Hallöle,
wie ich gerade gesehen hab gibt es schon mehr Probleme mit dieser neuen Spyware . Ich habe mir den Spaß gestern auch eingefangen und bin mit dem Nerven am Ende. Hab zwar schon etwas herumgedoktort, weiß aber jetzt nicht mehr weiter und hoffe daher auf Eure Hilfe:

Also, angefangen hat es gestern auch mit diesen Meldungen "Your computer is infectet......" Hab dann Kapersky und Spybot laufen lassen. Kapersky fand nix, Spybot schon, konnte aber das Problem (SmitfraudC) nicht beheben . Nachdem ich irgendwie mit CCleaner oder Killbox (weiß nicht mehr, habs in anderen Foren aufgeschnappt) Spyaxe rausgetäufelt hab, kam dann die Meldung von Spytrooper, so alle 3 Sekunden. Hab heute dann im abgesicherten Modus nochmal Spybot und SmitFrautFix laufen lassen, mit dem Erfolg, dass meine Startseite wieder da ist und nicht mehr die Spytrooper Seite. Allerdings kommt immer noch die Meldung von Spytrooper dass ich infiziert bin, es springen Pop-ups auf mit Werbung für Sex Seiten oder Casino usw. Das ganze aber nur noch so alle 15 Minuten. Gerade hat sich sogar ein neuer dazu gesellt: Spyguard.....

Zu guter letzt hat sich vor 20 minuten Kapersky verabschiedet. Kein Schutz mehr und keine Virensignaturen mehr erkennbar. Update geht auch nicht

Könnt ihr mir irgendiwe helfen bzw gibt es irgendein Allround Heilmittel von dem auch die anderen profitieren? Hab gesehen dass jeder etwas anderes mit seinem HJT Log löschen mußte usw.

Hab übrigens AOL, die Pop-Ups kommen aber über IE

Danke im voraus schon mal:

Hier mein HJT Log

Logfile of HijackThis v1.99.1
Scan saved at 19:48:57, on 02.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Dokumente und Einstellungen\Markus\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.inetplay.de/games.php
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hp736A.tmp (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: desktop(2)(2).ini
O4 - Startup: desktop(2).ini
O4 - Global Startup: desktop(2).ini
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} -
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - h**p://software-dl.real.com/22d567baf404cce5c405/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{07553046-DFE0-4590-B4EB-59F929ADAD29}: NameServer = 205.188.146.145
O17 - HKLM\System\CS1\Services\Tcpip\..\{07553046-DFE0-4590-B4EB-59F929ADAD29}: NameServer = 205.188.146.145
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: kavsvc - Kaspersky Labs - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Noch etwas fällt mir ein: Hab auch versucht eine Syst.Wiederherstellung zu fahren. Schlug 3x fehl ( verschiedene Sicherungstage )

[edit]
links entfernt
[/edit]

das gleiche Prblem hab ich auch, bitte um Hilfe.

mein HJT Log:

Logfile of HijackThis v1.99.1
Scan saved at 05:28:18, on 03.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvctrl.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\mssearchnet.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Rico Marquez\Eigene Dateien\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\System32\hp5EF8.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133311812375
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

@ MadBavarian:
Bitte erst mal nach dieser Anleitung vorgehen, dann meldest Dich wieder!

@pfc.marquez:
Bitte eröffne mit Deinem Prob einen neuen thread!

cacatoa

Hallo und vorab schon mal danke

Hier die Daten wie in der Anleitung verlangt


SpyAxeFix © by noahdfear


Microsoft Windows XP [Version 5.1.2600]




Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 2128 'explorer.exe'


Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of rundll32.exe

1024 directory present

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

DatFindBat:

1)
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5471-CCF4

Verzeichnis von C:\WINDOWS\system32

03.12.2005 13:05 360 ncompat.tlb
03.12.2005 13:02 98.304 svchosts.dll
03.12.2005 13:01 4.286 ot.ico
03.12.2005 13:01 4.286 ts.ico
03.12.2005 13:01 5.632 msvol.tlb
03.12.2005 13:01 20.480 hp3A01.tmp
03.12.2005 13:01 13.964 nvctrl.exe
03.12.2005 12:59 24.064 ld71C5.tmp
03.12.2005 11:19 311.604 perfh009.dat
03.12.2005 11:19 48.156 perfc007.dat
03.12.2005 11:19 39.992 perfc009.dat
03.12.2005 11:19 316.594 perfh007.dat
03.12.2005 11:19 723.744 PerfStringBackup.INI
03.12.2005 11:18 173.872 FNTCACHE.DAT
02.12.2005 10:07 9.732 mssearchnet.exe
01.12.2005 07:54 14.560 mscornet.exe
27.11.2005 10:50 13.688 wpa.dbl
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
04.10.2005 17:26 3.013.120 mshtml.dll
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 55.808 extmgr.dll
03.09.2005 00:53 605.696 urlmon.dll
03.09.2005 00:53 448.512 mshtmled.dll
03.09.2005 00:53 146.432 msrating.dll
03.09.2005 00:53 96.768 inseng.dll
03.09.2005 00:53 530.432 mstime.dll
03.09.2005 00:53 474.112 shlwapi.dll
03.09.2005 00:53 205.312 dxtrans.dll
03.09.2005 00:53 1.484.288 shdocvw.dll
03.09.2005 00:53 39.424 pngfilt.dll
03.09.2005 00:53 251.392 iepeers.dll
03.09.2005 00:53 1.055.744 danim.dll
03.09.2005 00:53 152.064 cdfview.dll
03.09.2005 00:53 1.019.904 browseui.dll

2)
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5471-CCF4

Verzeichnis von C:\DOKUME~1\Markus\LOKALE~1\Temp

03.12.2005 13:04 81.920 ~DF7391.tmp
03.12.2005 13:00 4 PMShared
03.12.2005 12:59 618 jusched.log
03.12.2005 12:36 81.920 ~DF7772.tmp
03.12.2005 12:29 81.920 ~DF48E3.tmp
03.12.2005 12:26 81.920 ~DF4352.tmp
6 Datei(en) 328.302 Bytes
0 Verzeichnis(se), 124.003.807.232 Bytes frei

3)
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5471-CCF4

Verzeichnis von C:\WINDOWS

03.12.2005 13:00 733 win.ini
03.12.2005 12:59 459.965 WindowsUpdate.log
03.12.2005 12:59 157 wiadebug.log
03.12.2005 12:59 50 wiaservc.log
03.12.2005 12:59 0 0.log
03.12.2005 12:59 2.048 bootstat.dat
03.12.2005 12:56 114.332 ntbtlog.txt
03.12.2005 12:54 32.584 SchedLgU.Txt
02.12.2005 21:09 1.374 imsins.log
02.12.2005 21:09 28.634 iis6.log
02.12.2005 21:09 58.388 comsetup.log
02.12.2005 21:09 68.411 tsoc.log
02.12.2005 21:09 35.533 ntdtcsetup.log
02.12.2005 21:09 9.918 ocmsn.log
02.12.2005 21:09 24.352 KB899587.log
02.12.2005 21:09 8.787 msgsocm.log
02.12.2005 21:09 84.564 ocgen.log
02.12.2005 21:09 179.295 FaxSetup.log
02.12.2005 21:09 42.027 setupapi.log
02.12.2005 21:09 13.782 updspapi.log
02.12.2005 21:09 23.569 KB896422.log
02.12.2005 21:09 23.254 KB885835.log
02.12.2005 21:09 22.370 KB885836.log
02.12.2005 21:09 22.893 KB885250.log
02.12.2005 21:09 23.652 KB901017.log
02.12.2005 21:09 24.081 KB899591.log
02.12.2005 21:09 24.464 KB896424.log
02.12.2005 21:09 23.947 KB893756.log
02.12.2005 21:09 23.326 KB896423.log
02.12.2005 21:09 21.505 KB873339.log
02.12.2005 21:09 21.672 KB888113.log
02.12.2005 21:09 21.922 KB887742.log
02.12.2005 21:08 23.269 KB896358.log
02.12.2005 21:08 22.012 KB891781.log
02.12.2005 21:08 28.669 KB902400.log
02.12.2005 21:08 19.393 KB890046.log
02.12.2005 21:08 21.810 KB896688.log
02.12.2005 21:08 16.328 KB893066.log
02.12.2005 21:08 16.774 KB905414.log
02.12.2005 21:08 16.177 KB901214.log
02.12.2005 21:08 14.645 KB888302.log
02.12.2005 21:07 16.769 KB900725.log
02.12.2005 21:07 13.039 KB886185.log
02.12.2005 21:07 14.434 KB904706.log
02.12.2005 21:07 14.843 KB905749.log
02.12.2005 21:07 13.730 KB896428.log
02.12.2005 21:07 14.502 KB894391.log
02.12.2005 21:07 14.384 KB890859.log
02.12.2005 21:07 0 setupact.log
02.12.2005 21:07 0 setuperr.log
01.12.2005 14:20 177 Winamp.ini
23.11.2005 14:09 4.090 ModemLog_Motorola SM56 Speakerphone Modem.txt
12.10.2005 17:01 155 NeroDigital.ini
26.09.2005 21:26 54.156 QTFont.qfn
20.09.2005 17:17 43 gswin32.ini
19.09.2005 15:36 1.409 QTFont.for
07.09.2005 18:33 29 Battle.ini

4)
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5471-CCF4

Verzeichnis von C:\

03.12.2005 13:07 0 sys.txt
03.12.2005 13:07 6.134 system.txt
03.12.2005 13:07 536 systemtemp.txt
03.12.2005 13:06 127.154 system32.txt
03.12.2005 12:59 805.306.368 pagefile.sys
02.12.2005 15:54 767 rapport.txt
01.12.2005 15:18 519 hpfr3420.xml
01.12.2005 15:18 48.122 hpfr3425.log
20.07.2005 15:35 211 boot(3).ini
20.07.2005 15:35 211 boot.ini

So weit so gut. Bin nun bei dem Punkt mit Killbox, der findet aber die angegebenen Datein nicht....

Sind bei Dir alle Dateien sichtbar:
Linke Maustaste Arbeitsplatz, Extras, Ordneroptionen, Reiterkarte Ansicht. Hier:
Haken weg bei "Geschützte Systemdateien ausblenden", Haken hin bei "Inhalte von Systemordnern anzeigen", Haken hin bei "alle Dateien und Ordner anzeigen", Haken weg bei "Erweitereungen von bekannten Dateitypen ausblenden".
Dann solltest Du alles finden.
cacatoa

Es geht weiter

mitRem © log file
version 2.7

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~

Free XXX Sites List.url
Antivirus Test Online.url


~~~ system32 folder ~~~

1024 dir
msvol.tlb
ld****.tmp
mssearchnet.exe
ncompat.tlb
nvctrl.exe
logfiles


~~~ Icons in System32 ~~~

ts.ico
ot.ico


~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!

Hab jetzt auch die Ordneroptionen umgestellt. Konnte die Datein aber trotzdem nicht finden für Killbox. Auch die Daten bei HJT waren nur teilweise vorhanden. Hoffe, das ist ein gutes Zeichen.....

Mach bitte mal einfach weiter; wir werden am Schluß sehen, was ggf. nochmal zu tun ist.
cacatoa

So, bin jetzt fertig mit der Anweisung. Kapersky läuft wieder..... leider ist aber immer noch was da vom Spyaxe. Nach wie vor Meldungen und das rote x mit der Weltkugel.

Jo, dann gleich noch mal von vorne das ganze!
cacatoa

Hey ho, ich bins nochmal.

wollt nur mitteilen dass sich der ganze Spaß mitlerweile erledigt hat. Ich weiß zwar nicht wie und warum, auf jeden Fall läuft alles wieder einwandfrei!
Hab vorgestern erstmal die nervigen Fenster ausblenden lassen ( Taskleiste, Eigenschaften, immer ausblenden )
Als ich gestern meinen PC gestartet hab fand escan irgendwas und hat es bereinigt. Gleich darauf wurde Kapersky auch wieder aktiv und hat noch ein paar Dinge gefunden. Seither ist wieder alles wie immer, keine Meldungen mehr, keine Pop-Ups und Spyaxe ist auch nicht mehr da.....

Ob Zufall oder nicht, auf jeden Fall herzlichen Dank für Eure Hilfe!!!!!!!!