Hallo, ich bin sammy und völlig neu hier. ich bin auf dieses Forum gestossen, bzw. auf diese Website, weil ich einen trojaner habe, den ich nicht wieder loswerde. ich bin bald am verzweifeln.
wer kann mir helfen? folgendes meldet mein antiVir:

TR/Startpage.qr.dll (meistens gleich beim starten des PCs ansonsten beim Starten von AOL)
mein PSguard lokalisiert zwei trojaner, kann aber nur einen entfernen, und der taucht aber nach einem neustart immer wieder auf.
HKEY_LOCAL_MASCHINE....

kann mir jemand einen Rat geben? ich sitze hier schon fast drei stunden.
vielen lieben dank
sammy : )

Hallo sammy,

poste bitte ein Hijackthis-Logfile
Editiere bitte sämtlicht Links und persönliche Angaben (z.B. Eigennamen)

dartus

Logfile of HijackThis v1.99.1
Scan saved at 12:33:19, on 13.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\PSGuard\PSGuard.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Dokumente und Einstellungen\sandra\Eigene Dateien\Eigene Musik\iTunesHelper.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\AOL 9.0b\aoltray.exe
C:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\AOL 9.0b\waol.exe
C:\Programme\AOL 9.0b\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\System32\rundll32.exe
C:\Dokumente und Einstellungen\sandra\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\sandra\LOKALE~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\sandra\LOKALE~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: (no name) - {7213C4E3-0ED2-451F-BD67-EFA7616CFB6F} - C:\WINDOWS\System32\baci.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: (no name) - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - (no file)
O2 - BHO: (no name) - {FFFFDA2C-A0D5-4D60-8EE1-1B7F8929E24D} - C:\Programme\Lycos\sst.dll
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {5AA06644-BC46-4220-A460-47A6EB47C96D} - (no file)
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Dokumente und Einstellungen\sandra\Eigene Dateien\Eigene Musik\iTunesHelper.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0b\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096670502634
O16 - DPF: {E04EAE82-14AD-41CB-BF5A-45556ABB8347} (WebCoachDownload Class) - http://esupport.aol.de/de/engine/aolcinst_de_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{58837FCD-1C87-4C30-AD5B-B982FA994E62}: NameServer = 205.188.146.145
O18 - Filter: text/html - {9766F1B6-B8FE-478D-8131-8A2B0280851B} - C:\WINDOWS\System32\baci.dll
O18 - Filter: text/plain - {9766F1B6-B8FE-478D-8131-8A2B0280851B} - C:\WINDOWS\System32\baci.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: tcpGDC - tcpGDC.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

hallo, ich habe jetzt ein HijackThis runtergeladen und einen scan mit logfile gemacht, dieses kopiert und hier eingefügt.
es kommt vom antiVir immer wieder warnung. ich dreh gleich durch.
übrigens die warnung betrifft: C:\Dokumente~1\Sandra\Lokale~1\Temp\se.dll und
C:\windows\Temp\se.dell

ich habe eure methode der trojaner-vernichtung über "start-suchen-löschen" schon probiert, es klappt einfach nichts. ich bin leihe in sachen informatik, d.h. ich weiss zwar was ich ungefähr für ein problem habe, aber in sachen vernichtung brauche ich dringend hilfe.
ich hoffe die angaben sind ok und helfen weiter. ich danke erstmal für die schnelle antwort von vorhin.
lg
sammy : )

Hallo sammy,

lade Dir den Cleaner und starte ihn.

Wo hast Du "PSGuard.exe" her?
Die Datei steht seit einiger Zeit in Verbindung mit dieser Malware .
Überprüfe die Datei mal hier und poste das Ergebnis:
http://virusscan.jotti.org/de

Neben dem Scanergebnis poste auch ein neues Logfile nach Einsatz des Cleaners, da wir noch nicht ganz fertig sind.

dartus

@ sammy

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

und wieso bist du noch mit dem alten Zeug unterwegs?

Du solltest unbedingt Dein System updaten
Windowsupdate oder CD-Bestellung SP2

hallo dartus,

vielen lieben dank erstmal für deine schnelle hilfe. - der antiVir hat mir nachdem ich den cleaner gestartet hatte, keine warnung mehr gebracht. der ps guard allerdings kann diese datei von der ich vorhin schrieb, noch immer nicht entfernen. info:HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shareddlls\c:WINDOWS\Downloaded Program Files\ieloader\dll.
wow das ist ein ding wa? also diese Datei kann er nicht entfernen, zeigt sie aber immer wieder an. also muss irgenwo in meinem pc was versteckt sein, alles andre haut er mir raus. irgendeine idee?
hier nochmal das aktuelle logfile:

Logfile of HijackThis v1.99.1
Scan saved at 17:20:12, on 13.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\PSGuard\PSGuard.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Dokumente und Einstellungen\sandra\Eigene Dateien\Eigene Musik\iTunesHelper.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\AOL 9.0b\aoltray.exe
C:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE
C:\Programme\AOL 9.0b\waol.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\AOL 9.0b\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Dokumente und Einstellungen\sandra\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\sandra\LOKALE~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\sandra\LOKALE~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: (no name) - {CC9598B1-4FE1-43A7-83C6-E962CFE25F43} - C:\WINDOWS\System32\baci.dll (file missing)
O2 - BHO: (no name) - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - (no file)
O2 - BHO: (no name) - {FFFFDA2C-A0D5-4D60-8EE1-1B7F8929E24D} - C:\Programme\Lycos\sst.dll
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {5AA06644-BC46-4220-A460-47A6EB47C96D} - (no file)
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Dokumente und Einstellungen\sandra\Eigene Dateien\Eigene Musik\iTunesHelper.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0b\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096670502634
O16 - DPF: {E04EAE82-14AD-41CB-BF5A-45556ABB8347} (WebCoachDownload Class) - http://esupport.aol.de/de/engine/aolcinst_de_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{58837FCD-1C87-4C30-AD5B-B982FA994E62}: NameServer = 205.188.146.145
O18 - Filter: text/html - {0A1F49D5-F91A-4185-90E0-6266A8A356EC} - C:\WINDOWS\System32\baci.dll
O18 - Filter: text/plain - {0A1F49D5-F91A-4185-90E0-6266A8A356EC} - C:\WINDOWS\System32\baci.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: tcpGDC - tcpGDC.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

zu ps guard: als mein computer infiziert war, zeigte mir die startleiste ein symbol mit einem kreuz, mit den worten: schützen sie sich vor viren und spyware. als ich dieses anklickte, kam ich zur ps Guard - seite. dort habe ich mich etwas umgeschaut und dann für $9,95 diesen monat, das programm geladen. hatte denen allerdings geschrieben, dass ich es erstmal testen will den 1. monat und sie es danach canceln sollen, da das programm ja eigentlich teurer ist...
ich hoffe ich konnte dir helfen, danke dir nochmal!!!
lg
sammy

hallo gigamail,

danke für den tipp, ich werde beim nächsten start das zeichen "windowsupdate" nicht beiseite schieben, sondern es laden.
ist das denn wirklich so wichtig?
bis bald,
sammy : )

hallo dartus,

upsi, also ich klickte wegen der psguard-sache auf deinen link zum checken der datei, gab also PSguard.exe ein und bestätigte.
dies war die antwort:

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

hilfe. meine güte, man merkt erstmal jetzt, dass man völliger leihe in sachen compi ist, obwohl ich schon so lange mit computern arbeite....
na jedenfalls 0 bytes geht doch gar nicht, oder doch?
lg
sammy : )

hallo dartus,

habs nochmal versucht und gesehen, ich habs nicht ganz richtig gemacht. sorry. also hier das ergebnis:

Datei: PSGuard.exe
Status: VIELLEICHT INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Adware/PsGuard.A gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

so jetzt ist der fachmann gefragt...
lg
sammy : )

Da bist du leider den Malwareschreibern auf den Leim gegangen, Ziel der Malware auf deinem PC war es u.a., das du das Programm PSGuard kaufst.

Zitat:

These kind of messages attempt to trick users into purchasing the fake antispyware program.
Quelle:http://www.antivirusworld.com/articl.../smitfraud.php

Gehe nun wie folgt vor:

Lasse den Cleaner (siehe Dartus´Posst) im abgesicherten Modus bei deaktivierter Systemwiederherstellung (http://www.systemwiederherstellung-d...indows-xp.html) laufen.
Nach dem Neustart wechsle wieder in den abgesicherten Modus und versuche aus diesem Thread :

http://www.trojaner-board.de/showthread.php?t=17863


noch abzuarbeiten, was möglich ist, da ich nicht weiß, was PSGuard alles bei dir entfernt hat.
Lösche in jedem Fall auch diese Dateien:

C:\Programme\PSGuard\PSGuard.exe
C:\WINDOWS\SYSTEM32\igfxsrvc.dll


Repariere deine infizierte wininet.dll folgendermaßen:

Benenne diese Datei:

C:\WINDOWS\System32\wininet.dll, z.B. in wininent-backup.dll um.

Kopiere nun folgende Datei :

C:\WINDOWS\ServicePackFiles\i386\wininet.dll

in den Ordner:

C:\WINDOWS\System32

War das erfolgreich, lösche die umbenannte Datei.

Scanne dein System im abgesicherten Modus mit Escan:

http://www.trojaner-board.de/showthread.php?t=17492

und teile uns die Ergebnisse mit.

Hallo sammy,

merke Dir für die Zukunft, dass man oder frau nicht alles anklickt und ausführt, was auf dem Bildschirm erscheint. Es sei denn, dass das Programm Dir 100%ig bekannt ist.

dartus

hi cronos

hallo dartus,

erstmal vielen lieben dank für deinen schnellen rat. also ja, ich bin eine frau. das psguard sah mir gut aus, dachte das wäre was gutes für meinen pc. hallo cronus, danke dir für den Tipp. in zukunft werde ich wohl genauer hinschauen. man ist halt zu leichtgläubig...

wie auch immer, da ich früh arbeiten muss und ich übermorgen umziehe, mache ich das sobald wie möglich, versuche es schon morgen. ich melde dir das ergebnis sobald ich kann.
lg und ihr seid klasse.
sammy :aplaus:

ps. keine trojanerwarnung mehr. juhu

Zitat:

Zitat von cronos

Scanne dein System im abgesicherten Modus mit Escan:

http://www.trojaner-board.de/showthread.php?t=17492

und teile uns die Ergebnisse mit.

hi sammy,

ich denke, cronos und dartus können dir nachhaltig besser helfen, wenn du den o.g. zitierten punkt auf JEDEN fall noch abarbeitest......

Hi,

ich bin auf euch gestoßen, da mein Mann ebenfalls PSGuard auf seinem Rechner hat. Dieses Ding stört ständig. Es blockiert blinkend den Desktop und verlangsamt den Rechner. Mein Mann muß es sich gestern eingefangen haben und ich versuche seit Std. das Biest zu lokalisieren. Alles was aufindbar und lesbar mit PsGuard zu tun hat, habe ich gelöscht. Spybot, G-Data und auch der Cleaner haben das Luder noch nicht killen können.

Ich habe mir die voehergegangenen Postings durchgelesen, komme aber irgendwie nicht weiter. Mag mir jemand von euch helfen ?

Danke und lieben Gruß Alexandra