spyaxe, auch nach mehreren checks nix neues!

#1 spy axe hilfe, ich komme nicht weiter =(

ich habe bereits mit "drweb-cureit" gescanned und antivir usw
adaware...
mein hijack ergebniss:

Logfile of HijackThis v1.99.1
Scan saved at 13:29:04, on 05.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\mIRC\mirc.exe
C:\WINDOWS\system32\nvctrl.exe
C:\Dokumente und Einstellungen\Akst\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://welcome.icq.com/js/ppfile.html?0
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: HomepageBHO - {27150f81-0877-42e9-af13-55e5a3439a26} - C:\WINDOWS\system32\hpCDE4.tmp
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{74AE40E4-118D-4C95-93FC-7812801290D7}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


und das von den letzetn 2monaten "datFind"

05.01.2006 13:04 5.060 ncompat.tlb
05.01.2006 12:51 10.028 hpCDE4.tmp
05.01.2006 12:34 10.028 hp849F.tmp
05.01.2006 12:34 15.752 nvctrl.exe
05.01.2006 12:27 43.573 nvapps.xml
05.01.2006 12:27 24.064 ld2A47.tmp
05.01.2006 11:56 10.020 hpA3D4.tmp
05.01.2006 11:56 10.020 hp7ED7.tmp
05.01.2006 11:25 10.020 hp7E96.tmp
05.01.2006 11:16 10.020 hp6B94.tmp
05.01.2006 10:55 10.020 hp7AF2.tmp
04.01.2006 23:07 98.304 svchosts.dll
04.01.2006 23:07 4.286 ot.ico
04.01.2006 23:07 4.286 ts.ico
04.01.2006 23:00 14.684 mscornet.exe
02.01.2006 12:43 98.304 CmdLineExt.dll
02.01.2006 12:19 2.206 wpa.dbl
26.12.2005 12:31 114.968 FNTCACHE.DAT
25.12.2005 13:27 7.006 jupdate-1.5.0_06-b05.log
25.12.2005 00:47 34.064 lhacm.acm
24.12.2005 14:31 311.604 perfh009.dat
24.12.2005 14:31 316.594 perfh007.dat
24.12.2005 14:31 39.992 perfc009.dat
24.12.2005 14:31 48.156 perfc007.dat
24.12.2005 14:31 721.390 PerfStringBackup.INI
24.12.2005 14:19 261 $winnt$.inf
24.12.2005 14:15 2.951 CONFIG.NT
24.12.2005 14:13 488 WindowsLogon.manifest
24.12.2005 14:13 488 logonui.exe.manifest
24.12.2005 14:13 749 cdplayer.exe.manifest
24.12.2005 14:13 749 wuaucpl.cpl.manifest
24.12.2005 14:13 749 sapi.cpl.manifest
24.12.2005 14:13 749 nwc.cpl.manifest
24.12.2005 14:13 749 ncpa.cpl.manifest
24.12.2005 14:10 21.740 emptyregdb.dat
24.12.2005 14:07 0 h323log.txt
10.12.2005 04:16 180.224 NVUNINST.EXE
10.12.2005 03:06 35.840 nvcod.dll
10.12.2005 03:06 35.840 nvcodins.dll
10.12.2005 03:06 147.456 nvcolor.exe
10.12.2005 03:06 7.311.360 nvcpl.dll
10.12.2005 03:06 16.356 nvdisp.nvu
10.12.2005 03:06 1.339.392 nvdspsch.exe
10.12.2005 03:06 573.440 nvhwvid.dll
10.12.2005 03:06 425.984 keystone.exe
10.12.2005 03:06 442.368 nvappbar.exe
10.12.2005 03:06 45.056 nvmccsrs.dll
10.12.2005 03:06 86.016 nvmctray.dll
10.12.2005 03:06 286.720 nvnt4cpl.dll
10.12.2005 03:06 5.402.624 nvoglnt.dll
10.12.2005 03:06 466.944 nvshell.dll
10.12.2005 03:06 131.139 nvsvc32.exe
10.12.2005 03:06 73.728 nvtuicpl.cpl
10.12.2005 03:06 180.224 nvudisp.exe
10.12.2005 03:06 110.592 nvapi.dll
10.12.2005 03:06 229.376 nvmccs.dll
10.12.2005 03:06 81.920 nvwddi.dll
10.12.2005 03:06 1.662.976 nvwdmcpl.dll
10.12.2005 03:06 1.019.904 nvwimg.dll
10.12.2005 03:06 3.955.456 nv4_disp.dll
10.12.2005 03:06 1.519.616 nwiz.exe
10.12.2005 03:06 1.466.368 nview.dll
07.12.2005 18:05 573.952 DivX.dll
07.12.2005 18:05 679.936 divx_xx07.dll
07.12.2005 18:05 679.936 divx_xx0c.dll
07.12.2005 18:05 663.552 divx_xx11.dll
05.12.2005 21:51 10.716 dsm_ja.qm
05.12.2005 21:51 15.331 dsm_de.qm
05.12.2005 21:51 15.172 dsm_fr.qm
05.12.2005 06:12 61.440 pxhpinst.exe
05.12.2005 06:12 405.504 pxdrv.dll
05.12.2005 06:12 56.832 pxcpya64.exe
05.12.2005 06:12 339.968 px.dll
05.12.2005 06:12 56.320 pxinsa64.exe
05.12.2005 06:12 172.032 pxmas.dll
05.12.2005 06:12 339.968 pxwave.dll
05.12.2005 06:12 28.672 vxblock.dll
23.11.2005 05:00 4.276 divxsm.tlb
23.11.2005 05:00 778.240 DivXsm.exe
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
03.11.2005 12:01 6.144 ff_vfw.dll


hilfe, ich komme nciht mehr weiter und brauche den pc morgen =( ABItur =(

#2 Alex11

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm

http://virus-protect.org/reg/mcor.reg

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg

-----------------------------------------------------------------
öffne das HijackThis-- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked

O2 - BHO: HomepageBHO - {27150f81-0877-42e9-af13-55e5a3439a26} - C:\WINDOWS\system32\hpCDE4.tmp
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h

-------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\hpCDE4.tmp
C:\WINDOWS\system32\hp849F.tmp
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\nvapps.xml
C:\WINDOWS\system32\ld2A47.tmp
C:\WINDOWS\system32\hpCDE4.tmp
C:\WINDOWS\system32\hpA3D4.tmp
C:\WINDOWS\system32\hp7ED7.tmp
C:\WINDOWS\system32\hp7E96.tmp
C:\WINDOWS\system32\hp6B94.tmp
C:\WINDOWS\system32\hp7AF2.tmp
C:\WINDOWS\system32\svchosts.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\mscornet.exe

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an
und klicke die

mcor.reg
spyaxe.reg

doppelt --> fuege sie mit "ja" oder "yes" der Registry bei

-------------------------------------------------------

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

------------------------------------------------------

deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
http://virus-protect.org/systemwiederherstellung.html

scanne mit Kaspersky und etrust --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html

scanne mit Panda --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 vielen dank schonmal! ich glaube es funktioniert wieder alles, ich sehe keine fiesen sachen mehr rechts in der taskliste und aus meinem taskmanager sind die aktiven prozesse: nvctrl.exe und mssearchnet.exe
verschwunden! jedoch habe ich weder den panda test noch dieses Kaspersky durchlaufen lassen, da ich keinen IE mehr besitze und mit mozilla firefox funktioniert es anschienend nicht. Somit habe ich Antivir durchlaufen lassen, der hat nichts weiter gefunden, bis auf 2 ausnahmen. Und zwar hat er im empfohlenen "smitRem" und dem "spyaxefix" infizierte dateien gefunden, konnte jedoch nichts machen, da sie glaub ich im archiv sind.
ist das normal? kann ich sonst noch überprüfen, ob mein pc wieder "gesund ist"? danke schonmal!

#4 Alex11

Antivirus erkennt die 2 Tools als malware... es ist ein Bug (denn es sind "unbekannte" ausfuehrbare Dateien.... also...keine Sorgen machen

scanne mit ewido
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 hier mein ewido ergebnis!

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 11:31:12, 06.01.2006
+ Report-Checksumme: 8BE510BE

+ Scanergebnis:

C:\Dokumente und Einstellungen\Akst\Cookies\akst@ppms.popularix[2].txt -> Spyware.Cookie.Popularix : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Akst\Cookies\akst@serving-sys[2].txt -> Spyware.Cookie.Serving-sys : Gesäubert mit Backup

C:\Dokumente und Einstellungen\Akst\Desktop\virschiss\backups\backup-20060105-155651-332.dll -> Downloader.Zlob.dx : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Akst\Desktop\virschiss\backups\backup-20060105-161403-864.dll -> Downloader.Zlob.dx : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Akst\Desktop\virschiss\backups\backup-20060105-161426-304.dll -> Downloader.Zlob.dx : Gesäubert mit Backup


::Report Ende


es waren 174 infizierte objekte und ich habe alle gelöscht. vielen dank schonmal, kann man da jetzt sehen, ob wieder alles in ordnung ist?
danke, bye

#6 Alex11

ich denke, dass alles wieder in Ordnung ist.
du solltest noch mal nachschauen unter c:\Killbox und alle Dateien, die enthalten sind dort loeschen
__________
MfG Sabina

rund um die PC-Sicherheit

#7 soeben getan, waren 4 Dateien. vielen vielen dank!