Halli hallo,

diese Woche ist recht schlecht gelaufen für mich. Erst muss ich meinen Hauptrechner neu aufsetzen, weil ich gehäuft Bluescreens bekomme, dann fange ich mir auf dem LapTop PSGuard ein -.-

Ich habe mir ettliche Posts zum Thema PSGuard angesehen und bin fast verzweifelt daran, denn scheinbar scheinen eure Rechner noch zu laufen, nachdem die Infektion erfolgt ist.

Ich habe PSGuard zunächst für "aggressive Werbung" gehalten und im Programm die Autostartfunktion abgestellt.
Nach dem nächsten Reboot ging dann garnichts mehr:

Sobald mein Schleppi startet, friert der Bildschirm mit Ausnahme der Maus ein, ich kann keine Icons anklicken und nicht die Taskleiste öffnen. Alles, was noch möglich ist, ist der Task-Manager, in dem ich die Maus auch wieder normal benutzen kann. Dort habe ich folgende drei Dateien als Virus identifiziert: nvctrl.exe, mssearchnet.exe und intell32.exe.
Wenn ich den Rechner runterfahren will, meldet er Probleme damit, den Explorer zu beenden, an dieser Stelle darf ich ihm dann freundlicher Weise manuell "sofort beenden" sagen, jedoch hat mich diese Fehlermeldung dazu veranlasst, den Explorer mal im Task-Manager zu beenden.
Daraufhin sind natürlich die Taskleiste und alle Icons verschwunden und mein Hintergrundbild wieder aufgetaucht (hatte ich erwartet), wenn ich dann unter Datei/Neuer Task wieder explorer.exe aufrufe, habe ich sogar etwa drei Sekunden Zeit, Icons anzuklicken, was mich aber nicht so wahnsinnig weiterbringt, da ich keine Analysetools auf dem Rechner habe, wie sie hier benutzt werden.

Im Abgesicherten Modus übrigens das gleiche Spiel, lediglich der Abgesicherte Modus, in dem nur die Eingabeaufforderung zur Verfügung steht, hat mir etwas weitergeholfen (hoffe ich), ich habe alle Dateien und Verzeichnisse gelöscht, die psguard in ihrem Namen trugen, oder sich in einem entsprechenden Verzeichnis befanden, sowie die nvctrl.exe und die mssearchnet.exe (und dieses nervige Wallpaper von wegen "Ihr System ist in Gefahr, kaufen sie sofort das Tool, mit dem sie sich installiert haben! *mwahahahaha*" (sinngemäß))

Leider habe ich immernoch das Problem mit dem nicht zu benutzenden Desktop.
Ich würde gerne mehr Informationen liefern, aber zum einen kenne ich mich nicht so sehr mit den Tiefen des Computers aus, zum anderen konnte ich selbst auch keine weiteren Informationen ergattern.

Besteht noch Hoffnung für den Rechner?
Er hat nur die Partition C:\ und es sind wichtige Daten für die Uni drauf :/

Achja: Was ich getan habe kurz vor der Infektion: Ich habe einen Codec installiert (wahrscheinlich habe ich mich damit selbst ans Messer geliefert, da es kein DivX oder XVid Codec ist und ich noch nie zuvor davon gehört hatte), vcodec oder so ähnlich müsste er geheißen haben.

greetz

AT-Colt, dessen normaler Rechner zumindest wieder auf Minimalbetrieb läuft...

Hallo AT-Colt,

das sollte helfen:
http://www.trojaner-board.de/showthread.php?t=21709

dartus

Hallo dartus,

erstmal danke für die schnelle Antwort.

Ich habe jetzt die Installer der in dem Thread beschriebenen Programme runtergeladen, auf CD gebrannt und auf den Laptop überspielt (und installiert).
Da ich nicht weiss, wie ich nur über Eingabeaufforderung mein Internet anschalte, konnte ich keine Updates runterladen, habe aber mal einfach so mit der Prozedur begonnen.

Leider scheint die RunThis.bat den explorer gestartet zu haben (Taskleiste und ein Desktopicon sind erschienen), so dass ich wieder nicht weiter komme :/

Nochmal kurz eine wichtige Bemerkung, damit sie nicht zu kurz kommt:
Ich kann keine Programme ausführen oder das Startmenü öffnen!

Mir fällt gerade folgendes ein:
Ich habe auf dem Desktop noch zwei Icons mit Security Troubleshooting und Security Safe Guard oder so, weiterhin benutze ich Windows XP.

greetz

AT-Colt

So, sorry 4 Doppelpost, aber ich wollte nochmal eine Zwischenmeldung geben und hoffe auf Rat.

RunThis.bat hat mir ettliche Dateien gelöscht, unter anderem auch die wininet.dll, danach konnte ich den Desktop wieder benutzen, aber weder Ad-Aware noch Spybot (vom Internet ganz zu schweigen).
Seit ich die wininet.dll wieder aufgespielt habe, besteht das alte Problem wieder, dass ich also keine Icons auf dem Desktop anklicken kann.

Wie soll ich denn nun an die Updates kommen, mit denen Ad-Aware und Co die Bedrohung beseitigen? Kann ich sie irgendwie mit einem anderen Rechner runterladen und auf CD auf den Laptop bringen? Wie sage ich den Programmen dann, dass sie die Updates nicht im Internet, sondern auf CD/Festplatte suchen sollen?

Ich bin so ein wenig verzweifelt...

greetz

AT-Colt

Zitat:

Seit ich die wininet.dll wieder aufgespielt habe

Welche hast du wieder aufgespielt?
Den Infektionsherd oder hast du dir die originale wininet.dll aufgespielt?

Du kannst die updates für Spybot hierrunterladen.
http://www.spybotupdates.com/updates...d_includes.exe
Einfach auf die CD brennen und auf dem infizierten rechner ausführen. Da sind die detection rules drin. Spybot muss natürlich beendet sein.

Für Adaware:
Downloade das zip archiv http://download.lavasoft.de.edgesuit...ublic/defs.zip
entpacken und dann ins programm verzeichins von Adaware kopieren. Wenn er wegen überschreiben nachfragt ja klicken.
Programmverzeichnis is:
C:\Programme\Lavasoft\Ad-Aware SE Personal\

Zitat:

Zitat von Gnmpf

Für Adaware:
Downloade das zip archiv http://download.lavasoft.de.edgesuit...ublic/defs.zip
entpacken und dann ins programm verzeichins von Adaware kopieren. Wenn er wegen überschreiben nachfragt ja klicken.
Programmverzeichnis is:
C:\Programme\Lavasoft\Ad-Aware SE Personal\

Ich hab ein sehr ähnliches Problem, und hier meine Frage:

Wie soll er die oben zitierten Aufgaben erledigen, wenn Desktop/Taskleiste nicht reagieren!?

Mit DOS!? Icb hab von DOS keinen schimmer, wo kann ich mir Infos holen?

Vielen Dank

Playit lese es nochmal:

Zitat:

RunThis.bat hat mir ettliche Dateien gelöscht, unter anderem auch die wininet.dll, danach konnte ich den Desktop wieder benutzen, aber weder Ad-Aware noch Spybot (vom Internet ganz zu schweigen).

Er und Du must Dir das auf anderen Rechner runterladen und dann per CD/FLOPPY/USB-Stick auf den anderen Rechenr transferieren.

Nach dem löschen/ersetzen von der wininet.dll funktioniert sein system bis auf das Internet wieder.