---

Geschrieben von roessler am 19.11.2005 um 19:23:

  Infizierung mit Spy Axe

Hallo
Ich denke mein Problem ist nicht das erste dieser Art.
Ich wurde beim Surfen von der Nachricht überrascht, dass Windows eine Infektion mit Spyware bemerkt hat.
Wenn man dem Sicherheitshinweis folgt bemerkt man schnell, dass man hier zum Kauf einer Software (Spy Axe) gezwungen werden soll.
Ausserdem landet man beim Öffnen des IE nicht auf seiner gewohnten Homepage sondern wird in das Windows Security Center umgeleitet welches (welch Überraschung) Spy Axe als Antisoftware propagiert.
Deinstallation des Programmes über die Systemsteuerung hat keinen Effekt.Habe mich über Google bereits informiert und es scheint, dass man mit Hilfe von HijackThis der Sache beikommen kann.Ich habe damit jedoch keine Erfahrung.Kann mir jemand dabei behilflich sein?
Besten Dank
Michael

---

Geschrieben von Haui am 19.11.2005 um 19:49:

 

Hallo,

poste doch bitte mal ein HijackThis-Logfile.

BTW: Der Thread befindet sich zwar nicht ganz im richtigen Forumsbereich , aber ich bin mir sicher, dass ihn ein Mod/Admin relativ bald verschieben wird.

---

Geschrieben von dedie am 19.11.2005 um 20:04:

 

Zitat:

Original von Haui Der Thread befindet sich zwar nicht ganz im richtigen Forumsbereich , aber ich bin mir sicher, dass ihn ein Mod/Admin relativ bald verschieben wird.

Schon geschehen

@ roessler

Es gibt verschiedene thematisch geordnete Forenbereiche, achte doch bitte etwas darauf das du einen Thread auch in dem richtigen erstellst.

PS: Willkommen on Board

---

Geschrieben von roessler am 19.11.2005 um 20:19:

 

Sorry für das falsche posting, werde mich bessern.
Hier der logfile:
Logfile of HijackThis v1.98.2
Scan saved at 20:12:22, on 19.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Program Files\Windows AdControl\WinAdAlt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\winfast.exe
C:\PROGRA~1\SUPERS~1\SSKPRO\SSK.EXE
C:\Programme\CK Software\CK Popup Killer\PKILL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\0900 Alarm\0900Alarm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Michael Rössler\Eigene Dateien\Downloads\Tools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = ht**p://www.myway.com/mysearch/?ptnrS=BW
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hpA632.tmp
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Conjugaison] C:\Dokumente und Einstellungen\Ben\Desktop\conjLauncher.exe
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [_WinProc] C:\WINDOWS\winfast.exe
O4 - HKLM\..\Run: [SpySpotter] C:\Programme\SpySpotter3\SpySpotter.exe -startup
O4 - HKLM\..\Run: [SuperSpamKiller Pro] C:\PROGRA~1\SUPERS~1\SSKPRO\SSK.EXE
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O4 - HKCU\..\Run: [CK POPUP KILLER] C:\Programme\CK Software\CK Popup Killer\PKILL.EXE -hide
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [0900 Alarm] C:\Programme\0900 Alarm\0900Alarm.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [EMBW-JPA] C:\Programme\EasyMailBackupWizard\Auto-Backup.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Startup: Microsoft Office Shortcut Bar.lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Find Fast.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office Startup.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Quicken 2003 Zahlungserinnerung.lnk = C:\Programme\Quicken2003\billmind.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: RF - Formular ausfüllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} - h**p://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - h**p://h30043.www3.hp.com/hpdj/en/check/qdiagh.cab?312
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O18 - Protocol: dadb - {82D6F09F-4AC2-11D3-8BD9-0080ADB8683C} - C:\Programme\OrangeCD\dadb.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

---

Geschrieben von MobyDuck am 19.11.2005 um 20:30:

 

Hallo Michael,
erstmal willkommen hier!

Dein Log sieht nicht gut aus.

Zitat:

C:\WINDOWS\system32\nvctrl.exe

Das ist der Troj/Zlob-BC

Wäre es mein Computer, dann würde ich neu aufsetzen.Eine Anleitung findest du hier:
http://www.dedies-board.de/wbb2/thread.php?threadid=176

Alles andere wäre IMO Flickwerk, zumal du dir noch weitere Schädlinge eingefangen hast. .

---

Geschrieben von soul115 am 20.11.2005 um 00:31:

 

Hallo,

und das hier:

Zitat:

C:\WINDOWS\system32\mssearchnet.exe

sieht auch nicht viel besser aus, leider.

Symantec

Da schließe ich mich MobyDuck an. Lieber Neuaufsetzen als Flickwerk.

Übrigens, es gibt eine neuere HijackThis-Version, 1.99.1 ist aktuell.

---

Geschrieben von roessler am 20.11.2005 um 16:32:

 

Danke an alle.
Ich denke, das ist das beste.
Mit dem 'neu aufsetzen' ist wohl format c: gemeint?
Wie ist das heute mit WinXP?
In meinen alten Tagen habe ich das über format c: /s abgewickelt um die Systemdateien mitzunehmen.
Funktioniert das immer noch auf diese Art?

---

Geschrieben von roessler am 20.11.2005 um 16:48:

 

Zusatz:
die Frage scheint überflüssig aber ich kann die Infos zur Installation WinXP von Cidre nicht aufrufen, wird lt. System von Adware auf meinem Rechner geblockt.
Ich soll mit Spy Trooper entfernen, traue der Sache aber nicht.
Deshalb frage ich.

---

Geschrieben von MobyDuck am 20.11.2005 um 20:03:

 

Mache einfach folgendes:

Sichere deine Daten auf CD. Aber nur die Daten (Office-Dokumente, JPG's etc) und keine ausführbaren Dateien.

Boote von der Setup-CD (evtl. BIOS anpassen, damit vom CD-Laufwerk gebootet wird).

Das Setup fragt dich, ob du formatieren willst. Nimm das Angebot an und wähle NTFS.
Das Setup läuft dann selbsterklärend durch.

Anschließend noch nicht ins Internet gehen. Falls du eine CD mit dem Service Pack 2 hast, installiere das SP2 und aktiviere die Firewall.. Anderenfalls die "alte" Firewall aktivieren:

Zitat:

Öffne über Start/Systemsteuerung die Kategorie Netzwerk und Internetverbindungen. Klicke dort auf das Icon. Wähle mit der rechten Maustaste DFÜ die Verbindung zu ihrem Provider und klicke auf Eigenschaften von... wechsle in die Registrierkarte Erweitert.Setze einen Haken in das Kästchen unter „Internetverbindungsfirewall“ . Bestätige mit OK

http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html

Dann Updates runterladen.

Anschließend kommst du auch wieder auf Cidres Seite und kannst die weiteren Punkte abarbeiten.

---

Geschrieben von CaptainPicard am 21.11.2005 um 10:18:

 

Kleines Update:

Ich habe vorhin mit Michael telefoniert: Er hat sich an die Anleitung gehalten und seinen Rechner neu aufgesetzt. Momentan installiert er die Chipsatztreiber (Dell-PC), um wieder Verbindung zum Router (SMC Barricade 7004) aufnehmen zu können. Danach wird er sich wieder melden.

---

Geschrieben von roessler am 21.11.2005 um 12:56:

 

Hat bestens funktioniert, Rechner ist wieder clean.
Herzlichen Dank an alle.
Werde Euch heute abend in mein Gebet einschliessen.

---

Geschrieben von MobyDuck am 21.11.2005 um 23:47:

 

Freut uns.