Hi @ all,

bruche dringend einmal eure Hilfe. Und zwar hab ich mir irgendwie einen Mist eingefangen der willkürlich in regelmäßigen Abständen eine Seite im InternetExplorer öffnet und mich dann auf ne Seite namens

www.spyaxe.com

weiterleitet damit ich dort ne Software kaufe um den ewigen Terror von sich ständig öffnenden Sicherheithinweisen (System Alert: Spyware Detected....) zu beenden.

Meine bisherigen Versuche z.B. Scannvorgänge mit AntiVir, F-Prot, Spybot Search & Destroy, ... sind alle vehlgeschlagen. Es wurde nichts gefunden und ich habe diese nerventötende Scheiße immer noch.
Zu guter letzt hatt ich so die Schnauze voll das ich deine Partition mit Win XP gelöscht habe und eine Neuinstallation durchgeführt habe, mit dem Erfolg ich hab den Scheiß schon wieder bzw. immer noch.

Technische Daten:

Win XP Pro.
AMD XP2400
1024 MB DDR-Ram


Bitte Bitte herlft mir ich krieg bald nen Affen wenn das so weiter geht.


Es wird Hilfe jeder Art dankend entgegengenommen und schon mal ein dickes Danke im Voraus

Hi,
poste zunächst mal ein hijackthis-logfile nach dieser Anleitung.

Unabhängig davon: auf sichereren Browser umsteigen, z.B. Firefox

Hallo,
poste mal ein HijackThis logfile wie hier beschrieben.


Grüße Wildone

Merci erst mal für die schnelle antwort,

Was den Bowser angeht arbeite ich mit Opera.

Hier nun das Log-File:


Logfile of HijackThis v1.99.1
Scan saved at 00:22:47, on 09.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Feinripptraeger\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: HomepageBHO - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINDOWS\system32\hp63ED.tmp
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dumps_startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe /SCB
O9 - Extra button: Outpost Firewall Pro-Schnelleinrichten - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{37193F57-AFCA-4B6A-95DA-34A112D63266}: NameServer = 192.168.100.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{37193F57-AFCA-4B6A-95DA-34A112D63266}: NameServer = 192.168.100.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{37193F57-AFCA-4B6A-95DA-34A112D63266}: NameServer = 192.168.100.1
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O20 - Winlogon Notify: st3 - C:\WINDOWS\q1304500.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: NVIDIA Display Driver Service (Omega 1.6693) (Q) (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Hallo,
arbeite mal das hier ab, smitrem und escan unbedingt im abgesicherten Modus (F8 beim booten) ausführen. Danach folgendes posten:
1.) das smitrem Log (C:\smitfiles.txt)
2.) das Escan Log (mit Hilfe der find.bat, siehe Escan Anleitung)
3.) ein neues HijackThis Log


Grüße Wildone

Zitat:

Zitat von Feinripptraeger

irgendwie einen Mist eingefangen der willkürlich in regelmäßigen Abständen eine Seite im InternetExplorer öffnet

Sorry, dass hatte ich so interpretiert, als wenn Du auch mit dem IE surfen würdest.

Läuft bei Dir kein Virenscanner mit?

@ Wuslon

Ich persönlich arbeite mit Opera, der IE wird immer nur von dem Mist- Tool geöffnet wo ich dann auf der SpyAxe-Seite lande

Ich habe das Ding auch und brauche ebenfalls Hilfe. Es zeigt sich mit einem Icon in der Taskleiste, das immer wierder die Meldung "Your computer is infected" öffnet. Beim Click auf das Icon wird man auf die Seite eines Antispyware-Hersteller umgeleitet, keineswegs immer nur SpyAxe.

Nach vielen Versuchen habe ich es eingeschränkt (z.B. durch Entfernen einiger Hijack-Einträge). AdAware und Spybot sagen, alles ist sauber, auch Hijack findet nichts mehr (ich kenne meinen HiJack-log recht gut). Die gesamte Prozedur mit smitrem usw. habe ich durchgeführt, ohne Erfolg.

Wichtige Hinweise: Das Icon mit den Meldungen taucht auch im ABGESICHERTEN Modus auf, als EINZIGES in der Taskleiste.
Aber NUR DANN, wenn ich mich unter meinem Usernamen anmelde, wenn ich mich als Administrator anmelde, ist es NICHT vorhanden.
smitrem habe ich unter beiden Anmeldungen laufen lassen, alles kein Erfolg.

Wo steckt das Ding, von dem ich nicht sagen kann, was es eigentlich ist oder wie es heißt? Anfänglich hat es auch PopUps bzw. den Explorer geöffnet sowie diverse VERSCHIEDENE SpyWare installliert (z.B. smitfraud, stealthsws,coolwebsearch usw.) Das macht jetzt fast nicht mehr, nach den Abhilfemaßnahmen. Die Versuche, weitere Spyware zu installieren, werden bei mir momentan durch das neu installierte Ewido Security suite abgefangen.

Ich glaube, es IST kein smitfraud, stealthsws oder ähnliches, sondern es LÄDT diese nur. Die anfänglich durch das Ding installierten Desktop Icons (security center usw.) habe ich durch die bekannten Maßnahmen auch wegbekommen, diese waren aber nur einfache Links auf die Seiten der Anitspyware-Hersteller.

Zur Zeit äußert es sich "nur" durch das fast permanente "Infected"-Fenster und durch die Umleitung auf die Seiten, sofern der Browser geöffnet ist und man auf das "Infected" - Fenster clickt. Das automatische Öffnen des Browsers schafft es (wohl ebenfalls durch die Abhilfemaßnahmen) nicht mehr.

Ich hoffe, diese Hinweise helfen den Spezialisten weiter, damit sie mir helfen können! Ich habe keine Idee mehr, HLIFE !!!

Hallo,
eröffne mal einen eigenen Thread, damit das hier übersichtlich bleibt. Am besten mit HijackThis Log und wenn du Escan auch ausgeführt hast auch mit einem Escan Log (mit Hilfe der find.bat!).


Grüße Wildone

Habe exakt(!) die gleichen Symptome wie von Chaothomas beschrieben auf dem W2K Rechner meiner Schwester. Interessanterweise scheint dort ebenfalls nach meinen ganzen Säuberungsaktionen nur dieses blinkende Icon im Systemtray übrig geblieben zu sein.

Hm eventuell könnte hier ne fierwall ja mal nützlich sein.
die müsste dir doch das programm anzeigen wenn es aufs internet zugreift.
und meist steht da doch dan auch wo das programm zufinden ist.

Vieleicht hilft das dir dan in kombination mit einem onlinescann der betreffenden datei weiter??

@Chaothomas

Lösung gefunden: Es handelt sich um Adware, die u.a. die Datei "svchosts.dll" im system32 Verzeichnis ablegt. Zusätzlich werden einige Registry Einträge angelegt, so z.B. HCU\Software\Classes\CLSID\{xxxxxxx}, die dann nur bei einem User dieses fiese Icon im Systray erzeugen.

Einfach mal in Google nach "svchosts.dll" suchen, da gibt es zahlreiche Anleitungen zur kompletten Reinigung.

Vielen Dank madnil, das war es. Da "svchosts.dll" offenbar als Ursache weithin bekannt ist, wundert mich allerdings, daß die Anti-Programme es nicht finden.
Eine dumme Frage noch: wo / wie wird diese dll ausgeführt? Denn einen direkten laufenden Prozeß gibt es dazu ja nicht, zumindest keinen, der nicht zum System gehört und sich beenden ließe.

Allerdings besteht auch noch die Frage, durch welche Spy?ware das ganze ausgelöst wurde, denn ich hatte ja nicht nur dieses Problem, sondern habe mir gleichzeitig z.B. smitfraud_c, Zlob.az, CoolwwwSearch in 3 Varianten u.v.m. eingefangen, schlagartig, vorher war der Rechner sauber.

Ich denke, das Problem ist eine neue Variante von irgendetwas, ca. am 07.11.2005 aufgetaucht. Ich vermute, die threads #23493 (your computer is infected), evtl. auch #23436 u.a. (W32.Sinnaka.A@mm) und dieser hier (#23466) könnten alle die gleiche Ursache haben. Mit W32.Sinnaka hatte ich angeblich auch zu tun, zumindest laut einer der Seiten der AntiSpyWare Hersteller, auf die ich ungewollt geleitet wurde. Das kann natürlich auch ein fake sein, denn bei den Kampfmaßnahmen und der Beseitigung ist dieser bei mir nie aufgetaucht. Verdächtig ist mindestens auch, daß alle das böse "mssearchnet.exe" im Hijack-log darin haben.

Wie geht es eigentlich "Feinripptraeger", der diesen thread eröffnet hat?
Sind die Probleme erledigt?

Ich scheine jedenfalls jetzt alles los zu sein, nochmals vielen Dank an madnil und das trojaner-board (allein für dessen Existenz!).

Wenn ich helfen kann, immer gerne, ich bin aber leider kein Spezialist...

Hallo Zusammen!
Ich habe auch das Problem mit diesem verfluchten Icon im Systemtray! Totale Scheisse!! AdAware & Spybot haben schon reichlich Trojaner runtergeschmissen....nur dieses Symbol bleibt einfach da!! Keine Ahnung, ob das eigentliche "Bomb" Programm noch drauf ist....werde ich merken, wenn ich bisschen länger im Netz war....vermutlich hat er dann wieder diverse Spione im Hintergrund runtergeladen!!nenenene....hab ich nen Hals!!
Leider bin ich nicht so wirklich der Computer Fachmann....heisst: High Jacking Einträge in der Registry haben meine Augen noch nie zu Gesicht bekommen
Gibt es schon eine Art Removal Tool zum Entfernen dieser Rotze?? Oder kann mir mal jemand verständlich erklären, wie ich das Problem loswerden kann??
Auf jeden Fall schonmal tausend Dank für die Hilfe...ich krieg hier echt zuviel!!!
steve

@ steve_50 und Chaothomas
Ich denke doch, dass Ihr die NUB´s gelesen habt? Habt Ihr sie auch verstanden?
Ihr begeht hier Dialogstörung.
Ehe komische Antworten kommen, etwas Lektüre:
http://faq.underflow.de/#SECTION00040000000000000000