Trojaner-Board - Bitte, bitte - ich brauche Hilfe!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Bitte, bitte - ich brauche Hilfe! (https://www.trojaner-board.de/24224-bitte-bitte-brauche-hilfe.html)

Bitte, bitte - ich brauche Hilfe!

Hallo zusammen,

ich bin völlig fertig mit den Nerven, weil ich den Rechner dringend brauche und drauf angewiesen bin.
ICh bin völlig mit den Nerven runter, weil ich den PC am Montag dringend für die Uni brauche!!

Ich habe mir irgendwie einen Smitfraud.C Trojaner alias W32.sinnaka.A eingefangen.
Ich werde den Mist nicht mehr los, Spybot hat nicht geholfen und diese smitrem-Geschichte auch nicht.
AntiVir hat ein Trojaner-Programm (irgendwas mit "Z" oder so gefunden und gelöscht).

Das Problem ist wohl der Registry-Eintrag, den Spybot nicht löschen kann. Und ich bin auch zu doof dafür, das allein zu schaffen. :(
Und Windows meldet die ganze zeit, der Computer sei infiziert...
Achso: Und spyaxe will er natürlich auch dauernd installieren...

Ich habe gemäß Eurer Anleitung das HiJack-Tool laufen lassen,
mit folgendem Ergebnis:

Logfile of HijackThis v1.99.1
Scan saved at 02:53:11, on 04.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\DigitalPersona\Bin\DPWinLct.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AVPERSONAL\AVGUARD.EXE
D:\AVPersonal\AVWUPSRV.EXE
C:\Programme\DigitalPersona\Bin\DpHost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\DigitalPersona\Bin\DPFUSMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
D:\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\DigitalPersona\Bin\DPAgnt.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
D:\AVPersonal\AVGNT.EXE
D:\Quicktime\iTunesHelper.exe
C:\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
D:\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\xxxx\Desktop\HJ\HijackThis.exe

O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hpAD2C.tmp (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [WinVNC] "C:\RealVNC\WinVNC\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [DPAgnt] C:\Programme\DigitalPersona\Bin\DPAgnt.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [AVGCtrl] "D:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [iTunesHelper] "D:\Quicktime\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Fotoabzug online bestellen ! - http://fotoup.fotoserver.info/ie2wk.php?hid=gpicture
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/208c58cc...dxIE601_de.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (CwlscInstall Object) - https://scan.safety.live.com/resourc...scbase2213.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1119388370625
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/de/de/tools/activex/fpu.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1123674294421
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all04.kundenserver.de/app/...vex/msxml4.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramewor...o.cab34246.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp05.photoprintit.de/microsi...eUploader3.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6CEDAECF-C02D-4A0A-8DB6-486A36885D38}: NameServer = 217.237.151.97 217.237.148.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: DPWLN - C:\WINDOWS\system32\DPWLEvHd.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AVPersonal\AVWUPSRV.EXE
O23 - Service: Windows XP FUS Manager (DPFUSMgr) - DigitalPersona, Inc. - C:\Programme\DigitalPersona\Bin\DPFUSMgr.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Programme\DigitalPersona\Bin\DpHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\RealVNC\WinVNC\winvnc.exe" -service (file missing)

Ich kann nicht mehr als ganz inständig darum bitten, daß ihr mir helft - BITTE!!! :(

Ich bin sonst verratzt... :(

M.

So auf die schnelle: Lass erst mal Spysweeper drüberlaufen.
Schau was passiert und melde Dich wieder.
Aber auch die Abarbeitung dieser Anleitung ist bei weitergehenden Problemen sehr hilfreich. Genau dran halten.
cacatoa

Die smitrem-Geschichte hatte ich ohne Erfolg probiert... :(

Ich lade gerade die Trial-Version diesem Spysweep runter und versuche mal, ob es hilft...

Wenn das Ding morgen nicht flott ist, bin ich verloren... :schmoll:

M.

Also...

Spysweeper hat nichts gefunden (nur Cookies) -

ich habe jetzt festgestellt, daß nach dem Start des IE automatisch dieses Spyaxe runtergeladen wird.

Ich habe das per Startschutz von Spysweeper jetzt geblockt, aber das hilft ja nicht wirklich, mein Problem zu lösen... :(

Spybot erkennt als einziges Programm den "Smitfraud.c", kann das Problem aber nicht fixen. Und die smitrem-Behebung hat bei mir nicht funktioniert.

Ich poste noch mal einen aktuellen HJ-Log, ok? :( :( :(

Verdammt, ich brauche Hilfe... ich ruf auch gern jemanden an...
:schmoll:

Logfile of HijackThis v1.99.1
Scan saved at 11:58:34, on 04.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\DigitalPersona\Bin\DPWinLct.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AVPERSONAL\AVGUARD.EXE
D:\AVPersonal\AVWUPSRV.EXE
C:\Programme\DigitalPersona\Bin\DpHost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\DigitalPersona\Bin\DPFUSMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
D:\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\DigitalPersona\Bin\DPAgnt.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
D:\AVPersonal\AVGNT.EXE
D:\Quicktime\iTunesHelper.exe
C:\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\xxxx\Desktop\HJ\HijackThis.exe

O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hpAD2C.tmp (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [WinVNC] "C:\RealVNC\WinVNC\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [DPAgnt] C:\Programme\DigitalPersona\Bin\DPAgnt.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [AVGCtrl] "D:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [iTunesHelper] "D:\Quicktime\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Fotoabzug online bestellen ! - http://fotoup.fotoserver.info/ie2wk.php?hid=gpicture
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/208c58cc741044183406/netzip/RdxIE601_de.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (CwlscInstall Object) - https://scan.safety.live.com/resource/download/scanner/en-us/wlscbase2213.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119388370625
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/de/de/tools/activex/fpu.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123674294421
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all04.kundenserver.de/app/static/activex/msxml4.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp05.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6CEDAECF-C02D-4A0A-8DB6-486A36885D38}: NameServer = 217.237.151.97 217.237.148.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: DPWLN - C:\WINDOWS\system32\DPWLEvHd.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AVPersonal\AVWUPSRV.EXE
O23 - Service: Windows XP FUS Manager (DPFUSMgr) - DigitalPersona, Inc. - C:\Programme\DigitalPersona\Bin\DPFUSMgr.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Programme\DigitalPersona\Bin\DpHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\RealVNC\WinVNC\winvnc.exe" -service (file missing)

M.

zum thema spyaxe gibt's hier doch schon nen ellenlangen thread... http://www.trojaner-board.de/showthr...ghlight=spyaxe

vielleicht hilft auch diese schritt-für-schritt-anleitung weiter: http://virus-protect.net/artikel/spyware/spyaxe.html

Hallo,

dann arbeite doch mal Diesesab.
Aber halte dich genau an die anleitung.
dies sollte helfen.

gruß

So, ich bins wieder...

Mit dem Programm "Super Ad Blocker" (15 Tage Trial) habe ich es geschafft, das Meiste zu löschen.
Das Spyaxe-Popup ist weg, das Programm wird auch nicht mehr downgeloadet.

Ich habe nach der geposteten Anleitung die smitrem.reg ausgeführt und mit dem Hoster die originalen Hosts wiederhergestellt.

Einziges Problem:

Das Spybot zeigt immer noch den smifraud.C Registry Change an:

Smitfraud-C.: User settings (Registry change, nothing done)
HKEY_USERS\S-1-5-21-484763869-1757981266-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\free-spy-cam.net\*!=W=4

Wie kriege ich das noch weg? :schmoll:

Hier noch mal der aktuelle HJ-Scan:

Logfile of HijackThis v1.99.1
Scan saved at 13:03:53, on 04.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\DigitalPersona\Bin\DPWinLct.exe
C:\Programme\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\AVPERSONAL\AVGUARD.EXE
D:\AVPersonal\AVWUPSRV.EXE
C:\Programme\DigitalPersona\Bin\DpHost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\DigitalPersona\Bin\DPFUSMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
D:\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\DigitalPersona\Bin\DPAgnt.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
D:\AVPersonal\AVGNT.EXE
D:\Quicktime\iTunesHelper.exe
C:\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\iPod\bin\iPodService.exe
D:\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Marc\Desktop\HJ\HijackThis.exe

O2 - BHO: SuperAdBlockerBHO Class - {00000000-6C30-11D8-9363-000AE6309654} - C:\Programme\SuperAdBlocker.com\Super Ad Blocker\SABBHO.dll
O2 - BHO: (no name) - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - (no file)
O3 - Toolbar: Super Ad Blocker Toolbar - {B4B3001E-0F56-4E51-8250-BDE11547EC55} - C:\Programme\SuperAdBlocker.com\Super Ad Blocker\sabtb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [WinVNC] "C:\RealVNC\WinVNC\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [DPAgnt] C:\Programme\DigitalPersona\Bin\DPAgnt.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [AVGCtrl] "D:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [iTunesHelper] "D:\Quicktime\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SuperAdBlocker] C:\Programme\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Fotoabzug online bestellen ! - http://fotoup.fotoserver.info/ie2wk.php?hid=gpicture
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/208c58cc741044183406/netzip/RdxIE601_de.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (CwlscInstall Object) - https://scan.safety.live.com/resource/download/scanner/en-us/wlscbase2213.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119388370625
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/de/de/tools/activex/fpu.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123674294421
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all04.kundenserver.de/app/static/activex/msxml4.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp05.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: DPWLN - C:\WINDOWS\system32\DPWLEvHd.dll
O20 - Winlogon Notify: SABWinLogon - C:\Programme\SuperAdBlocker.com\Super Ad Blocker\SABWINLO.DLL
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AVPersonal\AVWUPSRV.EXE
O23 - Service: Windows XP FUS Manager (DPFUSMgr) - DigitalPersona, Inc. - C:\Programme\DigitalPersona\Bin\DPFUSMgr.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Programme\DigitalPersona\Bin\DpHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Super Ad Blocker Service (SABSVC) - SuperAdBlocker.com - C:\Programme\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\RealVNC\WinVNC\winvnc.exe" -service (file missing)

Ich weiß nicht, wie man HJ bedient -
wer hilft mir? :(

M.

na dann lade dir Regseeker runter und lasse ihn drüberlaufen.
das sollte dann klappen.

Ganz lieb Danke für Deine Hilfe,
hat aber leider nicht funktioniert -
er hat zwar viel gelöscht, aber offensichtlich nicht den besagten Eintrag...

Spybot meldet immer noch:

Smitfraud-C.: User settings (Registry change, nothing done)
HKEY_USERS\S-1-5-21-484763869-1757981266-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Domains\free-spy-cam.net\*!=W=4

:(

M.

dann im abgesicherten modus laufen lassen.
und alles löschen was das programm findet.

Darf ich auch so mutig sein und die Einträge das Programm manuell löschen lassen?

Ich habe das Ding nach "free-spy-cam.net" suchen lassen und 2 Einträge gefunden.

Darf ich die löschen?

Sie befinden sich unter HKEYcurrentuser - Software - Microsoft - Windows - Current version - Internet settings - Zone Map - Domains

sowie: - Esc Domains

Kann man die halbwegs risikolos löschen lassen? :confused:

M.

Hallo,
ja kannst du, achte darauf das sicherheitshalber bei "backup before deletion" ein Haken ist.

Grüße Wildone

Ich antworte mir mal selbst:

Ich habs jetzt einfach getan (yes, I did it! :) ), und Spybot zeigt nichts mehr an.

Mit welchem guten (!) Scanner kann ich denn jetzt prüfen, ob wirklich alles ok ist? :confused:
Denkt ihr, es ist jetzt alles weg?

Und kann mir ernsthaft etwas passiert sein durch die Infektion?
Ich habe kein Onlinebanking, ebay oder andere Paßwörter genutzt in der Zeit...

Danke für die Antworten! :)

M.

Hallo,
du kannst mal noch zur Kontrolle einen Onlinescan bei Panda machen.

Zitat:

Und kann mir ernsthaft etwas passiert sein durch die Infektion?

Schwierig zu sagen, normalerweise eher nicht, da der Trojaner eher dazu animieren will das Programm zu kaufen als Kompettzugriff zu bekommen, aber 100%ig ausschließen kann man nichts.
Ansonsten bleibt zu sagen, gerade wenn der Rechner so wichtig ist, wäre ein Image für Notfälle nicht die schlechteste Idee, z.B. mit Acronis True Image. Auch solltest du den IE sicher konfigurieren und dir mal Gedanken über das Konzept mit eingeschränkten rechten zu arbeiten, näheres hier.

Grüße Wildone

Hey Du Wilder! :)

Panda läuft gerade...

Habe ich denn sonst noch was Schlimmes auf dem Rechner?
Aus diesem HJ-Log werde ich wenig schlau...

Was ich schlimm fand, daß trotz aller Security-Updates, trotz Firewall, trotz AntiVir, trotz Spybot das Ganze passiert ist und mir keines der Programme wirklich helfen konnte... :(

Ich bin heute Nacht tausend Tode gestorben.. :schmoll:

Ich melde mich gleich wieder mit den Scan-Ergebnissen von Panda... :)

M.

Mmmh,

bis jetzt zeigt das Ding schon 2 Funde bei "Spyware" an...

...toll, daß Spybot und Super Ad Blocker nix angezeigt haben - scheinbar findet jedes Programm nur ein bißchen... :(

Kann man das dann auch online fixen lassen?
Ich kann das ja nicht kaufen... :(
(es läuft noch durch...)

M.

Hallo,

Zitat:

Hey Du Wilder!

Na du am boden liegende(r):D

Zitat:

Habe ich denn sonst noch was Schlimmes auf dem Rechner?

Laut HijackThis log ist sonst alles soweit in Ordnung.

Zitat:

Was ich schlimm fand, daß trotz aller Security-Updates, trotz Firewall, trotz AntiVir, trotz Spybot das Ganze passiert ist und mir keines der Programme wirklich helfen konnte...

Diese Programme haben alle einen Nachteil, sie setzen erst an wenn es eigentlich schon zu spät ist, sprich das System infiziert. Du mußt verhindern das es überhaupt soweit kommt, z.B. mit den oben beschriebenen Maßnahmen(eingeschränkte Rechte+ IE konfigurieren (oder/und alternativer Browser). Außerdem solltest du dich natürlich von unseriösen Programmen (z.B. Cracks Keygens...) und Seiten die diese anbieten fernhalten.

Nachtrag:
Poste einfach die Funde (mit genauer Bezeichnung und Pfadangabe)

Grüße Wildone

Du bist ein Schatz... danke, daß Du mir hilfst... :bussi:

Ergebnisse poste ich sofort! :)

M.

Hallo Bodenlieger....,
in diesem Thread gibt es Anleitungen zu Vermeidung zukünftiger Schäden :
http://www.trojaner-board.de/showthread.php?t=12154
Für dich intressant ab folgendem Absatz :
Nach dem Neuaufsetzen und VOR der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:
Irrlicht

Hier die Ergebnisse:

Adware:adware/securityerror Nicht desinfiziert C:\Dokumente und Einstellungen\xxxx\Favoriten\Take It Here - Daily Updated Porn Links.url
Adware:Adware/SpyAxe Nicht desinfiziert C:\Programme\SuperAdBlocker.com\Super Ad Blocker\Quarantine\Quarantine - 12-04-2005 - 12-30-32.SBU[{90AA7CAA-6E6A-4495-9F67-57E47A357699}]

[LEFT]Das komische ist das 2. - weil das das Programm ist, mit dem ich alles löschen konnte... (Super Ad Blocker) :confused:

Den ersten habe ich schon gelöscht.

Was meinst Du / Ihr?

M.

Hallo,
ich meine beides kein großes Problem, zum zweiten, das Programm hat das was es entfernt hat in Quarantäne geschoben, schau mal ob es bei dem Programm die Möglichkeit "Quarantäneordner leeren" o.ä. gibt, wenn nicht auch nicht weiter dramatisch, das gefundene kann dort keinen Schaden anrichten.
Zum ersten Eintrag, gehe einfach zu
C:\Dokumente und Einstellungen\xxxx\Favoriten\Take It Here - Daily Updated Porn Links.url
und lösche die Datei, falls der Pfad nicht angezeigt wird nimm follgende Einstellungen vor.

Grüße Wildone

So,

ich habe den Super AD Blocker nun deinstalliert (war ja eh nur ne Trial-Version) und lasse gerade wieder den Panda-Scan laufen.

Ergebnisse kommen gleich.

Beim Deinstallieren müßte der Quarantäne-Ordner ja auch gelöscht worden sein, oder? :confused:

Zusätzlich läuft gerade noch mal Spybot.

Ok? :)

M.

EDIT: Den Quarantäne-Ordner habe ich eben noch manuell gelöscht; er befand sich noch im SuperADBlocker-Ordner, der nun komplett gelöscht ist.

Hallo,
ja mit der Deinstallation sollte auch der Quarantäneordner verschwinden. Ansonsten sollte es das dann gewesen sein, lies dir mal die angegebenen Links in Ruhe durch, und setze den ein oder anderen auch um.
Ansonsten wünsche ich dir bei niedrigerem Adrenalinspiegel und jetzt hoffentlich wieder aufgestanden, noch einen schönen Sonntag Nachmittag :).

Grüße Wildone

Neuer Panda-Scan: Nichts mehr gefunden! :aplaus:

Ich muß Dir noch mal ganz ganz ganz doll danken... :knuddel:

Hoffentlich wars das dann jetzt... :schmoll:

M.