HILFE, wer kann mir helfen? Hallo, ich bin sammy und völlig neu hier. ich bin auf dieses Forum gestossen, bzw. auf diese Website, weil ich einen trojaner habe, den ich nicht wieder loswerde. ich bin bald am verzweifeln. :heulen: wer kann mir helfen? folgendes meldet mein antiVir: TR/Startpage.qr.dll (meistens gleich beim starten des PCs ansonsten beim Starten von AOL) mein PSguard lokalisiert zwei trojaner, kann aber nur einen entfernen, und der taucht aber nach einem neustart immer wieder auf. HKEY_LOCAL_MASCHINE.... kann mir jemand einen Rat geben? ich sitze hier schon fast drei stunden. :( vielen lieben dank sammy : ) |
Hallo sammy, poste bitte ein Hijackthis-Logfile Editiere bitte sämtlicht Links und persönliche Angaben (z.B. Eigennamen) dartus |
Logfile of HijackThis v1.99.1 Scan saved at 12:33:19, on 13.07.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\SCardSvr.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\PSGuard\PSGuard.exe C:\Programme\QuickTime\qttask.exe C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE C:\Dokumente und Einstellungen\sandra\Eigene Dateien\Eigene Musik\iTunesHelper.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\NCLAUNCH.EXe C:\Programme\Spyware Doctor\swdoctor.exe C:\Programme\AOL 9.0b\aoltray.exe C:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE C:\WINDOWS\System32\wbem\wmiprvse.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\AOL 9.0b\waol.exe C:\Programme\AOL 9.0b\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\WINDOWS\System32\rundll32.exe C:\Dokumente und Einstellungen\sandra\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\sandra\LOKALE~1\Temp\se.dll/space.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\sandra\LOKALE~1\Temp\se.dll/space.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file) O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: (no name) - {7213C4E3-0ED2-451F-BD67-EFA7616CFB6F} - C:\WINDOWS\System32\baci.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O2 - BHO: (no name) - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - (no file) O2 - BHO: (no name) - {FFFFDA2C-A0D5-4D60-8EE1-1B7F8929E24D} - C:\Programme\Lycos\sst.dll O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: (no name) - {5AA06644-BC46-4220-A460-47A6EB47C96D} - (no file) O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [iTunesHelper] "C:\Dokumente und Einstellungen\sandra\Eigene Dateien\Eigene Musik\iTunesHelper.exe" O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0b\aoltray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096670502634 O16 - DPF: {E04EAE82-14AD-41CB-BF5A-45556ABB8347} (WebCoachDownload Class) - http://esupport.aol.de/de/engine/aolcinst_de_de.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{58837FCD-1C87-4C30-AD5B-B982FA994E62}: NameServer = 205.188.146.145 O18 - Filter: text/html - {9766F1B6-B8FE-478D-8131-8A2B0280851B} - C:\WINDOWS\System32\baci.dll O18 - Filter: text/plain - {9766F1B6-B8FE-478D-8131-8A2B0280851B} - C:\WINDOWS\System32\baci.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: tcpGDC - tcpGDC.dll (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe hallo, ich habe jetzt ein Hijackthis runtergeladen und einen scan mit logfile gemacht, dieses kopiert und hier eingefügt. es kommt vom antiVir immer wieder warnung. ich dreh gleich durch. übrigens die warnung betrifft: C:\Dokumente~1\Sandra\Lokale~1\Temp\se.dll und C:\windows\Temp\se.dell ich habe eure methode der trojaner-vernichtung über "start-suchen-löschen" schon probiert, es klappt einfach nichts. ich bin leihe in sachen informatik, d.h. ich weiss zwar was ich ungefähr für ein problem habe, aber in sachen vernichtung brauche ich dringend hilfe. ich hoffe die angaben sind ok und helfen weiter. ich danke erstmal für die schnelle antwort von vorhin. lg sammy : ) |
Hallo sammy, lade Dir den Cleaner und starte ihn. Wo hast Du "PSGuard.exe" her? Die Datei steht seit einiger Zeit in Verbindung mit dieser Malware . Überprüfe die Datei mal hier und poste das Ergebnis: http://virusscan.jotti.org/de Neben dem Scanergebnis poste auch ein neues Logfile nach Einsatz des Cleaners, da wir noch nicht ganz fertig sind. dartus |
@ sammy Zitat:
Du solltest unbedingt Dein System updaten Windowsupdate oder CD-Bestellung SP2 |
hallo dartus, vielen lieben dank erstmal für deine schnelle hilfe. - der antiVir hat mir nachdem ich den cleaner gestartet hatte, keine warnung mehr gebracht. der ps guard allerdings kann diese datei von der ich vorhin schrieb, noch immer nicht entfernen. info:HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shareddlls\c:WINDOWS\Downloaded Program Files\ieloader\dll. wow das ist ein ding wa? also diese Datei kann er nicht entfernen, zeigt sie aber immer wieder an. also muss irgenwo in meinem pc was versteckt sein, alles andre haut er mir raus. irgendeine idee? hier nochmal das aktuelle logfile: Logfile of HijackThis v1.99.1 Scan saved at 17:20:12, on 13.07.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\SCardSvr.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\PSGuard\PSGuard.exe C:\Programme\QuickTime\qttask.exe C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE C:\Dokumente und Einstellungen\sandra\Eigene Dateien\Eigene Musik\iTunesHelper.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\NCLAUNCH.EXe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Spyware Doctor\swdoctor.exe C:\Programme\AOL 9.0b\aoltray.exe C:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE C:\Programme\AOL 9.0b\waol.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\Programme\AOL 9.0b\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\Dokumente und Einstellungen\sandra\Eigene Dateien\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\sandra\LOKALE~1\Temp\se.dll/space.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\sandra\LOKALE~1\Temp\se.dll/space.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file) O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O2 - BHO: (no name) - {CC9598B1-4FE1-43A7-83C6-E962CFE25F43} - C:\WINDOWS\System32\baci.dll (file missing) O2 - BHO: (no name) - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - (no file) O2 - BHO: (no name) - {FFFFDA2C-A0D5-4D60-8EE1-1B7F8929E24D} - C:\Programme\Lycos\sst.dll O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: (no name) - {5AA06644-BC46-4220-A460-47A6EB47C96D} - (no file) O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [iTunesHelper] "C:\Dokumente und Einstellungen\sandra\Eigene Dateien\Eigene Musik\iTunesHelper.exe" O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0b\aoltray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096670502634 O16 - DPF: {E04EAE82-14AD-41CB-BF5A-45556ABB8347} (WebCoachDownload Class) - http://esupport.aol.de/de/engine/aolcinst_de_de.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{58837FCD-1C87-4C30-AD5B-B982FA994E62}: NameServer = 205.188.146.145 O18 - Filter: text/html - {0A1F49D5-F91A-4185-90E0-6266A8A356EC} - C:\WINDOWS\System32\baci.dll O18 - Filter: text/plain - {0A1F49D5-F91A-4185-90E0-6266A8A356EC} - C:\WINDOWS\System32\baci.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: tcpGDC - tcpGDC.dll (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe zu ps guard: als mein computer infiziert war, zeigte mir die startleiste ein symbol mit einem kreuz, mit den worten: schützen sie sich vor viren und spyware. als ich dieses anklickte, kam ich zur ps Guard - seite. dort habe ich mich etwas umgeschaut und dann für $9,95 diesen monat, das programm geladen. hatte denen allerdings geschrieben, dass ich es erstmal testen will den 1. monat und sie es danach canceln sollen, da das programm ja eigentlich teurer ist... ich hoffe ich konnte dir helfen, danke dir nochmal!!! lg sammy |
hallo gigamail, danke für den tipp, ich werde beim nächsten start das zeichen "windowsupdate" nicht beiseite schieben, sondern es laden. ist das denn wirklich so wichtig? bis bald, sammy : ) |
hallo dartus, upsi, also ich klickte wegen der psguard-sache auf deinen link zum checken der datei, gab also PSguard.exe ein und bestätigte. dies war die antwort: The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file hilfe. meine güte, man merkt erstmal jetzt, dass man völliger leihe in sachen compi ist, obwohl ich schon so lange mit computern arbeite.... :( na jedenfalls 0 bytes geht doch gar nicht, oder doch? lg sammy : ) |
hallo dartus, habs nochmal versucht und gesehen, ich habs nicht ganz richtig gemacht. sorry. also hier das ergebnis: Datei: PSGuard.exe Status: VIELLEICHT INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Adware/PsGuard.A gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden so jetzt ist der fachmann gefragt... lg sammy : ) |
Da bist du leider den Malwareschreibern auf den Leim gegangen, Ziel der Malware auf deinem PC war es u.a., das du das Programm PSGuard kaufst. Zitat:
Lasse den Cleaner (siehe Dartus´Posst) im abgesicherten Modus bei deaktivierter Systemwiederherstellung (http://www.systemwiederherstellung-d...indows-xp.html) laufen. Nach dem Neustart wechsle wieder in den abgesicherten Modus und versuche aus diesem Thread : http://www.trojaner-board.de/showthread.php?t=17863 noch abzuarbeiten, was möglich ist, da ich nicht weiß, was PSGuard alles bei dir entfernt hat. Lösche in jedem Fall auch diese Dateien: C:\Programme\PSGuard\PSGuard.exe C:\WINDOWS\SYSTEM32\igfxsrvc.dll Repariere deine infizierte wininet.dll folgendermaßen: Benenne diese Datei: C:\WINDOWS\System32\wininet.dll, z.B. in wininent-backup.dll um. Kopiere nun folgende Datei : C:\WINDOWS\ServicePackFiles\i386\wininet.dll in den Ordner: C:\WINDOWS\System32 War das erfolgreich, lösche die umbenannte Datei. Scanne dein System im abgesicherten Modus mit Escan: http://www.trojaner-board.de/showthread.php?t=17492 und teile uns die Ergebnisse mit. |
Hallo sammy, merke Dir für die Zukunft, dass man oder frau nicht alles anklickt und ausführt, was auf dem Bildschirm erscheint. Es sei denn, dass das Programm Dir 100%ig bekannt ist. dartus hi cronos |
hallo dartus, erstmal vielen lieben dank für deinen schnellen rat. also ja, ich bin eine frau. das psguard sah mir gut aus, dachte das wäre was gutes für meinen pc. hallo cronus, danke dir für den Tipp. in zukunft werde ich wohl genauer hinschauen. man ist halt zu leichtgläubig... wie auch immer, da ich früh arbeiten muss und ich übermorgen umziehe, mache ich das sobald wie möglich, versuche es schon morgen. ich melde dir das ergebnis sobald ich kann. lg und ihr seid klasse. sammy :aplaus: |
ps. keine trojanerwarnung mehr. juhu :daumenhoc |
Zitat:
hi sammy, ich denke, cronos und dartus können dir nachhaltig besser helfen, wenn du den o.g. zitierten punkt auf JEDEN fall noch abarbeitest...... :daumenhoc |
Hi, ich bin auf euch gestoßen, da mein Mann ebenfalls PSGuard auf seinem Rechner hat. Dieses Ding stört ständig. Es blockiert blinkend den Desktop und verlangsamt den Rechner. Mein Mann muß es sich gestern eingefangen haben und ich versuche seit Std. das Biest zu lokalisieren. Alles was aufindbar und lesbar mit PsGuard zu tun hat, habe ich gelöscht. Spybot, G-Data und auch der Cleaner haben das Luder noch nicht killen können. Ich habe mir die voehergegangenen Postings durchgelesen, komme aber irgendwie nicht weiter. Mag mir jemand von euch helfen ? Danke und lieben Gruß Alexandra |
Da wir keine Hellseher sind, poste mal ein HJT-Logfile. Anleitung dazu: http://www.trojaner-board.de/showthread.php?t=17493 |
Hi, ich hoffe so ist es richtig :confused: Logfile of HijackThis v1.99.1 Scan saved at 17:52:46, on 21.08.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\QuickTime\qttask.exe C:\PROGRA~1\Mouse\Amoumain.exe C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe C:\PROGRA~1\0190_U~1\WARN0190.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\AOL 9.0a\aoltray.exe C:\Corel\Graphics8\Programs\MFIndexer.exe C:\Programme\Corel\WordPerfect Office 2000\programs\dad9.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\WinTV\Ir.exe C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe C:\Programme\Netropa\Onscreen Display\OSD.exe C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe C:\Programme\0190_und_0900 Warner\w0svc.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKService.exe C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKWCtl.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\Programme\AOL 9.0a\waol.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\AOL 9.0a\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\****1.DE\LOKALE~1\Temp\se.dll/space.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ***http://www.msn.de/[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = **http://search.msn.de/[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\****1.DE\LOKALE~1\Temp\se.dll/space.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {630AF75D-F776-44C1-A064-B89338FB629D} - C:\WINDOWS\System32\fffk.dll (file missing) O3 - Toolbar: Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\Mouse\Amoumain.exe O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [0190/0900 Warner präsentiert von AOL] C:\PROGRA~1\0190_U~1\WARN0190.EXE O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\******.DE\LOKALE~1\Temp\se.dll,DllInstall O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [AVKBar] "C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKBar.exe" O4 - Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Global Startup: Desktop Application Director 9.LNK = C:\Programme\Corel\WordPerfect Office 2000\programs\dad9.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - **http://aolcc.aol.de/computercheckup/qdiagcc.cab[/url] O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - **http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124627647140[/url] O17 - HKLM\System\CCS\Services\Tcpip\..\{EA4D4252-A669-44B7-838F-96FBC6670846}: NameServer = 205.188.146.145 O18 - Filter: text/html - {DDAB2BD6-B8F4-4B56-8C86-C4F41ED0FE7E} - C:\WINDOWS\System32\fffk.dll O18 - Filter: text/plain - {DDAB2BD6-B8F4-4B56-8C86-C4F41ED0FE7E} - C:\WINDOWS\System32\fffk.dll O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190_und_0900 Warner\w0svc.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKService.exe O23 - Service: G DATA AntiVirenKit Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKWCtl.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe |
Arbeite Dich hier mal durch: http://www.trojaner-info.de/anleitun...out_blank.html Dein System ist veraltet. Installiere SP2 sowie update es. |
Hmm danke. Der Cleaner hats allerdings nicht gebracht. Ich häng mich nochmal ans SP2. Sonst noch jemand Vorschläge ? |
Felix, könnte ich jetzt diesen Bereich fixen ? R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\****1.DE\LOKALE~1\Temp\se.dll/space.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\****1.DE\LOKALE~1\Temp\se.dll/space.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank |
Hallo Goettin der Liebe hast du den Link von Felix mit Anwendung des Claners abgearbeitet? Dann poste nochmal ein aktuelles HJT. BTW: die Einträge kannst du fixen, vergebe dann eine neue Startseite |
Hi Giga, das ist die aktuelle Liste. Ich habe hier erst gepostet, nachedem ich alles hab durchlaufen lassen. Was heißt "neue Startseite vergebn " ? Erklärste mir mal kurz bitte ? Dankeschön.... im übrigen an alle...für die fixe Hilfe ;-) |
Die neu Startseite vergibst du in deinem IE z.B. www.google.de Wenn du den Cleaner angewendet hast sollten eigentlich einige Einträge vom Logfile verschwunden sein. Das ganze sieht mir nicht nach einer PSguard Verseuchung aus, eher nach CoolWebSearch,da du jetzt ja schon was gefixt hast poste nochmal ein HJT. Da muss noch mehr raus |
Zitat:
Wenn ich daraus, diese beiden Zeilen lösche, dann kommt Männe doch nicht mehr auf seine Homepage...bzw. kann sie nicht mehr bearbeiten oder ? R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\****1.DE\LOKALE~1\Temp\se.dll/space.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\****1.DE\LOKALE~1\Temp\se.dll/space.html |
Zitat:
|
Logfile of HijackThis v1.99.1 Scan saved at 10:17:02, on 22.08.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe C:\Programme\0190_und_0900 Warner\w0svc.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKService.exe C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKWCtl.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\QuickTime\qttask.exe C:\PROGRA~1\Mouse\Amoumain.exe C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe C:\PROGRA~1\0190_U~1\WARN0190.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\AOL 9.0a\aoltray.exe C:\Corel\Graphics8\Programs\MFIndexer.exe C:\Programme\Corel\WordPerfect Office 2000\programs\dad9.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe C:\Programme\WinTV\Ir.exe C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVK.exe C:\Programme\Netropa\Onscreen Display\OSD.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Photoside.de\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe C:\WINDOWS\System32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_*** = [url]http://www.msn.de/***R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://search.msn.de/***R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\Mouse\Amoumain.exe O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [0190/0900 Warner präsentiert von AOL] C:\PROGRA~1\0190_U~1\WARN0190.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [AVKBar] "C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKBar.exe" O4 - Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Global Startup: Desktop Application Director 9.LNK = C:\Programme\Corel\WordPerfect Office 2000\programs\dad9.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O14 - IERESET.INF: START_PAGE_***=http://www.freenet.de O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - [url]http://aolcc.aol.de/computercheckup/qdiagcc.cab***O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url]http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124627647140***O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190_und_0900 Warner\w0svc.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKService.exe O23 - Service: G DATA AntiVirenKit Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKWCtl.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe So, die neue Liste. Gelöscht hab ich die Zeilen nicht, da sie irgendwie verschwunden sind *verwirrt is...aber der Hj ist noch immer da |
*kreisch.... ich hasse PC´S SP2 hat sich bei dem Download aufgehangen und dabei meinen zweiten Rechner zerschossen. Würg.... Auf dem Pc meines Mannes hockt Ps Guard noch immer und erfreut sich bester Gesundheit. <<<<sich mal eben erhängen geht |
Hallo, ist das Logfile von dem Rechner was auch schon im Post#17 behandelt wurde? Ich frage weil die Einträge nicht von alleine verschwinden. Ich hoffe mal ja, denn du schreibst von deinem Mann seinem Rechner und von einem der abgeschmiert ist. Ich kenn mich da nicht mehr so richtig aus. Also jetzt nochmal von Anfang an, wenn der von #17 dann mache folgendes: Lade dir eScan, aber noch nicht damit scannen (siehe meine Signatur) Halte dich bitte genau andie Anleitung. Lade Dir Spybot-S&D und Ad-Aware und update beide Programme. führe dann das Tool aus Lade Dir http://cwshredder.net/bin/CWShredder.exe und mache einen Doppelklick darauf. Nun findest Du auf deinem Desktop ein neues CWSshredder icon. Lade AboutBuster5 http://www.malwarebytes.biz/! Dann startest Du CWS Shredder. Lass das Tool alles machen was es will. Dann startest Du about:buster und lässt es laufen. Dann startest Du Adaware um den Rest rauszuspülen. (perform full system scan anhaken) Mach einen Neustart. Downloade http://lineofire.geekstogo.com/cwsserviceremove.zip !! entpacke es und füge es per Doppelklick in Deine Registry ein. Bestätige die Sicherheitsabfrage mit Ja. Folgende Dateien können durch den HIjacker ersetzt/gelöscht sein. Einfach schauen ob sie da sind (CWS Shredder entfernt sie wenn befallen) * control.exe * rundll32.exe * wmplayer.exe * msconfig.exe * notepad.exe * shell.dll ! --> boote in den abgesicherter Modus , deaktiviere die Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken ) Anleitung folgende Einträge: O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a}-C:\WINDOWS\web\related.htm O9-Extra'Tools'menuitem:Show&RelatedLinks-{c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm lösche die Datei: C:\WINDOWS\web\related.htm scanne jetzt nacheinander mit Spybot und Ad-aware und lösche alle Funde. Zum Abschluss scannst du noch mit Escan boote neu und Teile uns die Ergebnisse von eScan mit Hilfe der find.bat (Anleitungunter [5] beschrieben) mit. |
Hi, ich bedanke mich erstmal. :) Werde mich am Wochenende dranhängen. Heute haben wir erstmal unsere Zeit mit Datensicherung meines Pc`s verplempert. :headbang: Morgen wird er geplättet. Danach gehe ich auf Killingtour :snyper: ... Psguard ... ich krieg dich :koch: |
Hallo, Zitat:
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 22:24 Uhr. |
Copyright ©2000-2024, Trojaner-Board