SpyAxe oder Spywarestrike Verseuchung ?

#1 Hallo liebes Board,

nachdem ich nun schon 8 oder 9 verschiedene Vorschläge, SpyAxe und Spywarestrike zu entfernen fehlgeschlagen sind, mache ich mal einen neuen Thread auf.

Auch auf meinem PC popt die ganze Zeit im System Tray eine Meldung auf: Ich habe sie als .jpg an diesen Thread angehängt.

Hier einmal mein hijackthis.log-File.
Wenn Ihr noch etwas braucht, sagt mir bitte Bescheid.

Logfile of HijackThis v1.99.1
Scan saved at 21:21:39, on 10.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Acer\eManager\anbmServ.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Arcade\PCMService.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\AonInformer\informer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\acer\eRecovery\Monitor.exe
C:\WINDOWS\System32\svchost.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [jservice] C:\Programme\AonInformer\informer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe



Ich bedanke mich schon mal im Voraus für Eure Unterstützung

lg

NTW

#2 hallo@ntw

kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,
ich habe versucht mit dem Tool, welches Du angibst "Spyware Strike " zu entfernen.....da tut sich nix.
Bleibt mir nur die erste Möglichkeit?
Ich danke Dir für eine Antwort!
Lieben Gruss tom01
Nachtrag:
Jetzt blinken 2 Symbole unten auf der Taskleiste.
Das neue Icon auf dem Desktop heisst " Spy Falcon".....hm
habe es manuell gelöscht, weiss aber das das nix bringt!!!
Bin ein bisschen ratlos

#4 tom01

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html


Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Logfile of HijackThis v1.99.1
Scan saved at 18:05:09, on 05.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\Mixer.exe
C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\thomas\antivir\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\thomas\antivir\AVGUARD.EXE
C:\thomas\antivir\AVWUPSRV.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
c:\progra~1\intern~1\iexplore.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hp587C.tmp
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll (file missing)
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\thomas\antivir\AVGNT.EXE /min
O4 - HKLM\..\Run: [SpyFalcon] C:\Programme\SpyFalcon\SpyFalcon.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B295E74-F7E8-49A4-8856-1BD77A3E85EC}: NameServer = 217.237.151.97 217.237.149.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B295E74-F7E8-49A4-8856-1BD77A3E85EC}: NameServer = 217.237.151.97 217.237.149.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\thomas\antivir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\thomas\antivir\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE


ok Sabina.....und nun??
lieben gruss tom

#6 Hallo Tom,es geht da um 4 txt files von DatFindBat


__________
MfG Argus

#7 Ist o.k. ...ich brauche nicht alle 4, ich hab die neue dll schon im Remover

Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

SpyFalcon

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

-----------------------------------------------------------------------------

arbeite das ab und poste den scanreport der bfu...dann mache noch alles andere und berichte immer
http://virus-protect.org/artikel/bfu/spyaxebfu.html
__________
MfG Sabina

rund um die PC-Sicherheit

#8 ok...vielen Dank
werde alles so machen

#9 das musst du hier kopieren....ist wichtig

Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

SpyFalcon

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Hallo Sabina,
ich habe mir vor zwei Tagen diesen Spyaxe - Mist eingefangen. Habe auch schon Stunden damit verbracht das Ding wieder loszuwerden. Aber irgendwie bin ich nicht in der Lage die richtigen Arbeitsschritte zu tun. Bitte nimm mich an die Hand und hilf mir. Cleanup ist schon gelaufen. datfind auch.
Grüsse
Michael

habe die hijackthis logfile angehängt.

hier das Ergebnis von datfindbat:

sys-editor:
Datentr„ger in Laufwerk C: ist Lokale HD
Volumeseriennummer: C42C-6A32

Verzeichnis von C:\

27.04.2006 18:27 0 sys.txt
27.04.2006 18:27 16.604 system.txt
27.04.2006 18:27 128 systemtemp.txt
27.04.2006 18:22 118.830 system32.txt
27.04.2006 18:05 804.835.328 hiberfil.sys
27.04.2006 18:05 1.207.148.544 pagefile.sys
27.04.2006 18:01 3.141 smitfiles.txt
27.04.2006 12:08 211 boot.ini
05.04.2006 12:13 4.977 voxFcoldrv.log
15.03.2006 13:43 26 ezsetuplog.txt
15.03.2006 13:24 8.248 caavsetup.log
26.01.2006 11:14 63.018 winzip.log

system-editor:
Datentr„ger in Laufwerk C: ist Lokale HD
Volumeseriennummer: C42C-6A32

Verzeichnis von C:\WINDOWS

27.04.2006 18:27 319 KTEL.INI
27.04.2006 18:07 0 0.log
27.04.2006 18:06 3.754 ModemLog_FM-56PCI-HSFi-AB.txt
27.04.2006 18:06 159 wiadebug.log
27.04.2006 18:06 50 wiaservc.log
27.04.2006 18:05 2.048 bootstat.dat
27.04.2006 18:04 2.046.881 WindowsUpdate.log
27.04.2006 18:04 496.086 ntbtlog.txt
27.04.2006 18:03 120 setupact.log
27.04.2006 18:03 0 setuperr.log
27.04.2006 17:54 32.544 SchedLgU.Txt
27.04.2006 12:08 254 SYSTEM.INI
27.04.2006 12:08 1.477 win.ini
26.04.2006 18:47 113.970 iis6.log
26.04.2006 18:47 253.248 comsetup.log
26.04.2006 18:47 153.727 ntdtcsetup.log
26.04.2006 18:47 288.467 tsoc.log
26.04.2006 18:47 1.374 imsins.log
26.04.2006 18:47 36.015 ocmsn.log
26.04.2006 18:47 23.203 KB900485.log
26.04.2006 18:47 379.311 ocgen.log
26.04.2006 18:47 37.135 msgsocm.log
26.04.2006 18:47 744.997 FaxSetup.log
26.04.2006 12:08 1.374 imsins.BAK
25.04.2006 13:47 96.072 wmsetup.log
24.04.2006 13:32 115 WinDict.ini
23.04.2006 23:41 245.837.824 MEMORY.DMP
12.04.2006 14:50 31.012 spupdsvc.log
12.04.2006 14:30 16.080 KB908531.log
12.04.2006 14:30 36.309 updspapi.log
12.04.2006 14:30 15.405 KB911562.log
12.04.2006 14:29 17.164 KB912812.log
12.04.2006 14:28 22.173 KB911565.log
12.04.2006 14:27 1.158 avmcoins.log
12.04.2006 14:27 10.868 KB911567.log
05.04.2006 17:54 202 NeroDigital.ini
27.03.2006 11:37 38 AviSplitter.INI
16.03.2006 11:49 19.625 KB912945.log
16.03.2006 11:45 11.015 WGA.log
15.03.2006 13:24 115.824 UnVet32.1
15.03.2006 13:24 107.632 AVShlExt.1
15.03.2006 10:02 1.477 Win.ipe
18.02.2006 10:03 10.640 KB911927.log
18.02.2006 10:02 11.029 KB911564.log
18.02.2006 10:00 6.692 KB913446.log
10.02.2006 00:36 1.409 QTFont.for
10.02.2006 00:36 54.156 QTFont.qfn
09.02.2006 13:20 107.134 UninstallFirefox.exe
09.02.2006 13:20 5.327 mozver.dat
08.02.2006 23:23 358.238 Hapimag Uhr.scr
02.02.2006 20:45 254 System.ipe
30.01.2006 15:09 156.471 UNNeroVision.cfg
11.01.2006 10:01 10.219 KB908519.log
06.01.2006 13:20 11.018 KB912919.log

systemtemp:
Datentr„ger in Laufwerk C: ist Lokale HD
Volumeseriennummer: C42C-6A32

Verzeichnis von C:\DOKUME~1\DVAG\LOKALE~1\Temp

system32:
Datentr„ger in Laufwerk C: ist Lokale HD
Volumeseriennummer: C42C-6A32

Verzeichnis von C:\WINDOWS\system32

27.04.2006 18:07 1.004 vsconfig.xml
26.04.2006 22:36 1.158 wpa.dbl
26.04.2006 18:57 4.212 zllictbl.dat
26.04.2006 18:29 13.293 ikhcore.log
10.04.2006 13:00 555.824 LegitCheckControl.DLL
06.04.2006 21:48 5.143.456 MRT.exe
05.04.2006 16:35 34.308 BASSMOD.dll
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
27.03.2006 10:49 384.596 perfh009.dat
27.03.2006 10:49 54.280 perfc009.dat
27.03.2006 10:49 396.012 perfh007.dat
27.03.2006 10:49 65.470 perfc007.dat
27.03.2006 10:49 911.074 PerfStringBackup.INI
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
15.03.2006 13:24 74.864 VetRedir.1
10.03.2006 06:09 5.533.696 wmp.dll
08.03.2006 19:39 69.632 ElbyCDIO.dll
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 1.022.976 browseui.dll
04.03.2006 05:34 152.064 cdfview.dll
23.02.2006 11:39 483.520 FNTCACHE.DAT
14.02.2006 17:01 73.728 ElbyVCD.dll
04.01.2006 05:35 68.096 webclnt.dll

#11 mi-pro

was ich sehen kann...ist sauber.
Das Log vom HijackThis poste bitte hier oder als txt-Datei.

1.
SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok

Starte den PC neu --> in den abgesicherten Modus (Taste F8 drücken, wenn der PC hochfährt)

öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

wenn ein uninstaller vorhanden ist, den smitRem entfernt, wird der uninstaller gestartet. Klicke einfach den Uninstall button und warte, bis deinstalliert wurde.

poste dann bitte die smitrem.txt

---------

2.
scanne un dposte den scanbericht
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Hallo Sabina,
danke für die Hilfe. Ich habe smitrem laufenlassen aber eine smitrem.txt ist nicht zu finden. Seit dieser Verseuchung habe ich auch folgende Probleme festgestellt: die IE Startseite lässt sich nicht mehr ändern und ist immer blank.
Alle Registryänderungen werden wieder rückgängig gemacht. Bei jedem Systemstart erscheint der Systemkonfigurator. Wird das durch die weitere Vorgehensweise auch behoben oder muss ich da noch etwas anderes tun?

Ich habe auch superantispyware laufen lassen, weiss aber nicht wie ich an den Bericht komme um ihn hier zu posten.

Hier nun das hijackthis-Ergebnis:

Logfile of HijackThis v1.99.1
Scan saved at 11:17:12, on 29.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\isafe.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetMsg.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programme\Browser MOUSE\mouse32a.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Muiltmedia keyboard utility\1.3\KbdAp32A.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\Displaycall\DisplayCall.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\Lavasoft\Ad-Aware SE Plus\Ad-Watch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Firewall\ca.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\DVAG\Desktop\Spyaxe\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:81
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PreispiratenSearchURL - {0B660087-931C-4056-A04F-0423890E40B6} - (no file)
O2 - BHO: AzEntretien Class - {0d2def3a-f4f1-42ec-ac4f-132e7ba6e292} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: metaspinner media GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: metaspinner media GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - (no file)
O2 - BHO: metaspinner media GmbH - {D3AA56A9-8137-4950-A6F9-D0190A82AF2A} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [CaAvTray] "C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [CAVRID] "C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Brennen\Elaborate Bytes\CloneCD5\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Programme\DAP\DAP.EXE" /STARTUP
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Muiltmedia keyboard utility\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PCPitstop Optimize Registration Reminder] C:\Programme\CA\Optimize\Reminder.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [VetTray] C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\CA\eTrust EZ Armor\eTrust EZ Firewall\ca.exe"
O4 - HKLM\..\Run: [AnyDVD] "C:\Programme\Brennen\Elaborate Bytes\CloneDVD2\AnyDVD\AnyDVD.exe"
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O4 - HKCU\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Plus\Ad-Watch.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Biet-O-Matic.lnk = C:\Programme\Biet-O-Matic\Biet-O-Matic.exe
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Startup: Verknüpfung mit DisplayCall.lnk = C:\Programme\Displaycall\DisplayCall.exe
O4 - Startup: Verknüpfung mit FriFax32.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\Reader\reader_sl.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .tif: C:\Programme\Internet Explorer\PLUGINS\npqtplugin6.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: ppctlcab - http://www.my-etrust.com/includes/pscanner/ppctlcab.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://scan.safety.live.com/resource/download/scanner/en-us/wlscbase7617.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\isafe.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetMsg.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

#13 mi-pro

1.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip


2.
öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: PreispiratenSearchURL - {0B660087-931C-4056-A04F-0423890E40B6} - (no file)
O2 - BHO: AzEntretien Class - {0d2def3a-f4f1-42ec-ac4f-132e7ba6e292} - (no file)
O2 - BHO: metaspinner media GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - (no file)
O2 - BHO: metaspinner media GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - (no file)
O2 - BHO: metaspinner media GmbH - {D3AA56A9-8137-4950-A6F9-D0190A82AF2A} - (no file)

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h

PC neustarten

loeschen
C:\Programme\SpyAxe

arbeite das ab und poste den scanreport
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Es existiert kein Eintrag C:\programme\spyaxe

Hier das Ergebnis von echo:

10)DPF????
Datentr„ger in Laufwerk C: ist Lokale HD
Volumeseriennummer: C42C-6A32

Verzeichnis von C:\WINDOWS\Downloaded Program Files

25.08.2003 18:12 1.096 iuctl.inf
10.04.2006 12:36 367 LegitCheckControl.inf
17.03.2004 02:29 595 OSD406.OSD
17.03.2004 02:27 578.624 ppctl.dll
23.01.2006 10:51 367.864 sabspx.dll
05.10.2005 11:31 351 sabspx.inf
13.03.2006 22:56 333.552 wlscBase.dll
13.03.2006 22:57 322 wlscBase.inf
8 Datei(en) 1.282.771 Bytes

Anzahl der angezeigten Dateien:
8 Datei(en) 1.282.771 Bytes
0 Verzeichnis(se), 76.592.705.536 Bytes frei
10)DPF????
Datentr„ger in Laufwerk C: ist Lokale HD
Volumeseriennummer: C42C-6A32

Verzeichnis von C:\WINDOWS\Downloaded Program Files

25.08.2003 18:12 1.096 iuctl.inf
10.04.2006 12:36 367 LegitCheckControl.inf
17.03.2004 02:29 595 OSD406.OSD
17.03.2004 02:27 578.624 ppctl.dll
23.01.2006 10:51 367.864 sabspx.dll
05.10.2005 11:31 351 sabspx.inf
13.03.2006 22:56 333.552 wlscBase.dll
13.03.2006 22:57 322 wlscBase.inf
8 Datei(en) 1.282.771 Bytes

Anzahl der angezeigten Dateien:
8 Datei(en) 1.282.771 Bytes
0 Verzeichnis(se), 76.578.873.344 Bytes frei

Hier das Ergebnis von Smitfraudfix:

SmitFraudFix v2.36

Scan done at 23:44:53,92, 29.04.2006
Run from C:\Dokumente und Einstellungen\DVAG\Desktop\Spyaxe\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\DVAG\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\DVAG\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:/DOKUME~1/DVAG/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg"
"SubscribedURL"="file:///C:/DOKUME~1/DVAG/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg"
"FriendlyName"=""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\2]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!! Attention, follow keys are not inevitably infected !!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

#15 mi-pro

Fixe mit dem HijackThis:

O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Programme\DAP\DAP.EXE" /STARTUP

PC neustarten

**
deinstalliere: DownloadAccelerator

**
loesche:
C:\Programme\DAP

--------------------------------------------------------------------

1.
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

2.
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

3.
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit