Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: iGuard

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 12.03.2005, 18:26   #1
tarhino
 
iGuard - Standard

iGuard



Hallo Leute,

hab ein Problem, wenn der Rechner hochfährt, dann läd sich automatisch ein Programm iGuard. Mein Desktophintergrund wird schwarz und man sieht Werbung für IGuard. Dann installiert sich selbstständig das Iguard Programm und man soll es natürlich kaufen, da der Computer infiziert ist.

Hier mein Lock, was soll ich tun ?
Habe CWSShredder, Ad-Aware, Spybot, Hotfix alles probiert nichts geholfen.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Trafficdetector3\TrafficdetectorV3.exe
C:\Programme\Trafficdetector3\catcher_.exe
C:\Programme\Trafficdetector3\SpeedMinifenster.exe
C:\Programme\Trafficdetector3\minifenster.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\Niko\LOKALE~1\Temp\tmp4F.tmp
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Niko\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Registration-Studio 8 SE.lnk = C:\Programme\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Startup: winupdate15519146[1].exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Trafficdetector.lnk = C:\Programme\Trafficdetector3\TrafficdetectorV3.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: Microsoft AntiSpyware helper (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper (HKCU)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E550099E-3812-4DF9-8E2A-F46885CE30F6}: NameServer = 217.237.150.141 217.237.150.97

Alt 12.03.2005, 19:21   #2
tarhino
 
iGuard - Standard

iGuard



Leute bitte helft mir, keiner da der sich damit auskennt.
__________________


Alt 12.03.2005, 19:39   #3
Cidre
Administrator, a.D.
 
iGuard - Standard

iGuard



Hallo,

Das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den von dir erstellten Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und deinstalliere unter Software Security iGuard.

Fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Startup: winupdate15519146[1].exe

Lösche diese Dateien:
Ordner C:\Programme\Security iGuard
C:\WINDOWS\System32\spoolsrv32.exe
winupdate15519146[1].exe
C:\DOKUME~1\Niko\LOKALE~1\Temp\tmp4F.tmp

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html
- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues vollständiges Log-File von HijackThis und die Virus Log Information von eScan posten
__________________
__________________

Alt 12.03.2005, 22:52   #4
tarhino
 
iGuard - Standard

iGuard



Hi,

danke für deinen Tip, nur eine Frage, wie lösche ich denn c:/dokume~1/Niko/LOKALE~1/TEMP/tmp4F.tmp

wo finde ich das, habe keinen solchen Ordner ?
Die suche hat auch nichts gebracht.

Alt 12.03.2005, 22:57   #5
Cidre
Administrator, a.D.
 
iGuard - Standard

iGuard



Nimm diese Einstellung vor und lösche die Datei:
Windows Explorer (Win Taste +E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

__________________
Gruß, Cidre


Alt 13.03.2005, 13:02   #6
tarhino
 
iGuard - Standard

iGuard



Hi,

hab alles so gemacht wie von dir angegeben.
Es gibt aber noch ein Problem, ich habe immer noch eine reisenWerbung (kompletter Desktophintergrund von IGuard), der Rechner fährt auch etwas langsamer hoch,zuerst ist der normale Desktophintergrund zu sehen, und dann gleichzeitig mit den Symbolen wird der IGuard Hintergrund geladen, wie bekomme ich das jetzt noch weg ?

Hier ein Log-File mit der neuesten Versin von Hijack. Habe manuell alle Dateien entfernt, die e-scan gefunden hat. Ist alles sauber.

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Trafficdetector3\TrafficdetectorV3.exe
C:\Programme\Trafficdetector3\catcher_.exe
C:\Programme\Trafficdetector3\SpeedMinifenster.exe
C:\Programme\Trafficdetector3\minifenster.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Niko\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Registration-Studio 8 SE.lnk = C:\Programme\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Trafficdetector.lnk = C:\Programme\Trafficdetector3\TrafficdetectorV3.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Microsoft AntiSpyware helper - {2600B5B6-AF6C-4AD0-AE66-4683FFBDF5A7} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {2600B5B6-AF6C-4AD0-AE66-4683FFBDF5A7} - (no file) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {A2FD19AF-7802-4FF6-A052-BE57FE4C1621} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {A2FD19AF-7802-4FF6-A052-BE57FE4C1621} - (no file) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {FFE5F178-FDE7-453A-957D-F6E03C0690FE} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {FFE5F178-FDE7-453A-957D-F6E03C0690FE} - (no file) (HKCU)
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1110652478140
O17 - HKLM\System\CCS\Services\Tcpip\..\{E550099E-3812-4DF9-8E2A-F46885CE30F6}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Alt 13.03.2005, 13:37   #7
Cidre
Administrator, a.D.
 
iGuard - Standard

iGuard



Zitat:
(kompletter Desktophintergrund von IGuard)...
Unter Eigenschaften von Anzeige -> Desktop -> Desktop anpassen -> Web -> alle Haken entfernen bzw. löschen -> OK.
__________________
Gruß, Cidre


Alt 13.03.2005, 15:06   #8
tarhino
 
iGuard - Standard

iGuard



Vielen Dank,

alles geht wieder. Tolles Forum, super Hilfe.

Antwort

Themen zu iGuard
ad-aware, adobe, antispyware, avg, computer, dll, einstellungen, excel, helper, hijack, icqtoolbar, infiziert, internet, internet explorer, nvcpl.dll, object, problem, programm, programme, rundll, security, shockwave, sich automatisch, software, sun java, system, temp, werbung, windows, yahoo



Ähnliche Themen: iGuard


  1. security iGuard, Spys u. Hijackthis
    Plagegeister aller Art und deren Bekämpfung - 15.06.2005 (1)
  2. Mein System läuft nicht mehr stabil nach Entfernung IGUARD
    Log-Analyse und Auswertung - 06.06.2005 (8)
  3. 1. Security iGuard, Win min, und Hijacker Alarm!
    Log-Analyse und Auswertung - 23.05.2005 (5)
  4. Security Iguard
    Log-Analyse und Auswertung - 12.05.2005 (12)
  5. Security iGuard
    Plagegeister aller Art und deren Bekämpfung - 23.03.2005 (4)
  6. Security iGuard, Bitte um Hilfe!!!
    Log-Analyse und Auswertung - 19.03.2005 (1)

Zum Thema iGuard - Hallo Leute, hab ein Problem, wenn der Rechner hochfährt, dann läd sich automatisch ein Programm iGuard. Mein Desktophintergrund wird schwarz und man sieht Werbung für IGuard. Dann installiert sich selbstständig - iGuard...
Archiv
Du betrachtest: iGuard auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.