SpyAxe

von **Holly2004** am 15.11.2005, 11:59

Guten Tag alle zusammen!

Habe gestern mein System neu aufgesetzt und fröhlich drauf los installiert. Lief alles wunderbar. Doch dann kam es: jedesmal wenn ich ins Internet gehe, kommt alles 2 bis 3 Minuten ein Fenster: NACHRICHTENDIENST! Ihr System is ......, gut dachte mir nix dabei. Hab AntiVir drüber laufen lassen nix.
Heute hab ich mich wieder vor die Kiste gesetzt und es kam noch viel schlimmer. Bei jedem Start öffnet sich unten rechts ein Roter Ball mit einem X drauf der springt um zu ner Weltkugel (Virus Alert!). Gut nochmal AntiVir drüber 2 gefunden und 2 gelöscht.
Aber Probleme bestehen immernoch es wurde sogar noch schlimmer, immer wenn ich ein neues Prog aufmache, kommt ein Fenster vom AntiVir und sagt mir, dass die Datei: hp8509.TMP das Trojanische Pferd TR/Drop.Avar.2 ist und es gelöscht wird, wass aber nicht passiert.
Neuer Versuch mit BitDefender Virus Scan hat auch nix gebracht.

Jetzt bin ich auf Euch gestossen und hoffe es gibt jemanden der mir helfen kann, ich bin nämlich nahe dran die Kiste aus dem Fenster zu schmeißen. :evil:

Wäre nett wenn mal jemand Zeit und Lust hat und mir irgendwie helfen kann.
DANKE schon mal für die Mühen!!!!!!!!

Ach so hier noch meine LogFile:
Logfile of HijackThis v1.99.1
Scan saved at 10:43:34, on 15.11.2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\regsvc.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\system32\stisvc.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\Explorer.exe
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\Programme\D-Tools\daemon.exe
E:\Programme\iISystem Wiper\SystemWiper.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\ArcorOnline\Arcor.exe
C:\WINDOWS\System32\nvctrl.exe
C:\WINDOWS\System32\mssearchnet.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe
C:\Programme\Softwin\BitDefender Free Edition\bdlite.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
D:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: HomepageBHO - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINDOWS\System32\hp8509.tmp
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Zone Labs Client] E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [iIWiper] E:\Programme\iISystem Wiper\SystemWiper.exe m
O4 - Global Startup: hpoddt01.exe.lnk = E:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: officejet 6100.lnk = E:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{002FF041-A64D-46BD-9610-A0BE162CD9B1}: NameServer = 195.50.140.252 195.50.140.114
O17 - HKLM\System\CS1\Services\Tcpip\..\{002FF041-A64D-46BD-9610-A0BE162CD9B1}: NameServer = 195.50.140.252 195.50.140.114
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

von **Nikita** am 15.11.2005, 14:05

Hallo@Holly2004

Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

SpyAxe

Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

-----------------------------------------------------------------------------
CCleaner
http://virus-protect.net/temp.html
lösche alle temp-Dateien

kopiere hier die 4 Textdateien
http://virus-protect.net/datfindbat.html

ich brauche das Log vom Silentrunner
http://virus-protect.net/silentrunner.html
-------------------------------------------------------------

Info:spyaxe
http://virus-protect.net/artikel/spyware/spyaxe.html
http://virus-protect.net/artikel/spywar ... earch.html

von **Holly2004** am 15.11.2005, 14:29

Habe alles so gemacht wie Du mir es beschrieben hast. Hier die ganzen Textdateien:

Hier die System32
Verzeichnis von C:\WINDOWS\SYSTEM32

15.11.2005 13:13 5.384 ncompat.tlb
15.11.2005 10:19 5.120 msvol.tlb
15.11.2005 10:14 31.767 vsconfig.xml
15.11.2005 10:13 16.384 hp8509.tmp
15.11.2005 09:01 98.304 svchosts.dll
15.11.2005 09:01 4.286 ot.ico
15.11.2005 09:01 4.286 ts.ico
15.11.2005 09:01 9.748 mssearchnet.exe
15.11.2005 09:01 13.398 nvctrl.exe
15.11.2005 08:57 114.176 FNTCACHE.DAT
14.11.2005 12:34 10.774 mscornet.exe
14.11.2005 10:54 4.212 zllictbl.dat
14.11.2005 10:49 49.152 cdrtc.dll
14.11.2005 10:49 45.056 cdral.dll
14.11.2005 10:49 401.462 Msvcp60.dll
14.11.2005 10:16 2.822 $winnt$.inf
14.11.2005 10:12 910 AUTOEXEC.NT
14.11.2005 10:12 286.992 migicons.exe
14.11.2005 10:08 2.951 CONFIG.NT
14.11.2005 10:08 16.832 amcompat.tlb
14.11.2005 10:08 23.392 nscompat.tlb
14.11.2005 10:07 38.036 perfc009.dat
14.11.2005 10:07 300.378 perfh009.dat
14.11.2005 10:07 289.156 perfh007.dat
14.11.2005 10:07 46.232 perfc007.dat
14.11.2005 10:07 271 desktop.ini
14.11.2005 10:07 21.817 folder.htt
14.11.2005 10:06 525 mapisvc.inf
14.11.2005 10:06 15.076 emptyregdb.dat
14.11.2005 09:58 11.680 $WINNT$.PNF
14.11.2005 09:54 303.354 PerfStringBackup_001.INI
14.11.2005 09:54 303.354 PerfStringBackup.INI
29.08.2005 19:09 71.424 zlcommdb.dll
29.08.2005 19:09 79.616 zlcomm.dll
29.08.2005 19:09 100.096 vsxml.dll
29.08.2005 19:09 382.720 vsutil.dll
29.08.2005 19:09 71.424 vsregexp.dll
29.08.2005 19:08 227.072 vspubapi.dll
29.08.2005 19:08 104.192 vsmonapi.dll
29.08.2005 19:08 141.056 vsinit.dll
29.08.2005 19:08 368.256 vsdatant.sys
29.08.2005 19:08 83.712 vsdata.dll
29.08.2005 18:52 54.960 vsutil_loc0407.dll

Hier die SystemTemp!
Verzeichnis von C:\

15.11.2005 13:16 0 systemtemp.txt
15.11.2005 13:15 88.095 system32.txt
15.11.2005 10:12 805.306.368 pagefile.sys
14.11.2005 12:32 9.141 eied_s7.cab
14.11.2005 11:22 2.602 wsinst.log
14.11.2005 10:12 10 BOOT.DOS
14.11.2005 10:12 27 CONFIG.SYS
14.11.2005 10:12 256 AUTOEXEC.BAT
14.11.2005 10:12 79 MSDOS.SYS
14.11.2005 10:02 196 boot.ini
14.11.2005 09:46 512 BOOTSECT.DOS
14.11.2005 09:30 0 CONFIG.BAK
14.11.2005 09:20 208.928 CLASSES.1ST
08.06.2000 17:00 110.592 IO.SYS

Hier die System
Verzeichnis von C:\WINDOWS

15.11.2005 10:23 1.716 win.ini
15.11.2005 10:11 32.477 SchedLog.Txt
15.11.2005 10:10 1.196.736 ShellIconCache
14.11.2005 13:55 0 s
14.11.2005 13:46 1.015 ODBC.INI
14.11.2005 13:46 59 vbaddin.ini
14.11.2005 11:36 20.784 hpoins01.dat
14.11.2005 11:35 5.538 ~TempMui.inf
14.11.2005 11:35 4.161 ODBCINST.INI
14.11.2005 11:00 356 ULead32.ini
14.11.2005 10:49 57.344 uneng.exe
14.11.2005 10:48 316.640 WMSysPr9.prx
14.11.2005 10:13 356 LnkStub.dat
14.11.2005 10:12 412 system.ini
14.11.2005 10:08 0 control.ini
14.11.2005 10:07 271 desktop.ini
14.11.2005 10:07 21.817 folder.htt
14.11.2005 10:05 36 vb.ini
14.11.2005 09:58 41 ModemDet.txt
14.11.2005 09:45 5.623 upgrade.txt
14.11.2005 09:44 281 dead.ini
14.11.2005 09:44 60 POWERPNT.INI
14.11.2005 09:44 54 WAVEMIX.INI
14.11.2005 09:28 288.562 WMSysPrx.prx
14.11.2005 09:28 225 TELEPHON.INI
14.11.2005 09:28 514 ModemCpl.txt
14.11.2005 09:28 176.160 HWINFO.DAT
14.11.2005 09:26 86 SYSTEM.CB
14.11.2005 09:25 0 Sti_Trace.log
14.11.2005 09:25 0 progman.ini
14.11.2005 09:24 3.456 ttfCache
14.11.2005 09:20 26 MSOFFICE.INI
14.11.2005 09:20 28 QTW.INI
14.11.2005 09:20 19.131 SETVER.EXE
22.08.2004 17:04 69.120 daemon.dll
16.06.2004 08:39 16.633 hpomdl01.dat
08.06.2000 17:00 1.185 HLPLOGO.GIF

Hier die SYS
Verzeichnis von C:\

15.11.2005 13:17 0 sys.txt
15.11.2005 13:17 5.649 system1.txt
15.11.2005 13:16 5.649 system.txt
15.11.2005 13:16 1.038 systemtemp1.txt
15.11.2005 13:16 1.038 systemtemp.txt
15.11.2005 13:15 88.095 system32.txt
15.11.2005 10:12 805.306.368 pagefile.sys
14.11.2005 12:32 9.141 eied_s7.cab
14.11.2005 11:22 2.602 wsinst.log
14.11.2005 10:12 10 BOOT.DOS
14.11.2005 10:12 256 AUTOEXEC.BAT
14.11.2005 10:12 27 CONFIG.SYS
14.11.2005 10:12 79 MSDOS.SYS
14.11.2005 10:02 196 boot.ini
14.11.2005 09:46 512 BOOTSECT.DOS
14.11.2005 09:30 0 CONFIG.BAK
14.11.2005 09:20 208.928 CLASSES.1ST
08.06.2000 17:00 110.592 IO.SYS

Und das Log vom Silentrunner!
"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"internat.exe" = "internat.exe" [MS]
"iIWiper" = "E:\Programme\iISystem Wiper\SystemWiper.exe m" ["iISoftware"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"wininet.dll" = "mscornet.exe" [null data]
"nvctrl.exe" = "nvctrl.exe" [null data]
"kernel32.dll" = "C:\WINDOWS\System32\mssearchnet.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SystemTray" = "SysTray.Exe" [MS]
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"Zone Labs Client" = "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"]
"Arcor Online" = (empty string)
"DAEMON Tools-1033" = ""E:\Programme\D-Tools\daemon.exe" -lang 1033" ["DAEMON'S HOME"]
"SpyAxe" = "C:\Programme\SpyAxe\spyaxe.exe /h" [file not found]
"BDMCon" = "C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe" ["SOFTWIN S.R.L."]
"BDNewsAgent" = "C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd}\(Default) = "HomepageBHO" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hp8509.tmp" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "E:\Programme\WinRAR\rarext.dll" [null data]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "E:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "E:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "E:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "E:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{D653647D-D607-4DF6-A5B8-48D2BA195F7B}" = "BitDefender Antivirus v7"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Softwin\BitDefender Free Edition\bdshelxt.dll" ["SOFTWIN S.R.L."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
BitDefender Antivirus v7\(Default) = "{D653647D-D607-4DF6-A5B8-48D2BA195F7B}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Softwin\BitDefender Free Edition\bdshelxt.dll" ["SOFTWIN S.R.L."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "E:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "E:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "E:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "E:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
BitDefender Antivirus v7\(Default) = "{D653647D-D607-4DF6-A5B8-48D2BA195F7B}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Softwin\BitDefender Free Edition\bdshelxt.dll" ["SOFTWIN S.R.L."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "E:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "E:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "D:\HintergrundHolly.JPG"

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"SCRNSAVE.EXE" = "(Kein)" [file not found]

Startup items in "Seda & Daniel" & "All Users" startup folders:
---------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"hpoddt01.exe" -> shortcut to: "E:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
"officejet 6100" -> shortcut to: "E:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe" ["Hewlett-Packard Co."]

Enabled Scheduled Tasks:
------------------------

"PCHealth-Planer für die Zusammenstellung der Daten" -> launches: "C:\WINDOWS\PCHEALTH\SUPPORT\PCHSCHD.EXE -c" [file not found]
"Programmstart beschleunigen" -> launches: "walign" [file not found]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\msafd.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Missing lines (compared with English-language version):
[Strings]: 1 line

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
BitDefender Communicator, XCOMM, "C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe /service" ["Softwin"]
BitDefender Scan Server, bdss, "C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe /service" [null data]
COM+-Ereignissystem, EventSystem, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\es.dll" [null data]}
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]

Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzlnt07\Driver = "hpzlnt07.dll" ["HP"]

----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 48 seconds, including 6 seconds for message boxes)

von **Holly2004** am 15.11.2005, 14:30

Und vielen Lieben dank für die schnelle Bearbeitung @@ Nikitia!!!!!!!!!!!

Tausend Dank!

von **Nikita** am 15.11.2005, 16:12

Info:spyaxe
http://virus-protect.net/artikel/spyware/spyaxe.html

------------------------------------------------------------------------------------------------

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum

http://www.virustotal.com/flash/index_en.html
http://sandbox.norman.no/live_4.html

C:\WINDOWS\SYSTEM32\migicons.exe
C:\WINDOWS\SYSTEM32\svchosts.dll
C:\WINDOWS\hpoins01.dat
C:\WINDOWS\hpomdl01.dat
C:\WINDOWS\dead.ini
-------------------------------------------------------------------------------------------------------
rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.net/reg/spyaxe.reg

KILLBOX - Pocket KillBox
http://virus-protect.net/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:

C:\WINDOWS\SYSTEM32\ncompat.tlb
C:\WINDOWS\SYSTEM32\msvol.tlb
C:\WINDOWS\SYSTEM32\hp8509.tmp
C:\WINDOWS\SYSTEM32\svchosts.dll
C:\WINDOWS\SYSTEM32\ot.ico
C:\WINDOWS\SYSTEM32\ts.ico
C:\WINDOWS\SYSTEM32\mssearchnet.exe
C:\WINDOWS\SYSTEM32\nvctrl.exe
C:\WINDOWS\SYSTEM32\mscornet.exe
C:\WINDOWS\SYSTEM32\migicons.exe
C:\eied_s7.cab
C:\WINDOWS\s

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die spyaxe.reg doppelt --> fuege sie mit " ja" der Registry bei
--------------------------------------------------------------------------------
smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

loesche mit der Killbox wie auf der Seite beschrieben :

DelTree (include SubDirectories)
Man will zum Beispiel einen Ordner löschen . Nun muss man nicht alle Dateien im Ordner einzeln eingeben, sondern klickt die Option DelTree (include subdirectories).
Hierbei wird ein komplettes Archiv mitsamt der Unterordner gelöscht.

C:\Programme\SpyAxe
C:\WINDOWS\system32\1024

loesche.
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url

scanne mit Panda
http://virus-protect.net/onlinescan.html

scanne mit ewido
http://virus-protect.net/ewido.html
und poste die Scanreports

-----------------

P.s
informiere mich, ob die reg-Datei funktioniert hat...ich habe sie neu erstellt.....

von **Holly2004** am 16.11.2005, 00:41

Hallo Nikita!!!

Habe alles so gemacht wie Du es mir geschrieben hast. Bei der KillBox hatte ich das Problem, dass der Trojaner mittlerweile nicht mehr hp8509 sondern hpc898 hieß, diesen habe ich gelöscht wie beschrieben.

Mein Prob ist aber, dass ich die runthis.bat von smitrem öffnen kann, aber er mir dann sagt, dass dieses prog nicht unter meinem system läuft.

Habe bis dahin alles gemacht und schon eine wesentliche Verbesserung festgestellt, der antivir geht nicht mehr auf!!!!!

Weißt Du weiter??????

von **Nikita** am 16.11.2005, 00:49

hat die reg-Datei funktioniert?

arbeite noch mal saemtliches Logs ab (alle), damit ich sehen kann, was los ist)

kopiere hier die 4 Textdateien
http://virus-protect.net/datfindbat.html

ich brauche das Log vom Silentrunner
http://virus-protect.net/silentrunner.html

von **Nikita** am 16.11.2005, 00:51

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

dir %Systemdrive%\wininet.dll /a h /s > files.txt
start notepad files.txt

- Speichern als: wininet.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate wininet.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text

von **Holly2004** am 16.11.2005, 09:54

Hier die SYS
Datentr„ger in Laufwerk D: hat keine Bezeichnung.
Datentr„gernummer: 12E9-2D54

Verzeichnis von D:\

25.10.2005 17:54 166 Stillnest.url
13.09.2005 12:14 9.771.844 Zeitung.rar
18.05.2005 14:18 790 hpothb07.dat
21.03.2005 15:55 40.448 Thumbs.db
07.04.2004 15:28 2.806.072 HintergrundHolly.JPG
25.02.2004 16:11 4.738 ffastun.ffa
25.02.2004 16:11 90.112 ffastun.ffo
25.02.2004 16:11 98.304 ffastun.ffl
25.02.2004 16:11 4.022.272 ffastun0.ffx
9 Datei(en) 16.834.746 Bytes
0 Verzeichnis(se), 2.402.185.216 Bytes frei

hier die SYSTEM
Datentr„ger in Laufwerk D: hat keine Bezeichnung.
Datentr„gernummer: 12E9-2D54

Verzeichnis von D:\

25.10.2005 17:54 166 Stillnest.url
13.09.2005 12:14 9.771.844 Zeitung.rar
18.05.2005 14:18 790 hpothb07.dat
21.03.2005 15:55 40.448 Thumbs.db
07.04.2004 15:28 2.806.072 HintergrundHolly.JPG
25.02.2004 16:11 4.738 ffastun.ffa
25.02.2004 16:11 90.112 ffastun.ffo
25.02.2004 16:11 98.304 ffastun.ffl
25.02.2004 16:11 4.022.272 ffastun0.ffx
9 Datei(en) 16.834.746 Bytes
0 Verzeichnis(se), 2.402.185.216 Bytes frei

Hier die System32
Datentr„ger in Laufwerk D: hat keine Bezeichnung.
Datentr„gernummer: 12E9-2D54

Verzeichnis von D:\

25.10.2005 17:54 166 Stillnest.url
13.09.2005 12:14 9.771.844 Zeitung.rar
18.05.2005 14:18 790 hpothb07.dat
21.03.2005 15:55 40.448 Thumbs.db
07.04.2004 15:28 2.806.072 HintergrundHolly.JPG
25.02.2004 16:11 4.738 ffastun.ffa
25.02.2004 16:11 90.112 ffastun.ffo
25.02.2004 16:11 98.304 ffastun.ffl
25.02.2004 16:11 4.022.272 ffastun0.ffx
9 Datei(en) 16.834.746 Bytes
0 Verzeichnis(se), 2.402.185.216 Bytes frei

und die systemtemp
Datentr„ger in Laufwerk D: hat keine Bezeichnung.
Datentr„gernummer: 12E9-2D54

Verzeichnis von D:\

25.10.2005 17:54 166 Stillnest.url
13.09.2005 12:14 9.771.844 Zeitung.rar
18.05.2005 14:18 790 hpothb07.dat
21.03.2005 15:55 40.448 Thumbs.db
07.04.2004 15:28 2.806.072 HintergrundHolly.JPG
25.02.2004 16:11 4.738 ffastun.ffa
25.02.2004 16:11 90.112 ffastun.ffo
25.02.2004 16:11 98.304 ffastun.ffl
25.02.2004 16:11 4.022.272 ffastun0.ffx
9 Datei(en) 16.834.746 Bytes
0 Verzeichnis(se), 2.402.185.216 Bytes frei

und zu guter letzt die datei file von wininet
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 28A0-AD14

Verzeichnis von C:\WINDOWS\SYSTEM32

29.08.2002 09:32 590.848 wininet.dll
1 Datei(en) 590.848 Bytes

Verzeichnis von C:\WINDOWS\SYSTEM32\dllcache

29.08.2002 09:32 590.848 wininet.dll
1 Datei(en) 590.848 Bytes

von **Nikita** am 16.11.2005, 15:16

die wininet.dll sind verseucht...man darf sie aber nicht loeschen, sondern kann sie nur ersetzen durch saubere.
Normalerweise erledigt das das Tool smitrem, aber da es auf deinem System nicht laeuft....weiss ich auch keinen Rat mehr, ausser, dass du foramatierst oder:...dazu musst du aber den Antivirus deinstallieren..............

http://virus-protect.net/artikel/spyware/smitfraud.html
Testversion "F-Secure Internet Security 2005
http://www.f-secure.com/download-purchase/list.shtml
FSAV ist in der Lage, alle infizierten Komponenten zu entfernen und die Datei WININET.DLL zu desinfizieren. Nach deren Bereinigung ist ein Neustart erforderlich.

In einigen Fällen ist FSAV möglicherweise nicht in der Lage, die Datei WININET.DLL zu bereinigen. Auf Systemen mit Windows 2000 und XP kann die Funktion "File System Protection (FSP)" eine automatische Desinfektion verhindern. In diesen Fällen gehen Sie wie folgt vor:

- Desinfizieren Sie die Datei WININET.DLL manuell, oder warten Sie auf die FSAV-Benachrichtigung, die auf eine automatische Desinfektion hinweist
- Überprüfen Sie, ob sich die Datei WININET.DLL.$DIS im Systemverzeichnis befindet
- Fügen Sie den folgenden Wert der Registrierung hinzu:

[HKLM\System\CurrentControlSet\Control\Session Manager] "AllowProtectedRenames"=dword:00000001

- Starten Sie das System neu

----------------------------------------------------------------------------------
neue wininet.dll kann man hier herunterladen.

http://www.dll-files.com/dllindex/dll-f ... ml?wininet

von **Holly2004** am 17.11.2005, 15:16

Hallo Nikita!!!!!

Vielen herzlichen Danke für Deine schnelle und super ausführliche Hilfe!!!!

Habe jetzt aufgegeben und mein ganzen Platten formatiert und bin dabei alles neu zu erstellen. Das wird einige Zeit in anspruch nehmen, aber na ja, dafür habe ich dann ein super sauberes System!

Nochmal vielen Dank!!!!

Holly

SpyAxe

SpyAxe

Super danke für die schnelle Antwort!

Hat fast alles geklappt

Okay habe ich gemacht!

Ähnliche Themen

Wer ist online?