Home » Spyware & Browser Hijacker Support Forum » PSGuard... Intell32.exe lässt sich nicht töten... Warning your Computer... » Themenansicht

PSGuard... Intell32.exe lässt sich nicht töten... Warning your Computer...

Thema ist geschlossen!
Thema ist geschlossen!
#0
26.09.2005, 19:56
Halbos
Member

Beiträge: 15
#106 Ok die klappt, thx!!!

Verzeichnis von C:\WINDOWS\system32

26.09.2005 17:58 6.656 intell32.exe
26.09.2005 17:58 11.776 spoolsrv32.exe
29.07.2005 01:56 2.206 wpa.dbl
26.05.2005 04:16 173.536 wuweb.dll
26.05.2005 04:16 18.200 wups2.dll
26.05.2005 04:16 41.240 wups.dll
5.872 dpus10.dll

Verzeichnis von C:\DOKUME~1\XXXXXXX~1\LOKALE~1\Temp

26.09.2005 18:24 70.394 A~NSISu_.exe
26.09.2005 18:24 2.131.974 PSGuardInstall.exe
26.09.2005 18:23 16.384 Perflib_Perfdata_248.dat
26.09.2005 18:23 30.054 jusched.log
25.09.2005 23:45 717 control.xml
24.09.2005 00:02 0 aax45.tmp
09.09.2005 18:25 16.384 Perflib_Perfdata_28c.dat
07.09.2005 18:42 0 aax43.tmp
07.09.2005 18:12 0 aax41.tmp
06.09.2005 22:21 0 EPSLog.txt
04.09.2005 22:57 0 aax3F.tmp
03.09.2005 19:09 122 IVIApp.tmp
03.09.2005 18:48 0 aax2D.tmp
02.09.2005 20:57 0 aax12.tmp
01.09.2005 15:52 65.536 ~DF34B3.tmp
31.08.2005 18:55 0 WER6.tmp
31.08.2005 18:55 16.384 ~DF1CB1.tmp
29.08.2005 16:37 245 EPS_PicLookup.dat
29.08.2005 11:10 0 aax1E.tmp
28.08.2005 03:48 0 aax11.tmp
28.08.2005 03:26 16.384 Perflib_Perfdata_278.dat
27.08.2005 11:10 0 aax10.tmp
22.08.2005 13:18 65.536 ~DF97CB.tmp
21.08.2005 18:17 65.536 ~DF7A5B.tmp
18.08.2005 16:41 0 aaxF.tmp
17.08.2005 13:54 0 aax49.tmp
16.08.2005 18:02 0 aax33.tmp
16.08.2005 12:55 0 aax15.tmp
16.08.2005 12:49 0 aaxD.tmp
14.08.2005 12:09 0 aax27.tmp
11.08.2005 23:18 3.706 Feedback.htm
10.08.2005 01:01 65.536 ~DF1E2E.tmp
05.08.2005 17:23 0 fla35.tmp

Verzeichnis von C:\WINDOWS

26.09.2005 18:59 391 wiadebug.log
26.09.2005 18:23 0 0.log
26.09.2005 18:23 1.510.567 WindowsUpdate.log
26.09.2005 18:23 50 wiaservc.log
26.09.2005 18:23 2.048 bootstat.dat
26.09.2005 18:22 32.544 SchedLgU.Txt
26.09.2005 17:50 119 emule.INI
25.09.2005 23:45 170.465 wmsetup.log
10.09.2005 12:53 41 winampa.ini
09.09.2005 23:21 804.839.424 MEMORY.DMP
02.09.2005 21:57 4.052 ModemLog_Smart Link 56K Modem.txt
30.08.2005 00:59 925 IE4 Error Log.txt

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Verzeichnis von C:\

26.09.2005 20:01 0 sys.txt
26.09.2005 20:01 8.657 system.txt
26.09.2005 20:00 6.945 systemtemp.txt
26.09.2005 19:59 92.241 system32.txt
26.09.2005 18:23 1.207.959.552 pagefile.sys
27.12.2004 13:16 550 pnpID.dat
27.12.2004 13:15 39 CTJINI.INI
23.12.2004 02:16 194 boot.ini
22.12.2004 13:08 0 AUTOEXEC.BAT
22.12.2004 13:08 0 IO.SYS
22.12.2004 13:08 0 CONFIG.SYS
22.12.2004 13:08 0 MSDOS.SYS
29.08.2002 14:00 4.952 bootfont.bin
29.08.2002 14:00 47.580 NTDETECT.COM
29.08.2002 14:00 235.296 ntldr
15 Datei(en) 1.208.356.006 Bytes
0 Verzeichnis(se), 3.626.430.464 Bytes frei
----------------------------------------------------------------------------------------------------------------------------------------------------------------------
Das sind alle 4, was nun ? Lieben Gruss.
Dieser Beitrag wurde am 29.09.2005 um 21:52 Uhr von Halbos editiert.
Seitenanfang Seitenende
27.09.2005, 01:25
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#107 Hallo@Halbos

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread

KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken

reinkopieren:

C:\WINDOWS\system32\spoolsrv32.exe
C:\DOKUME~1\MATTMU~1\LOKALE~1\Temp\PSGuardInstall.exe
C:\DOKUME~1\MATTMU~1\LOKALE~1\Temp\ A~NSISu_.exe
C:\WINDOWS\system32\intell32.exe

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe

PC neustarten

Killbox (oder manuell deinstallieren)

C:\Programme\PSGuard

DelTree (include SubDirectories)
Man will zum Beispiel einen Ordner löschen . Nun muss man nicht alle Dateien im Ordner einzeln eingeben, sondern klickt die Option DelTree (include subdirectories).
Hierbei wird ein komplettes Archiv mitsamt der Unterordner gelöscht.

PC neustarten

*lösche alle temp-Dateien (CCleaner)
http://virus-protect.org/temp.html

scanne mit Kaspersky und berichte ;)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.09.2005, 13:32
Halbos
Member

Beiträge: 15
#108 Okay danke, also f-secure-Beta Trial sagt folgendes:

09/27/05 12:18:33 [Info]: BlackLight Engine 1.0.23 initialized
09/27/05 12:18:33 [Info]: OS: 5.1 build 2600 (Service Pack 1)
09/27/05 12:18:33 [Note]: 4019 4
09/27/05 12:18:33 [Note]: 4005 0
09/27/05 12:18:41 [Note]: 4006 0
09/27/05 12:18:41 [Note]: 4011 1808
09/27/05 12:18:41 [Note]: FSRAW library version 1.7.1011
09/27/05 12:19:57 [Note]: 4007 0


Danach alles durchgeführt mit Erfolg. (Denke ich :-) )


Bei Kaspersky hat er folgenden Virus gefunden:

C:\WINDOWS\system32\wininet.dll - Virus Name: Virus.Win32.Nsag.b


PSGuard scheint weg zu sein. Muss ich noch irgendetwas machen ?

GRUSS & VIELEN VIELEN DANK !!!!!!!
Seitenanfang Seitenende
27.09.2005, 14:54
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#109 smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/

öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.09.2005, 16:09
Halbos
Member

Beiträge: 15
#110 Also runthis.bat wollte am ende 1 disk-clean up machen, er stockte aber nach nach kurzer zei für 5 min an der selben stelle, da hab ich abgebrochen. Hab aber erst danach gelesen das es bis zu 3 stunden dauert. Jetzt wenn ich alles wiederhole, sagt er zwar das ein disk-cleanup kommt, aber es kommt nichts mehr. Aber mein bildschirm ist blau. Was hab i falsch gemacht ?


P.S. Da stand aber das er wininet.dll gelöscht hat ! aber was ist jetzt mit meinem bildschirm? Und der PC ist gerade sehr langsam...Argghhh


20 min später-------------> Jetzt hab ich neu gestartet, und jetzt hab ich ein grössseres problem! Vor der Anmeldung kommt 1 Fenster in dem steht:

Willkommen bei Windows
Drücken Sie Strg +Alt + Entf. um sich anzumelden. Durch diese Tastenkombination wird der Computer bei der Anmeldung geschützt. Klicken Sie auf ''Hilfe'' um weitere Informationen zu erhalten.

Dann drücke ich Strg +Alt + Entf und komme zu meinem Benutzernamen, wie bekomme ich das wieder weg ??? ich meine das mit der kombi --> Strg +Alt + Entf. ???

Dann sagt mir am Anfang folgendes nachdem ich mich anmelde:

C:\delfiles.cmd
''C:\delfiles.cmd konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie aus ''Start'' und anschließend auf ''Suchen'', um eine Datei zu suchen.

Dann war mein Desktop blau, und alles hatte ein ANDERES DESIGN!!! Taskleiste war grau, alles war kleiner, habs dann wiederhergestellt bei Designeinstellungen, jetzt ist wieder alles okay beim Design, aber was hat es mit dieser C:\delfiles.cmd datei, und mit der kombi Strg +Alt + Entf. bei der Anmeldung auf sich ? Gruss.
Dieser Beitrag wurde am 27.09.2005 um 20:10 Uhr von Halbos editiert.
Seitenanfang Seitenende
28.09.2005, 11:37
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#111 poste bitte das Log vom Silentrunner:
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.09.2005, 13:32
Halbos
Member

Beiträge: 15
#112 Silent Runners ergab folgendes:





"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"MsnMsgr" = ""C:\Programme\MSN Messenger\MsnMsgr.Exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ATIPTA" = "C:\ATI-CPanel\atiptaxx.exe" ["ATI Technologies, Inc."]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"InCD" = "C:\Programme\Ahead\InCD\InCD.exe" [null data]
"DSLSTATEXE" = "C:\Program Files\GlobespanVirata\Adsl\dslstat.exe icon" [file not found]
"DSLAGENTEXE" = "dslagent.exe" [file not found]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\XXXXXXX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssmypics.scr" [MS]


Startup items in "XXXXXXX" & "All Users" startup folders:
-------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"InterVideo WinCinema Manager" -> shortcut to: "C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe" [empty string]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\msjava.dll" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Messenger"
"Exec" = "C:\Programme\Messenger\MSMSGS.EXE" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
SmartLinkService, SLService, "slserv.exe" [" "]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 40 seconds, including 11 seconds for message boxes)




Ist alles in Ordnung? Gruss... an den Meister :-)
Dieser Beitrag wurde am 29.09.2005 um 21:52 Uhr von Halbos editiert.
Seitenanfang Seitenende
28.09.2005, 13:35
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#113 halte die xp-cd bereit:

Start - Ausführen - schreib/kopiere rein:

sfc /scannow

nun wird Windows auf Fehler überprüft.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.09.2005, 21:50
Halbos
Member

Beiträge: 15
#114 Scheint alles okay zu sein, vielen Dank nochmals! Lieben Gruss.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »
Seite(n): Erste Seite5678