Hiho hab folgendes Problem;

Mein Pc hat heute beim hochfahren ungewöhnlich lange gebraucht um das Anmeldebild mit den Benutzerkonten zu laden. Als es schließlich da war hab ich mich eingeloggt.....wieder langes laden... Dann erscheint mein Desktopbild und nix weiter... keine Taskleiste, Desktopsymbole nix, eben nur das Hintergrundbild. Dachte erst der läd nur bissel lange aber nach 5min warten, hab ich die Hoffnung aufgegeben. Bin dann übern Taskmanager (wo einige Prozesse im Gegensatz zu sonst gefehlten haben bzw nicht gestartet wurden) in den Explorer gekommen um von da aus ins Internet und an andere Programme zu kommen.

Spybot hat den Trojaner PSGuard.msmsgs gefunden aber entfernt ihn nicht bzw is der nach dem entfernen wieder da.

Vielleicht kann mir ja irgendjemand helfen

Logfile of HijackThis v1.99.1
Scan saved at 09:28:15, on 31.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\LEXBCES.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\LEXPPS.EXE
E:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\ZONELABS\vsmon.exe
E:\WINDOWS\explorer.exe
E:\Tools\ZoneAlarm\zlclient.exe
E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
E:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
E:\Tools\Crazy Browser\Crazy Browser.exe
G:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: Shell=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Tools\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Tools\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_CC] E:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVG7_EMC] E:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [MessengerPlus3] "E:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Lexmark X74-X75] "E:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [NeroCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] E:\Tools\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mcafee Antivirus Monitoring System327] VSStatmn327.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ToADiMon.exe] E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\RunServices: [Mcafee Antivirus Monitoring System327] VSStatmn327.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "E:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - Global Startup: Microsoft Office.lnk = E:\Tools\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\Tools\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O12 - Plugin for .pdf: E:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:tsk.mht!http://69.50.180.155/5/s1//q.chm::/file.exe
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E94C789-7613-4C99-8F2E-171512FC6A21}: NameServer = 217.237.149.225 217.237.151.97
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - E:\WINDOWS\System32\vbsys2.dll (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Indexdienst (cisvc) - Unknown owner - E:\WINDOWS\System32\cisvc.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - E:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - E:\WINDOWS\system32\ZONELABS\vsmon.exe

Hallo Sitak,

suche diese Datei "VSStatmn327.exe", vermutlich im Ordner "system32" zu finden.
(Öffne den Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "Häckchen weg“ und "Alle Dateien und Ordner Anzeigen" anklicken)

Lass sie hier online-scannen:
http://virusscan.jotti.org/de

Teile bitte das Ergebnis mit.

dartus

Tja mhhhm, die Datei is nirgends zu finden, weder im System32 Ordner noch sonst irgendwo :S

@Sitak
hast du diesen einstellungen im system?
Dateien richtig suchen

dein system und IE sind uralt, warum machst du keinen update?

überprüfe dein system bitte mit escan
http://www.trojaner-board.de/showthread.php?t=17492


chaosman

Edit:
eine sehr schöne Lösung von Rene-gad :aplaus:

So ich hab mich an die Anleitung im ersten Link gehalten.... aber wieder nix gefunden (btw komm ich, wie beschrieben, an die SuchenFunktion nicht über das Startmenü weil das ja wie schon gesagt weg is, sondern nur über den Explorer). Da gesagt wurde das sich die Datei wahrscheinlich im System32 Ordner befindet, hab ich nur die Partition auf der Windows is durchsucht und nicht den ganzen Pc.

Ich nehm mal an ich soll deshalb --> O4 - HKLM\..\RunServices: [Mcafee Antivirus Monitoring System327] VSStatmn327.exe <-- danach suchen. Allerdings hab ich nix von Mcafee drauf. Zumindest nit soweit ich mich erinner. Kann sein das mal was drauf war aber inzwischen runter is... oder auch nit wie es scheint...

Stimmt das is beides Uralt aber bisher hab ich damit keine Probleme gehabt :P

Werd jetzt mal das andere Progi ziehen und mal laufen lassen, also bis später...

Ahja, nochwas. Muss das Problem mit der verschwundenen Taskleiste ect. zwangsläufig an dem gefundenen Trojaner liegen oder könnt auch was anderes das Problen sein??

mfg Sitak

So is bissel später geworden weil ich Gestern keine Zeit mehr gefunden hab, hier das Ergebnis:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Thu Sep 01 07:47:27 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Thu Sep 01 07:47:33 2005 => System found infected with NN_Bar Spyware/Adware ({224302b0-94e9-45c2-9e5b-ba989ee556e1})! Action taken: No Action Taken.
Thu Sep 01 08:55:44 2005 => File E:\Programme\C2Media\Setup.exe infected by "Trojan-Downloader.Win32.Swizzor.do" Virus! Action Taken: No Action Taken.
Thu Sep 01 09:59:15 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Thu Sep 01 08:02:22 2005 => File C:\RECYCLED\Q355157.exe tagged as "not-a-virus:AdWare.ToolBar.Simbar.b". Action Taken: No Action Taken.
Thu Sep 01 08:05:36 2005 => File C:\Tools\MP3 to WAV.zip tagged as "not-a-virus:AdWare.SaveNow.ag". Action Taken: No Action Taken.
Thu Sep 01 09:05:34 2005 => File E:\Programme\Lycos\Sidesearch\sidesearch13218.dll tagged as "not-a-virus:AdWare.Sidesearch.e". Action Taken: No Action Taken.
Thu Sep 01 09:36:54 2005 => File G:\Archiv\Startrek\AMF-IRC.zip tagged as not-a-virus:Client-IRC.Win32.mIRC.591. No Action Taken.
Thu Sep 01 09:39:18 2005 => File G:\Archiv\Tools\iMesh.exe tagged as "not-a-virus:AdWare.FlashTrack.d". Action Taken: No Action Taken.
Thu Sep 01 09:42:24 2005 => File G:\Archiv\Tools\DivXPro511Adware.exe tagged as "not-a-virus:AdWare.Gator.3202". Action Taken: No Action Taken.
Thu Sep 01 09:43:07 2005 => File G:\Archiv\Tools\setupwavtomp3.exe tagged as "not-a-virus:AdWare.BookedSpace.a". Action Taken: No Action Taken.
Thu Sep 01 09:47:33 2005 => File G:\New\Tools\aGmIRCc250.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.603. No Action Taken.
Thu Sep 01 09:47:49 2005 => File G:\New\Tools\irc-bot.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.602. No Action Taken.
Thu Sep 01 09:58:30 2005 => File I:\Sandra\angelbuffy.exe tagged as "not-a-virus:AdWare.Sidesearch.d". Action Taken: No Action Taken.
Thu Sep 01 09:58:38 2005 => File I:\Sandra\Bildschirmschoner\SarahScreenSaver.exe tagged as "not-a-virus:AdWare.Gator.3013". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statisktiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Thu Sep 01 09:59:15 2005 => Total Virus(es) Found: 14
Thu Sep 01 09:59:15 2005 => Total Errors: 571
Thu Sep 01 09:59:15 2005 => Time Elapsed: 02:11:11
Thu Sep 01 09:59:15 2005 => Total Objects Scanned: 112759
Thu Sep 01 09:59:15 2005 => Virus Database Date: 2005/08/31
Thu Sep 01 10:47:33 2005 => Virus Database Date: 2005/08/31
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~