.374 wpa.dbl
09.12.2005 01:21 2.723.680 MRT.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
12.11.2005 06:47 260.640 FNTCACHE.DAT
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
02.11.2005 19:17 367.986 perfh009.dat
02.11.2005 19:17 47.634 perfc009.dat
02.11.2005 19:17 376.140 perfh007.dat
02.11.2005 19:17 57.376 perfc007.dat
02.11.2005 19:17 857.694 PerfStringBackup.INI
25.10.2005 16:19 3.145 qtplugin.log
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 55.808 extmgr.dll
20.10.2005 23:25 1.094.144 esent.dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll

2138 Datei(en) 434.684.529 Bytes
0 Verzeichnis(se), 103.080.095.744 Bytes frei

Vielen Dank im Vorraus!!

#4 es sind 4 Log von datfindbat

Zitat

Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\
http://virus-protect.org/datfindbat.html

__________
MfG Sabina

rund um die PC-Sicherheit

#5 es sind 4 Log von datfindbat????

Was muß ich jetzt tun??

Kenne mich leider hinter den "Kulissen" nicht so gut aus.....:-)

#6 Steht alles in der Anleitung.
Bat ausführen...letzten 3 Monate aus der ersten txt kopieren...im dos fenster enter drücken..hier auch wieder die letzten 3 monate kopieren usw.

#7 Habe glaube gerade geschnallt was 4 Log bedeutet, also nochmal

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2078-C1CD

Verzeichnis von C:\WINDOWS\system32

04.01.2006 16:11 5.072 ncompat.tlb
04.01.2006 15:46 5.632 msvol.tlb
04.01.2006 15:46 24.064 ldA2C5.tmp
04.01.2006 15:46 10.013 hpA26B.tmp
04.01.2006 13:47 10.013 hpCA34.tmp
04.01.2006 13:09 10.013 hpA7E5.tmp
04.01.2006 13:03 10.013 hp9C1F.tmp
04.01.2006 12:59 100 LuResult.txt
04.01.2006 12:37 4.286 ot.ico
04.01.2006 12:37 4.286 ts.ico
04.01.2006 12:37 15.732 nvctrl.exe
03.01.2006 13:08 14.656 mscornet.exe
01.01.2006 18:12 1.374 wpa.dbl
09.12.2005 01:21 2.723.680 MRT.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
12.11.2005 06:47 260.640 FNTCACHE.DAT
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
02.11.2005 19:17 367.986 perfh009.dat
02.11.2005 19:17 47.634 perfc009.dat
02.11.2005 19:17 376.140 perfh007.dat
02.11.2005 19:17 57.376 perfc007.dat
02.11.2005 19:17 857.694 PerfStringBackup.INI
25.10.2005 16:19 3.145 qtplugin.log
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 55.808 extmgr.dll
20.10.2005 23:25 1.094.144 esent.dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2078-C1CD

Verzeichnis von C:\DOKUME~1\FEUERW~1\LOKALE~1\Temp

04.01.2006 15:47 0 BCGC.tmp
04.01.2006 15:46 31.692 SALanguage.ini
04.01.2006 15:46 16.384 ~DF7690.tmp
04.01.2006 15:43 81.920 ~DF26E1.tmp
04.01.2006 15:40 16.384 ~DFE932.tmp
04.01.2006 15:00 0 BCG32.tmp
04.01.2006 15:00 16.384 ~DF231D.tmp
29.12.2005 23:46 120 0FD1A8EB.TMP
8 Datei(en) 162.884 Bytes
0 Verzeichnis(se), 102.805.467.136 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2078-C1CD

Verzeichnis von C:\WINDOWS

04.01.2006 15:46 0 0.log
04.01.2006 15:46 157 wiadebug.log
04.01.2006 15:46 50 wiaservc.log
04.01.2006 15:46 1.798.970 WindowsUpdate.log
04.01.2006 15:46 2.048 bootstat.dat
04.01.2006 15:44 32.544 SchedLgU.Txt
04.01.2006 13:37 1.099 LEXSTAT.INI
04.01.2006 13:07 506 LUINSTALL.LOG
03.01.2006 13:02 49 NeroDigital.ini
03.01.2006 12:59 54.156 QTFont.qfn
30.12.2005 18:19 37.981 wmsetup.log
29.12.2005 15:53 1.409 QTFont.for
19.12.2005 22:03 309.745 comsetup.log
19.12.2005 22:03 130.815 iis6.log
19.12.2005 22:03 186.616 ntdtcsetup.log
19.12.2005 22:03 1.393 imsins.log
19.12.2005 22:03 38.225 ocmsn.log
19.12.2005 22:03 339.460 tsoc.log
19.12.2005 22:03 10.413 KB910437.log
19.12.2005 22:03 43.531 msgsocm.log
19.12.2005 22:03 455.979 ocgen.log
19.12.2005 22:03 846.866 FaxSetup.log
19.12.2005 22:03 587.258 setupapi.log
19.12.2005 22:03 22.561 updspapi.log
19.12.2005 22:03 1.393 imsins.BAK
19.12.2005 22:03 16.314 KB905915.log
16.12.2005 13:17 1.202 otb99.ini
13.11.2005 19:51 3.406 ModemLog_HSP56 MR.txt
11.11.2005 13:45 11.857 KB896424.log
16.10.2005 17:50 21.008 KB901017.log
16.10.2005 17:50 23.402 KB902400.log
16.10.2005 17:50 14.076 KB896688.log
16.10.2005 17:50 13.601 KB905414.log
16.10.2005 17:50 13.404 KB900725.log
16.10.2005 17:49 11.237 KB904706.log
16.10.2005 17:49 11.884 KB905749.log
15.08.2005 18:13 17.658 KB899587.log
15.08.2005 18:13 17.158 KB899591.log
15.08.2005 18:13 17.279 KB893756.log
15.08.2005 18:13 16.621 KB896423.log
15.08.2005 18:13 17.396 KB896727.log
15.08.2005 18:13 13.539 KB899588.log
15.08.2005 18:13 13.334 KB894391.log


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2078-C1CD

Verzeichnis von C:\

04.01.2006 16:15 0 sys.txt
04.01.2006 16:15 13.242 system.txt
04.01.2006 16:14 638 systemtemp.txt
04.01.2006 16:13 104.500 system32.txt
04.01.2006 15:46 267.964.416 hiberfil.sys
04.01.2006 15:46 805.306.368 pagefile.sys
22.12.2005 20:10 836 MKDEMSG.LOG
22.12.2005 20:10 1.536 MKDEWE.TRN
05.10.2004 17:51 211 boot.ini
05.10.2004 17:39 47.564 NTDETECT.COM
05.10.2004 17:39 251.184 ntldr
16.08.2004 18:15 13.030 PDOXUSRS.NET
27.02.2003 16:37 33 AGPUnist.ini
27.02.2003 16:36 1.341 AGPSetup.txt
27.02.2003 16:36 955 AGPSetup2.ini
27.02.2003 16:36 926 AGPSetup1.ini
27.02.2003 16:36 256 SiSUnist.ini
27.02.2003 16:36 750 SiSSetup.txt
27.02.2003 16:36 1.439 SiSSetup1.ini
21.02.2003 07:20 170 setup.log
21.02.2003 07:04 0 AUTOEXEC.BAT
21.02.2003 07:04 0 CONFIG.SYS
21.02.2003 07:04 0 IO.SYS
21.02.2003 07:04 0 MSDOS.SYS
29.08.2002 13:00 4.952 bootfont.bin
25 Datei(en) 1.073.714.347 Bytes
0 Verzeichnis(se), 102.805.467.136 Bytes frei


Danke

#8 feuerwehr

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm

http://virus-protect.org/reg/mcor.reg

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg

-----------------------------------------------------------------------------
öffne das HijackThis-- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp8BF9.tmp
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe

nur fixen, wenn du willst
O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - http://www.browserplugin.com/eroticAccess/cabs/1767031.cab

----------------------------------------------------
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\ldA2C5.tmp
C:\WINDOWS\system32\hpA26B.tmp
C:\WINDOWS\system32\hpCA34.tmp
C:\WINDOWS\system32\hpA7E5.tmp
C:\WINDOWS\system32\hp9C1F.tmp
C:\WINDOWS\system32\LuResult.txt
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\DOKUME~1\FEUERW~1\LOKALE~1\Temp\BCGC.tmp
C:\DOKUME~1\FEUERW~1\LOKALE~1\Temp\SALanguage.ini
C:\DOKUME~1\FEUERW~1\LOKALE~1\Temp\BCG32.tmp
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mscornet.exe

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an
und klicke die

mcor.reg
spyaxe.reg

doppelt --> fuege sie mit "ja" oder "yes" der Registry bei

-----------------
im abgesicherten Modus--> deinstallieren und alles loeschen
C:\Programme\Common files\SearchUpgrader
C:\Programme\SpyAxe
------------------------------------------------------------
SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

-----------------------------------------------------------------------------
deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
http://virus-protect.org/systemwiederherstellung.html

scanne mit Kaspersky und etrust --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html

scanne mit Panda --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabina,

Ich glaube ich habe etwas nicht ganz richtig gemacht!

Ich sende dir nochmal meine Hijackthis Logs:
Logfile of HijackThis v1.99.1
Scan saved at 18:04:10, on 05.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\IC Card Reader Driver v1.8e2\Disk_Monitor.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TelefonCD\OtbStart.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Feuerwehr\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.feuerwehrverband-salzburg.at/
O2 - BHO: (no name) - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll (file missing)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\\IC Card Reader Driver v1.8e2\Disk_Monitor.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OtbStart] C:\Programme\TelefonCD\OtbStart.EXE
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [OESpamTest] C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} -
O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - file://D:\selbsttest\webplayer\awswaxf.cab
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www3.ca.com/securityadvisor/pestscan/pestscan.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_AT.cab
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

und dann noch die Datfindbat Dateien:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2078-C1CD

Verzeichnis von C:\WINDOWS\system32

05.01.2006 16:28 0 asfiles.txt
05.01.2006 16:25 2.550 Uninstall.ico
05.01.2006 16:25 1.406 Help.ico
05.01.2006 16:25 30.590 pavas.ico
01.01.2006 18:12 1.374 wpa.dbl
09.12.2005 01:21 2.723.680 MRT.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
12.11.2005 06:47 260.640 FNTCACHE.DAT
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
02.11.2005 19:17 367.986 perfh009.dat
02.11.2005 19:17 47.634 perfc009.dat
02.11.2005 19:17 376.140 perfh007.dat
02.11.2005 19:17 57.376 perfc007.dat
02.11.2005 19:17 857.694 PerfStringBackup.INI
25.10.2005 16:19 3.145 qtplugin.log
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 251.392 iepeers.dll
20.10.2005 23:25 1.094.144 esent.dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2078-C1CD

Verzeichnis von C:\DOKUME~1\FEUERW~1\LOKALE~1\Temp

05.01.2006 18:12 0 BCG23.tmp
05.01.2006 18:12 16.384 ~DF61C7.tmp
05.01.2006 18:03 16.384 ~DF7495.tmp
05.01.2006 18:01 16.384 ~DF2ED4.tmp
4 Datei(en) 49.152 Bytes
0 Verzeichnis(se), 103.949.889.536 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2078-C1CD

Verzeichnis von C:\WINDOWS

05.01.2006 18:02 1.840.086 WindowsUpdate.log
05.01.2006 18:02 0 0.log
05.01.2006 18:01 159 wiadebug.log
05.01.2006 18:01 50 wiaservc.log
05.01.2006 18:01 2.048 bootstat.dat
05.01.2006 17:58 291.924 setupact.log
05.01.2006 17:53 444.928 ntbtlog.txt
05.01.2006 17:49 32.566 SchedLgU.Txt
05.01.2006 16:28 642 win.ini
05.01.2006 16:26 611.385 setupapi.log
05.01.2006 14:01 1.100 LEXSTAT.INI
04.01.2006 13:07 506 LUINSTALL.LOG
03.01.2006 13:02 49 NeroDigital.ini
03.01.2006 12:59 54.156 QTFont.qfn
30.12.2005 18:19 37.981 wmsetup.log
29.12.2005 15:53 1.409 QTFont.for
19.12.2005 22:03 130.815 iis6.log
19.12.2005 22:03 309.745 comsetup.log
19.12.2005 22:03 186.616 ntdtcsetup.log
19.12.2005 22:03 1.393 imsins.log
19.12.2005 22:03 38.225 ocmsn.log
19.12.2005 22:03 339.460 tsoc.log
19.12.2005 22:03 10.413 KB910437.log
19.12.2005 22:03 43.531 msgsocm.log
19.12.2005 22:03 455.979 ocgen.log
19.12.2005 22:03 846.866 FaxSetup.log
19.12.2005 22:03 22.561 updspapi.log
19.12.2005 22:03 1.393 imsins.BAK
19.12.2005 22:03 16.314 KB905915.log
16.12.2005 13:17 1.202 otb99.ini
13.11.2005 19:51 3.406 ModemLog_HSP56 MR.txt
11.11.2005 13:45 11.857 KB896424.log
16.10.2005 17:50 21.008 KB901017.log
16.10.2005 17:50 23.402 KB902400.log
16.10.2005 17:50 14.076 KB896688.log
16.10.2005 17:50 13.601 KB905414.log
16.10.2005 17:50 13.404 KB900725.log
16.10.2005 17:49 11.237 KB904706.log
16.10.2005 17:49 11.884 KB905749.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2078-C1CD

Verzeichnis von C:\

05.01.2006 18:19 0 sys.txt
05.01.2006 18:18 13.291 system.txt
05.01.2006 18:18 441 systemtemp.txt
05.01.2006 18:17 104.269 system32.txt
05.01.2006 18:00 267.964.416 hiberfil.sys
05.01.2006 18:00 805.306.368 pagefile.sys
05.01.2006 17:58 1.385 smitfiles.txt
22.12.2005 20:10 836 MKDEMSG.LOG
22.12.2005 20:10 1.536 MKDEWE.TRN


Ausserdem den Bericht von Panda, ich weis nur nicht wie ich die gefundenen Sachen löschen kann....:-(

Incident Status Location

Adware:adware/spyaxe Not disinfected C:\WINDOWS\system32\hp8BE9.tmp
Potentially unwanted tool:application/spyaxe Not disinfected C:\Dokumente und Einstellungen\Feuerwehr\Anwendungsdaten\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\SpyAxe 3.0.lnk
Adware:adware/spyaxe Not disinfected C:\WINDOWS\SYSTEM32\hp8BE9.tmp
Adware:adware/securityerror Not disinfected C:\WINDOWS\SYSTEM32\mssearchnet.exe
Spyware:spyware/new.net Not disinfected C:\WINDOWS\NDNuninstall4_88.exe
Spyware:application/bestoffer Not disinfected C:\WINDOWS\smdat32m.sys
Adware:adware/cws Not disinfected C:\Dokumente und Einstellungen\Feuerwehr\Favoriten\-Autos-
Adware:adware/delfinmedia Not disinfected C:\PROGRAMME\DelFin
Adware:adware/downloadware Not disinfected C:\PROGRAMME\MLH
Potentially unwanted tool:application/myway Not disinfected C:\PROGRAMME\MyWay
Adware:adware/scbar Not disinfected C:\PROGRAMME\winex
Spyware:spyware/clipgenie Not disinfected Windows Registry
Spyware:Spyware/Smitfraud Not disinfected C:\!KillBox\SALanguage.ini
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Feuerwehr\Desktop\smitRem\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Feuerwehr\Desktop\smitRem.exe[Process.exe]
Virus:W32/Netsky.P.worm Disinfected Persönliche Ordner\Norton AntiSpam-Ordner\Re: thanks!\product.zip[document.txt .exe]
Virus:W32/Netsky.C.worm Disinfected Persönliche Ordner\Norton AntiSpam-Ordner\i know your document!\moonlight.htm.scr
Virus:W32/Netsky.D.worm Disinfected Persönliche Ordner\Norton AntiSpam-Ordner\Re: My details\my_details.pif
Virus:W32/Netsky.P.worm Disinfected Persönliche Ordner\Norton AntiSpam-Ordner\Re: Re: patched\screensaver.exe
Virus:W32/Netsky.B.worm Disinfected Persönliche Ordner\Norton AntiSpam-Ordner\something for you\aboutyou.zip[aboutyou.txt.pif]
Virus:W32/Netsky.D.worm Disinfected Persönliche Ordner\Norton AntiSpam-Ordner\Re: Excel file\document_excel.pif
Dialerialer.Gen Not disinfected C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen\Temporary Internet Files\Content.IE5\62QEQ5QL\TEENS2SEE(10110-t2s-1-0-)[1].exe
Dialerialer.Gen Not disinfected C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen\Temporary Internet Files\Content.IE5\85VP7Y0A\TEENS2SEE(10110-t2s-1-0-#1)[1].exe
Spyware:Spyware/Altnet Not disinfected C:\Dokumente und Einstellungen\kök\Lokale Einstellungen\Temp\ADMCache\admAD.tmp
Spyware:Spyware/Altnet Not disinfected C:\Dokumente und Einstellungen\kök\Lokale Einstellungen\Temp\ADMCache\admAD.tmp[asm.exe]
Spyware:Spyware/Altnet Not disinfected C:\Dokumente und Einstellungen\kök\Lokale Einstellungen\Temp\ADMCache\admAD.tmp[asmps.dll]
Spyware:Cookie/Falkag Not disinfected C:\RECYCLER\NPROTECT\00005525.TXT
Spyware:Cookie/Falkag Not disinfected C:\RECYCLER\NPROTECT\00005526.TXT
Spyware:Cookie/Falkag Not disinfected C:\RECYCLER\NPROTECT\00005529.TXT
Spyware:Cookie/Falkag Not disinfected C:\RECYCLER\NPROTECT\00005530.TXT
Spyware:Cookie/Falkag Not disinfected C:\RECYCLER\NPROTECT\00005531.TXT
Spyware:Cookie/Doubleclick Not disinfected C:\RECYCLER\NPROTECT\00005539.TXT
Spyware:Cookie/Doubleclick Not disinfected C:\RECYCLER\NPROTECT\00005540.TXT
Spyware:Cookie/Com.com Not disinfected C:\RECYCLER\NPROTECT\00005541.TXT
Spyware:Cookie/Com.com Not disinfected C:\RECYCLER\NPROTECT\00005542.TXT
Spyware:Cookie/Falkag Not disinfected C:\RECYCLER\NPROTECT\00005613.TXT
Spyware:Cookie/Falkag Not disinfected C:\RECYCLER\NPROTECT\00005614.TXT
Spyware:Cookie/Falkag Not disinfected C:\RECYCLER\NPROTECT\00005615.TXT
Spyware:Spyware/BetterInet Not disinfected C:\RECYCLER\S-1-5-21-1032272-3524496247-1928984685-500\Dc1\system.cfg
Potentially unwanted tool:Application/SpyAxe Not disinfected C:\RECYCLER\S-1-5-21-1032272-3524496247-1928984685-500\Dc2\SpyAxe.exe
Potentially unwanted tool:Application/SpyAxe Not disinfected C:\RECYCLER\S-1-5-21-1032272-3524496247-1928984685-500\Dc2\uninst.exe
Dialerialer.B Not disinfected C:\WINDOWS\ExeDialer.exe
Spyware:Spyware/New.net Not disinfected C:\WINDOWS\NDNuninstall4_88.exe
Spyware:Spyware/New.net Not disinfected C:\WINDOWS\NDNuninstall4_94.exe
Spyware:Spyware/New.net Not disinfected C:\WINDOWS\NDNuninstall5_40.exe
Spyware:Spyware/New.net Not disinfected C:\WINDOWS\NDNuninstall5_48.exe
Dialerialer.Gen Not disinfected C:\WINDOWS\system32\DateMakerAustria-uninstall.exe
Dialer:dialer.b Not disinfected C:\WINDOWS\tmlpcert2005

Danke tausendmal für die Hilfe!!

#10 feuerwehr

leere den Papierkorb !
------------------------------------------------------------
loesche mit der killbox
C:\WINDOWS\system32\hp8BE9.tmp
C:\WINDOWS\SYSTEM32\mssearchnet.exe
C:\WINDOWS\smdat32m.sys
C:\WINDOWS\ExeDialer.exe
C:\WINDOWS\tmlpcert2005
C:\DOKUME~1\FEUERW~1\LOKALE~1\Temp\BCG23.tmp
C:\WINDOWS\system32\DateMakerAustria-uninstall.exe
C:\WINDOWS\NDNuninstall4_88.exe
C:\WINDOWS\NDNuninstall4_94.exe
C:\WINDOWS\NDNuninstall5_40.exe
C:\WINDOWS\NDNuninstall5_48.exe
C:\WINDOWS\system32\Uninstall.ico
C:\WINDOWS\system32\Help.ico
C:\WINDOWS\system32\pavas.ico

loesche manuell:
C:\Dokumente und Einstellungen\Feuerwehr\Anwendungsdaten\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\SpyAxe 3.0.lnk

C:\Dokumente und Einstellungen\Feuerwehr\Favoriten\-Autos-

deinstallieren, dann den Ordner loeschen
C:\PROGRAMME\DelFin
C:\PROGRAMME\MLH
C:\PROGRAMME\MyWay
C:\PROGRAMME\winex

C:\!KillBox\SALanguage.ini <---manuell loeschen

--------------------------------------------------------------------
fixe mit dem HijackThis:

O2 - BHO: (no name) - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - (no file)
O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} -
neustarten

--------------------------------------------------------------------
scanne mit ewido und kopiere hier den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo Sabina,


hier der Scanreport:

+ Erstellt am: 20:15:22, 09.01.2006
+ Report-Checksumme: 87F2A3D9

+ Scanergebnis:

HKLM\SOFTWARE\Altnet -> Spyware.Altnet : Fehler beim Säubern
HKLM\SOFTWARE\Altnet\Dashboard -> Spyware.Altnet : Fehler beim Säubern
HKLM\SOFTWARE\Altnet\Dashboard\Settings -> Spyware.Altnet : Fehler beim Säubern
HKLM\SOFTWARE\Classes\CLSID\{E3943A24-2F83-4505-9AE5-F705E81B50CB} -> Dialer.Generic : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{F57D17AE-CE37-4BC8-B232-EA57747BE5E7} -> Dialer.Generic : Gesäubert mit Backup
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00D6A7E7-4A97-456F-848A-3B75BF7554D7} -> Spyware.KeenValue : Gesäubert mit Backup
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0494D0D1-F8E0-41AD-92A3-14154ECE70AC} -> Spyware.MyWay : Gesäubert mit Backup
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0494D0D9-F8E0-41AD-92A3-14154ECE70AC} -> Spyware.MyWay : Gesäubert mit Backup
HKU\S-1-5-21-1032272-3524496247-1928984685-1005\Software\DelFin -> Spyware.Delfin : Gesäubert mit Backup
HKU\S-1-5-21-1032272-3524496247-1928984685-1005\Software\DelFin\PromulGate -> Spyware.Delfin : Gesäubert mit Backup
HKU\S-1-5-21-1032272-3524496247-1928984685-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0494D0D1-F8E0-41AD-92A3-14154ECE70AC} -> Spyware.MyWay : Gesäubert mit Backup
HKU\S-1-5-21-1032272-3524496247-1928984685-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0494D0D9-F8E0-41AD-92A3-14154ECE70AC} -> Spyware.MyWay : Gesäubert mit Backup
HKU\S-1-5-21-1032272-3524496247-1928984685-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{841A9192-5690-11D4-A258-0040954A01BE} -> Dialer.Generic : Gesäubert mit Backup
HKU\S-1-5-21-1032272-3524496247-1928984685-1005\Software\Classes\CLSID\{A2C8F6B1-7C2A-3D1C-A3C6-A1FDA113B43F} -> Downloader.SpyAxe : Gesäubert mit Backup
HKU\S-1-5-21-1032272-3524496247-1928984685-1005_Classes\CLSID\{A2C8F6B1-7C2A-3D1C-A3C6-A1FDA113B43F} -> Downloader.SpyAxe : Gesäubert mit Backup
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00D6A7E7-4A97-456F-848A-3B75BF7554D7} -> Spyware.KeenValue : Gesäubert mit Backup
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0494D0D1-F8E0-41AD-92A3-14154ECE70AC} -> Spyware.MyWay : Gesäubert mit Backup
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0494D0D9-F8E0-41AD-92A3-14154ECE70AC} -> Spyware.MyWay : Gesäubert mit Backup
C:\!KillBox\ExeDialer.exe -> Dialer.Generic : Gesäubert mit Backup
C:\!KillBox\NDNuninstall5_40.exe -> Spyware.NewDotNet : Gesäubert mit Backup
C:\Dokumente und Einstellungen\kök\Lokale Einstellungen\Temp\ADMCache\admAD.tmp/asm.exe -> Spyware.Altnet : Gesäubert mit Backup
C:\Dokumente und Einstellungen\kök\Lokale Einstellungen\Temp\ADMCache\admAD.tmp/asmps.dll -> Spyware.Altnet : Gesäubert mit Backup
C:\Programme\MalwareWipe\MalwareWipe.exe -> Adware.Spyaxe : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00005525.TXT -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00005526.TXT -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00005529.TXT -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00005530.TXT -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00005531.TXT -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00005539.TXT -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00005540.TXT -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00005541.TXT -> Spyware.Cookie.Com : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00005542.TXT -> Spyware.Cookie.Com : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00005613.TXT -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00005614.TXT -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00005615.TXT -> Spyware.Cookie.Falkag : Gesäubert mit Backup


::Report Ende


Hoffe das das jetzt bald mal ein Ende hat!


Gruß und Danke

#12 Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
-------------------------------------------------------------------------------

gehe in die Registry
Start-->Ausfuehren--> regedit

bearbeiten-->suchen --> altnet

HKLM\SOFTWARE\Altnet<--loeschen

---------------------------------------------------------------------------
falls es noch vorhanden ist: (loeschen)
C:\Dokumente und Einstellungen\kök\Lokale Einstellungen\Temp\ADMCache
C:\Programme\MalwareWipe<--ich weiss nicht, wie umnebelt du warst, als du das geladen hast......

C:\RECYCLER\S-1-5-21-1032272-3524496247-1928984685-500\Dc1\system.cfg


C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen\Temporary Internet Files\Content.IE5\62QEQ5QL
C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen\Temporary Internet Files\Content.IE5\85VP7Y0A

gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken

noch einmal:
scanne mit panda und kopiere den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo Sabina,

HKLM\SOFTWARE\Altnet läst sich nicht löschen: Fehler beim Löschen des Schlüssels.

hier der scanreport von panda:

ncident Status Location

Adware:adware/securityerror Not disinfected C:\Dokumente und Einstellungen\Feuerwehr\Favoriten\Antivirus Test Online.url
Adware:adware/cws Not disinfected C:\Dokumente und Einstellungen\Feuerwehr\Favoriten\-Business Directory-
Adware:adware/downloadware Not disinfected Windows Registry
Dialerialer.Gen Not disinfected C:\!KillBox\DateMakerAustria-uninstall.exe
Spyware:Spyware/New.net Not disinfected C:\!KillBox\NDNuninstall4_88.exe
Spyware:Spyware/New.net Not disinfected C:\!KillBox\NDNuninstall4_94.exe
Spyware:Spyware/New.net Not disinfected C:\!KillBox\NDNuninstall5_48.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Feuerwehr\Desktop\smitRem\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Feuerwehr\Desktop\smitRem.exe[Process.exe]


bitte dursehen

Danke

#14 loeschen
C:\Dokumente und Einstellungen\Feuerwehr\Favoriten\Antivirus Test Online.url
C:\Dokumente und Einstellungen\Feuerwehr\Favoriten\-Business Directory-

SmitRem2.8--< NOCH EINMAL
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt --> hier kopieren

alle Dateien in der Killbox loeschen
C:\!KillBox\NDNuninstall5_48.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hallo Sabina,

hier die smitfiles:


smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 728 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!


Gruß und Danke