Trojaner-Board - psguard voll erwischt

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - psguard voll erwischt (https://www.trojaner-board.de/23814-psguard-voll-erwischt.html)

kurt66

19.11.2005 21:47

psguard voll erwischt

Hallo,

habe mir einen Trojaner "psguard" eingefangen. Der Desktop ist rot und es blinkt andauernd. Webroot spy sweeper konnte ihn nicht entfernen. Im Forum habe ich dann den Hijacker gefunden, installiert und beigefügtes logfile generiert.

Und nun ? Bin kein Experte und weiß nicht was ich jetzt machen soll.

Wer kann helfen ?

Viele Grüße

Kurt

Logfile of HijackThis v1.99.1
Scan saved at 21:17:42, on 19.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\brsvc01a.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\brss01a.exe
D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\WINDOWS\Twain_32\FlatBed\HotKey.exe
D:\WINDOWS\System32\sstray.exe
C:\Programme\CyberLink\PowerVCRII\Agent.exe
C:\Programme\iTunes\iTunesHelper.exe
D:\Programme\QuickTime\qttask.exe
D:\WINDOWS\system32\shdocsvc.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
D:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Reader\reader_sl.exe
D:\Programme\FRITZ!DSL\StCenter.exe
D:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\Programme\FRITZ!DSL\IGDCTRL.EXE
D:\WINDOWS\System32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programme\iPod\bin\iPodService.exe
D:\WINDOWS\explorer.exe
D:\Dokumente und Einstellungen\ich\Desktop\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HotKey] D:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Agent] c:\Programme\CyberLink\PowerVCRII\Agent.exe
O4 - HKLM\..\Run: [Remote_Agent] c:\Programme\CyberLink\PowerVCRII\RemoteAgent.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FHStart] D:\WINDOWS\system32\shdocsvc.exe home
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = D:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader\reader_sl.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = D:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\MSOffice\Office10\OSA.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = D:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: &MSN Search - res://D:\Programme\MSN Toolbar Suite\TB\02.00.0001.1203\en-us\msntb.dll/search.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MSOffice\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O20 - Winlogon Notify: WRNotifier - D:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - D:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - D:\WINDOWS\System32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe

Expert

19.11.2005 22:25

@kurt66

#Lade dir SmitfraudFix.zip
SmitfraudFix.zip auf dem Desktop speichern und auf dem desktop entpacken,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 1 und dann Enter,wird ein rapport.txt im Ordner SmitfraudFix erstellt,den Inhalt hier posten.

#Lade dir smitrem.exe ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und Start klicken.Dann wird ein Ordner SmitRem auf dem Desktop angelegt und die Dateien dahin entpackt.Noch nicht ausführen.

#Lade dir Ewido Security Suite unbeding Update,noch nicht scannen

#lade Adaware, Spybot unbeding Update,noch nicht scannen.

#PC neustarten--> abgesicherter Modus
Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen.
Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt

#PC neustarten--> abgesicherter Modus
Starte das HijackThis "Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken, PC neustarten
O4 - HKLM\..\Run: [FHStart] D:\WINDOWS\system32\shdocsvc.exe home
O8 - Extra context menu item: &MSN Search - res://D:\Programme\MSN Toolbar Suite\TB\02.00.0001.1203\en-us\msntb.dll/search.htm
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com

#PC neustarten--> abgesicherter Modus
Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
Loesche:
D:\WINDOWS\system32\shdocsvc.exe

#PC neustarten--> abgesicherter Modus
#Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

#Danach der PC mit Adaware, Spybot scannen und alle Funde entfernen.

#Inhalt folgende ordner loeschen:
D:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen
D:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen
D:\WINDOWS\temp---> Inhalt löschen

1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor
2. copiere diser Code rein:

Zitat:

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{3F245C2A-1558-3CCA-04A8-7AA23B60E40F}"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General]
"Wallpaper"=-

[-HKEY_CURRENT_USER\Software\Classes\CLSID\{3F245C2A-1558-3CCA-04A8-7AA23B60E40F}]

3. Speichere die Datei als Fix.reg auf Desktop
4.Doppel klick auf diese Datei Fix.reg

1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor
2. copiere diser Code rein:

Zitat:

reg add HKEY_LOCAL_MACHINE\SOFTWARE\psguard.comdummy >> look.txt
reg save HKEY_LOCAL_MACHINE\SOFTWARE\psguard.comdummy psguard.comdummy.hiv >> look.txt
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\psguard.comdummy /f >> look.txt
reg restore HKEY_LOCAL_MACHINE\SOFTWARE\psguard.com psguard.comdummy.hiv >> look.txt
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\psguard.com /f >> look.txt
reg query HKEY_LOCAL_MACHINE\SOFTWARE\psguard.com >> look.txt
del psguard.comdummy.hiv
start notepad look.txt

3. Speichere die Datei als Rem.bat auf Desktop
4. Doppel klick auf diese Datei Rem.bat

#Neue HijackThis Log,den Report des Ewido Scans,rapport.txt von SmitfraudFix & auch das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten.

Gruss
Expert

kurt66

19.11.2005 23:04

hallo,

danke für den tip. bin gerade dabei....

kurze rückfrage: was ist der abgesicherter Modus beim Neustart ?

viele grüße kurt

Expert

19.11.2005 23:12

Zitat:

Zitat von kurt66

hallo,

danke für den tip. bin gerade dabei....

kurze rückfrage: was ist der abgesicherter Modus beim Neustart ?

viele grüße kurt

Windows im Abgesicherten Modus starten

Gruss
Expert

kurt66

20.11.2005 01:42

Hallo,

so das hat jetzt etwas gedauert. Habe alles so gemacht wie beschrieben und hat gut geklappt.

HIer sind die logs. Was ist jetzt zu tun ?

grüße kurt

SmitFraudFix v1.96

Rapport fait à 22:51:33,23 le 19.11.2005
Executé à partir de D:\Dokumente und Einstellungen\ich\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\

»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS

D:\WINDOWS\desktop.html PRESENT !
D:\WINDOWS\uninstIU.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS\system32

D:\WINDOWS\system32\birdihuy.dll PRESENT !
D:\WINDOWS\system32\shdocsvc.dll PRESENT !
D:\WINDOWS\system32\shdocsvc.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\Dokumente und Einstellungen\ich\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

D:\Dokumente und Einstellungen\All Users\Desktop\P.S.Guard spyware remover.lnk PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\Programme

D:\Programme\P.S.Guard\ PRESENT!

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

HKLM\SOFTWARE\PSGuard.com Présent !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

D:\WINDOWS\system32\wininet.dll infecté !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement

Datentr„ger in Laufwerk D: ist RECOVERY
Volumeseriennummer: 94E9-4893

Verzeichnis von D:\WINDOWS\SYSTEM32

29.08.2002 12:00 604.672 wininet.dll
1 Datei(en) 604.672 Bytes

Verzeichnis von D:\WINDOWS\SYSTEM32\dllcache

29.08.2002 12:00 604.672 wininet.dll
1 Datei(en) 604.672 Bytes

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

Logfile of HijackThis v1.99.1
Scan saved at 01:32:08, on 20.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\Explorer.EXE
C:\Programme\Adobe\Reader\AcroRd32Info.exe
D:\Dokumente und Einstellungen\ich\Desktop\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HotKey] D:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Agent] c:\Programme\CyberLink\PowerVCRII\Agent.exe
O4 - HKLM\..\Run: [Remote_Agent] c:\Programme\CyberLink\PowerVCRII\RemoteAgent.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = D:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader\reader_sl.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = D:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\MSOffice\Office10\OSA.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = D:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MSOffice\Office10\EXCEL.EXE/3000
O20 - Winlogon Notify: WRNotifier - D:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - D:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - D:\WINDOWS\System32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - D:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe

kurt66

20.11.2005 01:44

Beim versuch den Report des Ewido Scans zu Posten kommt folgende Fehlermeldung von trojaner-board.de .....

Was nu ?

1. Sie haben in Ihrer Signatur oder Ihrem vorherigen Beitrag 71 Grafiken verwendet. Erlaubt sind maximal 8 Grafiken. Bitte klicken Sie auf 'Zurück' und entfernen Sie einige davon.

Zu den Grafiken zählen Smileys, das vB Code [img] Tag und das HTML <img> Tag. Die Benutzung dieser drei Grafikarten kann vom Administrator eingeschränkt werden.

Expert

20.11.2005 08:28

@kurt66

HijackThis Log von normaler Modus,den Report des Ewido Scans, & das Logfile von smitrem,welches unter C:\smitfiles.txt

Die brauche ich noch

Oder versuche mal Ewido Scans als *.txt datei zu posten wie hier

http://www.trojaner-board.de/showthr...t=23697&page=2

Gruss
Expert

kurt66

20.11.2005 10:11

So eins nach dem anderen.....

HijackThis Log

Logfile of HijackThis v1.99.1
Scan saved at 10:09:32, on 20.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\brsvc01a.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\brss01a.exe
D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\WINDOWS\Twain_32\FlatBed\HotKey.exe
D:\WINDOWS\System32\sstray.exe
C:\Programme\CyberLink\PowerVCRII\Agent.exe
C:\Programme\iTunes\iTunesHelper.exe
D:\Programme\QuickTime\qttask.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
D:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Reader\reader_sl.exe
D:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
D:\Programme\FRITZ!DSL\StCenter.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\Programme\FRITZ!DSL\IGDCTRL.EXE
D:\Programme\ewido\security suite\ewidoctrl.exe
D:\Programme\ewido\security suite\ewidoguard.exe
D:\WINDOWS\System32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programme\iPod\bin\iPodService.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Dokumente und Einstellungen\ich\Desktop\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HotKey] D:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Agent] c:\Programme\CyberLink\PowerVCRII\Agent.exe
O4 - HKLM\..\Run: [Remote_Agent] c:\Programme\CyberLink\PowerVCRII\RemoteAgent.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = D:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader\reader_sl.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = D:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\MSOffice\Office10\OSA.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = D:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MSOffice\Office10\EXCEL.EXE/3000
O20 - Winlogon Notify: WRNotifier - D:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - D:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - D:\WINDOWS\System32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - D:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe

kurt66

20.11.2005 10:21

....ewido scans...

als text datei. muste sie in 2 teile unterteilen.

kurt66

kurt66

20.11.2005 10:24

und der 2. teil

kommt sogar noch ein 3. teil

kurt66

20.11.2005 10:24

der 3. teil

kurt66

20.11.2005 10:28

finally das logfile von smitrem

grüße kurt

smitRem © log file
version 2.7

by noahdfear

Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key

PSGuard.com key present!

Running LTDFix/PSGuard.com fix!

PSGuard.com key was successfully removed! :)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files

~~~ Program Files ~~~

P.S.Guard

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

uninstIU.exe
desktop.html

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Remaining Post-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~ Wininet.dll ~~~

wininet.dll INFECTED!! :( Starting replacement procedure.

~~~~ Looking for D:\WINDOWS\system32\dllcache\wininet.dll ~~~~

~~~~ D:\WINDOWS\system32\dllcache\wininet.dll Present! ~~~~

~~~~ Checking dllcache\wininet.dll for infection ~~~~

~~~~ dllcache\wininet.dll Clean! ~~~~

~~~ Replaced wininet.dll from dllcache ~~~

~~~ Upon reboot ~~~

wininet.old present!
oleadm.dll not present!
oleext.dll not present!

~~~ Upon completion ~~~

wininet.old not present!
oleadm.dll not present!
oleext.dll not present!

~~~~ Rechecking D:\WINDOWS\system32\wininet.dll for infection ~~~~

~~~~ D:\WINDOWS\system32\wininet.dll Clean! :) ~~~~

Expert

20.11.2005 13:32

@kurt66

#Doppelklick auf SmitfraudFix.cmd,dann Taste 2 und dann Enter,wenn diese Frage o/n kommt muss du mit Taste o beatätigen,wird ein rapport.txt im Ordner SmitfraudFix erstellt,den Inhalt hier posten.
Danach Taste 3 mit o beatätigen

#Lade dir smitfraud.reg Datei (Rechtsklick - Ziel speichern unter)
smitfraud.reg und speichere sie auf dem Desktop.
Smitfraud.reg mit rechts anklicken und Zusammenführen wählen.(Im abgesicherter Modus ausführen)

#PC neustarten--> abgesicherter Modus
1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor
2. copiere diser Code rein:

Zitat:

@ECHO OFF
attrib -s -r -h D:\WINDOWS\uninstIU.exe
attrib -s -r -h D:\WINDOWS\system32\birdihuy.dll
attrib -s -r -h D:\WINDOWS\system32\shdocsvc.dll
attrib -s -r -h D:\WINDOWS\system32\shdocsvc.exe
attrib -s -r -h D:\WINDOWS\sites.ini
attrib -s -r -h D:\WINDOWS\desktop.html
attrib -s -r -h D:\WINDOWS\screen.html
attrib -s -r -h D:\WINDOWS\zloader3.exe
attrib -s -r -h D:\WINDOWS\popuper.exe
attrib -s -r -h D:\WINDOWS\system32\msmsgs.exe
attrib -s -r -h D:\WINDOWS\system32\shnlog.exe
attrib -s -r -h D:\WINDOWS\System32\msole32.exe
attrib -s -r -h D:\WINDOWS\System32\shnlog.exe
attrib -s -r -h D:\WINDOWS\System32\intmon.exe
attrib -s -r -h D:\WINDOWS\System32\intmonp.exe
attrib -s -r -h D:\WINDOWS\System32\svcnet.exe
attrib -s -r -h D:\windows\system32\wldr.dll
attrib -s -r -h D:\WINDOWS\system32\ole32vbs.exe
attrib -s -r -h D:\WINDOWS\system32\hhk.dll
attrib -s -r -h D:\WINDOWS\System32\helper.exe
attrib -s -r -h D:\WINDOWS\System32\winnook.exe
attrib -s -r -h D:\WINDOWS\system32\oleadm.dll
attrib -s -r -h D:\WINDOWS\system32\oleadm32.dll
attrib -s -r -h D:\wp.exe
attrib -s -r -h D:\bsw.exe
attrib -s -r -h D:\bsw.bmp
attrib -s -r -h D:\wp.bm
del D:\WINDOWS\uninstIU.exe
del D:\WINDOWS\system32\birdihuy.dll
del D:\WINDOWS\system32\shdocsvc.dll
del D:\WINDOWS\system32\shdocsvc.exe
del D:\WINDOWS\sites.ini
del D:\WINDOWS\desktop.html
del D:\WINDOWS\screen.html
del D:\WINDOWS\zloader3.exe
del D:\WINDOWS\popuper.exe
del D:\WINDOWS\system32\msmsgs.exe
del D:\WINDOWS\system32\shnlog.exe
del D:\WINDOWS\System32\msole32.exe
del D:\WINDOWS\System32\shnlog.exe
del D:\WINDOWS\System32\intmon.exe
del D:\WINDOWS\System32\intmonp.exe
del D:\WINDOWS\System32\svcnet.exe
del D:\windows\system32\wldr.dll
del D:\WINDOWS\system32\ole32vbs.exe
del D:\WINDOWS\system32\hhk.dll
del D:\WINDOWS\System32\helper.exe
del D:\WINDOWS\System32\winnook.exe
del D:\WINDOWS\system32\oleadm.dll
del D:\WINDOWS\system32\oleadm32.dll
del D:wp.exe
del D:\bsw.exe
del D:\bsw.bmp
del D:\wp.bm
exit

3. Speichere die Datei als Fix.bat auf Desktop
4. Doppel klick auf diese Datei Fix.bat

#Loeschen:
D:\Programme\P.S.Guard

PS: Alle Wichtigten Passwärter ändern

Gruss
Expert

kurt66

20.11.2005 14:36

hi,

anbei der rapport.

viele grüße

kurt

SmitFraudFix v1.96

Rapport fait à 14:34:28,85 le 20.11.2005
Executé à partir de D:\Dokumente und Einstellungen\ich\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

D:\WINDOWS\system32\birdihuy.dll supprimé
D:\WINDOWS\system32\shdocsvc.dll supprimé
D:\Dokumente und Einstellungen\All Users\Desktop\P.S.Guard spyware remover.lnk supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

Expert

20.11.2005 15:05

@kurt66

Alles OK

Noch Problem?

EWIDO kannst du wieder deinstallieren(Test Version)

Gruss
Expert

kurt66

20.11.2005 15:13

Hmm,

der Bildschirm ist jetzt weiß uns blinkt ein bißchen.

außerdem ist der rechner irgendwie aktiv und rechnet permanent.

Meinst Du der Rechner ist clean ?

Grüße kurt

Expert

20.11.2005 15:24

@kurt66

Versuche mal mit rechte mausklick/Eingenschaften/Desktop Bildhintergrund zu ändern

Gruss
Expert

kurt66

20.11.2005 15:27

hi,

funktioniert nicht da das kontextmenue die option nicht anbietet.

grüße ka

Expert

20.11.2005 15:31

@kurt66

Führe nochmal die Fix.reg datei aus und probiere ob es funktioniert

Gruss
Expert

kurt66

20.11.2005 15:43

hi,

habe ich gemacht und anschließend neu gestartet. nix neues.

der bildschirm ist grundfarbe weiß (abwechselnd hellgrau) und die ganzen icons sind zu sehen.

Hintergrund läßt sich nicht ändern.

beim start dauert es auch länger als sonst; normalerweise kommen die icons ziemlich schnell gleich zu beginn. jetzt kommt erst mal ein blauer bildschirm und dann wechselt der zu weiß und die icon erscheinen.

grüße

kurt

Expert

20.11.2005 15:53

@kurt66

Falls vorhanden loeschen:
D:\WINDOWS\desktop.html

Unter Start/Ausführen den Befehl regedit eingeben

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System--->rechtes Fenster den Eintrag Wallpaper falls vorhanden loeschen

PC neustarten

Gruss
Expert

kurt66

20.11.2005 16:01

da steht nur (Standard) REG_SZ

Expert

20.11.2005 16:16

@kurt66

smitrem.exe
Nochmal ausführen,vorher alle andere Fenster schlissen

#PC neustarten--> abgesicherter Modus
Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen.Im ersten Bild die 1 tippen und die Eingabetaste drücken
Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt

#PC neustarten

Melde dich wieder

Gruss
Expert

kurt66

20.11.2005 16:37

da bin ich wieder. habe alles gemacht.

was mir auch auffällt beim hochfahren ist, dass das willkommen fenster länger steht als üblich und im hintergrund automatisch das dsl fritz center eine verbindung zum netzt herstellt.

das musste ich vorher immer manuell machen.

grüße kurt

Expert

20.11.2005 16:47

@kurt66

Geht immer noch nicht?

Gruss
Expert

kurt66

20.11.2005 16:49

nein leider nicht. nach wie vor wechselt der bildschirm sein farbe.

irgendwie muß da noch was eingenistet sein.

grüße

kurt

kurt66

20.11.2005 16:56

im reg editor habe ich jetzt im Verzeichnis

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop

einen eintrag Wallpaper.

grüße kurt

Expert

20.11.2005 16:59

@kurt66

Unter Start/Ausführen den Befehl msconfig eingeben,unten in der Mitte steht Systemwiederherstellung starten
Versuche mal eine System Wiederherstellung,ein bestimmte Zeit vor der Infektion

Gruss
Expert

kurt66

20.11.2005 17:01

und in dem "System" Verzeichnis sind plötzlich neun Dateien "No Color Choice" usw.

Soll ich die lösschen ?

grüße

kurt

Expert

20.11.2005 17:06

Zitat:

Zitat von Expert

Das zuerst versuchen

kurt66

20.11.2005 17:11

hat er nicht gemacht da zwischen dem 15.11. und heute keine änderungen vorgenommen wurden.

grüße

kurt

PS: muß jetzt mal was futtern gehen. so ein trojaner zerrt an den kräften. bis später

Expert

20.11.2005 17:23

@kurt66

Melde mich später

Expert

20.11.2005 17:47

@kurt66

Versuche mal unter D:\WINDOWS\Web\Wallpaper ein Bild.jpg oder Bild.bmp als Hintergrund zu wählen! Bild.jpg oder Bild.bmp mit rechtmausklick/Als Desktophintergrund verwenden geht das?

Gruss
Expert

kurt66

20.11.2005 18:03

nö geht nicht.

war auch schon in der systemsteuerung/Anzeige und habe versucht desktop zu ändern. er übernimmt die änderungen nicht. da muß sich ein programm dazwischen gelegt haben. und wie gesagt die sache mit dem automatischen netzzugang.

vermutlich soll mein computer genutzt werden zum ausspionieren oder sonst was.

grüße

kurt

Expert

20.11.2005 18:07

@kurt66

Keine Wiederherstellung möglich?

kurt66

20.11.2005 18:29

nein leider nicht, habe auch noch mal den 7.11. versucht.

bin dann auch mal in den reiter systemstart gewechselt. dort war 2mal das fritz startcenter aktiviert. habe ich rausgenommen.

was sind denn

sstray.exe/r
ctfmon.exe

für programme die werden bei mir direkt gestartet?

grüße ka

Expert

20.11.2005 18:41

Zitat:

ctfmon.exe

Ist ein Programm das zu Microsoft Office gehört,kannst du deaktieren,wenn du willst,bei mir hatte ich schon deaktiviert!

Unter Start/Ausführen den Befehl msconfig dann systemstart,da kannst du die Programme deaktivieren

Zitat:

sstray.exe

sstray.exe ist ein Prozeß von NVidia,kannst du so lassen

Gruss
Expert

kurt66

20.11.2005 19:09

habe ich probiert und hat nichts gebracht.
hast Du noch ne idee sonst mach ich einen neustart.
was sollte ich dabei beachten ?

grüße kurt66

Expert

20.11.2005 19:15

Zitat:

Zitat von kurt66

hast Du noch ne idee sonst mach ich einen neustart.
was sollte ich dabei beachten ?

Was meinst du einen neustart?

Gruss
Expert

kurt66

20.11.2005 19:51

na halt formatieren

Expert

20.11.2005 20:10

@kurt66kurt66

Naja! Ich weiß nicht,warum bei dir funktioniert nicht,sonst hier hat schon funktioniert
http://www.trojaner-board.de/showthread.php?t=23697

Gruss
Expert

kurt66

20.11.2005 20:53

anyway

vielen vielen herzlichen dank für deine tolle unterstützung.

grüße

kurt:knuddel:

Expert

20.11.2005 20:56

OK

Gruss
Expert

Alle Zeitangaben in WEZ +1. Es ist jetzt 17:29 Uhr.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131