psguard, bekomm ihn nicht komplett weg

#0
17.08.2005, 10:17
...neu hier

Beiträge: 9
#1 Hallo erstmal,

Bin auch von diesem tollen virus befallen. Habe Adaware, Spybot, Antivir mehrmals drüber gebügelt. Desktop Einstellungen mit allem drum und drann funktioniert auch wieder. Aber komplett weg ist er noch nicht. Ich bekomme immer noch ein gelbes Dreieck in der Systray und Adaware findet jedes mal wieder den psguard.
Bitte um Hilfe.

Hier mein HijackThis Log:
Logfile of HijackThis v1.99.1
Scan saved at 10:04:46, on 17.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\msole32.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Lol\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bestwebslinks.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O16 - DPF: {4B4513E2-4E57-43DF-9496-FCD37E9DFA64} (GameDesire Sea Battle) - http://67.15.101.3/g_bin/pl/navy_2_0_0_16.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124182333995
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://67.15.101.3/g_bin/pl/words_2_0_0_26.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-983219421AEF} (GameDesire 1Player Word Games) - http://67.15.101.3/g_bin/pl/wordssingle_2_0_0_30.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp02.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
Dieser Beitrag wurde am 17.08.2005 um 14:58 Uhr von Secu45 editiert.
Seitenanfang Seitenende
17.08.2005, 10:40
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Kannst du mir eine PM schicken wo du diesen virus eingefangen hast?
__________
MfG Argus
Seitenanfang Seitenende
17.08.2005, 11:30
...neu hier

Themenstarter

Beiträge: 9
#3 Also ich habe jetzt mal selber die Einträge mit "www.bestwebslinks.com" und die mit "GameDesire" mit hijackthis gefixt, da die mir komisch vorkommen und habe nun das problem, dass viele Programme nicht mehr laufen, weil die wininet.dll nicht vorhanden ist. Beim Neustart komm gleich am anfang "jusched.exe konnte nicht gestartet werden, weil wininet.dll nicht vorhanden blabla". Habe im Forum was über die wininet gefunden und smitRem drüber laufen lassen.
Die Wininet.dll ist aber immer noch net vorhanden.

Mein aktueller hijackThis Log:
Logfile of HijackThis v1.99.1
Scan saved at 11:29:32, on 17.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Lol\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124182333995
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp02.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

und mein smitRem Log:

smitRem log file
version 2.3

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

oleext.dll
ole32vbs.exe
msole32.exe
hp***.tmp
shnlog.exe
intmon.exe
hhk.dll
logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~

sites.ini


~~~ Drive root ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Post-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

msole32.exe


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Wininet.dll ~~~

CLEAN! ;)


----------------------------------------------------------------------
----------------------------------------------------------------------

Update:

Glaube ich habe es geschafft. Habe die wininet.dll aus C:\WINDOWS\SYSTEM32\DLLCACHE nach SYSTEM32 kopiert (vorher gescannt) und nun läuft alles wieder.

Meine aktuellen Logs:
-------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 12:02:19, on 17.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Lol\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124182333995
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp02.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

---------------------------------------------------

smitRem log file
version 2.3

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Post-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Wininet.dll ~~~

CLEAN! ;)
-------------------------------------------------------------

Sieht denke ich sehr gut aus. Da ich mich damit aber garnicht auskenne würde ich sehr gerne jemanden darum bitten nochmal drüber zu schauen. Vielleicht auch zu sagen ob meine komplette Vorgehensweise so in Ordnung war, damit ich vielleicht auch jemanden mal helfen kann, ohne seinen Rechner abzuschießen.

Vielen Dank schonmal ;)
Dieser Beitrag wurde am 17.08.2005 um 12:09 Uhr von Secu45 editiert.
Seitenanfang Seitenende
17.08.2005, 12:31
Member

Beiträge: 1132
#4 Hi Secu45,

erst mal Kompliment! Solch aktive User wünschte man sich öfters! Dennoch hast Du Glück, dass Du "nur" diesen Hijacker eingefangen hast. Dein System ist nämlich völlig ungepatcht!!

Das Log sieht sauber aus.

Du könntest zusätzlich noch eScan drüberlaufen lassen
http://virus-protect.org/escan.html

Außerdem, dringend Windowsupdates machen, SP2 aufspielen und den IE aktualisieren.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
17.08.2005, 12:41
...neu hier

Themenstarter

Beiträge: 9
#5 Vielen Dank! ;)

Alles klar, mache gerade den escan. Damit das nicht mehr passiert hab ich schonmal den firefox draufgemacht und hätte noch eine kleine Frage.
Kann mir jemand eine gute Freeware Firewall empfehlen? Bin zwar hinterm Router, aber würd gern noch eine Sofware Firewall (ausser der von SP2) hier drauf machen.

Und zum Thema völlig ungepacht: Habe zwar kein SP2 drauf, aber ansonsten gerade gestern erst Windows Update gemacht.

Nach dem escan poste ich nochmal den Log.
Dieser Beitrag wurde am 17.08.2005 um 12:52 Uhr von Secu45 editiert.
Seitenanfang Seitenende
17.08.2005, 12:52
Member

Beiträge: 32
#6 Moinsen,
mich plagt das selbe Problem, habe mir ebenfalls den PSGuard eingefangen.
Nach 2 stündiger Arbeit und mit Hilfe dieses sehr nützlichen Forum hier konnte ich ihn aber zumindestens schonmal soweit entfernen, dass er sich nicht immer wieder in die Registry einträgt. Spybot findet keine PSGuard einträge mehr. Auch andere Trojaner oder Malware wird nicht angezeigt. Ebenso Ewido. Dort wird auch nichts angezeigt. Ein online-scan mit Panda lässt auch darauf schliessen, dass der Pc sauber sein sollte. Jedoch blinkt in der Taskleiste ab und wann ein gelbes Dreieck mit einem schwarzen Ausrufezeichen auf. Ein doppelklick bringt einen auf verschiedene Webseiten mit angeblicher Anti-Spyware die man sich herunterladen soll um den PC von angeblichen Trojanern zu befreien.
Desöfteren erscheint auch eine Warnmeldung, die behauptet der PC sei mit Trojanern oder Spyware befallen, jedoch stammt diese Meldung weder von Spybot, noch von Ewido.
Ich würde mich doch sehr freuen wenn ihr mir irgendwie helfen könntet!
Seitenanfang Seitenende
17.08.2005, 12:55
...neu hier

Themenstarter

Beiträge: 9
#7 Das gleiche war bei mir auch. Hatte auch das Dreieck. Adaware hat bei mir auch immer wieder (alle anderen Tools nicht) Psguard in der registry angezeigt.
Poste echt am besten dein hijackThis Log hier rein, da kann dir am besten geholfen werden.

PS: Mein escan läuft noch aber er hat schon bissle was gefunden. z.B.:
"Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken."

Ich poste am ende nochmal den kompletten Log
Seitenanfang Seitenende
17.08.2005, 13:04
...neu hier

Beiträge: 1
#8 Hallo @Secu45
ich kann dir ZoneAlarm empfehlen.

Auf dieser Seite gibts den Download und Anleitung.
http://virus-protect.org/firewalls.html

Mfg Swiss
Seitenanfang Seitenende
17.08.2005, 13:17
...neu hier

Themenstarter

Beiträge: 9
#9 Hier ist mein escan Log:


--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Wed Aug 17 12:53:51 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
2: Wed Aug 17 12:59:08 2005 => File C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024847.exe infected by "Trojan-Downloader.Win32.Zlob.ah" Virus! Action Taken: No Action Taken.
3: Wed Aug 17 12:59:09 2005 => File C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024853.exe infected by "Trojan.Win32.Puper.ap" Virus! Action Taken: No Action Taken.
4: Wed Aug 17 12:59:09 2005 => File C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024854.dll infected by "Trojan.Win32.Puper.ap" Virus! Action Taken: No Action Taken.
5: Wed Aug 17 12:59:12 2005 => File C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024903.exe infected by "Trojan.Win32.Puper.ap" Virus! Action Taken: No Action Taken.
6: Wed Aug 17 12:59:12 2005 => File C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024904.dll infected by "Trojan.Win32.Puper.ap" Virus! Action Taken: No Action Taken.
7: Wed Aug 17 12:59:13 2005 => File C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024922.exe infected by "Trojan.Win32.Puper.ap" Virus! Action Taken: No Action Taken.
8: Wed Aug 17 12:59:13 2005 => File C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024923.dll infected by "Trojan.Win32.Puper.ap" Virus! Action Taken: No Action Taken.
9: Wed Aug 17 12:59:14 2005 => File C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024965.dll infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken.
10: Wed Aug 17 12:59:14 2005 => File C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024971.dll infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
11: Wed Aug 17 12:59:14 2005 => File C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024972.exe infected by "Trojan.Win32.Favadd.aj" Virus! Action Taken: No Action Taken.
12: Wed Aug 17 12:59:14 2005 => File C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024973.exe infected by "Trojan.Win32.Puper.ap" Virus! Action Taken: No Action Taken.
13: Wed Aug 17 12:59:14 2005 => File C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024974.exe infected by "Trojan.Win32.Puper.ap" Virus! Action Taken: No Action Taken.
14: Wed Aug 17 12:59:14 2005 => File C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024975.dll infected by "Trojan.Win32.Puper.ap" Virus! Action Taken: No Action Taken.

--------------------------------------------------
--------------------- TAGGED ---------------------
--------------------------------------------------

1: Wed Aug 17 12:51:01 2005 => File C:\Downloads\Backup\Games\Counter-Strike_old\hltv.exe tagged as not-a-virus:Server-Proxy.Win32.Hltv. No Action Taken.
2: Wed Aug 17 12:57:42 2005 => File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.

--------------------------------------------------
--------------------- ERRORS ---------------------
--------------------------------------------------

1: Wed Aug 17 12:39:05 2005 => ERROR!!! Invalid Entry ashMaiSv = C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.
2: Wed Aug 17 12:40:02 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\Navy.dll". Action Taken: No Action Taken.
3: Wed Aug 17 12:40:02 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\words.dll". Action Taken: No Action Taken.
4: Wed Aug 17 12:40:02 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\wordssingle.dll". Action Taken: No Action Taken.
5: Wed Aug 17 12:40:03 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\Navy.dll". Action Taken: No Action Taken.
6: Wed Aug 17 12:40:03 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\words.dll". Action Taken: No Action Taken.
7: Wed Aug 17 12:40:03 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\wordssingle.dll". Action Taken: No Action Taken.
8: Wed Aug 17 12:40:04 2005 => Entry "HKCR\CLSID\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}" refers to invalid object "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll". Action Taken: No Action Taken.
9: Wed Aug 17 12:40:07 2005 => Entry "HKCR\CLSID\{53707962-6F74-2D53-2644-206D7942484F}" refers to invalid object "C:\Programme\Spybot - Search & Destroy\SDHelper.dll". Action Taken: No Action Taken.
10: Wed Aug 17 12:40:20 2005 => Entry "HKCR\HP" refers to invalid object "{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}". Action Taken: No Action Taken.
11: Wed Aug 17 12:40:20 2005 => Entry "HKCR\HP.1" refers to invalid object "{74dca5e1-2573-4ef4-8483-ad35a8046c7e}". Action Taken: No Action Taken.
12: Wed Aug 17 12:42:53 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip is Not Scanned
13: Wed Aug 17 12:42:53 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchToonComics.zip is Not Scanned
14: Wed Aug 17 12:42:53 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchToonComics1.zip is Not Scanned
15: Wed Aug 17 12:42:54 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DyFuCA.zip is Not Scanned
16: Wed Aug 17 12:42:54 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PSGuard.zip is Not Scanned
17: Wed Aug 17 12:42:54 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC.zip is Not Scanned
18: Wed Aug 17 12:42:54 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC1.zip is Not Scanned
19: Wed Aug 17 12:42:54 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC2.zip is Not Scanned
20: Wed Aug 17 12:42:54 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC3.zip is Not Scanned
21: Wed Aug 17 12:42:54 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC4.zip is Not Scanned
22: Wed Aug 17 12:42:54 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC5.zip is Not Scanned
23: Wed Aug 17 12:42:54 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC6.zip is Not Scanned

--------------------------------------------------
-------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------
--------------------------------------------------

1: C:\Downloads\Backup\Games\Counter-Strike_old\hltv.exe => tagged:Server-Proxy.Win32.Hltv.
2: C:\Programme\mIRC\mirc.exe => tagged:Client-IRC.Win32.mIRC.616.
3: C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024847.exe => Trojan-Downloader.Win32.Zlob.ah
4: C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024853.exe => Trojan.Win32.Puper.ap
5: C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024854.dll => Trojan.Win32.Puper.ap
6: C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024903.exe => Trojan.Win32.Puper.ap
7: C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024904.dll => Trojan.Win32.Puper.ap
8: C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024922.exe => Trojan.Win32.Puper.ap
9: C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024923.dll => Trojan.Win32.Puper.ap
10: C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024965.dll => Virus.Win32.Nsag.b
11: C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024971.dll => Trojan.Win32.Small.ev
12: C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024972.exe => Trojan.Win32.Favadd.aj
13: C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024973.exe => Trojan.Win32.Puper.ap
14: C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024974.exe => Trojan.Win32.Puper.ap
15: C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024975.dll => Trojan.Win32.Puper.ap

--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------

Wed Aug 17 13:13:35 2005 => Total Objects Scanned: 46436
Wed Aug 17 13:13:35 2005 => Total Virus(es) Found: 16
Wed Aug 17 13:13:35 2005 => Total Errors: 23
Wed Aug 17 13:13:35 2005 => Virus Database Date: 2005/08/17
Wed Aug 17 13:13:35 2005 => Virus Database Count: 144030
Wed Aug 17 13:15:21 2005 => Total Objects Scanned: 46436
Wed Aug 17 13:15:21 2005 => Total Virus(es) Found: 16
Wed Aug 17 13:15:21 2005 => Total Errors: 23

Werde jetzt erstmal die Systemwiederherstellung deaktivieren um die Dateien zu löschen und dann wieder aktivieren. Soll ich noch was tun?
Seitenanfang Seitenende
17.08.2005, 13:47
Member

Beiträge: 32
#10 Also mein HIjackThis-log:
Logfile of HijackThis v1.99.1
Scan saved at 13:45:46, on 17.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\msole32.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\Sony\Jog Dial Utility\JogServ2.exe
C:\Programme\Sony\10Key Utility\va10key.exe
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hp7397.tmp (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [JOGSERV2.EXE] C:\Programme\Sony\Jog Dial Utility\JogServ2.exe
O4 - HKLM\..\Run: [va10key] C:\Programme\Sony\10Key Utility\va10key.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PowerPanel.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: style2 - C:\WINDOWS\q208680_disk.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
Seitenanfang Seitenende
17.08.2005, 13:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Hallo@SteffenK

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

http://www.bleepingcomputer.com/files/reg/smitfraud.reg

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hp7397.tmp (file missing)
O20 - Winlogon Notify: style2 - C:\WINDOWS\q208680_disk.dll (file missing)


Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken..dann wieder in den normalmodus booten

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\hp7397.tmp
C:\WINDOWS\System32\msole32.exe
C:\WINDOWS\q208680_disk.dll

PC neustarten

smitRem TOOL (Entfernungstool)
Download: http://noahdfear.geekstogo.com/
öffne smitRem folder, Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

ClaerProg..lade die neuste Version
http://virus-protect.org/temp.html
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Verlauf
- Temporäre Internetfiles (Cache)
- index.dat

Lade Ewido von dieser Seite -- im abgesicherten Modus scannen+ poste mir den Scanreport ;)
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.08.2005, 13:58
Member

Beiträge: 1132
#12 @Secu45

(und bitte die WindowsUpdates machen->lade SP2)

Wenn Du die beiden
1: C:\Downloads\Backup\Games\Counter-Strike_old\hltv.exe => tagged:Server-Proxy.Win32.Hltv.
2: C:\Programme\mIRC\mirc.exe => tagged:Client-IRC.Win32.mIRC.616.
kennst, dann kannst Du sie belassen werden als "Riskware" eingestuft)

Scanne Dein System noch mit Ewido
http://virus-protect.org/ewido.html

Suche und lösche in der Registry alle Schlüssel mit {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}

Leere die Quarantäne von Spybot S&D

Bereinige die Registry und Surfspuren mit CCleaner
http://www.ccleaner.com/ccdownload.asp

Was die Firewall anbelangt, so schau Dich mal im Firewall-Forum um. Da findest jede Menge Empfehlungen.

Gruß
Heron

edit:
Hi Sabina, Du bist mir zuvor gekommen
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
17.08.2005, 14:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Hallo@Heron ;)

ich bin eben eine schnelle Biene ;)
Ich hab meinen Beitrag geloescht und in deinen das WinUpdate reinkopiert.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.08.2005, 14:29
Member

Beiträge: 1132
#14 Das stimmt! Man könnte Dich schon mit Fug und Recht als "Turbo-Biene" :yo bezeichnen. Einfach unglaublich Dein Pensum!

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
17.08.2005, 14:55
...neu hier

Themenstarter

Beiträge: 9
#15 Also habe jetzt alles gemacht.

Der Ewido hat nur cookies gefunden. Hier der Report:

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 14:47:02, 17.08.2005
+ Report-Checksumme: 194238C3

+ Scanergebnis:

:mozilla.9:C:\Dokumente und Einstellungen\Lol\Anwendungsdaten\Mozilla\Firefox\Profiles\ctac075n.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.10:C:\Dokumente und Einstellungen\Lol\Anwendungsdaten\Mozilla\Firefox\Profiles\ctac075n.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.11:C:\Dokumente und Einstellungen\Lol\Anwendungsdaten\Mozilla\Firefox\Profiles\ctac075n.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.12:C:\Dokumente und Einstellungen\Lol\Anwendungsdaten\Mozilla\Firefox\Profiles\ctac075n.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.13:C:\Dokumente und Einstellungen\Lol\Anwendungsdaten\Mozilla\Firefox\Profiles\ctac075n.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.14:C:\Dokumente und Einstellungen\Lol\Anwendungsdaten\Mozilla\Firefox\Profiles\ctac075n.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.25:C:\Dokumente und Einstellungen\Lol\Anwendungsdaten\Mozilla\Firefox\Profiles\ctac075n.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.26:C:\Dokumente und Einstellungen\Lol\Anwendungsdaten\Mozilla\Firefox\Profiles\ctac075n.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.27:C:\Dokumente und Einstellungen\Lol\Anwendungsdaten\Mozilla\Firefox\Profiles\ctac075n.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert ohne Backup
:mozilla.28:C:\Dokumente und Einstellungen\Lol\Anwendungsdaten\Mozilla\Firefox\Profiles\ctac075n.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert ohne Backup
:mozilla.29:C:\Dokumente und Einstellungen\Lol\Anwendungsdaten\Mozilla\Firefox\Profiles\ctac075n.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert ohne Backup
C:\Dokumente und Einstellungen\Lol\Cookies\Lol@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert ohne Backup


::Report Ende
--------------------------------------------------------------

Sobald ich den escan laufen lasse findet er immer wieder den da:

"Object "AltNet Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen."

Was könnte das sein?

Und wie leere ich die Quarantäne von SpyBot?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: