Eine neue suspekte Antispy-Software, oder besser gesagt ein neuer Desktop-Hijacker, ist im Umlauf. Das Programm nennt sich
SpyAxe oder
Spy Trooper.
In der Taskleiste erscheint eine Balloon-Meldung »
your computer is infected«.
Wird auf die Meldung geklickt, öffnet sich die Website SpyAxe.com und das Programm installiert sich automatisch ohne Benutzerzustimmung. Den Schädling fängt man sich nur bei aktiviertem JavaScript (Internetoptionen/Sicherheit/Active Scripting) ein.
Wir gehen davon aus, dass die "
Firma" hinter diesen ganzen Programmen ein und dieselbe sein wird. Wenn zu viele Methoden gegen die Software entwickelt wurden oder der Name zu negativ belastet ist, dann "
verkauft" man eben ein neues Produkt. Nicht umsonst sehen
SpySheriff und
WinFixer identisch aus in der Oberfläche.
Neuer Name - selbes Produkt: Antivirus 2008 bzw. Antivirus 2008 Pro, Antivirus2009, WinAntivirusPro, WinAntiVirus 2004, WinAntiVirus 2005 Pro Trial, Windows Antivirus 2008, XP Antivirus (XPAntivirus2008), AntivirusPCSuite, AntiVirus XP 2008 (AntivirusXP2008), SystemAntivirus2008 (System Antivirus 2008), VistaAntivirus2008 (Vista Antivirus 2008), Antivir64 (Antivir 64), Power Antivirus 2009 (Power-Antivirus-2009, PowerAntivirus), SichererSchutz, AntiSpionage Pro, VirusSchlacht, PCSecureSystem, AntieSpiaDorado, AntivirusMagique, AVSystemCare, WinSpyControl, VirusGarde, ProtectionAssuree, TrustedAntivirus (TrustedProtection), AdwareDelete, AntiVirus Gold (AntivirusGold), AntivirusGolden, SpywareStrike, SpyKillerPro, TotalSecure (Total Secure), PC Drive Tool, PCPrivacyTool, etc.
Empfohlene AntiViren-Software, die ähnlich im Namen klingen und leicht verwechseln werden können:
CA eTrust Antivirus (PestPatrol),
AntiVirenKit (AVK), H+BEDV
AntiVir (Avira),
McAfee Antivirus (
VORSICHT: Mcaffe Antivirus),
eScan AntiVirus (MicroWorld Free AntiVirus),
Etrust Antivirus,
Anti-Spyware (F-Secure Internet Security, UPC SmartGuard, F-Secure Anti-Spyware), Trend Micro PC-Cillin
Antivirus,
PC Tools AntiVirus.
Spy Trooper erstellt in einigen Fällen ein neues Desktop-Icon.
Lustigerweise erkennt "SpyTrooper" sich selbst (SpyAxe)
Ansonsten erkennt das Tool so ziemlich viel Müll als Infektion des Systems.
Beispiel: Den Windows XP Sicherheitscenter (SP2) Dienst
und den JAVA VM Updateordner von Sun
sowie das
kumulative Update für Outlook 6 (KB 887797)
Eine Systemwiederherstellung vom Vortag des Infektes wäre die einfachste Lösung, doch in einigen Fällen hat der User die Systemwiederherstellung deaktiviert oder keinen Systemwiederherstellungspunkt gesetzt. Evtl. liegen auch andere Gründe vor.
Die Deaktivierung der
Systemwiederherstellung (BS-abhängig) sollte man allerdings nicht vergessen, bevor Spy Trooper entfernt wird.
Das Programm installiert sich unter »C:\Programme«:
C:\Programme\SpyAxe\spyaxe.exeIm "Systemstart" (Autostart) unter »Start - Ausführen - msconfig« die Einträge kontrollieren - unter "Befehl" sieht man die exe-Dateien zum jeweiligen Programm.
Im Taskmanager [Strg + ALT + ENTF] spyaxe.exe und evtl. nachfolgende Dateien (*.exe) beenden.
Im
system32-Verzeichnis liegen folgende Dateien:
1024 ( = Ordner)
amcompat.tlb
emptyregdb.dat
folder.htt
hp(xxxx).tmp (x = Zahlen- und Buchstaben-Kombinationen)
ld(xxxx).tmp (x = Zahlen- und Buchstaben-Kombinationen)
im System-Ordner liegen nie *.temp-Dateien!kernel32.dll (
Vorsicht: Systemdatei für Speicher, Abläufe, Ressourcen, Client-DLL für Windows NT-Basis-API = kernel32.dll)
mapisvc.inf
migicons.exe
mscornet.exe
mssearchnet.exe
msvol.tlb
ncompat.tlb
netwrap.dll (Spywarestrike)
nscompat.tlb
nvctrl.exe
ot.ico
svchosts.dll (die Systemdatei heißt svchost.
exe)
ts.ico
vsconfig.xml
wbeconm.dll
wininet.dll
weitere Dateien, die vorkommen können:
C:\eied_s7.cab
C:\wsinst.log
C:\Windows\0 s
C:\Windows\dead.ini
C:\Windows\folder.htt
C:\Windows\hpoins01.dat
C:\Windows\LnkStub.dat
C:\Windows\ODBCINST.INI
C:\Windows\ULead32.ini
C:\Windows\uneng.exe (Vorsicht: nicht mit der Datei von
Roxio Engine verwechseln)
C:\Windows\WMSysPr9.prx
C:\Windows\~TempMui.inf
(bzw. im
C:\WINNT-Verzeichnis)
Soweit wie möglich im abgesicherten Modus [F8] löschen.
Im Windows-Explorer - Ordneroptionen - Ansicht - "Versteckte Dateien und Ordner" -
Alle Dateien und Ordner anzeigen aktivieren sowie "
Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.
In der "Systemsteuerung - Software" unbekannte Programme deinstallieren, zum Beispiel
SpywareStrike[/url].
Unter
C:\Dokumente und Einstellungen\USERNAME\Lokale Einstellungen\Temp
sa1.exe oder
sa2.exeund
C:\Dokumente und Einstellungen\USERNAME\Lokale Einstellungen\Temp
sa1.tmp oder
sa2.tmplöschen - am besten im abgesicherten Modus [F8] oder mit Hilfe eines Tools. Freeware-Tools gibt es auf Wintotal, zum Beispiel
CleanCache oder
CCleaner.
C:\Dokumente und Einstellungen\[USERNAME] + [All Users]\Startmenü - Einträge kontrollieren (Beispiel "Online Security Center.url" = löschen) sowie unter
C:\Dokumente und Einstellungen\[USERNAME] + [All Users]\Favoriten - Einträge kontrollieren (Beispiel "Free xxx Sites List.url" = löschen).
C:\Windows\Downloaded Program Files kontrollieren.
In der Registry (Start/Ausführen/Regedit) folgende Unterschlüssel kontrollieren:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
sowie unter
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
Run
RunOnce
RunServices
RunServicesOnce
Evtl. Einträge sind: wininet.dll, nvctrl.exe und kernel32.dll
Vorsicht: es gibt auch eine Systemdatei, die kernel32.dll heißt für Speicher, Abläufe, Ressourcen = Client-DLL für Windows NT-Basis-APIHKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell REG_SZ = Explorer.exe
mehr sollte da nicht stehen
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit REG_SZ = C:\WINDOWS\system32\userinit.exe,
Auch hier sollte hinter dem Komma von "userinit.exe" nichts Weiteres stehen. Stehen hier weitere Einträge nach dem Komma, können diese Einträge mit einem Doppelklick auf "Userinit" gelöscht werden, so dass nur "userinit.exe" mit dem Komma noch da steht.
So sollte es aussehen:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
alle Unterschlüssel von "Notify" kontrollieren. Unter "Wert" stehen DLLs mit und ohne Pfadangabe unter "DLLName". Hier kann durch Google oder mit Hilfe der
Spyware-Liste ausfindig gemacht werden, zu welchen Programm die DLLs gehören. Beispiel: Im Unterschlüssel von
Notify befindet sich der Ordner
st3 und im rechten Fenster die Datei C:\Windows\system32\q1304500.dll. In diesem Fall, da es sich um ein Schädling handelt, den kompletten Unterordner
st3 mit Rechtsklick löschen.
Folgende Reg-Datei runterladen, entpacken und ausführen:
spyaxe_registry.reg (gezippt).
Das RegFiles entfernt die restlichen Schlüssel in der Registry, die von SpyAxe angelegt wurden.
Wer zusätzlich Probleme mit SpywareStrike hat, kann sich auch die
SpywareStrike_remove.reg (gezippt) downloaden.
Das Tool
smitRem sollte man zum Schluss noch ausführen (stellt auch die infizierte wininet.dll wieder her).
Ein weiteres Tool namens SpyAxeFix auch von noahdfear soll ebenfalls Abhilfe schaffen. SpyAxeFix.exe entpacken und im Ordner "SpyAxeFix" die SpyAxe.bat ausführen. Den Anweisungen folgen, danach wird der PC automatisch neu gestartet.Das Tool SpyAxeFix ist mittlerweile in smitRem integriert!
Weitere Hilfe zum Thema SpyAxe:
http://virus-protect.org/artikel/spyware/spyaxe.html und
http://virus-protect.org/artikel/bfu/spyaxebfu.htmlAnmerkungen bzw. andere Lösungsmöglichkeiten bitte per Mail oder KN an mich, ggf. werden sie hier mit aufgenommen. Danke!
Viel Erfolg
pan_fee
