Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Psguard

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.06.2005, 01:09   #1
mikrobe
 
Psguard - Frage

Psguard



Hallo zusammen,

kennt irgendwer ein Program namens "Psguard", daß heute nach dem Öffnen meiner Mails (keine gelesen, keine Anhänge geöffnet!) plötzlich auf meinem Desktop aufgetaucht ist?

Danach gingen meine Probleme los...

Den Tip von Cronos bzgl. Smitfraud.c arbeite ich morgen ab, den hab ich nämlich live und in Farbe - blauer natürlich!

Aber woher kommt dieses Psguard?

Danke und Gruß

Mikrobe

Alt 15.06.2005, 03:01   #2
cronos
 
Psguard - Standard

Psguard



Arbeite zuallerst mal meine Übersetzung durch.
Danach könntest du die Ergebnisse des Escan mitteilen und zusätzlich einen Hijackthis-Log .
Dann sehen wir weiter.
__________________

__________________

Geändert von cronos (15.06.2005 um 03:15 Uhr)

Alt 15.06.2005, 10:32   #3
mikrobe
 
Psguard - Standard

Psguard



Hallo cronos,

hier der Hijack:

Logfile of HijackThis v1.99.0
Scan saved at 11:30:01, on 15.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://winsearchassistant.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://portal.1und1.de/de/themen/?__rd=ac1704c1XQW8V5OuPx5ihizsOlReiC9g&ucuoId=MX.EUE.DE-20050614123531-e6fb9229855695c5ab045786e22d5d25-S1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe"
O4 - HKCU\..\Run: [1&1 EasyLogin] "C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game11.zylom.lycos.de/activex/zylomgamesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - h**p://game13.zylom.lycos.de/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{83EDFA4B-E4E6-4DD6-9295-6366EA9B9943}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe


Habe mit dem Support auf Anitvir schon ´ne ganze Reihe seltsame Einträge gelöscht...

Melde Dich, falls ich ein älteres Log posten soll.

Jetzt mache ich mich mal an Deine Arbeitsanleitung.
Scheiße ist, daß ich nicht mehr drucken kann, ging gestern noch...

Grüße
Mikrobe
__________________

Geändert von mikrobe (19.06.2005 um 12:35 Uhr)

Alt 15.06.2005, 23:06   #4
mikrobe
 
Psguard - Ausrufezeichen

Psguard



Hallo cronos,

hier die 2. Escan-Ergebnisse (ich krieg den wininet.dll trotz mehrerer Versuche nicht gelöscht!!!):

Wed Jun 15 21:07:44 2005 => File C:\WINDOWS\system32\WININET.dll infected by "Virus.Win32.Nsag.a" Virus! Action Taken: No Action Taken.
Wed Jun 15 22:07:35 2005 => File C:\WINDOWS\system32\wininet.dll infected by "Virus.Win32.Nsag.a" Virus! Action Taken: No Action Taken.
Wed Jun 15 22:06:03 2005 => File C:\WINDOWS\system32\iasada.dll tagged as "not-a-virus:AdWare.ToolBar.Azesearch.b". Action Taken: No Action Taken.
Wed Jun 15 21:23:30 2005 => File C:\isp\AOL\Preload.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Wed Jun 15 21:23:24 2005 => File C:\Downloads\RasEmpire_FullSetup-dm[1].exe tagged as "not-a-virus:AdWare.Trymedia.a". Action Taken: No Action Taken.
Wed Jun 15 21:21:17 2005 => File C:\Dokumente und Einstellungen\Zeitler4711\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\power_chips.jar-ed330f-3a058463.zip tagged as not-a-virus:Garbage.Java.FormURLToy. No Action Taken.
Wed Jun 15 21:20:59 2005 => File C:\Dokumente und Einstellungen\Zeitler4711\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\equilibrium.jar-3a651dd9-5d0dc616.zip tagged as not-a-virus:Garbage.Java.FormURLToy. No Action Taken.
Wed Jun 15 21:20:52 2005 => File C:\Dokumente und Einstellungen\Zeitler4711\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\chainz.jar-3cc82104-4501cdb1.zip tagged as not-a-virus:Garbage.Java.FormURLToy. No Action Taken.
Wed Jun 15 21:20:51 2005 => File C:\Dokumente und Einstellungen\Zeitler4711\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\avalanche.jar-40baa640-59b219f9.zip tagged as not-a-virus:Garbage.Java.FormURLToy. No Action Taken.

Diese dämliche wininet ist dummerweise mit smitfraud...


Die Adwares findet Ad-Aware nicht!!! Kann ich die manuell löschen?

Dies ist der aktuelle Hijack:

Logfile of HijackThis v1.99.0
Scan saved at 00:02:56, on 16.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://portal.1und1.de/de/themen/?__rd=ac1704c1XQW8V5OuPx5ihizsOlReiC9g&ucuoId=MX.EUE.DE-20050614123531-e6fb9229855695c5ab045786e22d5d25-S1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe"
O4 - HKCU\..\Run: [1&1 EasyLogin] "C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game11.zylom.lycos.de/activex/zylomgamesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - h**p://game13.zylom.lycos.de/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{83EDFA4B-E4E6-4DD6-9295-6366EA9B9943}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe


Ansonsten hab ich alles brav befolgt, aber mein Bluesscreen ist immer noch aktiv!

Achja, Cleanup fand ich echt interessant!

Gruß

Mikrobe

Geändert von mikrobe (19.06.2005 um 12:34 Uhr)

Alt 15.06.2005, 23:30   #5
cronos
 
Psguard - Standard

Psguard



Wegen dieser Datei:

WININET.dll

Scanne dein System hier .Dies sollte die Datei desinfizieren.
Die anderen Funde kannst du falls noch vorhanden manuell mit Killbox löschen.


Zitat:
Lade und öffne KillBox. Kopiere den Pfad der Malware Datei z.B. C:\WINDOWS\system32\fltmgr.dll -> füge diesen in KillBox ein -> wähle die Option 'Delete on reboot' -> rotes X anklicken -> die zwei folgenden Fragen mit 'JA' und 'NEIN' beantworten -> nächsten Pfad einfügen usw. -> wenn du bei der letzten Datei angekommen bist, dann beantworte beide Fragen mit 'JA' und ein Neustart deines Systems wird durchgeführt.
Melde dich dann mit einen neuen HJT-Log (aber bitte von der aktuellen Version )

__________________
Only cronos endures

Alt 16.06.2005, 01:07   #6
mikrobe
 
Psguard - Standard

Psguard



Hallo cronos,

panda fand ihn, disinfected ihn und nach jedem Neustart war er immer noch da!

Hier der Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 02:04:24, on 16.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Virustod\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://portal.1und1.de/de/themen/?__rd=ac1704c1XQW8V5OuPx5ihizsOlReiC9g&ucuoId=MX.EUE.DE-20050614123531-e6fb9229855695c5ab045786e22d5d25-S1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe"
O4 - HKCU\..\Run: [1&1 EasyLogin] "C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game11.zylom.lycos.de/activex/zylomgamesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - h**p://game13.zylom.lycos.de/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{83EDFA4B-E4E6-4DD6-9295-6366EA9B9943}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Aber immerhin bin ich dank Panda einige Adwares los, die ich dann per killbox enfernt habe...

Tja, fällt Dir noch was ein? Soll ich`s mal manuell versuchen?

Danke Micha

Geändert von mikrobe (17.06.2005 um 11:44 Uhr)

Alt 16.06.2005, 01:23   #7
cronos
 
Psguard - Standard

Psguard



Poste mal die Log-Datei von Panda.
Hast du auch folgende Datei auf deinem PC:

C:\WINDOWS\ServicePackFiles\i386\wininet.dll ?

Wenn ja überprüfe, hier ob diese sauber ist.
Teile das Ergebnis mit. Wenn diese sauber ist, haben wir schon fast gewonnen.
Insofern nichts gefunden wurde solltest du im abgesicherten Modus bei deaktivierter Systemwiederherstellung folgendes versuchen:

1.Kopiere diese Datei :
C:\WINDOWS\ServicePackFiles\i386\wininet.dll
und ersetze durch diese (Copy&Paste) eben diese:

C:\WINDOWS\System32\wininet.dll

Du wirst gefragt werden, ob du die bestehende ersetzen willst.Beantworte das mit ja.
2.Sollte sich C:\WINDOWS\System32\wininet.dll aufgrund einer Fehlermeldung nicht ersetzen lassen, benenne diese Datei zunächst um.
Kopiere dann die C:\WINDOWS\ServicePackFiles\i386\wininet.dll in folgenden Ordner: C:\WINDOWS\System32.
Boote neu, überprüfe die neu erstellte Datei bei Jotti und melde dich dann erneut mit den Ergebnissen.
__________________
Only cronos endures

Geändert von cronos (16.06.2005 um 02:03 Uhr)

Alt 16.06.2005, 10:10   #8
mikrobe
 
Psguard - Standard

Psguard



Hallo cronos,

also, die i386/wininet.dll ist sauber.

Wie von Dir vermutet konnte ich sie nicht direkt kopieren, liegt jetzt unter neuem Namen in System32, nach reboot auch noch sauber.

Lasse gerade nochmal Panda laufen (um´s abzukürzen nur Verzeichnis System 32), Ergebnis:



Incident Status Location

Virus:W32/Smitfraud.A Disinfected C:\WINDOWS\system32\wininet.dll


Achja, habe natürlich die Datei noch nicht ersetzt!!!

Traue mich ohne Dein go ehrlichgesagt nicht!

Danke

Mikrobe

Alt 16.06.2005, 17:21   #9
cronos
 
Psguard - Standard

Psguard



Du solltest diese Datei umbenennen:

C:\WINDOWS\System32\wininet.dll

In den System32 Ordner solltesst du dann diese :

C:\WINDOWS\ServicePackFiles\i386\wininet.dll

kopieren, natürlich unter Beibehaltung des Namens (wininet.dll).

Aber mein "Go" hast du.
__________________
Only cronos endures

Alt 16.06.2005, 17:44   #10
mikrobe
 
Psguard - Standard

Psguard



Hallo cronos,

hab ich gemacht!

Und wie geht´s weiter?

Gruß

Micha

P.S.: Umbenannte Datei (der Smitfraud) noch nicht gelöscht!

Alt 16.06.2005, 17:51   #11
cronos
 
Psguard - Standard

Psguard



Jetzt neustarten.
Ist der PSGuard-Ordner noch vorhanden?
__________________
Only cronos endures

Geändert von cronos (16.06.2005 um 18:04 Uhr)

Alt 16.06.2005, 18:20   #12
mikrobe
 
Psguard - Standard

Psguard



Hier die Sucheergebnisse:

Psguardinstall.exe-09f5941f.pf im Ordner C:Windows/Prefetch


Mikrobe

Alt 16.06.2005, 18:28   #13
cronos
 
Psguard - Standard

Psguard



Diese Datei noch im abgesicherten Modus bei deaktivierter Systemwiederherstellung löschen.
Auch die umbenannte Datei löschen, dann wieder normal booten
Hast du schon einen Neustart gemacht nachdem du die WININET.DLL kopiert hast? und war das Problem noch vorhanden.
Sonst erledige das jetzt alles in einem Abwasch.
__________________
Only cronos endures

Alt 16.06.2005, 18:43   #14
mikrobe
 
Psguard - Daumen hoch

Psguard



Du bist der Grösste!!!

Juhu, ich funktioniere wieder!

Ich hab gerade beim Hochfahren im Normalmodus echt die Daumengedrückt!!!

Vielen vielen Dank!

Du solltest die Tipps, die Du mir gegeben hast, auch den anderen Kandidaten geben, die so mit Smitfraud ihre Probleme haben!

Vielleicht ist denen damit auch geholfen!

Danke und Grüße

Micha

Alt 16.06.2005, 19:38   #15
cronos
 
Psguard - Standard

Psguard



Das freut mich doch zu hören.
Scanne dein System nochmal abschliessend mit Escan, teile uns die Ergebnisse mit. Poste abschliessend erneut einen Hijackthis-Log.
Editiere aber bitte diesmal die aktiven Links( mach aus http-->h**p) und nimm das nachträglich auch für die anderen von dir geposteten HJT-Logs vor.
__________________
Only cronos endures

Antwort

Themen zu Psguard
anhänge, aufgetaucht, blauer, cronos, desktop, farbe, hallo zusammen, heute, hänge, live, mails, morgen, namens, natürlich, plötzlich, probleme, program, psguard, zusammen




Ähnliche Themen: Psguard


  1. Psguard Winhound ??
    Log-Analyse und Auswertung - 28.02.2007 (3)
  2. Psguard und MRU List
    Plagegeister aller Art und deren Bekämpfung - 20.11.2006 (1)
  3. PSGuard
    Log-Analyse und Auswertung - 17.01.2006 (3)
  4. PSGuard und Screenfreeze
    Plagegeister aller Art und deren Bekämpfung - 31.10.2005 (7)
  5. PSGuard?!
    Plagegeister aller Art und deren Bekämpfung - 08.10.2005 (9)
  6. PSguard-Zusammenfassung
    Plagegeister aller Art und deren Bekämpfung - 27.09.2005 (2)
  7. Smitfraud+PSGuard
    Log-Analyse und Auswertung - 21.09.2005 (4)
  8. PSGuard
    Plagegeister aller Art und deren Bekämpfung - 12.09.2005 (22)
  9. psguard, was jetzt?
    Log-Analyse und Auswertung - 31.08.2005 (13)
  10. Trojaner PSGuard
    Plagegeister aller Art und deren Bekämpfung - 24.08.2005 (6)
  11. PSGuard, W32/Nsag.B und Co.
    Plagegeister aller Art und deren Bekämpfung - 22.08.2005 (9)
  12. psguard
    Plagegeister aller Art und deren Bekämpfung - 18.08.2005 (1)
  13. PSGuard... und sonstiger Sch...
    Plagegeister aller Art und deren Bekämpfung - 11.08.2005 (5)
  14. psguard
    Plagegeister aller Art und deren Bekämpfung - 07.08.2005 (1)
  15. PSguard is zum *****
    Plagegeister aller Art und deren Bekämpfung - 06.08.2005 (1)
  16. Psguard.com
    Plagegeister aller Art und deren Bekämpfung - 22.07.2005 (2)
  17. und wieder mal PSGuard...
    Log-Analyse und Auswertung - 21.07.2005 (2)

Zum Thema Psguard - Hallo zusammen, kennt irgendwer ein Program namens "Psguard", daß heute nach dem Öffnen meiner Mails (keine gelesen, keine Anhänge geöffnet!) plötzlich auf meinem Desktop aufgetaucht ist? Danach gingen meine Probleme - Psguard...
Archiv
Du betrachtest: Psguard auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.