SpywareStrike remove

#1 Hallo,

wir haben uns auf unserem Rechner SpywareStrike eingefangen. Um unseren Computer zu schützen haben wir uns dummerweise die Free-Version runtergeladen. Nachdem wir nun rausgefunden haben, was wir uns da geholt haben, wollten wir es nun wieder loswerden. Wir haben versucht Sabinas Anleitung zu folgen und sind jetzt schon ziemlich am Anfang gescheitert. Der Link für das CleanUp Programm funktioniert nicht. Kann man sich das auch wo anderst runterladen oder geht es auch ohne?

Würde mich feuen wenn uns jemand weiterhilft!

Hoffnungsvoll
eine ahnungslose
Aiwala & Co.

#2 Aiwala

ich begleite dich bei der Reinigung

stelle den CleanUp genauso ein, wie hier angegeben (der Link funktioniert...du musst nur ein Weilchen warten, bis die exe erscheint)
http://www.stevengould.org/downloads/cleanup/CleanUp40.exe
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,

danke für die Hilfe!
Aber leider ist es immernoch das selbe. Wenn ich auf den Link http://www.stevengould.org/downloads/cleanup/CleanUp40.exe klicke, dann erhalte ich die Meldung "Die Seite kann nicht angezeigt werden" bzw. als Fensterbenennung erscheint "Server nicht gefunden". Ich habe jetzt schon die Sicherheitseinstellungen für den Internet Explorer variiert, aber es hat nichts geändert.
In meiner Unwissenheit habe ich halt leider keine Ahnung woran es liegen kann.

Bist du sicher, dass der Link funtioniert?
Liegt es an meinen Internet Explorer Einstellungen?
Aber die Programme BFU.exe und smitRem.exe und die Datei spyaxe.bfu habe ich ja auch herunterladen können!

???

Aiwala

#4 Versuch es hier mal http://board.protecus.de/t20181.htm
__________
MfG Argus

#5 dann brauche ich noch:

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

auch ohne Anwendung von CleanUp
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Ich hab jetzt eingefügt was ich über datFind.bat als Text bekommen habe. Das es zum Teil keine 3 Monate sind, liegt daran, dass wir den Computer erst seit dem 27.12.05 haben. Ich schreib gleich nochmal was, aber das will ich gleich reinstellen:


Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: F457-DEBB

Verzeichnis von C:\WINDOWS\system32

29.01.2006 00:22 0 asfiles.txt
29.01.2006 00:18 2.550 Uninstall.ico
29.01.2006 00:18 1.406 Help.ico
28.01.2006 17:05 12.682 wpa.dbl
25.01.2006 23:33 278.152 FNTCACHE.DAT
22.01.2006 23:19 3.080 qtplugin.log
18.01.2006 13:05 57.344 avsda.dll
16.01.2006 22:38 565.170 large.bnk
16.01.2006 22:38 278.528 livesnth.dll
16.01.2006 22:38 11.333 cf_lic.txt
16.01.2006 22:38 203.776 clrviddc.dll
16.01.2006 16:26 176.167 rmoc3260.dll
16.01.2006 16:26 5.632 pndx5032.dll
16.01.2006 16:26 6.656 pndx5016.dll
15.01.2006 19:22 12.682 wpa.bak
09.01.2006 22:09 1.633 lvcoinst.log
04.01.2006 19:46 2.836.320 MRT.exe
29.12.2005 03:54 280.064 gdi32.dll
27.12.2005 17:17 36.646 $winnt$.inf
07.12.2005 18:05 716.800 divxdec.ax
07.12.2005 18:05 573.952 DivX.dll
07.12.2005 18:05 679.936 divx_xx07.dll
07.12.2005 18:05 679.936 divx_xx0c.dll
07.12.2005 18:05 663.552 divx_xx11.dll
05.12.2005 21:51 10.716 dsm_ja.qm
05.12.2005 21:51 15.331 dsm_de.qm
05.12.2005 21:51 15.172 dsm_fr.qm
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 3.013.632 mshtml.dll

Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: F457-DEBB

Verzeichnis von C:\DOKUME~1\Adel\LOKALE~1\Temp

29.01.2006 16:59 127.474 ppinfo.dat
29.01.2006 16:59 0 ppv5exc.dat
29.01.2006 16:59 524.786 pploc.dat
29.01.2006 16:59 577.478 ppfile.dat
29.01.2006 15:45 7.448 LVCOMSX.LOG
29.01.2006 15:25 81.920 ~DF8528.tmp
6 Datei(en) 1.319.106 Bytes
0 Verzeichnis(se), 92.746.719.232 Bytes frei

Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: F457-DEBB

Verzeichnis von C:\WINDOWS

29.01.2006 16:58 276.955 setupapi.log
29.01.2006 15:55 120 telephon.ini
29.01.2006 15:47 709.673 WindowsUpdate.log
29.01.2006 15:47 0 0.log
29.01.2006 15:47 50 wiaservc.log
29.01.2006 15:46 159 wiadebug.log
29.01.2006 15:45 1.225 .log
29.01.2006 15:45 2.048 bootstat.dat
29.01.2006 15:45 32.604 SchedLgU.Txt
29.01.2006 14:56 222.030 ntbtlog.txt
29.01.2006 00:21 632 win.ini
29.01.2006 00:12 227 system.ini
28.01.2006 18:00 59.146 iis6.log
28.01.2006 18:00 134.793 comsetup.log
28.01.2006 18:00 80.265 ntdtcsetup.log
28.01.2006 18:00 18.963 msgsocm.log
28.01.2006 18:00 186.626 ocgen.log
28.01.2006 18:00 1.917 imsins.log
28.01.2006 18:00 20.848 ocmsn.log
28.01.2006 18:00 149.188 tsoc.log
28.01.2006 18:00 370.796 FaxSetup.log
28.01.2006 01:05 54.156 QTFont.qfn
28.01.2006 01:04 117 Videodeluxe.INI
28.01.2006 00:29 13.109 LUINSTALL.LOG
26.01.2006 18:07 169 RtlRack.ini
23.01.2006 20:46 219.807 setupact.log
22.01.2006 23:18 1.409 QTFont.for
16.01.2006 16:11 2 msoffice.ini
15.01.2006 23:31 1.374 imsins.BAK

Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: F457-DEBB

Verzeichnis von C:\

29.01.2006 17:19 0 sys.txt
29.01.2006 17:18 9.264 system.txt
29.01.2006 17:18 520 systemtemp.txt
29.01.2006 17:15 96.390 system32.txt
29.01.2006 15:45 1.039.585.280 hiberfil.sys
29.01.2006 15:45 1.560.281.088 pagefile.sys
29.01.2006 00:12 211 boot.ini
23.01.2006 20:45 13.824 dvb.GRF
22.01.2005 21:10 870 IPH.PH
18.01.2005 20:30 0 CONFIG.SYS
18.01.2005 20:30 0 IO.SYS
18.01.2005 20:30 0 MSDOS.SYS
18.01.2005 20:30 0 AUTOEXEC.BAT
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 47.564 NTDETECT.COM
04.08.2004 13:00 251.184 ntldr
16 Datei(en) 2.600.291.147 Bytes
0 Verzeichnis(se), 92.746.702.848 Bytes frei

Vielen Dank schon mal!

Aiwala



Irgendwie schaffe ich es gerade nicht eine seperate Antwort an Arnold zu schicken, deshalb füge ich sie hier ein:

Hallo Arnold

Vielen Dank für den Link!
Damit hat`s funktioniert!

MfG
Aiwala


Hallo Sabina,

ich hab hier noch, was ich mit HijackThis erhalten habe:

Logfile of HijackThis v1.99.1
Scan saved at 17:41:57, on 29.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\keyhook.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MESSEN~1\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Adel\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.meome.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.meome.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von meOme.de
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\PROGRA~1\MESSEN~1\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.meome.de
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www3.ca.com/securityadvisor/pestscan/pestscan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137349499296
O17 - HKLM\System\CCS\Services\Tcpip\..\{1CD993DA-1802-4AB7-BA85-9A19E506443C}: NameServer = 194.97.173.125 194.97.173.124
O17 - HKLM\System\CS1\Services\Tcpip\..\{1CD993DA-1802-4AB7-BA85-9A19E506443C}: NameServer = 194.97.173.125 194.97.173.124
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE


Und das hat mir eTrust ausgegeben:

Stufe Schädlinge Typ
SpywareStrike Trojan
Trojan "SpywareStrike" gefunden in:
key "hkey_classes_root \clsid\{0f25878f-f8ae-5d5d-2bb7-31b5f803290d}"
Weitere Infos
SpyAxe Trojan
Trojan "SpyAxe" gefunden in:
key "hkey_classes_root \clsid\{957bab51-81ff-8195-f273-d7e286ea702f}"
key "hkey_current_user \software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\spyaxe"
Weitere Infos


Meine Systemwiederherstellung ist momentan deaktiviert, allerdings hab ich die Dateien, die mir eTrust gemeldet hat noch nicht manuell gelöscht (ich hab sie nicht gefunden).

Oh je! Das sind ja irre viele Zeilen.

Ich wollt jetzt mal eine Erklärung liefern, warum es bei mir jedesmal so lange dauert bis ich mich wieder melde. Das liegt daran, dass wir beiden, mein Süßer und ich uns nicht mit Computern auskennen und beide an diesem Rechner herumpfuschen. Das hat heute zu stundenlangen Streitereien geführt. Ich hätte ihn am liebsten mit dem Laptop erschlagen (armer Computer). Und dann kam hinzu, nachdem ich ein paar Punkte deiner Anleitung abgearbeitet hatte, konnte ich nicht mehr ins Internet gehen. Irgendwie sind ein paar Dateien von Meome verloren gegangen. Und bis ein Laie wie ich so was checkt und wieder installiert ... vergehen Ewigkeiten.

Naja vielleicht läufts ja langsam
und immerhin lern ich auch was dabei.

Vielen Dank nochmal für deine Hilfe

Aiwala

[/img]

#7 die Dateien sind geloescht, aber in der Registry tummelt sich noch so einiges.
Wende die bfu an und smitrem...dann sollte wieder alles in Ordnung sein (ich habe die bfu um diese Daten oben erweitert...)
http://virus-protect.org/artikel/bfu/spyaxebfu.html
__________
MfG Sabina

rund um die PC-Sicherheit

#8 http://www.stevengould.org/downloads/cleanup/CleanUp40.exe
Die Datei ist bei mir erreichbar. mfg
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)

#9 Hallo Sabina,

ich hab jetzt nochmal die bfu und smitrem ausgefürt.


BFU v1.00.9
Windows XP SP2 (WinNT 5.01.2600 SP2)
Script started at 19:46:19, on 29.01.2006

Option pause between commands: 100 ms
Failed: FileDelete C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~DF8BD6.tmp (operation failed)
Failed: FolderDelete C:\Programme\SpyAxe (folder not found)
Failed: FolderDelete C:\Programme\SpywareStrike (folder not found)
Failed: FolderDelete C:\Programme\MalwareWipe (folder not found)
Failed: FolderDelete C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\SpyAxe (folder not found)
Failed: FolderDelete C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\SpywareStrike (folder not found)
Failed: FolderDelete C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\MalwareWipe (folder not found)
Failed: FolderDelete %PROGRAMME%\SpyAxe (folder not found)
Failed: FolderDelete %PROGRAMME%\SpywareStrike (folder not found)
Failed: FolderDelete %PROGRAMME%\MalwareWipe (folder not found)
Failed: FolderDelete C:\WINDOWS\system32\1024 (folder not found)
Script completed.


Mir hat es wieder irgendwas für die Internetverbindung durcheinander gebracht. Nachdem ich die beiden Programme ausgeführt hatte konnte ich mich wieder nicht einwählen. Ich habe dann Meome deinstalliert und wollte es neu installieren, aber ich kann nichtmehr auf den USB-Stick zugreifen. Das könnte allerdings am USB-Stick liegen, da er am anderen Rechner auch nicht funktioniert. Allerdings vorhin ging`s noch. Nur lustigerweise funktioniert jetzt die Internetverbindung wieder ohne Meome-Programm aber mit der Einwahl über Meome???

Naja, ...

Ich hoffe ich habs jetzt endlich geschafft. Kann ich jetzt die ganzen Programme wieder deinstallieren? Bzw. empfielst du mir was davon zu behalten?

Und kannst du mir vielleicht erklären was mir eTrust gemeldet hat?
Ich hatte davor nämlich schon mal die ganze Anleitung von dir abgearbeitet inklusive BFU und smitrem.

Oje,
ich verursache dir so viel arbeit. Nochmals vielen, herzlichen Dank.

Aiwala




An Yourhighness,

das kann schon sein, dass der Link an sich funktioniert. Nur ich kann ihn von meinem Rechner aus nicht öffnen. Ich gebe ja zu, dass es an meinen Einstellungen liegen könnte. Aber ich weiß nicht was ich falsch mache.

MfG
Aiwala

#10 der etrust hat noch Eintraege in der Registry gefunden... Eintraege, von denen ich noch nichts wusste... diese Hurensoehne von SpyAxe denken sich staendig neue Routienen aus....ich komme nicht hinterher....

Nun muesste eigentlich wieder alles in Ordnung sein.
Falls noch was angezeigt wird mit etrust...muss man es manuell aus der Registry loeschen
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Ich habe eTrust nochmal laufen lassen!
Das ist das Ergebnis:

Stufe Schädlinge Typ
SpywareStrike Trojan
Trojan "SpywareStrike" gefunden in:
key "hkey_classes_root \clsid\{0f25878f-f8ae-5d5d-2bb7-31b5f803290d}"
Weitere Infos
SpyAxe Trojan
Trojan "SpyAxe" gefunden in:
key "hkey_classes_root \clsid\{957bab51-81ff-8195-f273-d7e286ea702f}"
key "hkey_current_user \software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\spyaxe"
Weitere Infos
Adtech.de Tracking Cookie
Tracking Cookie "Adtech.de" gefunden in:
Cookie "adel@adtech[2].txt" File "C:\Dokumente und Einstellungen\Adel\Cookies\adel@adtech[2].txt"
Weitere Infos
As1.falkag.de Tracking Cookie
Tracking Cookie "As1.falkag.de" gefunden in:
Cookie "adel@as1.falkag[1].txt" File "C:\Dokumente und Einstellungen\Adel\Cookies\adel@as1.falkag[1].txt"
Weitere Infos
AtlasDMT.com Tracking Cookie
Tracking Cookie "AtlasDMT.com" gefunden in:
Cookie "adel@atdmt[2].txt" File "C:\Dokumente und Einstellungen\Adel\Cookies\adel@atdmt[2].txt"
Weitere Infos
DoubleClick Tracking Cookie



Er findet noch was!

Was ist eine Registry?

Wie kann ich wo was löschen?

Könnte es sein, dass er nur die Einträge eines anderen Virenscanners findet?


Ich habe jetzt die Registry gefunden und
key "hkey_current_user \software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\spyaxe"
konnte ich dort finden und löschen.

Nur
key "hkey_classes_root \clsid\{0f25878f-f8ae-5d5d-2bb7-31b5f803290d}"
und
key "hkey_classes_root \clsid\{957bab51-81ff-8195-f273-d7e286ea702f}"
konnte ich einfach nicht finden!

Ich habe eTrust nochmal laufen lassen und die zwei die ich nicht finden konnte sind immer noch da. eTrust findet sie!

Hilfe! Was ist das eigentlich, was ich da suche?
Was kann es veranlassen?

#12 Start-->Ausfuehren--> regedit (reinschreiben)

bearbeiten--> suchen --> reinkopieren und loeschen, falls es gefunden wird

{0f25878f-f8ae-5d5d-2bb7-31b5f803290d}

{957bab51-81ff-8195-f273-d7e286ea702f}
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo Sabina,

ich habs gelöscht und eTrust nochmal laufen lassen. eTrust hat nichts mehr gefunden! Ich bin dir soooooo dankbar!

Danke! Danke! Danke! Danke! ...

Ich hoffe so was passiert uns so schnell nicht wieder!

Ich wünsche dir noch einen wunderschönen Abend!

Aiwala