hi jungs und mädels. folgendes Problem habe ich auch,deswegen habe ich den text von hank85 einfch mal kopiert. vielleicht können wir das ja individuell mal lösen.

hier mein problem

seit gestern Abend habe ich ein riesen Problem. Beim Surfen durch das Internet öffnete sich auf einmal ein Fenster mit dem Namen Spyware Strike und einen Icon im Tray. Zuerst habe ich versucht das "Programm" über die uninstall.exe zu entfernen was im ersten Moment auch zu funktionieren schien. Aber das Icon aus dem Tray konnte ich einfach nich entfernen. Auch Spybot (der Spyware Strike als Virus erkannt hat) und es "entfernt" hat konnte es nich aus dem Tray entfernen. Als ich heute wieder an den PC bin habe ich mal ein bischen bei google gesucht und habe auf dieser Seite einen Thread zum Thema gefunden wo Kaspersky geholfen hat. Allerdings hat Kaspersky bei mir überhaupt nichts gefunden. Mittlerweile wurde aus dem einen Icon ein zweites bzw drittes. Jetzt hat sich noch ein anderes Programm mit dem Namen SpyFalcon 2.0 installiert welches sich ebenfalls nicht ernfernen lässt.



Logfile of HijackThis v1.99.1
Scan saved at 17:32:04, on 10.02.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Dokumente und Einstellungen\BFX\Eigene Dateien\DATEIEN\AnyDVD 2004+crack(suto)\crack 2004\AnyDVD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Gemeinsame Dateien\AOL\1134581036\ee\AOLHostManager.exe
C:\Programme\Gemeinsame Dateien\AOL\1134581036\ee\AOLServiceHost.exe
c:\programme\gemeinsame dateien\aol\1134581036\ee\services\antiSpywareApp\ver2_0_13\AOLSP Scheduler.exe
C:\Programme\Gemeinsame Dateien\AOL\1134581036\ee\AOLServiceHost.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\BFX\Desktop\Anti Spyaxe Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.simplemp3s.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://update.zonelabs.com/downloadrequest?updtConfId=4&updtReqId=851979918
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1134581036\ee\AOLHostManager.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [AnyDVD] C:\Dokumente und Einstellungen\BFX\Eigene Dateien\DATEIEN\AnyDVD 2004+crack(suto)\crack 2004\AnyDVD.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB294F80-786A-4A02-A08F-373D044AA233}: NameServer = 205.188.146.145
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



hier der text von C:\smitfiles.txt.

smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

Running from
C:\Dokumente und Einstellungen\BFX\Desktop\Anti Spyaxe Programme\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}"="Wheel Mouse Optical Driver"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}\InProcServer32]
@="C:\WINDOWS\System32\dxmpp.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1460 'explorer.exe'
Killing PID 1460 'explorer.exe'

Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}"="Wheel Mouse Optical Driver"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}\InProcServer32]
@="C:\WINDOWS\System32\dxmpp.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deleting files

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~


~~~ Wininet.dll ~~~

CLEAN!

hier er text von datfind bath.


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1476-8F84

Verzeichnis von C:\WINDOWS\system32

10.02.2006 17:16 35.869 vsconfig.xml
09.02.2006 16:37 0 asfiles.txt
09.02.2006 15:41 2.550 Uninstall.ico
09.02.2006 15:41 1.406 Help.ico
09.02.2006 15:41 30.590 pavas.ico
08.02.2006 22:33 142.032 FNTCACHE.DAT
08.02.2006 16:20 102.400 dxmpp.dll
02.02.2006 17:36 2.184 wpa.dbl
03.01.2006 15:31 91.904 S32EVNT1.DLL
22.12.2005 21:12 12.288 iacad.dll
06.12.2005 19:23 53.352 jpicpl32.cpl
06.12.2005 19:23 28.768 javaw.exe
06.12.2005 19:23 24.670 java.exe
02.12.2005 19:22 32 {8F89F588-8CDC-480C-BF6D-AB7B83144B56}.dat
02.12.2005 19:22 14 SR2.dat
30.11.2005 20:17 16.832 amcompat.tlb
30.11.2005 20:17 23.392 nscompat.tlb
28.11.2005 23:47 1.371 mstmp.html
27.11.2005 15:22 4.212 zllictbl.dat
27.11.2005 14:42 48.156 perfc007.dat
27.11.2005 14:42 39.992 perfc009.dat
27.11.2005 14:42 311.604 perfh009.dat
27.11.2005 14:42 316.594 perfh007.dat
27.11.2005 14:42 723.744 PerfStringBackup.INI
26.11.2005 19:19 2.780 qtplugin.log
26.11.2005 19:19 157.696 rmoc3260.dll
26.11.2005 19:19 25.088 prefscpl.cpl
26.11.2005 19:19 5.632 pndx5032.dll
26.11.2005 19:19 6.656 pndx5016.dll
26.11.2005 19:19 278.528 pncrt.dll
26.11.2005 19:15 25.065 wmpscheme.xml
26.11.2005 19:11 261 $winnt$.inf
26.11.2005 19:09 2.951 CONFIG.NT
26.11.2005 19:09 488 WindowsLogon.manifest
26.11.2005 19:09 488 logonui.exe.manifest
26.11.2005 19:08 749 ncpa.cpl.manifest
26.11.2005 19:08 749 cdplayer.exe.manifest
26.11.2005 19:08 749 wuaucpl.cpl.manifest
26.11.2005 19:08 749 sapi.cpl.manifest
26.11.2005 19:08 749 nwc.cpl.manifest
26.11.2005 19:07 21.740 emptyregdb.dat
26.11.2005 19:02 0 h323log.txt
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
18.10.2005 12:54 1.044.480 roboex32.dll
18.10.2005 12:54 49.152 inetwh32.dll













Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1476-8F84

Verzeichnis von C:\DOKUME~1\BFX\LOKALE~1\Temp

10.02.2006 17:33 1.568.768 sa116.exe
10.02.2006 17:32 16.384 ~DFB831.tmp
2 Datei(en) 1.585.152 Bytes
0 Verzeichnis(se), 51.983.474.688 Bytes frei









Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1476-8F84

Verzeichnis von C:\WINDOWS

10.02.2006 17:32 183.303 setupact.log
10.02.2006 17:16 740 win.ini
10.02.2006 17:16 0 0.log
10.02.2006 17:14 2.048 bootstat.dat
10.02.2006 17:13 1.959.064 ntbtlog.txt
10.02.2006 15:48 216 wiadebug.log
10.02.2006 15:37 600 cdplayer.ini
10.02.2006 14:45 50 wiaservc.log
10.02.2006 12:46 1.027.741 setupapi.log
09.02.2006 22:07 79 sam7_D.INI
09.02.2006 16:36 32 pavsig.txt
08.02.2006 12:14 32.610 SchedLgU.Txt
08.02.2006 00:42 4.562 ModemLog_Bluetooth LAP Modem #2.txt
06.02.2006 20:43 5.396 ModemLog_Bluetooth DUN Modem.txt
06.02.2006 20:43 5.390 ModemLog_Bluetooth Fax Modem.txt
05.02.2006 17:42 80.968 wmsetup.log
21.01.2006 15:47 87 magix.ini
17.01.2006 23:24 149 LVEventLog.log
17.01.2006 23:06 17.914 Windows Update.log
17.01.2006 22:44 225.051 DirectX.log
24.12.2005 15:42 2.978 hosts
24.12.2005 15:42 6.200 systmpic.bmp
24.12.2005 15:42 19.188 mtbsys.xml
24.12.2005 15:42 69.632 mtbsys3.dll
02.12.2005 19:30 4.363 SYMEVENT.LOG
02.12.2005 19:22 32 {79A266E2-DADA-4946-9C25-A22469E1DABD}.dat
02.12.2005 19:22 83 MININU.LOG
30.11.2005 20:17 235 wmsetup10.log
30.11.2005 20:16 316.640 WMSysPr9.prx
30.11.2005 18:32 2.560 _MSRSTRT.EXE
27.11.2005 17:56 400 ODBC.INI
27.11.2005 17:10 772 hpinfo.lnk
26.11.2005 19:30 308 nsw.log
26.11.2005 19:18 335 nsreg.dat
26.11.2005 19:15 820 OEWABLog.txt
26.11.2005 19:15 787.874 setuplog.txt
26.11.2005 19:12 8.192 REGLOCS.OLD
26.11.2005 19:11 15.503 comsetup.log
26.11.2005 19:11 47.875 iis6.log
26.11.2005 19:11 7.659 ntdtcsetup.log
26.11.2005 19:11 10.175 tsoc.log
26.11.2005 19:11 4.438 imsins.log
26.11.2005 19:11 1.246 setuperr.log
26.11.2005 19:09 0 control.ini
26.11.2005 19:09 299.552 WMSysPrx.prx
26.11.2005 19:09 4.161 ODBCINST.INI
26.11.2005 19:08 749 WindowsShell.Manifest
26.11.2005 19:07 821 msgsocm.log
26.11.2005 19:07 12.817 ocgen.log
26.11.2005 19:07 1.065 ocmsn.log
26.11.2005 19:07 11.536 FaxSetup.log
26.11.2005 19:07 1.060 sessmgr.setup.log
26.11.2005 19:06 37 vbaddin.ini
26.11.2005 19:06 36 vb.ini
26.11.2005 19:06 128 DtcInstall.log
26.11.2005 19:05 10.068 msmqinst.log
26.11.2005 18:59 0 Sti_Trace.log
26.11.2005 18:57 1.348 regopt.log
26.11.2005 18:57 231 system.ini
15.03.2003 22:15 90.112 unvise32.exe
09.10.2002 11:52 887 mgxoschk.ini




so, ich hoffe wir können das gemeinsam lösen, bedanke mich schonmal im vorraus!

Das ist dein Problem:

[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{D1A2E7CD -F5C1-21A8-CA2C-13D0AC72D19D}\InProcServer32]
@="C:\WINDOWS\System32\dxmpp.dll"
loesche die Datei und den Registry Eintrag im abgesicherten Modus. Kaspersky erkennt derzeit als einziges diese Datei als renos Variante.

Hier eine kleine englische Anleitung dazu: http://www.bleepingcomputer.com/forums/topic43659.html

Hallo,
hier auch ein Artikel woher es zum Teil kommt. Wird aber wahrscheinlich auch über die sonst üblichen Wege verbreitet (Crackseiten).


Grüße Wildone

nach 3 tagen scheint es weg zu sein!!! ihr seid die KINGS! danke !!!!!!!!

auf crack seiten war ich aber seit einem jahr nich mehr glaub ich, muss irgendwo anders her kommen!

danke jungs!!!

Schoen zu hoieren, das alles wieder zu funktionieren scheint. Du solltest es aber trotzdem noch dur Escan/Ewido oder aehnliches Kontrollieren, oder sonst ein HijackThis log/Datfindbat Report posten.


Diese Malware muss nicht ueber "Crack" Seiten kommen. Es gibt viele andere Moeglichkeiten......