Søg
Avatar billede chrissor Nybegynder
11. december 2005 - 23:46 Der er 16 kommentarer og
1 løsning

SPYAXE 3.0 spyware

Hej!

Jeg er også blevet invaderet af det lort håber der er noget hjælp at hente :)

På forhånd 1.000 TAK!

Chris Sørensen

Logs:

-----------------------------------------------------------------------------
Scan statistics
-----------------------------------------------------------------------------
Objects scanned: 20487
Infected objects found: 0
Objects with modifications found: 0
Suspicious objects found: 0
Adware programs found: 9
Dialer programs found: 0
Joke programs found: 0
Riskware programs found: 2
Hacktool programs found: 0
Objects cured: 0
Objects deleted: 0
Objects renamed: 11
Objects moved: 0
Objects ignored: 0
Scan speed: 1878 Kb/s
Scan time: 00:11:49
-----------------------------------------------------------------------------

---------------------------------------------------------
ewido security suite - Scanningsrapport
---------------------------------------------------------

+ Oprettet den:            23:26:51, 11-12-2005
+ Rapport-Checksum:        950F942F

+ Scanningsresultat:
    F:\WINDOWS\system32\ld5709.tmp -> Downloader.Zlob.cj : Renset med backup
    F:\WINDOWS\system32\mssearchnet.exe -> Downloader.Zlob.cm : Renset med backup


::Rapport slut


Logfile of HijackThis v1.99.1
Scan saved at 23:41:46, on 11-12-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\System32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\Programmer\IVT Corporation\BlueSoleil\BTNtService.exe
F:\Programmer\ewido\security suite\ewidoctrl.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\nvctrl.exe
F:\Programmer\Internet Explorer\IEXPLORE.EXE
F:\Documents and Settings\Chris Sørensen\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: HomepageBHO - {1ca480cd-c0e5-4548-874e-b85b17905b3a} - F:\WINDOWS\System32\hp514C.tmp
O4 - HKLM\..\Run: [SpyAxe] F:\Programmer\SpyAxe\spyaxe.exe /h
O4 - HKCU\..\Run: [msnmsgr] "F:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = F:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - F:\Programmer\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ewido security suite control - ewido networks - F:\Programmer\ewido\security suite\ewidoctrl.exe


Det var alt jeg fik af logs, håber det er nok til at jeg kan blive fri for det SpyAxe fis...
Avatar billede forevernewbie Nybegynder
11. december 2005 - 23:50 #1
Hent og dobbeltklik på smitRem.exe

http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

Programmet pakker sig ud til mappen smitRem.


Genstart i fejlsikret, hvis du ikke ved hvordan så kig her:

http://fromsej.dk/html/xpfejl.html


Åbn mappen smitRem, og dobbeltklik på RunThis.bat (Følg vejledningen i vinduet.)



Genstart og kom med en frisk Hijackthislog. Find smitfiles.txt via Start/Søg. Kopier også denne log ind.
Avatar billede forevernewbie Nybegynder
11. december 2005 - 23:54 #2
Jeg ser på dine nye logs i morgen.
Avatar billede chrissor Nybegynder
12. december 2005 - 01:18 #3
Logfile of HijackThis v1.99.1
Scan saved at 01:17:09, on 12-12-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\System32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
F:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
F:\Programmer\IVT Corporation\BlueSoleil\BTNtService.exe
F:\Programmer\ewido\security suite\ewidoctrl.exe
F:\WINDOWS\System32\svchost.exe
F:\Backup\VIRUS\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: HomepageBHO - {1ca480cd-c0e5-4548-874e-b85b17905b3a} - F:\WINDOWS\System32\hp5D52.tmp (file missing)
O4 - Global Startup: Adobe Reader Speed Launch.lnk = F:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - F:\Programmer\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ewido security suite control - ewido networks - F:\Programmer\ewido\security suite\ewidoctrl.exe
Avatar billede chrissor Nybegynder
12. december 2005 - 01:18 #4
smitRem © log file
    version 2.8

    by noahdfear


Microsoft Windows XP [version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SpyAxeFix © by noahdfear


spyaxe directory present

spyaxe uninstaller present

Starting spyaxe uninstaller

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{C1A8B6A1-2C81-1C3D-A3C6-A1CCDB10B47F}"="Windows Update"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 732 'explorer.exe'

Starting registry repairs

Deleting files


  Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN! :)
Avatar billede forevernewbie Nybegynder
12. december 2005 - 13:21 #5
Hvordan kører det ?

Fix denne med HijackThis, genstart, og lad mig så lige se en log som du har kørt i normaltilstand.

O2 - BHO: HomepageBHO - {1ca480cd-c0e5-4548-874e-b85b17905b3a} - F:\WINDOWS\System32\hp5D52.tmp (file missing)
Avatar billede chrissor Nybegynder
13. december 2005 - 14:27 #6
Den skriver stadig "Your computer is infected" nede i højre hjørne...

Logfile of HijackThis v1.99.1
Scan saved at 14:27:16, on 13-12-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\System32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
F:\Programmer\IVT Corporation\BlueSoleil\BTNtService.exe
F:\Programmer\Internet Explorer\IEXPLORE.EXE
F:\Programmer\ewido\security suite\ewidoctrl.exe
F:\WINDOWS\System32\svchost.exe
F:\Backup\VIRUS\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O4 - HKLM\..\Run: [SpyAxe] F:\Programmer\SpyAxe\spyaxe.exe /h
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - F:\Programmer\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ewido security suite control - ewido networks - F:\Programmer\ewido\security suite\ewidoctrl.exe
Avatar billede kane Juniormester
13. december 2005 - 14:38 #7
jeg har samme problem

hjælpppppppppppppppppppppp
Avatar billede kane Juniormester
13. december 2005 - 15:04 #8
nå men det hjalp med smitrem.exe, den klarer tricket

Takker
Avatar billede forevernewbie Nybegynder
13. december 2005 - 15:18 #9
Den er blevet genstridig.

Prøv lige at køre smitrem og Ewido igen i fejlsikret, og lad mig se logsene, plus en frisk HijackThis, kørt når du har genstartet til normaltilstand.

Kør et par onlinescan:
http://www.pandasoftware.com/activescan/
Når scanningen er færdig, tryk på See Report knappen, gem loggen på skrivebordet

Bitdefender: http://www.bitdefender.com/scan8/ie.html
Der skal jeg ikke se nogen log.
Avatar billede chrissor Nybegynder
13. december 2005 - 22:03 #10
---------------------------------------------------------
ewido security suite - Scanningsrapport
---------------------------------------------------------

+ Oprettet den:            23:26:51, 11-12-2005
+ Rapport-Checksum:        950F942F

+ Scanningsresultat:
    F:\WINDOWS\system32\ld5709.tmp -> Downloader.Zlob.cj : Renset med backup
    F:\WINDOWS\system32\mssearchnet.exe -> Downloader.Zlob.cm : Renset med backup


::Rapport slut


  smitRem © log file
    version 2.8

    by noahdfear


Microsoft Windows XP [version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

spyaxe uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~

SpyAxe


~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 2012 'explorer.exe'
Killing PID 2012 'explorer.exe'

Starting registry repairs

Deleting files


  Remaining Post-run Files


~~~ Program Files ~~~

SpyAxe


~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN! :)


Incident                      Status                        Location                                                                                                                                                                                                                                                       

Adware:Adware/SpyAxe          Not desinfected              F:\WINDOWS\system32\ioctrl.dll                                                                                                                                                                                                                                 
Adware:Adware/P2PNetworking  Not desinfected              F:\WINDOWS\system32\P2P Networking v126.cpl                                                                                                                                                                                                                   

Logfile of HijackThis v1.99.1
Scan saved at 22:02:01, on 13-12-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\System32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
F:\Programmer\IVT Corporation\BlueSoleil\BTNtService.exe
F:\Programmer\ewido\security suite\ewidoctrl.exe
F:\WINDOWS\System32\svchost.exe
F:\Programmer\Internet Explorer\IEXPLORE.EXE
F:\WINDOWS\system32\NOTEPAD.EXE
F:\WINDOWS\system32\NOTEPAD.EXE
F:\Programmer\Winamp\winamp.exe
F:\WINDOWS\system32\NOTEPAD.EXE
F:\Backup\VIRUS\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - F:\Programmer\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ewido security suite control - ewido networks - F:\Programmer\ewido\security suite\ewidoctrl.exe

Sådan der, så var lige 4 stks rapporter...
Avatar billede forevernewbie Nybegynder
13. december 2005 - 22:13 #11
Slet disse filer i fejlsikret:

F:\WINDOWS\system32\ioctrl.dll
F:\WINDOWS\system32\P2P Networking v126.cpl

Hent, og kør smitrem igen (også i fejlsikret). Den er just blevet opdateret http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

Genstart til normal tilstand, og hent og kør dette regfix
http://www.sitecenter.dk/secure/nss-folder/mappe/downloads/fix.reg

Hvordan kører det nu ?
Avatar billede forevernewbie Nybegynder
13. december 2005 - 22:16 #12
Forkert link til regfixet. Det er her
http://www.sitecenter.dk/secure/nss-folder/mappe/downloads/fix/fix.zip
Avatar billede chrissor Nybegynder
13. december 2005 - 22:47 #13
wee, nu ser det squ ud til at virke... det var da en sand fornøjelse :) Tak for hjælpen... men hvor stammer det spyaxe fra og hvordan undgår jeg at få det igen eller har man ingen chance for at forudse det...?
Avatar billede forevernewbie Nybegynder
13. december 2005 - 22:55 #14
Bare jeg vidste hvor man fik den djævel. Flere "får" den bare. Der en tråd om det her http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=20685

Så er din log ren.


Efter et virus/spyware angreb, er det altid en god ide at rydde op i systemgendannelses filerne. Deaktiver systemgendannelse (http://www.spywarefri.dk/virusscannere.htm#alle) - genstart din computer - aktiver systemgendannelse.


Afsluttende rensning af browser cachen:


1. Klik på Funktioner - Internetindstillinger.

2. Under midlertidige filer, klik på slet cookies.

3. Under midlertidige filer, klik på slet filer – sæt flueben i slet alt offline indhold.

4. Under oversigten, klik på ryd oversigten.

5. Klik på ok.

6  Tøm papirkurven.


Husk at "skjule" dine filer igen.


Link til sikring af din computer http://www.spywarefri.dk/manualer/sikkerhedspakke.htm
Avatar billede forevernewbie Nybegynder
13. december 2005 - 23:01 #15
Tak for point. Spywareguard, Spywareblaster, og IE-SPYAD i pakken, kan hjælpe dig til at undgå gentagelser.
Avatar billede chrissor Nybegynder
13. december 2005 - 23:03 #16
Tak for hjælpen og infomationen...
Avatar billede forevernewbie Nybegynder
13. december 2005 - 23:04 #17
Velbekomme :)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 13:33 Lukning af Microsoftkonto Af ErikHg i Windows
I går 16:10 Bat file. Af johnnylassen i Andet programmering
I går 10:28 “Signe” Svindel omtalt i medier Af nu_igen i Mobiltelefoner
22/0420:59 RAID controller virker ikke ved tilslutning af alle 4 harddiske Af Strawberry i Andet hardware
22/0413:38 Opret Logo via bogmærke og placer en knap på et Dotx dokument Af per2edb i Word
White papers
Flere white papers »