PS Guard Problem

#0
18.08.2005, 20:40
...neu hier

Beiträge: 8
#1 hallo habe das wie schon oft hier besprochene problem.

bitte helft mir weiter!!

hier das logfile:

Logfile of HijackThis v1.99.1
Scan saved at 20:39:15, on 18.08.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\MSMSGS.EXE
C:\WINDOWS\SYSTEM\MSOLE32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MHOTKEY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\HPZTSB04.EXE
C:\PROGRAMME\SCANSOFT\OMNIPAGESE\OPWARE32.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\ICQLITE\ICQLITE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\INTELL32.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TEMP\TD_0001.DIR\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.meganeforum.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\SYSTEM\msmsgs.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\SYSTEM\intell32.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\yawguard.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0245cb579b8c20808218/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.1.1
O20 - Winlogon Notify: style2 - C:\WINDOWS\Q1073972_DISK.DLL



danke
Dieser Beitrag wurde am 18.08.2005 um 20:44 Uhr von _stefan_ editiert.
Seitenanfang Seitenende
18.08.2005, 22:44
Member
Avatar Gool

Beiträge: 4730
#2 Ok, Du hast neben dem PSGuard noch ein paar unschöne Sachen drauf.

Lade Dir Killbox herunter und entpacke es.

Deaktiviere die Systemwiederherstellung.
http://www.bsi.de/av/texte/wiederher_me.htm

fixe mit HijackThis (HJT) folgende Einträge (Häkchen setzen, "fix checked" klicken)

O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\SYSTEM\msmsgs.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\SYSTEM\intell32.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O20 - Winlogon Notify: style2 - C:\WINDOWS\Q1073972_DISK.DLL

Starte neu im abgesicherten Modus (siehe Link oben).

Führe Killbox aus. Aktiviere Option "Delete on Reboot". Füge folgendes ins Eingabefeld ein und bestätige jede Eingabe mit Klick auf das rote Kreuz. Achtung: Es kommen zwei Abfragen. Die Frage nach dem Reboot beantwortest Du erst nach der letzten Datei mit YES!

C:\WINDOWS\SYSTEM\msmsgs.exe
C:\WINDOWS\SYSTEM\intell32.exe
C:\Programme\PSGuard\PSGuard.exe
C:\WINDOWS\Q1073972_DISK.DLL

PC wird neu gestartet. Dein PC ist aber immer noch nicht gesäubert (das war bisher nur die Grundreinigung)

Lade eScan und führe einen Systemscan damit durch, wie auf der Seite beschrieben. Teile uns das Ergebnis mit.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
18.08.2005, 23:13
...neu hier

Themenstarter

Beiträge: 8
#3 also danke dir erst mal!

nur hab da jetzt noch ne frage hab jetzt im abgesicherten modus killbox gestartet und das dann so gemacht wie du gesagt hast. hab auf das kreuzchen geklickt und dann sagt er: "file will be deleted on next reboot"

und dann kann man wählen zwischen "ok" und "abbrechen"

was muss ich das machen??

danke für die geduld! bin aber nicht so fit in sachen computer!

@sabina: kannst du mir vielleicht bitte schnell hier weiterhelfen?
Dieser Beitrag wurde am 18.08.2005 um 23:33 Uhr von _stefan_ editiert.
Seitenanfang Seitenende
19.08.2005, 09:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@_stefan_

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

C:\WINDOWS\SYSTEM\msmsgs.exe
C:\WINDOWS\SYSTEM\intell32.exe
C:\Programme\PSGuard\PSGuard.exe
C:\WINDOWS\Q1073972_DISK.DLL

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

PC neustarten

loesche:
C:\Programme\PSGuard

smitRem TOOL (Entfernungstool)
Download: http://noahdfear.geekstogo.com/
öffne smitRem folder, Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.08.2005, 09:53
...neu hier

Themenstarter

Beiträge: 8
#5 ja danke.

aber wie gesagt wenn ich dann auf das rote kreu klicke sagt er nur "file will be deleted on next reboot". und dann habe ich die auswahl zwischen "ok" und "abbrechen".

was muss denn ind den kasten wo das gelbe dreieck ist mit dem ausrufezeichen?
Seitenanfang Seitenende
19.08.2005, 10:42
Member

Beiträge: 18
#6 Hallo, bin neu hier und denke ich habe den psguard auch auf dem Rechner.
Hoffe, ihr könnt mir helfen...

Hier das log:

Logfile of HijackThis v1.99.1
Scan saved at 11:31:33, on 17.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\PestPatrol\CookiePatrol.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\iPod\bin\iPodService.exe
c:\progra~1\intern~1\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Meine empfangenen Dateien\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.apyfioctbcq.com/h00sxPIwJm8y0r0T8Js_3UmpChHPzG8dsOUc6ovNbDVkgc9vltbRnk2RzcUvARhf.jpg
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uhbvcbwloxcpcvuro.biz/h00sxPIwJm_ChXpE8YVq3aYTQ9IpfocEoNiw29TlBb8.html
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\a.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: (no name) - {AD40E9F9-B642-5D8C-5CA5-D233A317AD57} - C:\DOKUME~1\Manuel\ANWEND~1\TRUSTA~1\Bleh Defy.exe
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\a.bin\mwsoemon.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [build draw chic 1] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DvdDriveBuildDraw\title chin.exe
O4 - HKLM\..\RunOnce: [CAFIX] "C:\WINDOWS\system32\ZoneLabs\cafix.exe" /IgnoreAll
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\a.bin\mwsoemon.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [Style Idle] C:\DOKUME~1\Manuel\ANWEND~1\VIEWAC~1\OOZE THUNK BAT.exe
O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\a.bin\MWSOEMON.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\a.bin\MWSOEMON.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B0867FC7-5DAB-4E9B-9E3B-54EB31325262}: NameServer = 192.168.122.252,192.168.122.253
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Danke im voraus....;)
Seitenanfang Seitenende
19.08.2005, 12:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Hallo@_stefan_

Zitat

aber wie gesagt wenn ich dann auf das rote kreu klicke sagt er nur "file will be deleted on next reboot". und dann habe ich die auswahl zwischen "ok" und "abbrechen".

was muss denn ind den kasten wo das gelbe dreieck ist mit dem ausrufezeichen?
du kopierst eine Datei ein, dann klickst du auf das rote Kreuz, dann kommt die Frage, ob du neustarten willst, du klickst auf "no", dann kopierst du die naechste Datei rein, dann wieder "no".....usw.

erst bei der letzten, klickst du "yes" und der pC startet neu und wird beim Booten alles loeschen, was du eingegeben hast.

(du kannst auch nach jeder Datei "yes"bestaetigen und jedesmal neustarten, aber das ist doch sehr umstaendlich ;) )

(in das Feld mit dem gelben Dreieck kommt nichts)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.08.2005, 12:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Kerze

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.apyfioctbcq.com/h00sxPIwJm8y0r0T8Js_3UmpChHPzG8dsOUc6ovNbDVkgc9vltbRnk2RzcUvARhf.jpg
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uhbvcbwloxcpcvuro.biz/h00sxPIwJm_ChXpE8YVq3aYTQ9IpfocEoNiw29TlBb8.html
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\a.bin\MWSSRCAS.DLL (file missing)

O2 - BHO: (no name) - {AD40E9F9-B642-5D8C-5CA5-D233A317AD57} - C:\DOKUME~1\Manuel\ANWEND~1\TRUSTA~1\Bleh Defy.exe
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\a.bin\mwsoemon.exe
O4 - HKLM\..\Run: [build draw chic 1] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DvdDriveBuildDraw\title chin.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\a.bin\mwsoemon.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [Style Idle] C:\DOKUME~1\Manuel\ANWEND~1\VIEWAC~1\OOZE THUNK BAT.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\a.bin\MWSOEMON.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\a.bin\MWSOEMON.EXE
O20 - AppInit_DLLs: MsgPlusLoader.dll

PC neustarten

deinstalliere:
MsgPlus3
MyWebSearch

loesche im abgesicherten modus:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DvdDriveBuildDraw\title chin.exe
C:\DOKUME~1\Manuel\ANWEND~1\VIEWAC~1\OOZE THUNK BAT.exe
C:\DOKUME~1\Manuel\ANWEND~1\TRUSTA~1\Bleh Defy.exe
C:\Programme\MyWebSearch\bar\
MsgPlusLoader.dll
---------------------------------------------------------------------------------------------

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

smitRem TOOL (Entfernungstool)
Download: http://noahdfear.geekstogo.com/
öffne smitRem folder, Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

escan (poste, was angezeigt wird)

http://virus-protect.org/escan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.08.2005, 14:21
Member

Beiträge: 18
#9 hier smitrem log:

smitRem log file
version 2.3

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Post-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Wininet.dll ~~~

CLEAN! ;)



und hier escan:
oh sehe der is rieeeeeeesig, soll ich den echt reinsetzen???
Seitenanfang Seitenende
19.08.2005, 15:00
...neu hier

Themenstarter

Beiträge: 8
#10 bei funktioniert das mit killbox irgendwie nicht!

1, in dem einen feld neben dem gelben dreieck steht immer irgenwas drin. wenn ich killbox öffne steht das irgendwas kernell32.dll oder so und dann kann man noch andere auswählen aber ganz leer machen kann ich da nix

2, wenn ich eine datei rein kopiert habe und auf des rote kreuz klicke kommt da keine frage die man mit yes oder no beantworten kann sondern es kommt immer "file will be deleted on next reboot" und dann kann ich dies mit ok bestätigen oder abbrechen...

WAS ist da los??


ich habe das jetzt bei allen 4 mit ok bestätigt und dann den computer neu gestartet und beim hochfahren ist dann schon gekommen "neue systemdateien werden konfiguriert".....

was soll ich jetzt machen?

danke im voraus!!!
Seitenanfang Seitenende
19.08.2005, 15:01
Member
Avatar Gool

Beiträge: 4730
#11

Zitat

_stefan_ postete
aber wie gesagt wenn ich dann auf das rote kreu klicke sagt er nur "file will be deleted on next reboot". und dann habe ich die auswahl zwischen "ok" und "abbrechen".
Dort klickst Du auf "ok". Danach fragt er Dich "Do you want to reboot?" (oder so ähnlich), da hälst Du Dich dann an die Anweisungen.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
19.08.2005, 16:16
...neu hier

Themenstarter

Beiträge: 8
#12 nein außer dem was ich gesagt habe kommt danach nichts mehr....

was soll ich jetzt machen??

soll ich das mit eScan und mit dem smitRem Tool machen und dann hier posten?


danke

mfg
Seitenanfang Seitenende
19.08.2005, 16:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Hallo@_stefan_

Zitat

"file will be deleted on next reboot" und dann kann ich dies mit ok bestätigen oder abbrechen...
ABBRECHEN WAEHLEN

und erst bei der letzten Datei o.k

fuehre alles weitere aus, so wie ich es geschrieben habe..... und alles hier posten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.08.2005, 16:33
...neu hier

Themenstarter

Beiträge: 8
#14 ja und wenn ich nach dem letzten auf ok klicke tut sich aber auch nichts. und wenn ich bei den anderen vorher auf abbrechen klicke kommt die meldung : "there is no path to file in the destination box, you must list a file or use a dummy"

was heisst das? und was soll ich nun tun??


und hier ist mal die smitfiles.txt:


smitRem log file
version 2.3

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system folder ~~~


oleext.dll
wppp.html
intmonp.exe
ole32vbs.exe
msole32.exe
shnlog.exe


~~~ Icons in system folder ~~~



~~~ Windows directory ~~~

uninstIU.exe
sites.ini
popuper.exe


~~~ Drive root ~~~



~~~~ wininet.dll ~~~~

wininet.dll Present!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Post-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system folder ~~~


oleext.dll
msole32.exe


~~~ Icons in system folder ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~~ wininet.dll ~~~~

wininet.dll INFECTED!! ;)



danke
Dieser Beitrag wurde am 19.08.2005 um 16:45 Uhr von _stefan_ editiert.
Seitenanfang Seitenende
19.08.2005, 19:12
Member
Avatar Gool

Beiträge: 4730
#15 Hallo Stefan,

da ich nicht weiß, womit Du jetzt genau ein Problem hast, erkläre ich es nochmal Schritt für Schritt.

Du startest Killbox. Dort siehst Du oben eine Überschrift die da lautet "Full Path of File to Delete". Darunter befindet sich ein Eingabefeld, worin Du die Angaben zur Datei, die gelöscht werden soll, angibst.

Neben diesem Eingabefeld befinden sich drei Symbole. Wichtig für Dich ist nur der rote Kreis mit dem weißen Kreuz (hier der Einfachheit halber als rotes Kreuz bezeichnet).

Wenn Du die zu löschende Datei angegeben hast, wird diese blau unter dem Eingabefeld angezeigt. Darunter befinden sich übrigens auch die Optionen "Standard File Kill", "Delete on Reboot" und "Replace on Reboot". Der Rest ist für Dich unwichtig und sollte unangetastet bleiben (erst recht rechts unten, wo standardmäßig [System Process] angezeigt wird - da nichts dran ändern!). Du wählst hier die Option "Delete on Reboot" und klickst dann auf das "rote Kreuz".

Es erscheint eine Abfrage: "All listet Files will be Deleted on Next Reboot". Da klickst Du auf "Ja". Dann erscheint eine zweite Abfrage: "Files will be Removed on Reboot, Do you want to reboot now?" - hier antwortest Du erst mit "Ja", wenn Du die letzte Datei eingegeben hast.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: