PS Guard unter Windows XP :\

#0
19.08.2005, 22:22
...neu hier

Beiträge: 10
#1 Bin völlig unerfahren auf dem Gebiet und um jede Hilfe dankbar

Keine Ahnung wo ichs herhab oder herhaben könnte, hier mal das hijackthis-log:



Logfile of HijackThis v1.99.1
Scan saved at 22:18:37, on 19.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Creative\SBLive\AudioHQ\AHQTBU.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\Ctsvccda.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\intell32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\Steffen Triebel\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\shdocvn.dll/errorAPI.htm#ID=PX8594;
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: BHO - {00000015-A527-34E7-25C2-03A4E313B2E9} - c:\WINDOWS\system32\winsrvs_1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {B20D470B-63CE-4B94-A46B-A5D904B1D3DD} - C:\WINDOWS\System32\blbd.dll (file missing)
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [AudioHQU] C:\Programme\Creative\SBLive\AudioHQ\AHQTBU.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [Start Page] C:\WINDOWS\system32\svcnt32.exe home
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = H:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - http://www.eingang69.de/EroticAccess/exe/access_special.ocx
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF5C1309-2822-483F-A8C3-75256501D791}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF35E58B-FEBB-49DF-A9E2-1AF3327CB1D5}: NameServer = 192.168.0.1
O21 - SSODL: AMIP - {FF726F8C-72EE-42A7-1319-85FDFBF77D9B} - c:\programme\winamp\plugins\tnyolt32.dll (file missing)
O21 - SSODL: System - {A5729A67-2EBF-4EF0-A770-23FB84107947} - vr_sys.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\Ctsvccda.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: stchost.exe (moto) - Unknown owner - C:\WINDOWS\stchost.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
Seitenanfang Seitenende
19.08.2005, 23:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@N4aN

Start -- Ausfuehren -- schreib rein: cmd

kopiere rein:
sc stop moto
klicke "enter"

und warte ein bisschen, dann kopiere rein:

sc delete moto
klicke "enter"

kopiere rein:
del C:\WINDOWS\stchost.exe
Klicke "enter"

--------------------------------------------------------------------------------------------

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\shdocvn.dll/errorAPI.htm#ID=PX8594;
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: BHO - {00000015-A527-34E7-25C2-03A4E313B2E9} - c:\WINDOWS\system32\winsrvs_1.dll

O2 - BHO: (no name) - {B20D470B-63CE-4B94-A46B-A5D904B1D3DD} - C:\WINDOWS\System32\blbd.dll (file missing)
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [Start Page] C:\WINDOWS\system32\svcnt32.exe home
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O21 - SSODL: System - {A5729A67-2EBF-4EF0-A770-23FB84107947} - vr_sys.dll (file missing)
O23 - Service: stchost.exe (moto) - Unknown owner - C:\WINDOWS\stchost.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

PC neustarten


•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\shdocvn.dll
C:\WINDOWS\System32\intell32.exe
C:\WINDOWS\System32\blbd.dll
C:\WINDOWS\system32\svcnt32.exe
C:\Programme\PSGuard\PSGuard.exe
C:\Programme\PSGuard
C:\WINDOWS\stchost.exe
C:\WINDOWS\vr_sys.dll
C:\WINDOWS\system\stchost.dll
C:\WINDOWS\system\__delete_on_reboot__stchosthook.dll
C:\WINDOWS\System32\msmsgs.exe
c:\WINDOWS\system32\winsrvs_1.dll
C:\WINDOWS\System32\intell32.exe

PC neustarten

smitRem TOOL (Entfernungstool)
Download: http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

Lade Ewido -->poste bitte das Log vom SCan
http://virus-protect.org/ewido.html

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

-----------------------------


•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

moto

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

reinkopieren:

stchost.exe

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.08.2005, 04:58
...neu hier

Themenstarter

Beiträge: 10
#3 Gut, gerade nach Hause gekommen - schreib ich dir mal die Ergebnisse für die Scans rein.
Im übrigen danke für die schnelle und gute Hilfe, hätt ich nicht mit gerechnet.



smitRem log file
version 2.3

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

ShudderLTD key present! Running LTDFix!

ShudderLTD key was successfully removed! ;)


Pre-run Files Present


~~~ Program Files ~~~

PSGuard


~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

thn.dll
oleext.dll


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Post-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

oleext.dll


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Wininet.dll ~~~

wininet.dll INFECTED!! ;) Starting replacement procedure.


~~~~ Looking for C:\WINDOWS\system32\dllcache\wininet.dll ~~~~


~~~~ C:\WINDOWS\system32\dllcache\wininet.dll Present! ~~~~


~~~~ Checking dllcache\wininet.dll for infection ~~~~


~~~~ dllcache\wininet.dll Clean! ~~~~

~~~ Replaced wininet.dll from dllcache ~~~








---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 04:53:59, 20.08.2005
+ Report-Checksumme: 8D13969B

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3} -> Trojan.Agent.eo : Gesäubert mit Backup
[804] C:\WINDOWS\System32\OLEEXT.dll -> TrojanDownloader.Agent.ns : Fehler beim Säubern
[1116] C:\WINDOWS\System32\OLEEXT.dll -> TrojanDownloader.Agent.ns : Fehler beim Säubern
[1580] C:\WINDOWS\System32\OLEEXT.dll -> TrojanDownloader.Agent.ns : Fehler beim Säubern
[1636] C:\WINDOWS\System32\OLEEXT.dll -> TrojanDownloader.Agent.ns : Fehler beim Säubern
[1672] C:\WINDOWS\System32\OLEEXT.dll -> TrojanDownloader.Agent.ns : Fehler beim Säubern
[1712] C:\WINDOWS\System32\OLEEXT.dll -> TrojanDownloader.Agent.ns : Fehler beim Säubern
[1732] C:\WINDOWS\System32\OLEEXT.dll -> TrojanDownloader.Agent.ns : Fehler beim Säubern
[2268] C:\WINDOWS\system32\OLEEXT.dll -> TrojanDownloader.Agent.ns : Fehler beim Säubern
[2784] C:\WINDOWS\system32\OLEEXT.dll -> TrojanDownloader.Agent.ns : Fehler beim Säubern
C:\WINDOWS\system32\maxd1.exe -> Dialer.Generic : Gesäubert mit Backup
C:\WINDOWS\system32\ztoolb005.dll -> Spyware.Zbar : Gesäubert mit Backup
C:\WINDOWS\system32\ztoolb009.dll -> Spyware.Zbar : Gesäubert mit Backup
C:\WINDOWS\system32\__delete_on_reboot__OLEEXT.dll -> TrojanDownloader.Agent.ns : Gesäubert mit Backup
C:\WINDOWS\system32\AdCache -> Adware.Cydoor : Gesäubert mit Backup
C:\WINDOWS\system32\AdCache\B_434_0_2_514100.gif -> Adware.Cydoor : Gesäubert mit Backup
C:\WINDOWS\system32\AdCache\B_434_0_2_517000.gif -> Adware.Cydoor : Gesäubert mit Backup
C:\WINDOWS\system32\AdCache\B_434_0_2_539400.swf -> Adware.Cydoor : Gesäubert mit Backup
C:\WINDOWS\system32\AdCache\B_434_0_1_501900.jpg -> Adware.Cydoor : Gesäubert mit Backup
C:\WINDOWS\system32\AdCache\B_434_0_2_585500.swf -> Adware.Cydoor : Gesäubert mit Backup
C:\WINDOWS\system32\AdCache\B_434_0_2_608400.swf -> Adware.Cydoor : Gesäubert mit Backup
C:\WINDOWS\system32\AdCache\B_434_0_2_601400.gif -> Adware.Cydoor : Gesäubert mit Backup
C:\WINDOWS\system32\AdCache\B_434_0_3_530600.gif -> Adware.Cydoor : Gesäubert mit Backup
C:\WINDOWS\system32\AdCache\B_434_0_3_730000.swf -> Adware.Cydoor : Gesäubert mit Backup
C:\WINDOWS\system32\AdCache\B_434_0_2_539400.htm -> Adware.Cydoor : Gesäubert mit Backup
C:\WINDOWS\system32\AdCache\B_434_0_2_555100.htm -> Adware.Cydoor : Gesäubert mit Backup
C:\WINDOWS\system32\AdCache\B_434_0_2_585500.htm -> Adware.Cydoor : Gesäubert mit Backup
C:\WINDOWS\system32\AdCache\B_434_0_2_608400.htm -> Adware.Cydoor : Gesäubert mit Backup
C:\WINDOWS\system32\AdCache\B_434_0_3_730000.htm -> Adware.Cydoor : Gesäubert mit Backup
C:\WINDOWS\system32\AdCache\B_434_2_1_549800.htm -> Adware.Cydoor
C:\WINDOWS\system32\AdCache\B_434_0_1_590700.gif -> Adware.Cydoor : Gesäubert mit Backup
C:\WINDOWS\system32\AdCache\B_434_0_1_592400.gif -> Adware.Cydoor : Gesäubert mit Backup
C:\WINDOWS\system32\AdCache\B_434_0_2_513300.gif -> Adware.Cydoor : Gesäubert mit Backup
C:\WINDOWS\sec.exe -> TrojanDropper.Small.acg : Gesäubert mit Backup
C:\WINDOWS\Downloaded Program Files\access_special.ocx -> Dialer.Generic : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Steffen Triebel\Desktop\backups\backup-20050820-004751-567.dll -> Spyware.Ramdud : Gesäubert mit Backup
:mozilla.7:C:\Dokumente und Einstellungen\Steffen Triebel\Anwendungsdaten\Mozilla\Firefox\Profiles\fa5cqytt.default\cookies.txt -> Spyware.Cookie.Adition : Gesäubert mit Backup
:mozilla.10:C:\Dokumente und Einstellungen\Steffen Triebel\Anwendungsdaten\Mozilla\Firefox\Profiles\fa5cqytt.default\cookies.txt -> Spyware.Cookie.Adition : Gesäubert mit Backup
:mozilla.11:C:\Dokumente und Einstellungen\Steffen Triebel\Anwendungsdaten\Mozilla\Firefox\Profiles\fa5cqytt.default\cookies.txt -> Spyware.Cookie.Adition : Gesäubert mit Backup
:mozilla.15:C:\Dokumente und Einstellungen\Steffen Triebel\Anwendungsdaten\Mozilla\Firefox\Profiles\fa5cqytt.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.16:C:\Dokumente und Einstellungen\Steffen Triebel\Anwendungsdaten\Mozilla\Firefox\Profiles\fa5cqytt.default\cookies.txt -> Spyware.Cookie.Adition : Gesäubert mit Backup
:mozilla.17:C:\Dokumente und Einstellungen\Steffen Triebel\Anwendungsdaten\Mozilla\Firefox\Profiles\fa5cqytt.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.18:C:\Dokumente und Einstellungen\Steffen Triebel\Anwendungsdaten\Mozilla\Firefox\Profiles\fa5cqytt.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup

:mozilla.300:C:\Dokumente und Einstellungen\Steffen Triebel\Anwendungsdaten\Mozilla\Firefox\Profiles\fa5cqytt.default\cookies.txt -> Spyware.Cookie.Targetnet : Gesäubert mit Backup
:mozilla.301:C:\Dokumente und Einstellungen\Steffen
:mozilla.571:C:\Dokumente und Einstellungen\Steffen Triebel\Anwendungsdaten\Mozilla\Firefox\Profiles\fa5cqytt.default\cookies.txt -> Spyware.Cookie.Hitslink : Gesäubert mit Backup
:mozilla.588:C:\Dokumente und Einstellungen\Steffen Triebel\Anwendungsdaten\Mozilla\Firefox\Profiles\fa5cqytt.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup

Passt nicht ganz rein, ein paar Zeilen fehlen leider :\
Dieser Beitrag wurde am 20.08.2005 um 05:02 Uhr von N4aN editiert.
Seitenanfang Seitenende
20.08.2005, 10:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@N4aN

Suchen/loeschen:
programme\PSGuard

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

moto

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

reinkopieren:


stchost.exe

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.08.2005, 15:53
...neu hier

Themenstarter

Beiträge: 10
#5 REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "moto" 20.08.2005 15:52:02

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_USERS\S-1-5-21-220523388-1292428093-839522115-1003\Software\epsxe\config]
"GamepadMotorType"="0,0,0,0"

[HKEY_USERS\S-1-5-21-220523388-1292428093-839522115-1003\Software\epsxe\config]
"GamepadSMotorType"="0,0,0,0"

[HKEY_USERS\S-1-5-21-220523388-1292428093-839522115-1003\Software\epsxe\config]
"GamepadBMotorType"="0,0,0,0"




Für letzteres : No results. ;)
Seitenanfang Seitenende
20.08.2005, 16:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 kopiere nur rein:

stchost

erscheint dann was im Texteditor?

Gehe auch in die Registry
Start-->Ausfuehren-->regedit

Bearbeiten-->suchen--> stchost

berichte, ob du was findest

------------

dann arbeite das hier bitte alles ab
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.08.2005, 17:47
...neu hier

Themenstarter

Beiträge: 10
#7 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C0C3-A84D

Verzeichnis von C:\WINDOWS\system32

20.08.2005 10:02 1.080 settingsbkup.sfm
20.08.2005 10:02 24 DVCState-{00000000-00000000-0000000A-00001102-00000002-80641102}.dat
20.08.2005 10:02 24 DVCStateBkp-{00000000-00000000-0000000A-00001102-00000002-80641102}.dat
20.08.2005 10:02 17.500 BMXState-{00000000-00000000-0000000A-00001102-00000002-80641102}.rfx
20.08.2005 10:02 17.500 BMXStateBkp-{00000000-00000000-0000000A-00001102-00000002-80641102}.rfx
20.08.2005 10:02 29.808 BMXBkpCtrlState-{00000000-00000000-0000000A-00001102-00000002-80641102}.rfx
20.08.2005 10:02 29.808 BMXCtrlState-{00000000-00000000-0000000A-00001102-00000002-80641102}.rfx
20.08.2005 10:02 1.080 settings.sfm
19.08.2005 21:01 45 initdebug.nfo
19.08.2005 17:56 248 system.htm
19.08.2005 16:57 28.672 birdihuy32.dll
19.08.2005 16:57 63 birdihuy.dll
14.08.2005 16:10 2.184 wpa.dbl
25.07.2005 15:54 3.388 ztoolbar.bmp
25.07.2005 04:58 46.592 zlbw.dll
25.07.2005 04:58 22 $$$_.log
25.07.2005 04:57 8 zksdfnsuidfsdiu.jhk
15.06.2005 16:55 4.096 speedfan.sys
02.06.2005 22:13 1.991.936 kernel1.exe
02.06.2005 22:12 1.985.152 KERNEL.TMP
04.05.2005 07:04 299.008 atiiiexx.dll
04.05.2005 06:31 221.184 ATIDEMGR.dll
04.05.2005 05:52 6.680.576 atioglx1.dll
04.05.2005 04:44 4.820.992 atioglxx.dll
04.05.2005 04:28 226.816 ati2dvag.dll
04.05.2005 04:24 94.208 atipdlxx.dll
04.05.2005 04:24 73.728 Oemdspif.dll
04.05.2005 04:24 25.088 Ati2mdxx.exe
04.05.2005 04:24 39.936 ati2edxx.dll
04.05.2005 04:23 46.080 ati2evxx.dll
04.05.2005 04:22 364.544 ati2evxx.exe
04.05.2005 04:22 53.248 ATIDDC.DLL
04.05.2005 04:14 2.307.424 ati3duag.dll
04.05.2005 04:08 604.864 ativvaxx.dll
04.05.2005 03:57 135.168 atikvmag.dll
04.05.2005 03:57 17.408 atitvo32.dll
04.05.2005 03:52 204.800 ati2cqag.dll
03.05.2005 21:05 516.096 ati2sgag.exe
02.05.2005 14:07 5.396 atifglpf.xml
14.04.2005 14:28 114.968 FNTCACHE.DAT
08.04.2005 22:42 87.540 atiicdxx.dat
04.04.2005 14:09 3.069 jupdate-1.5.0_02-b09.log
21.03.2005 00:06 368.640 MatroskaSplitter.ax
17.03.2005 14:42 10.592 baur5s9q.dat
17.03.2005 14:42 178.648 ap2nqrd4.dat
17.03.2005 14:41 2.864 q10pvbrv.dat
17.03.2005 14:41 0 aavdesh9.html
17.03.2005 14:41 0 bqrufs5f.dat
17.03.2005 14:41 0 ritsacnk.dat
14.03.2005 21:30 61.440 pxhpinst.exe
12.03.2005 00:48 109.568 pxinsi64.exe
12.03.2005 00:48 108.544 pxcpyi64.exe
12.03.2005 00:48 56.832 pxcpya64.exe
12.03.2005 00:48 56.320 pxinsa64.exe
12.03.2005 00:28 151.552 pxwma.dll
12.03.2005 00:28 172.032 pxmas.dll
12.03.2005 00:28 339.968 pxwave.dll
12.03.2005 00:28 28.672 vxblock.dll
12.03.2005 00:28 405.504 pxdrv.dll
12.03.2005 00:28 339.968 px.dll
04.03.2005 03:36 127.078 javaws.exe
04.03.2005 03:36 49.265 jpicpl32.cpl
04.03.2005 02:07 49.250 javaw.exe
04.03.2005 02:06 49.248 java.exe
04.01.2005 15:37 3.243 jupdate-1.4.2_06-b03.log
03.01.2005 16:16 16 RgsData.dat
03.01.2005 00:52 848 KGyGaAvL.sys
03.01.2005 00:13 56 42FCA8EA7A.sys
01.01.2005 02:03 705.468 PerfStringBackup.INI
01.01.2005 02:03 305.454 perfh009.dat
01.01.2005 02:03 37.896 perfc009.dat
01.01.2005 02:03 45.870 perfc007.dat
01.01.2005 02:03 310.140 perfh007.dat
20.12.2004 11:10 61.440 xvid.ax
20.12.2004 11:08 155.648 xvidvfw.dll
20.12.2004 11:03 679.936 xvidcore.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C0C3-A84D

Verzeichnis von C:\DOKUME~1\STEFFE~1\LOKALE~1\Temp

20.08.2005 17:34 81 pi.sys
20.08.2005 16:16 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}7596.html
20.08.2005 15:50 16.384 ~DF71F8.tmp
20.08.2005 15:49 16.384 ~DF4AAA.tmp
20.08.2005 15:49 512 ~DF4AB3.tmp
20.08.2005 15:49 412 jusched.log
20.08.2005 10:01 16.384 ~DF2118.tmp
20.08.2005 10:01 16.384 ~DFC4FE.tmp
20.08.2005 04:17 0 urla
9 Datei(en) 67.524 Bytes
0 Verzeichnis(se), 2.905.653.248 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C0C3-A84D

Verzeichnis von C:\WINDOWS

20.08.2005 15:50 0 0.log
20.08.2005 15:50 159 wiadebug.log
20.08.2005 15:49 3.385.266 {00000000-00000000-0000000A-00001102-00000002-80641102}.CDF
20.08.2005 15:49 3.385.266 {00000000-00000000-0000000A-00001102-00000002-80641102}.BAK
20.08.2005 15:49 2.048 bootstat.dat
20.08.2005 10:01 32.604 SchedLgU.Txt
20.08.2005 10:01 50 wiaservc.log
20.08.2005 10:01 116 NeroDigital.ini
20.08.2005 06:00 1.125 winamp.ini
19.08.2005 16:58 2 flag.bla
19.08.2005 16:57 8.329 rzs.exe
12.08.2005 01:17 3.461 nero.INI
11.08.2005 17:14 34 cdplayer.ini
09.08.2005 00:41 99.970 UninstallFirefox.exe
09.08.2005 00:41 10.543 mozver.dat
30.07.2005 14:16 266.240 Setup1.exe
30.07.2005 14:16 74.752 ST6UNST.EXE
25.07.2005 05:09 600 win.ini
25.07.2005 05:09 227 system.ini


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C0C3-A84D

Verzeichnis von C:\

20.08.2005 17:47 0 sys.txt
20.08.2005 17:46 5.645 system.txt
20.08.2005 17:45 723 systemtemp.txt
20.08.2005 17:43 100.843 system32.txt
20.08.2005 15:49 805.306.368 pagefile.sys
20.08.2005 09:58 1.477 smitfiles.txt
25.07.2005 05:09 320 boot.ini
25.07.2005 04:57 0 mailz.txt
13.06.2005 14:10 312 itouch_crash_info.txt
28.03.2005 14:20 0 AUTOEXEC.BAT
28.03.2005 14:20 0 CONFIG.SYS
25.03.2005 17:56 5.399 data
17.03.2005 14:40 548 tmp.txt
13.08.2004 16:41 61 bananas.ini
14.07.2004 20:29 0 itouch_config_crash_info.txt
14.07.2004 19:40 0 IO.SYS
14.07.2004 19:40 0 MSDOS.SYS
14.07.2004 19:34 194 BOOT.BKK
18.08.2001 12:00 224.032 ntldr
18.08.2001 12:00 4.952 bootfont.bin
18.08.2001 12:00 45.124 NTDETECT.COM
21 Datei(en) 805.695.998 Bytes
0 Verzeichnis(se), 2.905.620.480 Bytes frei
Seitenanfang Seitenende
20.08.2005, 18:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo@N4aN

ich weiss nicht, wozu diese dll gehoeren... rechtsklick: Eigenschaften (berichte)

C:\WINDOWS\system32\birdihuy32.dll
C:\WINDOWS\system32\birdihuy.dll

Zitat

19.08.2005 17:56 248 system.htm
19.08.2005 16:57 28.672 birdihuy32.dll
19.08.2005 16:57 63 birdihuy.dll
•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\symcsvc.exe
C:\WINDOWS\system32\ztoolbar.bmp
C:\WINDOWS\system32\zlbw.dll
C:\WINDOWS\system32\zksdfnsuidfsdiu.jhk
C:\WINDOWS\flag.bla
C:\WINDOWS\rzs.exe

PC neustarten

dann muesste wieder alles clean sein ;)

mache dennoch einen Onlinescan mit panda + berichte

http://virus-protect.org/onlinescan.html

------------
Zlbw.dll is a Backdoor Trojan.Abwiz

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
aupd
<System>\symcsvc.exe
Er kann auch so registriert werden, dass er einen Dienst namens "aupd" ausführt
O4 - HKCU\..\Run: [aupd] C:\WINDOWS\System32\symcsvc.exe

und entsprechende Registrierungeinträge an folgender Stelle erzeugen:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
Registrierungeinträge werden außerdem an folgender Stelle erzeugt:
HKCU\Network\
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.08.2005, 21:43
...neu hier

Themenstarter

Beiträge: 10
#9 Habe leider noch immer das selbe Problem - PSGuard taucht zwar nicht mehr auf aber mein Desktop blinkt immernoch (seltsamerweise in 2 Blautönen) und lässt mich keinen Linksklick im leeren machen :\

Der Panda-Scan hat mir mit 0 Infekten geantwortet, denke mal das ist ein gutes Zeichen.

Nochmal das Hijackthis-Log :
Logfile of HijackThis v1.99.1
Scan saved at 21:40:07, on 20.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Creative\SBLive\AudioHQ\AHQTBU.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\Ctsvccda.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\mIRC\mirc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp\Winamp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\regedit.exe
C:\Dokumente und Einstellungen\Steffen Triebel\Desktop\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [AudioHQU] C:\Programme\Creative\SBLive\AudioHQ\AHQTBU.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = H:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - http://www.eingang69.de/EroticAccess/exe/access_special.ocx
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF5C1309-2822-483F-A8C3-75256501D791}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF35E58B-FEBB-49DF-A9E2-1AF3327CB1D5}: NameServer = 192.168.0.1
O21 - SSODL: AMIP - {FF726F8C-72EE-42A7-1319-85FDFBF77D9B} - c:\programme\winamp\plugins\tnyolt32.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\Ctsvccda.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

Die 2 DLL's wurden gestern erstellt, da dieses Problem erst gestern auftrat sollte ich die vielleicht löschen (?).
Seitenanfang Seitenende
20.08.2005, 21:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Hallo@N4aN

Fixe mit dem HijackThis:

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - http://www.eingang69.de/EroticAccess/exe/access_special.ocx
O21 - SSODL: AMIP - {FF726F8C-72EE-42A7-1319-85FDFBF77D9B} - c:\programme\winamp\plugins\tnyolt32.dll (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

PC neustarten

Zitat

*reg-Datei

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

http://www.bleepingcomputer.com/files/reg/smitfraud.reg

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken
wieder neustarten + berichten bitte ,)

mache dennoch einen Onlinescan mit panda + berichte --> das Log vom Scan !!
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.08.2005, 22:09
Ehrenmitglied
Avatar Argus

Beiträge: 6028
Seitenanfang Seitenende
20.08.2005, 22:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Hallo@Arnold

Danke ...... Kommentar ;) ...vielleicht braucht der User das noch... ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.08.2005, 01:12
...neu hier

Themenstarter

Beiträge: 10
#13 Haha, danke für den Hinweis - habs mal entfernt, entgegen aller Vermutungen fehlt mir letztendlich jegliche Verwendung und Zuordnung dafür. :p

Kurze Zwischenbillanz:
PSGuard bin ich wohl los und ich hab innerhalb des letzten Tages etwa 5 mir bis dato unbekannte Tools benutzt. Das für mich störendste Problem, nämlich die Verunstaltung meines Desktops wurde dadurch leider nicht gelöst, hatte vielleicht auch gar nichts damit zu tun - Der Platz, an dem ein Wallpaper stehen sollte blinkt ständig in Blautönen und erlaubt es mir nicht mit der linken Maustaste diese 'Kästchen' zu ziehen, außerdem muss man die Icons extrem präzise anklicken, damit sie funktionieren. Wie ich an meinen normalen Hintergrund kommen soll ist mir ein Rätsel, weder AntiVir noch die hier im Thread genannten Programme finden etwas ;)
Seitenanfang Seitenende
21.08.2005, 13:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 wenn du das korrekt durchfuehrst, wird wahrscheinlich wieder alles funktionieren:

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

http://www.bleepingcomputer.com/files/reg/smitfraud.reg

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Desktop\General]
"WallpaperFile

usw...usw... -->alles abkopieren.....
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.08.2005, 15:18
...neu hier

Themenstarter

Beiträge: 10
#15 Ist geschehen, allerdings keine Veränderung festgestellt ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: