Home » Spyware & Browser Hijacker Support Forum » Ps Guard Wininet:dll Virus:virus.win32.nsag.b » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2 3 4 5

Antworten

Ps Guard Wininet:dll Virus:virus.win32.nsag.b

Thema ist geschlossen!

16.10.2005, 23:17

Sabina

Ehrenmitglied

Beiträge: 29434

#16 smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/

öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread
__________
MfG Sabina

rund um die PC-Sicherheit

17.10.2005, 17:36

simpsonracer

Member

Themenstarter

Beiträge: 15

#17 smitRem log file
version 2.7

by noahdfear

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key

PSGuard.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Remaining Post-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~ Wininet.dll ~~~

CLEAN!

18.10.2005, 00:51

Sabina

Ehrenmitglied

Beiträge: 29434

#18 simpsonracer

das sieht ja schon ganz gut aus

scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

18.10.2005, 18:01

simpsonracer

Member

Themenstarter

Beiträge: 15

#19 sorry aber mit panda das funktioniert nich::

Error on downloading ActiveScanAn error has occurred downloading Panda ActiveScan. Please repeat the process. If the error occurs again, restart your system and try againPossible causes of this error are:

Not allowing the application's ActiveX control to be downloaded.

Problems with the Internet connection.

The error could be due to a download error or an installation error due to lack of hard disk space, privileges etc.,...

18.10.2005, 18:08

Sabina

Ehrenmitglied

Beiträge: 29434

#20 Internet - Explorer -- Menü Extras -- Internetoptionen -- Sicherheit
Download von signiertenActiveX-Steuerelementen aktivieren
dann versuche den scann noch einmal
__________
MfG Sabina

rund um die PC-Sicherheit

18.10.2005, 18:14

simpsonracer

Member

Themenstarter

Beiträge: 15

#21 ist leider immer noch nicht besser

19.10.2005, 01:34

Sabina

Ehrenmitglied

Beiträge: 29434

#22 http://virus-protect.org/onlinescan.html
probiere alle scanner , bis einer funktioniert, scanne und poste den Report
__________
MfG Sabina

rund um die PC-Sicherheit

26.10.2005, 21:45

Cjub

Member

Beiträge: 19

#23 Hey miteinander ...
habe mir ebenfalls diesen W32/Nsag.b eingefangen ....

hängt auch glaub ich mit nem P.SGuard Prog zusammen ....
hier mal mein scan mit Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 20:14:52, on 26.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
F:\ANTIVIR SPY\ANTIVIR6\AVGUARD.EXE
F:\Antivir Spy\Antivir6\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
F:\Antivir Spy\Antivir6\AVGNT.EXE
C:\WINDOWS\system32\umonit.exe
C:\Programme\Wsr\WinsysRsr.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.968\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
F:\ANTIVIR SPY\ANTIVIR6\GUARDGUI.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: HomepageBHO - {3bf1f86f-b1a8-489b-8d8b-43781d51411f} - C:\WINDOWS\system32\hp8008.tmp
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [AVGCtrl] "F:\Antivir Spy\Antivir6\AVGNT.EXE" /min
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\umonit.exe
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [WinsysRsr] C:\Programme\Wsr\WinsysRsr.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] F:\Webcam\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] F:\Webcam\LogiTray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe
O4 - HKLM\..\Run: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [P.S.Guard] C:\Programme\P.S.Guard\PSGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: VirtuaGirl2.lnk = F:\Programme\Vg\VirtuaGirl2.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD3147C7-90DD-4ACA-A01A-BDD3256F7516}: NameServer = 62.72.64.237,62.72.64.241
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - F:\ANTIVIR SPY\ANTIVIR6\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - F:\Antivir Spy\Antivir6\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - F:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Hab auch Antivit update durchgeführt und gescant ..

gelöscht hab ich einiges doch

C:\WINDOWS\SYSTEM32\OLEEXT.DLL

Ist das Trojanische Pferd TR/Promoter.C

und
C:\WINDOWS\SYSTEM32\WININET.DLL

Enthält Code des Windows-Virus W32/Nsag.B

erscheinen immer wieder

hab auch schon gefixt doch bekomm ich nach dem neustart immer wieder das selbe schema!! Hmmm

kann mir da jemand helfen???

als startseite bekomm ich immer wieder http://www.warningmessage.com/

und die pieptonparty hilfe!!

mercie im voraus ....euer cjub (*-*)

26.10.2005, 22:35

Sabina

Ehrenmitglied

Beiträge: 29434

#24 Cjub

das problem kann man loesen

kopiere die 4 logs bitte ab (2 Monate vom Datum her reichen )
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

27.10.2005, 06:49

Cjub

Member

Beiträge: 19

#25 Denk du meinst hier rein setzen ...

Verzeichnis von C:\WINDOWS\system32

27.10.2005 06:43 5.412 ncompat.tlb
27.10.2005 06:38 29.204 nvapps.xml
27.10.2005 06:38 4.608 msvol.tlb
27.10.2005 06:38 15.360 ldD2E3.tmp
27.10.2005 06:38 16.384 hpD777.tmp
27.10.2005 06:29 16.384 hp7087.tmp
26.10.2005 22:14 20.160 BMXState-{00000000-00000000-0000000B-00001102-00000004-00531102}.rfx
26.10.2005 22:14 24 DVCState-{00000000-00000000-0000000B-00001102-00000004-00531102}.dat
26.10.2005 22:14 1.072 settings.sfm
26.10.2005 22:14 28.056 BMXCtrlState-{00000000-00000000-0000000B-00001102-00000004-00531102}.rfx
26.10.2005 22:14 20.160 BMXStateBkp-{00000000-00000000-0000000B-00001102-00000004-00531102}.rfx
26.10.2005 22:14 1.072 settingsbkup.sfm
26.10.2005 22:14 28.056 BMXBkpCtrlState-{00000000-00000000-0000000B-00001102-00000004-00531102}.rfx
26.10.2005 22:14 24 DVCStateBkp-{00000000-00000000-0000000B-00001102-00000004-00531102}.dat
26.10.2005 21:56 16.384 hp724C.tmp
26.10.2005 07:06 4.286 ot.ico
26.10.2005 07:06 4.286 ts.ico
26.10.2005 07:06 8.972 mssearchnet.exe
26.10.2005 07:06 12.432 nvctrl.exe
25.10.2005 18:15 10.316 mscornet.exe
24.10.2005 06:36 2.206 wpa.dbl
18.09.2005 00:56 1.385.744 MSVBVM60.DLL
17.09.2005 17:52 1.668 lvcoinst.log
16.09.2005 22:20 441.328 FNTCACHE.DAT
15.09.2005 20:00 311.740 perfh009.dat
15.09.2005 20:00 723.744 PerfStringBackup.INI
15.09.2005 20:00 316.924 perfh007.dat
15.09.2005 20:00 40.128 perfc009.dat
15.09.2005 20:00 48.360 perfc007.dat
15.09.2005 19:52 1.156 $winnt$.inf
15.09.2005 19:38 2.951 CONFIG.NT
15.09.2005 19:38 23.392 nscompat.tlb
15.09.2005 19:38 16.832 amcompat.tlb
15.09.2005 19:36 488 WindowsLogon.manifest
15.09.2005 19:36 488 logonui.exe.manifest
15.09.2005 19:36 749 nwc.cpl.manifest
15.09.2005 19:36 749 ncpa.cpl.manifest
15.09.2005 19:36 749 sapi.cpl.manifest
15.09.2005 19:36 749 wuaucpl.cpl.manifest
15.09.2005 19:36 749 cdplayer.exe.manifest
15.09.2005 19:33 21.740 emptyregdb.dat
15.09.2005 19:29 0 h323log.txt
20.07.2005 21:07 299.008 nvwrssk.dll
20.07.2005 21:07 249.856 nvrsko.dll
20.07.2005 21:07 32.768 nvcod.dll
20.07.2005 21:07 303.104 nvwrssl.dll
20.07.2005 21:07 241.664 nvrssv.dll
20.07.2005 21:07 245.760 nvrssk.dll
20.07.2005 21:07 294.912 nvwrssv.dll
20.07.2005 21:07 245.760 nvrstr.dll
20.07.2005 21:07 196.608 nvwrsko.dll
20.07.2005 21:07 212.992 nvwrsja.dll
20.07.2005 21:07 7.110.656 nvcpl.dll
20.07.2005 21:07 270.336 nvrsit.dll
20.07.2005 21:07 315.392 nvwrshu.dll
20.07.2005 21:07 262.144 nvrsnl.dll
20.07.2005 21:07 241.664 nvrssl.dll
20.07.2005 21:07 303.104 nvwrstr.dll
20.07.2005 21:07 212.992 nvrszhc.dll
20.07.2005 21:07 163.840 nvwrszhc.dll
20.07.2005 21:07 114.688 nvrszht.dll
20.07.2005 21:07 245.760 nvrshu.dll
20.07.2005 21:07 278.528 nvwrshe.dll
20.07.2005 21:07 323.584 nvwrsit.dll
20.07.2005 21:07 319.488 nvwrsnl.dll
20.07.2005 21:07 311.296 nvrshe.dll
20.07.2005 21:07 241.664 nvrsno.dll
20.07.2005 21:07 327.680 nvwrsfr.dll
20.07.2005 21:07 299.008 nvwrsno.dll
20.07.2005 21:07 270.336 nvrsfr.dll
20.07.2005 21:07 303.104 nvwrsfi.dll
20.07.2005 21:07 241.664 nvrspl.dll
20.07.2005 21:07 294.912 nvwrspl.dll
20.07.2005 21:07 327.680 nvwrsesm.dll
20.07.2005 21:07 262.144 nvrspt.dll
20.07.2005 21:07 323.584 nvwrspt.dll
20.07.2005 21:07 262.144 nvrsesm.dll
20.07.2005 21:07 335.872 nvwrses.dll
20.07.2005 21:07 270.336 nvrses.dll
20.07.2005 21:07 286.720 nvwrseng.dll
20.07.2005 21:07 237.568 nvrseng.dll
20.07.2005 21:07 335.872 nvwrsel.dll
20.07.2005 21:07 253.952 nvrsja.dll
20.07.2005 21:07 253.952 nvrsptb.dll
20.07.2005 21:07 167.936 nvwrszht.dll
20.07.2005 21:07 127.043 nvsvc32.exe
20.07.2005 21:07 14.757 nvdisp.nvu
20.07.2005 21:07 32.768 nvcodins.dll
20.07.2005 21:07 237.568 nvrsfi.dll
20.07.2005 21:07 315.392 nvwrsru.dll
20.07.2005 21:07 3.908.864 nv4_disp.dll
20.07.2005 21:07 540.672 nvhwvid.dll
20.07.2005 21:07 5.140.480 nvoglnt.dll
20.07.2005 21:07 86.016 nvmctray.dll
20.07.2005 21:07 81.920 nvwddi.dll
20.07.2005 21:07 286.720 nvnt4cpl.dll
20.07.2005 21:07 393.216 keystone.exe
20.07.2005 21:07 442.368 nvappbar.exe
20.07.2005 21:07 176.128 nvudisp.exe
20.07.2005 21:07 147.456 nvcolor.exe
20.07.2005 21:07 1.339.392 nvdspsch.exe
20.07.2005 21:07 1.466.368 nview.dll
20.07.2005 21:07 466.944 nvshell.dll
20.07.2005 21:07 73.728 nvtuicpl.cpl
20.07.2005 21:07 1.662.976 nvwdmcpl.dll
20.07.2005 21:07 1.019.904 nvwimg.dll
20.07.2005 21:07 1.519.616 nwiz.exe
20.07.2005 21:07 315.392 nvrsar.dll
20.07.2005 21:07 282.624 nvwrsar.dll
20.07.2005 21:07 233.472 nvrscs.dll
20.07.2005 21:07 286.720 nvwrscs.dll
20.07.2005 21:07 241.664 nvrsda.dll
20.07.2005 21:07 294.912 nvwrsda.dll
20.07.2005 21:07 266.240 nvrsde.dll
20.07.2005 21:07 311.296 nvwrsde.dll
20.07.2005 21:07 270.336 nvrsel.dll
20.07.2005 21:07 258.048 nvrsru.dll
20.07.2005 21:07 319.488 nvwrsptb.dll
09.06.2005 22:32 692.736 DivX.dll
06.06.2005 23:13 356.436 DivXMedia.ax
29.05.2005 01:35 692.224 divxdec.ax
24.05.2005 23:32 15.351 dsm_de.qm
24.05.2005 23:32 4.276 divxsm.tlb
24.05.2005 23:32 15.153 dsm_fr.qm
24.05.2005 23:32 10.775 dsm_ja.qm
24.05.2005 23:32 524.288 DivXsm.exe
20.05.2005 20:25 3.136 dtu_de.qm
18.05.2005 23:40 200.704 dtu100.dll
05.05.2005 03:12 671.744 divx_xx11.dll

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

19.10.2005 16:48 45.096 _VWUPSRV.EXE
1 Datei(en) 45.096 Bytes
0 Verzeichnis(se), 1.351.106.560 Bytes frei

Verzeichnis von C:\WINDOWS

27.10.2005 06:44 277.881 WindowsUpdate.log
27.10.2005 06:38 4 data4711.bak
27.10.2005 06:38 4 info147.sys
27.10.2005 06:38 0 0.log
27.10.2005 06:38 159 wiadebug.log
27.10.2005 06:37 2.048 bootstat.dat
26.10.2005 22:13 50 wiaservc.log
26.10.2005 22:13 15.214 SchedLgU.Txt
25.10.2005 21:45 289 LEXSTAT.INI
25.10.2005 18:10 72.187 wmsetup.log
22.10.2005 14:31 700.715 setupapi.log
22.10.2005 10:36 316.640 WMSysPr9.prx
22.10.2005 09:59 195.884 setupact.log
20.10.2005 22:42 196 JR.INI
20.10.2005 19:43 116 NeroDigital.ini
20.10.2005 19:36 2.986.038 ACD Wallpaper.bmp
08.10.2005 11:48 254 Directx.log
05.10.2005 19:22 3.778.236 {00000000-00000000-0000000B-00001102-00000004-00531102}.BAK
05.10.2005 19:22 3.778.236 {00000000-00000000-0000000B-00001102-00000004-00531102}.CDF
04.10.2005 20:51 274 system.ini
26.09.2005 21:18 573 win.ini
26.09.2005 20:25 1.035 ARCHPR.INI
22.09.2005 20:05 132 SBWIN.INI
22.09.2005 19:50 16 wininit.ini
20.09.2005 21:23 90.112 DUMP148c.tmp
19.09.2005 20:54 90.112 DUMP231e.tmp
19.09.2005 20:42 90.112 DUMP396a.tmp
19.09.2005 07:14 38 AviSplitter.INI
17.09.2005 20:26 90.112 DUMP2fc0.tmp
17.09.2005 17:52 241 QSync.INI
16.09.2005 23:14 90.112 DUMP92b5.tmp
16.09.2005 20:59 32 CD_Start.INI
15.09.2005 22:10 403 ODBC.INI
15.09.2005 22:09 59 vbaddin.ini
15.09.2005 19:58 829 OEWABLog.txt
15.09.2005 19:57 39 winamp.ini
15.09.2005 19:54 52 oobeact.log
15.09.2005 19:54 805.098 setuplog.txt
15.09.2005 19:53 8.192 REGLOCS.OLD
15.09.2005 19:52 4.512 imsins.log
15.09.2005 19:52 48.737 iis6.log
15.09.2005 19:52 7.938 ntdtcsetup.log
15.09.2005 19:52 10.252 tsoc.log
15.09.2005 19:52 885 ocmsn.log
15.09.2005 19:52 1.252 tabletoc.log
15.09.2005 19:52 15.920 comsetup.log
15.09.2005 19:52 941 setuperr.log
15.09.2005 19:38 0 control.ini
15.09.2005 19:38 4.161 ODBCINST.INI
15.09.2005 19:36 749 WindowsShell.Manifest
15.09.2005 19:34 14.596 ocgen.log
15.09.2005 19:34 11.569 FaxSetup.log
15.09.2005 19:34 1.487 MedCtrOC.log
15.09.2005 19:34 1.023 sessmgr.setup.log
15.09.2005 19:34 780 msgsocm.log
15.09.2005 19:33 2.790 netfxocm.log
15.09.2005 19:33 36 vb.ini
15.09.2005 19:33 133 DtcInstall.log
15.09.2005 19:33 10.526 msmqinst.log
15.09.2005 19:31 200 cmsetacl.log
15.09.2005 19:28 0 Sti_Trace.log
15.09.2005 19:24 1.310 regopt.log
07.06.2005 21:48 20 HisHHHg.dat
07.06.2005 21:48 12 iHsHHfg.cfg
14.04.2004 06:03 545 RAR.PIF
14.04.2004 06:03 545 UC.PIF
14.04.2004 06:03 545 NOCLOSE.PIF
14.04.2004 06:03 545 PKZIP.PIF
14.04.2004 06:03 545 PKUNZIP.PIF
14.04.2004 06:03 545 LHA.PIF
14.04.2004 06:03 545 ARJ.PIF
31.12.2002 14:00 48.680 winnt256.bmp
31.12.2002 14:00 65.832 Santa Fe-Stuck.bmp
31.12.2002 14:00 1.272 Blaue Spitzen 16.bmp
31.12.2002 14:00 26.680 F„cher.bmp
31.12.2002 14:00 17.362 Rhododendron.bmp
31.12.2002 14:00 65.954 Pr„riewind.bmp
31.12.2002 14:00 65.978 Seifenblase.bmp
31.12.2002 14:00 26.582 Granit.bmp
31.12.2002 14:00 2 desktop.ini
31.12.2002 14:00 17.336 Angler.bmp
31.12.2002 14:00 9.522 Zapotek.bmp
31.12.2002 14:00 16.730 Feder.bmp
31.12.2002 14:00 48.680 winnt.bmp
31.12.2002 14:00 17.062 Kaffeetasse.bmp
31.12.2002 13:00 70.144 NOTEPAD.EXE
31.12.2002 13:00 15.872 TASKMAN.EXE
31.12.2002 13:00 1.014.663 SET3.tmp
31.12.2002 13:00 1.086.058 SET4.tmp
31.12.2002 13:00 14.043 SET8.tmp
31.12.2002 12:00 1.035.264 explorer.exe
31.12.2002 12:00 707 _default.pif
31.12.2002 12:00 153.600 regedit.exe
31.12.2002 12:00 18.944 vmmreg32.dll
31.12.2002 12:00 1.405 msdfmap.ini
31.12.2002 12:00 94.800 twain.dll
31.12.2002 12:00 49.680 twunk_16.exe
31.12.2002 12:00 34.818 wmprfDEU.prx
31.12.2002 12:00 10.752 hh.exe
31.12.2002 12:00 25.600 twunk_32.exe
31.12.2002 12:00 80 explorer.scf
31.12.2002 12:00 50.688 twain_32.dll
31.12.2002 12:00 82.944 clock.avi
31.12.2002 12:00 257.568 winhelp.exe
31.12.2002 12:00 288.768 winhlp32.exe
02.09.2002 10:16 28.672 Format.exe
02.10.2001 16:42 61.440 MIDIDEF.EXE
21.09.2001 12:47 16.384 INSTRESGER.DLL
11.09.2001 14:36 77.824 DEVREG.DLL
11.09.2001 14:36 176.128 PSCONV.EXE
11.09.2001 14:36 159.744 READREG.EXE
06.09.2001 19:44 3.778.236 DEVCONDEFAULTDATABASE_AUDIGY.CDF
11.05.2000 01:00 90.112 Updreg.exe
11.10.1999 04:01 41.984 CTREGRUN.EXE
23.03.1999 09:12 299.520 uninst.exe
07.03.1999 19:38 28.252 corelpf.lrs
14.01.1999 14:04 231 ac3api.ini
17.11.1998 13:44 328.704 IsUn0407.exe
29.10.1998 16:45 306.688 IsUninst.exe
02.09.1998 11:08 113.152 AVM_cpdi.clr
15.08.1998 16:07 2 PhotoSuite.ini
13.10.1997 20:55 299.008 unin0407.exe
02.06.1997 05:06 24.992 Ctres.dll
10.12.1996 01:06 39.095 iccsigs.dat
05.12.1994 03:11 53.552 ctccw.dll
125 Datei(en) 24.193.158 Bytes
0 Verzeichnis(se), 1.350.971.392 Bytes frei

Verzeichnis von C:\

27.10.2005 06:47 0 sys.txt
27.10.2005 06:47 6.484 system.txt
27.10.2005 06:47 290 systemtemp.txt
27.10.2005 06:46 126.375 system32.txt
27.10.2005 06:37 536.268.800 hiberfil.sys
27.10.2005 06:37 805.306.368 pagefile.sys
26.09.2005 21:18 211 boot.ini
17.09.2005 17:44 90 LogiSetup.log
15.09.2005 19:38 0 CONFIG.SYS
15.09.2005 19:38 0 IO.SYS
15.09.2005 19:38 0 MSDOS.SYS
15.09.2005 19:38 0 AUTOEXEC.BAT
29.12.2004 07:57 17.505 DBI.EXE
31.12.2002 12:00 4.952 bootfont.bin
31.12.2002 12:00 251.184 ntldr
31.12.2002 12:00 47.564 NTDETECT.COM
16 Datei(en) 1.342.029.823 Bytes
0 Verzeichnis(se), 1.351.094.272 Bytes frei

hiermit geschehen ;-)

habe wieder hofnung nicht neu formatieren zu müssen ....

28.10.2005, 01:18

Sabina

Ehrenmitglied

Beiträge: 29434

#26 #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: HomepageBHO - {3bf1f86f-b1a8-489b-8d8b-43781d51411f} - C:\WINDOWS\system32\hp8008.tmp
O4 - HKLM\..\Run: [WinsysRsr] C:\Programme\Wsr\WinsysRsr.exe
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe
O4 - HKLM\..\Run: [P.S.Guard] C:\Programme\P.S.Guard\PSGuard.exe
O4 - Startup: VirtuaGirl2.lnk = F:\Programme\Vg\VirtuaGirl2.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank

KILLBOX
http://virus-protect.org/killbox.html
Delete File on Reboot -- anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\msmsgs.exe
C:\WINDOWS\SYSTEM32\OLEEXT.DLL
C:\WINDOWS\system32\ldD2E3.tmp
C:\WINDOWS\system32\hpD777.tmp
C:\WINDOWS\system32\hp7087.tmp
C:\WINDOWS\system32\hp724C.tmp
C:\WINDOWS\system32\hp8008.tmp
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mscornet.exe
C:\Programme\Wsr\WinsysRsr.exe
F:\Programme\Vg\VirtuaGirl2.exe

PC neustarten

Killbox:
DelTree (include SubDirectories)
Man will zum Beispiel einen Ordner löschen . Nun muss man nicht alle Dateien im Ordner einzeln eingeben, sondern klickt die Option DelTree (include subdirectories).
Hierbei wird ein komplettes Archiv mitsamt der Unterordner gelöscht.

C:\Programme\Wsr
F:\Programme\Vg
C:\Programme\P.S.Guard

PC neustarten

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PSGuard.com -->loeschen

VirtuaGirl2.lnk -->loeschen

*reg-Datei
oben im Browser: Datei -- Seite speichern unter.. -- wähle "Desktop" -- speichern
http://www.bleepingcomputer.com/files/reg/smitfraud.reg
dann erscheint eine smitfraud.reg auf dem Desktop -->doppeltklicken und der Registry beifuegen

smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread

Lade diese zip-Datei, entpacke
http://users.telenet.be/bluepatchy/miekiemoes/tools/Psguardregfix.zip
ClickThis.bat (klicken)--> der Editor oeffnet sich (kopiere alles ab und in den Thread vom Sicherheitsforum) psguardrem.reg (klicken) und der Registry beifuegen

scanne mit ewido+ poste den scanbericht
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

28.10.2005, 19:17

Cjub

Member

Beiträge: 19

#27 smitRem log file
version 2.7

by noahdfear

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key

PSGuard.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files

~~~ Program Files ~~~

P.S.Guard

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

msvol.tlb
ld****.tmp
ncompat.tlb

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Remaining Post-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~ Wininet.dll ~~~

CLEAN!

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Testing presence of HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD ...........
Testing presence of HKEY_LOCAL_MACHINE\SOFTWARE\PSGuard.com ...........

Creating dummy ..........

Der Vorgang wurde erfolgreich ausgeführt.

Der Vorgang wurde erfolgreich ausgeführt.

Hiving Dummy / Saving Dummyhive ..........

Der Vorgang wurde erfolgreich ausgeführt.

Der Vorgang wurde erfolgreich ausgeführt.

Deleting Dummy ..........

Der Vorgang wurde erfolgreich ausgeführt.

Der Vorgang wurde erfolgreich ausgeführt.

Adding Dummyhive ...........

Deleting ShudderLTD/PSGuard.com ...........

Checking if ShudderLTD/PSGuard.com is still present ..........

Deleting leftovers in registry ..........

Leftovers deleted!

EWIDO ---->

--------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 19:15:42, 28.10.2005
+ Report-Checksumme: AB34F28A

+ Scanergebnis:

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PSGuard.com\P.S.Guard\Autorun\HKLMRun\RunOnceEx -> Spyware.PSGuard : Ignoriert
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PSGuard.com -> Spyware.PSGuard : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PSGuard.com\P.S.Guard -> Spyware.PSGuard : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PSGuard.com\P.S.Guard\Autorun -> Spyware.PSGuard : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PSGuard.com\P.S.Guard\Autorun\StartMenuAllUsers -> Spyware.PSGuard : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PSGuard.com\P.S.Guard\Autorun\StartMenuCurrentUser -> Spyware.PSGuard : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PSGuard.com\P.S.Guard\Autorun\HKCURun -> Spyware.PSGuard : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PSGuard.com\P.S.Guard\Autorun\HKCURun\RunOnce -> Spyware.PSGuard : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PSGuard.com\P.S.Guard\Autorun\HKCURun\RunOnceEx -> Spyware.PSGuard : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PSGuard.com\P.S.Guard\Autorun\HKLMRun -> Spyware.PSGuard : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PSGuard.com\P.S.Guard\Autorun\HKLMRun\RunOnce -> Spyware.PSGuard : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PSGuard.com\P.S.Guard\BrowserObjects -> Spyware.PSGuard : Gesäubert mit Backup

::Report Ende

ps ist immer noch da ...

soll ich hijack noch mal laufen lassen ??

hilfe

28.10.2005, 23:46

Sabina

Ehrenmitglied

Beiträge: 29434

#28 du musst noch mal mit ewido scannen, aber nicht ignorieren, sondern loeschen !!!!
dann poste das neue Log vom ewido

(oder manuell loeschen:
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PSGuard.com
__________
MfG Sabina

rund um die PC-Sicherheit

29.10.2005, 15:06

Cjub

Member

Beiträge: 19

#29 Hier der neue scan mit ewido ..

PS doch der W32 Troj versteckt sich immer noch in der

C:\WINDOWS\system32\WININET.dll
kann die datei auchnicht löschen oder überschreiben!!!
lässt sich mit ANTIVIR nur umbenennen in WININET.DLL.VIR

die meldung infiziert hab ich immer noch *kopfkratz....*
lässt sich da doch nichts machen ?????

Help

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 15:01:36, 29.10.2005
+ Report-Checksumme: F95D13BD

+ Scanergebnis:

C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@2o7[1].txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
C:\System Volume Information\_restore{D2ED27AD-709D-47A5-8C5E-400ACFCD1A7D}\RP69\A0017014.EXE -> TrojanDownloader.Zlob.aw : Gesäubert mit Backup
C:\System Volume Information\_restore{D2ED27AD-709D-47A5-8C5E-400ACFCD1A7D}\RP69\A0017015.exe -> TrojanDownloader.Agent.uz : Gesäubert mit Backup
C:\!KillBox\mssearchnet.exe -> TrojanDownloader.Agent.uz : Gesäubert mit Backup
C:\!KillBox\hp724C.tmp -> Trojan.Small.fs : Gesäubert mit Backup
C:\!KillBox\hp7087.tmp -> Trojan.Small.fs : Gesäubert mit Backup
C:\!KillBox\hp7877.tmp -> Trojan.Small.fs : Gesäubert mit Backup
C:\!KillBox\mscornet.exe -> TrojanDownloader.Zlob.aw : Gesäubert mit Backup
F:\Antivir Spy\Antivir6\INFECTED\msmsgs.VIR -> TrojanDownloader.Zlob.at : Gesäubert mit Backup

::Report Ende

Den PS Guard hab ich gelöscht

ps doch gestern ist mir aufgefallen das ein paar dateien die ich löschen sollte
wie zb OLEEXT.dll oder MSMSGS.EXE und IdD2E3.tmp
gar nicht vorhanden sind ....

hab ich da was übersehen ..

soll ich das noch mal wiederholen????

oder sind das versteckte sys dateien die ich erst sichtbar machen muss...

hab da gestern nicht dran gedacht !

Dieser Beitrag wurde am 29.10.2005 um 15:09 Uhr von Cjub editiert.

29.10.2005, 15:14

Sabina

Ehrenmitglied

Beiträge: 29434

#30 noch einmal:

smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/

öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

(du darfst WININET.dll nicht loeschen, sondern du kannst die dll nur duch eine saubere ersetzen, aber zuerst scanne noch mal mit smitrem)
__________
MfG Sabina

rund um die PC-Sicherheit

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2 3 4 5