Hallo zusammen,

kennt irgendwer ein Program namens "Psguard", daß heute nach dem Öffnen meiner Mails (keine gelesen, keine Anhänge geöffnet!) plötzlich auf meinem Desktop aufgetaucht ist?

Danach gingen meine Probleme los...

Den Tip von Cronos bzgl. Smitfraud.c arbeite ich morgen ab, den hab ich nämlich live und in Farbe - blauer natürlich!

Aber woher kommt dieses Psguard?

Danke und Gruß

Mikrobe

Arbeite zuallerst mal meine Übersetzung durch.
Danach könntest du die Ergebnisse des Escan mitteilen und zusätzlich einen Hijackthis-Log .
Dann sehen wir weiter.

Hallo cronos,

hier der Hijack:

Logfile of HijackThis v1.99.0
Scan saved at 11:30:01, on 15.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://winsearchassistant.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://portal.1und1.de/de/themen/?__rd=ac1704c1XQW8V5OuPx5ihizsOlReiC9g&ucuoId=MX.EUE.DE-20050614123531-e6fb9229855695c5ab045786e22d5d25-S1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe"
O4 - HKCU\..\Run: [1&1 EasyLogin] "C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game11.zylom.lycos.de/activex/zylomgamesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - h**p://game13.zylom.lycos.de/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{83EDFA4B-E4E6-4DD6-9295-6366EA9B9943}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe


Habe mit dem Support auf Anitvir schon ´ne ganze Reihe seltsame Einträge gelöscht...

Melde Dich, falls ich ein älteres Log posten soll.

Jetzt mache ich mich mal an Deine Arbeitsanleitung.
Scheiße ist, daß ich nicht mehr drucken kann, ging gestern noch...

Grüße
Mikrobe

Hallo cronos,

hier die 2. Escan-Ergebnisse (ich krieg den wininet.dll trotz mehrerer Versuche nicht gelöscht!!!):

Wed Jun 15 21:07:44 2005 => File C:\WINDOWS\system32\WININET.dll infected by "Virus.Win32.Nsag.a" Virus! Action Taken: No Action Taken.
Wed Jun 15 22:07:35 2005 => File C:\WINDOWS\system32\wininet.dll infected by "Virus.Win32.Nsag.a" Virus! Action Taken: No Action Taken.
Wed Jun 15 22:06:03 2005 => File C:\WINDOWS\system32\iasada.dll tagged as "not-a-virus:AdWare.ToolBar.Azesearch.b". Action Taken: No Action Taken.
Wed Jun 15 21:23:30 2005 => File C:\isp\AOL\Preload.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Wed Jun 15 21:23:24 2005 => File C:\Downloads\RasEmpire_FullSetup-dm[1].exe tagged as "not-a-virus:AdWare.Trymedia.a". Action Taken: No Action Taken.
Wed Jun 15 21:21:17 2005 => File C:\Dokumente und Einstellungen\Zeitler4711\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\power_chips.jar-ed330f-3a058463.zip tagged as not-a-virus:Garbage.Java.FormURLToy. No Action Taken.
Wed Jun 15 21:20:59 2005 => File C:\Dokumente und Einstellungen\Zeitler4711\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\equilibrium.jar-3a651dd9-5d0dc616.zip tagged as not-a-virus:Garbage.Java.FormURLToy. No Action Taken.
Wed Jun 15 21:20:52 2005 => File C:\Dokumente und Einstellungen\Zeitler4711\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\chainz.jar-3cc82104-4501cdb1.zip tagged as not-a-virus:Garbage.Java.FormURLToy. No Action Taken.
Wed Jun 15 21:20:51 2005 => File C:\Dokumente und Einstellungen\Zeitler4711\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\avalanche.jar-40baa640-59b219f9.zip tagged as not-a-virus:Garbage.Java.FormURLToy. No Action Taken.

Diese dämliche wininet ist dummerweise mit smitfraud...


Die Adwares findet Ad-Aware nicht!!! Kann ich die manuell löschen?

Dies ist der aktuelle Hijack:

Logfile of HijackThis v1.99.0
Scan saved at 00:02:56, on 16.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://portal.1und1.de/de/themen/?__rd=ac1704c1XQW8V5OuPx5ihizsOlReiC9g&ucuoId=MX.EUE.DE-20050614123531-e6fb9229855695c5ab045786e22d5d25-S1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe"
O4 - HKCU\..\Run: [1&1 EasyLogin] "C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game11.zylom.lycos.de/activex/zylomgamesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - h**p://game13.zylom.lycos.de/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{83EDFA4B-E4E6-4DD6-9295-6366EA9B9943}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe


Ansonsten hab ich alles brav befolgt, aber mein Bluesscreen ist immer noch aktiv!

Achja, Cleanup fand ich echt interessant!

Gruß

Mikrobe

Wegen dieser Datei:

WININET.dll

Scanne dein System hier .Dies sollte die Datei desinfizieren.
Die anderen Funde kannst du falls noch vorhanden manuell mit Killbox löschen.

Zitat:

Lade und öffne KillBox. Kopiere den Pfad der Malware Datei z.B. C:\WINDOWS\system32\fltmgr.dll -> füge diesen in KillBox ein -> wähle die Option 'Delete on reboot' -> rotes X anklicken -> die zwei folgenden Fragen mit 'JA' und 'NEIN' beantworten -> nächsten Pfad einfügen usw. -> wenn du bei der letzten Datei angekommen bist, dann beantworte beide Fragen mit 'JA' und ein Neustart deines Systems wird durchgeführt.

Melde dich dann mit einen neuen HJT-Log (aber bitte von der aktuellen Version )

Hallo cronos,

panda fand ihn, disinfected ihn und nach jedem Neustart war er immer noch da!

Hier der Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 02:04:24, on 16.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Virustod\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://portal.1und1.de/de/themen/?__rd=ac1704c1XQW8V5OuPx5ihizsOlReiC9g&ucuoId=MX.EUE.DE-20050614123531-e6fb9229855695c5ab045786e22d5d25-S1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe"
O4 - HKCU\..\Run: [1&1 EasyLogin] "C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game11.zylom.lycos.de/activex/zylomgamesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - h**p://game13.zylom.lycos.de/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{83EDFA4B-E4E6-4DD6-9295-6366EA9B9943}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Aber immerhin bin ich dank Panda einige Adwares los, die ich dann per killbox enfernt habe...

Tja, fällt Dir noch was ein? Soll ich`s mal manuell versuchen?

Danke Micha

Poste mal die Log-Datei von Panda.
Hast du auch folgende Datei auf deinem PC:

C:\WINDOWS\ServicePackFiles\i386\wininet.dll ?

Wenn ja überprüfe, hier ob diese sauber ist.
Teile das Ergebnis mit. Wenn diese sauber ist, haben wir schon fast gewonnen.
Insofern nichts gefunden wurde solltest du im abgesicherten Modus bei deaktivierter Systemwiederherstellung folgendes versuchen:

1.Kopiere diese Datei :
C:\WINDOWS\ServicePackFiles\i386\wininet.dll
und ersetze durch diese (Copy&Paste) eben diese:

C:\WINDOWS\System32\wininet.dll

Du wirst gefragt werden, ob du die bestehende ersetzen willst.Beantworte das mit ja.
2.Sollte sich C:\WINDOWS\System32\wininet.dll aufgrund einer Fehlermeldung nicht ersetzen lassen, benenne diese Datei zunächst um.
Kopiere dann die C:\WINDOWS\ServicePackFiles\i386\wininet.dll in folgenden Ordner: C:\WINDOWS\System32.
Boote neu, überprüfe die neu erstellte Datei bei Jotti und melde dich dann erneut mit den Ergebnissen.

Hallo cronos,

also, die i386/wininet.dll ist sauber.

Wie von Dir vermutet konnte ich sie nicht direkt kopieren, liegt jetzt unter neuem Namen in System32, nach reboot auch noch sauber.

Lasse gerade nochmal Panda laufen (um´s abzukürzen nur Verzeichnis System 32), Ergebnis:



Incident Status Location

Virus:W32/Smitfraud.A Disinfected C:\WINDOWS\system32\wininet.dll


Achja, habe natürlich die Datei noch nicht ersetzt!!!

Traue mich ohne Dein go ehrlichgesagt nicht!

Danke

Mikrobe

Du solltest diese Datei umbenennen:

C:\WINDOWS\System32\wininet.dll

In den System32 Ordner solltesst du dann diese :

C:\WINDOWS\ServicePackFiles\i386\wininet.dll

kopieren, natürlich unter Beibehaltung des Namens (wininet.dll).

Aber mein "Go" hast du.

Hallo cronos,

hab ich gemacht!

Und wie geht´s weiter?

Gruß

Micha

P.S.: Umbenannte Datei (der Smitfraud) noch nicht gelöscht!

Jetzt neustarten.
Ist der PSGuard-Ordner noch vorhanden?

Hier die Sucheergebnisse:

Psguardinstall.exe-09f5941f.pf im Ordner C:Windows/Prefetch


Mikrobe

Diese Datei noch im abgesicherten Modus bei deaktivierter Systemwiederherstellung löschen.
Auch die umbenannte Datei löschen, dann wieder normal booten
Hast du schon einen Neustart gemacht nachdem du die WININET.DLL kopiert hast? und war das Problem noch vorhanden.
Sonst erledige das jetzt alles in einem Abwasch.

Du bist der Grösste!!!

Juhu, ich funktioniere wieder!

Ich hab gerade beim Hochfahren im Normalmodus echt die Daumengedrückt!!!

Vielen vielen Dank!

Du solltest die Tipps, die Du mir gegeben hast, auch den anderen Kandidaten geben, die so mit Smitfraud ihre Probleme haben!

Vielleicht ist denen damit auch geholfen!

Danke und Grüße

Micha

Das freut mich doch zu hören.
Scanne dein System nochmal abschliessend mit Escan, teile uns die Ergebnisse mit. Poste abschliessend erneut einen Hijackthis-Log.
Editiere aber bitte diesmal die aktiven Links( mach aus http-->h**p) und nimm das nachträglich auch für die anderen von dir geposteten HJT-Logs vor.