Hallo zusammen.

Noch ein Opfer.... ich darf mich "Paulemann" anschließen.
Ich habe seit drei Tagen die selben Probleme (diverse Fehlermeldungen, Umleitung der Homepage:spyaxe; massig PopUps:spyaxe)

Kann mir jemand helfen??

Hier meine mit HjjackThis gescannten LogFiles:

Logfile of HijackThis v1.99.1
Scan saved at 09:02:29, on 30.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\nvctrl.exe
C:\WINDOWS\System32\mssearchnet.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\SpyAxe\spyaxe.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\SpyAxe\spyaxe.exe
C:\Programme\Microsoft Office\Office\Outlook.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\hjjackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\System32\hp71C5.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O3 - Toolbar: AltaVista Toolbar - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINDOWS\DOWNLO~1\ALTAVI~1.DLL (file missing)
O3 - Toolbar: Big Fish Games - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\Programme\bfgtoolbar\bfgtoolbar.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\System32\1024\ld5615.tmp" /m
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ClearCookies] C:\WINDOWS\cc.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: AltaVista Suche - file://C:\Programme\Dynamic Toolbar\ALTAVISTA\Cache\SelectedContextSearch.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Übersetzen - file://C:\Programme\Dynamic Toolbar\ALTAVISTA\Cache\SelectedContextTranslation.htm
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} (AltaVista Toolbar) - http://toolbar.altavista.com/app/toolbar/cfg/altavista.cab?r=JASISE
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O20 - Winlogon Notify: gs - C:\WINDOWS\adsldpbd.dll (file missing)
O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus 2004

- WEB.DE Edition\fswsclds.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


im Vorraus schon vielen Dank, ich hoffe ich kann auch mal helfen,


Luis T.

Servus!
Da hast Du ja eine schöne Sammlung!
Also, ich wäre ja der Meinung, dass Du besser beraten wärst, mit einer Neuinstallation einen sauberen Neubeginn zu setzen.
Dein nicht aktuelles System hat ja einiges eingefangen und die Zeit zur Entfernung könntest Du mit einer Neuinstallation mit abschließender Absicherung wie in Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=12154 wahrscheinlich viel besser nutzen!
Aber ...
Arbeite halt mal diese Anleitung durch:http://virus-protect.net/artikel/spyware/spyaxe.html
Poste die Logfiles hier!
Und update anschließend auf SP2!
stupormundi

@luis trenker

#In der Systemsteuerung/software folgende deinstallieren
SpyAxe

#Lade dir win32delfkil.exe auf dem Desktop speichern.

Doppelklick auf win32delfkill.exe, dann auf Installieren, danach wird einen Ordner win32delfkil auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf fix.bat
Der Computer wird automatisch neugestartet.

#Lade dir SmitfraudFix.zip
SmitfraudFix.zip auf dem Desktop speichern und auf dem desktop entpacken,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 1 und dann Enter,wird ein rapport.txt im Ordner SmitfraudFix erstellt,den Inhalt hier posten.

#Scane mit Symantec Security Check ---->klicke auf Viren-erkennung (Virus Detection) dann Start. Downloading ActiveX erlauben,das Ergebnis hier posten.

#PC neustarten
#Lade dir smitrem.exe ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und Start klicken.Dann wird ein Ordner SmitRem auf dem Desktop angelegt und die Dateien dahin entpackt.Noch nicht ausführen.

#Lade dir Ewido Security Suite unbeding Update,noch nicht scannen.

#lade Adaware, Spybot unbeding Update,noch nicht scannen.

#PC neustarten--> abgesicherter Modus
Starte das HijackThis "Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken, PC neustarten
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\System32\hp71C5.tmp
O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\System32\1024\ld5615.tmp" /m
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O4 - HKCU\..\Run: [ClearCookies] C:\WINDOWS\cc.exe
O8 - Extra context menu item: AltaVista Suche - file://C:\Programme\Dynamic Toolbar\ALTAVISTA\Cache\SelectedContextSearch.htm
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O20 - Winlogon Notify: gs - C:\WINDOWS\adsldpbd.dll (file missing)
O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll

#PC neustarten--> abgesicherter Modus
Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
Loesche:
C:\WINDOWS\System32\nvctrl.exe
C:\WINDOWS\System32\mssearchnet.exe
C:\WINDOWS\System32\hp71C5.tmp
C:\WINDOWS\System32\1024\ld5615.tmp
C:\WINDOWS\cc.exe
c:\ex.cab
c:\eied_s7.cab
C:\WINDOWS\adsldpbd.dll
C:\WINDOWS\system32\st3.dll
C:\WINDOWS\System32\1024
C:\Programme\SpyAxe
C:\Programme\Dynamic Toolbar\ALTAVISTA\Cache\SelectedContextSearch.htm

#PC neustarten--> abgesicherter Modus
Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen.
Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt

#PC neustarten--> abgesicherter Modus
#Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

#Danach der PC mit Adaware, Spybot scannen und alle Funde entfernen.

#Inhalt folgende ordner loeschen:
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen
C:\WINDOWS\temp---> Inhalt löschen
C:\WINDOWS\Prefetch---> Inhalt löschen

#Neue HijackThis Log,den Report des Ewido Scans, den Inhalt der Datei C:\windelf.txt, den rapport.txt von SmitfraudFix,Symantec Security Check Ergebnis & das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten.

Gruss
Expert

Vielen Dank expert,
bin am abarbeiten....

SmitFraudFix v2.00

Rapport fait à 11:08:26,78 le 30.11.2005
Executé à partir de C:\Dokumente und Einstellungen\s***n\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

C:\WINDOWS\system32\hp????.tmp PRESENT !
C:\WINDOWS\system32\ld????.tmp PRESENT !
C:\WINDOWS\system32\mscornet.exe PRESENT !
C:\WINDOWS\system32\mssearchnet.exe PRESENT !
C:\WINDOWS\system32\msvol.tlb PRESENT !
C:\WINDOWS\system32\ncompat.tlb PRESENT !
C:\WINDOWS\system32\nvctrl.exe PRESENT !
C:\WINDOWS\system32\ot.ico PRESENT !
C:\WINDOWS\system32\svchosts.dll PRESENT !
C:\WINDOWS\system32\ts.ico PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Dokumente und Einstellungen\s****n\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

@luis trenker

#Neue HijackThis Log,den Report des Ewido Scans, den Inhalt der Datei C:\windelf.txt, den rapport.txt von SmitfraudFix,Symantec Security Check Ergebnis & das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten.

Die brauche ich

Gruss
Expert

Symantec Security:

C:\WINDOWS\internt.exe is infected with Dialer.Generic
C:\WINDOWS\q2478984.dll is infected with Download.Trojan
C:\WINDOWS\system32\MYVF.0XE is infected with W32.Bugbear@mm
C:\WINDOWS\system32\qgplgfp.dll is infected with PWS.Hooker.Trojan
C:\WINDOWS\system32\vbsys2.dll is infected with Trojan Horse
C:\WINDOWS\system32\WinNB57.dll is infected with Adware.Mirar
C:\WINDOWS\Downloaded Program Files\MirarSetup.exe is infected with Adware.Mirar
C:\Dokumente und Einstellungen\s****n\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9CJI165\dia326[1].htm is infected with MHTMLRedir.Exploit
C:\Dokumente und Einstellungen\s****n\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4DO3CJKJ\dia326[1].htm is infected with MHTMLRedir.Exploit

@expert und luis trenker:

Zitat:

W32.Bugbear@mm is a mass-mailing worm. It can also spread through network shares. It has keystroke-logging and backdoor capabilities.

Wie wäre es jetzt mit neuaufsetzen!
schade um die viele Zeit!
stupormundi

Zitat:

Zitat von stupormundi

@expert und luis trenker: Wie wäre es jetzt mit neuaufsetzen!
schade um die viele Zeit!
stupormundi

Ich sehe keinen Grund,das der PC Neuaufsetzen muss,für mich Zeit wäre kein Problem,wenn der User Zeit hat

Gruss
Expert

Grund genug ist hierin zu finden:

Zitat:

... backdoor capabilities.

Siehe Boardlinie!
Und Zeit ist auch ein Faktor - dieses Flicken am System gewährleistet nicht anschließende Sicherheit - ein ordentliches neu Aufsetzen mit anschließender Sicherung gewährleistet das schon (mit einem nicht unerheblichen Lerneffekt) und kostet in der Summe weniger Zeit!
stupormundi
~~edit~~servus cronos, schön dass mal jemand der selben Meinung ist
cu stupormundi ~~/edit~~