Archief - [Spyware] SpyAxe

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.

.Acku.

Legacy Member
Spyaxe is een spyware die zich vordoet als anti-spyware programma. Het doet alsof hij vanalles vindt en biedt dan een fix aan tegen registratie. Niet enkel dat, uit de systray doet het ook vanalle pop-ups verschijnen met zogezegde windows meldingen over virussen, die dan linken naar obscure betaalsites.
Daarbovenop komen er voortdurend browservensters met advertenties.

Heb al een lange historie met spyware, en het meeste laat zich wel pakken door combinatie norton/adaware/spybot/hijackthis maar deze lijkt ontembaar. Ze vinden het wel, ze kunnen het niet deleten. Dat proberen ze na reboot, voor windows initialiseert, maar het blijft steeds terug komen. Phoenix from the flame.
Windows is geen legale versie (er is een beschikbaar maar de computermens heeft eeen eigen kopie ge-installeerd) maar ontvangt wel de automatische updates. Er wordt ook enkel nog Firefox gebruikt tegen mogelijke leaks.

De oplossing bestond er tijdelijk it Panda anti-virus te gebruiken, jammer genoeg is die niet gratis, en lijkt die in retail ook niet makkelijk te vinden.

Iemand ervaringen hiermee? Dank.

Jurgenv1

Legacy Member
wat een onzin, spyaxe is wel te verwijderen, kzal het nog gratis voor je doen als je een hijackthis logje post (wat hiervoor dient dit forum) :)

Jurgenv1

Legacy Member
heb al veel logjes gedaan met spyaxe (onderdeel van smitfraud infectie) en telkens met succes, enja dat is met smitrem, kijk maar hier eens rond :) geloof me, dit valt mee, er zijn lastigere infectie's :)

FEW

Legacy Member
Jurgenv1 zei:
wat een onzin, spyaxe is wel te verwijderen, kzal het nog gratis voor je doen als je een hijackthis logje post (wat hiervoor dient dit forum) :)
nope, mijn pa heeft het ook gehad en was ni weg te krijge.
tenzij ge met een format bedoeld ;)

Jurgenv1

Legacy Member
als je een hijackthis logje had gepost kon ik je helpen ;) kijk eens rond hier bij de hijackthis logs, heb hier al gevallen gedaan met spyaxe ;)

Jurgenv1

Legacy Member
ennu, een format om spyaxe weg te krijgen is nu wel 1 van de strafste dingen dat ik al gehoord heb ;)

.Acku.

Legacy Member
Grote problemen komen er pas als smtfraud echt diep verworteld zit, het haalt allerlei helpers binnen die het beschermen

.Acku.

Legacy Member
Na allerlei fixes:

Logfile of HijackThis v1.99.1
Scan saved at 19:19:04, on 30/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\NavNT\defwatch.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\MsgSys.EXE
C:\Program Files\NetTraffic\NetTraffic.exe
C:\Program Files\NavNT\vptray.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOCUME~1\Alex\LOCALS~1\Temp\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O4 - HKLM\..\Run: [NetTraffic] C:\Program Files\NetTraffic\NetTraffic.exe
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck /autofix /autoclose
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Scanner Finder.lnk.disabled
O8 - Extra context menu item: Verzenden naar &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Filter: text/html - (no CLSID) - (no file)
O18 - Filter: text/plain - (no CLSID) - (no file)
O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe

Jurgenv1

Legacy Member
Het is zeer belangrijk dat je álle stappen zorgvuldig uitvoert en dat ook in deze volgorde doet. Print de instructies even uit of sla ze op in een tekstbestandje, want als je straks in veilige modus bent kun je deze site niet raadplegen (want dan heb je geen internetverbinding).


1. Download smitRem.exe en sla dit op op het Bureaublad.
Dubbelklik op het bestand om het uit te pakken naar zijn eigen map op het Bureaublad.

2. Download, installeer en update de gratis trial versie van Ewido anti-malware
  • Tijdens de installatie, onder "Additional Options", haal je de vinkjes weg bij "Install background guard" en "Install scan via context menu".
  • Als je Ewido voor de eerste keer runt, zul je een foutmelding krijgen "Database could not be found!". Klik dan op OK. Dit is normaal.
  • In het hoofdscherm van Ewido, klik je op update in het linker menu, en vervolgens op de Start update knop.
  • Als de updates gedaan zijn, zal er op de statusbalk beneden "Update successful" staan.
  • Sluit Ewido. Laat het nog niet scannen
3. Start de computer in veilige modus.
(Kijk hier eventueel voor uitleg.)

De stappen 4 t/m 6 nu in veilige modus uitvoeren!

4. Open de SmitRem map, die op je bureaublad staat.

Dubbelklik op RunThis.bat om het programma uit te voeren.
Volg de instructies op het scherm. Wacht tot het helemaal klaar is - dit kan een poosje duren, wees geduldig.
(Schrik niet als je taakbalk e.d. even verdwijnen, dat is normaal.)

5. Open Ewido Security Suite
  • klik op Scanner
  • Klik op complete system scan
  • Laat het programma je pc scannen (NB: de scan kan lang duren!)
Tijdens de scan zal je gevraagd worden of je gevonden bestanden wilt verwijderen. Klik dan op OK
Als de scan beëindigd is, zul je een knop zien: Bewaar rapport
  • Klik op Bewaar rapport
  • Sla het rapport op op je bureaublad
  • Sluit Ewido af
6. Ga naar Start -> configuratiescherm -> vormgeving en thema's (als dat er niet staat moet je even op "Categorieweergave" klikken) -> bureaublad -> bureaublad aanpassen -> Website -> verwijder alles wat daar eventueel staat (behalve "Mijn huidige pagina").

7. Herstart de computer in 'normale modus'.

8. Plaats hier in je volgende bericht
  1. het log van SmitRem (dat is C:\smitfiles.txt);
  2. het rapport van de Ewido scan;
  3. een nieuw HijackThis-log.

.Acku.

Legacy Member
Voor eowid log heb ik geen zin meer (zit hier al 4 uur), heb scans gedaan ermee zoals gevraagd. Jammer dat de GUI wel niet goed past in veilige modus resolutie van 640*480

smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [versie 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~

Online Security Guide.url
Online Security Guide.url


~~~ Favorites ~~~



~~~ system32 folder ~~~

msvol.tlb
ld****.tmp
mssearchnet.exe
ncompat.tlb
nvctrl.exe
mscornet.exe
hp***.tmp


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 [email protected]
Killing PID 696 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~

Online Security Guide.url
Online Security Guide.url


~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN! :)

.Acku.

Legacy Member
PS: spyaxe was wel present eerste keer, met uninstall etc.
Thx voor de moeite, ik geef hier even op en hoop voor het beste

Jurgenv1

Legacy Member
.Acku. zei:
PS: spyaxe was wel present eerste keer, met uninstall etc.
Thx voor de moeite, ik geef hier even op en hoop voor het beste
prob met spyaxe al opgelost? raad je toch aan even ewido in veilige modus te doen, soms zal ie nog verschrikkelijk veel vinden, je weet maar nooit ;)

post ook eens een nieuw hijackthis logje

.Acku.

Legacy Member
Ja, was eerst koppig en had enkel eowid gedaan (na standaard hijackthis/spybot/adaware/norton in normal en pre-boot), hielp niet. Daarna enkel smifraud in normale modus, hielp even tot na reboot. Daarna smitfraud en adware/spybot in safe en dat leverde vorige logs op. Liever lui dan moe he?

Alles gaat wel totnutoe
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan