Hatte ein Problem mit PSGuard auf meinem Win98se.
Jetzt scheint alles wieder zu funktionieren - mit einer Ausnahme:
Das Hintergrundbild meines Desktop ist und bleibt schwarz.
Die Einstellmöglichkeiten über Systemsteuerung oder Desktop sind einfach verschwunden.
Wer kann mir helfen?

Logfile of HijackThis v1.99.1
Scan saved at 10:45:55, on 03.09.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WIN98SE\SYSTEM\KERNEL32.DLL
C:\WIN98SE\SYSTEM\MSGSRV32.EXE
C:\WIN98SE\SYSTEM\MPREXE.EXE
C:\WIN98SE\SYSTEM\MSTASK.EXE
C:\WIN98SE\SYSTEM\HIDSERV.EXE
C:\WIN98SE\SYSTEM\mmtask.tsk
C:\WIN98SE\EXPLORER.EXE
C:\WIN98SE\TASKMON.EXE
C:\WIN98SE\SYSTEM\SYSTRAY.EXE
D:\PROGRAMME\ADAPTEC\EASY CD CREATOR 5\DIRECTCD\DIRECTCD.EXE
C:\PROGRAMME\T-ONLINE\ISDN SPEEDMANAGER\TOMCAT.EXE
D:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
D:\PROGRAMME\SCANSOFT\OMNIPAGESE\OPWARE32.EXE
C:\WIN98SE\SYSTEM\STIMON.EXE
D:\PROGRAMME\MATROX MGA POWERDESK\MGACTRL.EXE
D:\PROGRAMME\MATROX MGA POWERDESK\COLOR\HGCCTL95.EXE
D:\PROGRAMME\EUMEX 504PC USB\CAPICTRL.EXE
C:\WIN98SE\SYSTEM\RNAAPP.EXE
C:\WIN98SE\SYSTEM\WMIEXE.EXE
C:\WIN98SE\SYSTEM\TAPISRV.EXE
D:\PROGRAMME\MOZILLA 1_7_8\MOZILLA\MOZILLA.EXE
D:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIN98SE\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WIN98SE\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WIN98SE\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AdaptecDirectCD] "D:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRAMME\T-ONLINE\ISDN SPEEDMANAGER\TOMCAT.EXE"
O4 - HKLM\..\Run: [AVGCtrl] D:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Omnipage] D:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WIN98SE\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [service] C:\WIN98SE\services.exe -serv
O4 - HKLM\..\Run: [Smart Start UP] C:\Programme\NewSoft\Smart Start UP\PnPDetect.exe /Automation
O4 - HKLM\..\Run: [Matrox Control Center] D:\Programme\Matrox MGA PowerDesk\mgactrl.exe
O4 - HKLM\..\Run: [Matrox Color Control] D:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe
O4 - HKLM\..\Run: [Matrox Diagnostic] D:\Programme\Matrox MGA PowerDesk\diag\mgadiag.exe -s
O4 - HKLM\..\Run: [vmcleaner] gxlib.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WIN98SE\SYSTEM\intell32.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WIN98SE\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [Hidserv] Hidserv.exe run
O4 - Startup: CAPI Control.lnk = D:\Programme\Eumex 504PC USB\Capictrl.exe
O4 - Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WIN98SE\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WIN98SE\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

führe erstmal diese Anleitung durch.
ich sehe du hast hier einen netsky auf dem pc. (ich vermute es zumindest)
fixe diese einträge:
O4 - HKLM\..\Run: [service] C:\WIN98SE\services.exe -serv
O4 - HKLM\..\Run: [vmcleaner] gxlib.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WIN98SE\SYSTEM\intell32.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

lösche diese dateien im abgesicherten modus:
C:\WIN98SE\services.exe -serv
c:\win98se\gxlib.exe oder c:\win98se\system\gxlib.exe
C:\WIN98SE\SYSTEM\intell32.exe

falls nicht angezeigt:
Ansicht -> Ordneroptionen -> Ansicht
"Inhalte von Systemordnern anzeigen" haken hin (falls vorhanden)
"Inhalte von Systemordnern ausblenden" haken weg (falls vorhanden)
"Alle Dateien und Ordner anzeigen" selektieren

führe eScan aus

Vielen Dank für die erste Hilfe.

Leider komme ich an eScan nicht ran.
Der Link scheint zwar gültig zu sein, aber dann kommt eine Fehlermeldung: "Zeitüberschreitung beim Verbindungsaufbau zu www.mwti.net"
Ich habe es mindestens 10 mal versucht.

Gibt es noch eine andere Möglichkeit an eScan ranzukommen.

Gruß Mohnblume


PS: Den Link zur "Anleitung" konnte ich zwar beim ersten mal erreichen, aber später nicht mehr.

Zitat:

Zitat von mohnblume

Vielen Dank für die erste Hilfe.

Leider komme ich an eScan nicht ran.
Der Link scheint zwar gültig zu sein, aber dann kommt eine Fehlermeldung: "Zeitüberschreitung beim Verbindungsaufbau zu www.mwti.net"
Ich habe es mindestens 10 mal versucht.

Gibt es noch eine andere Möglichkeit an eScan ranzukommen.

Nutzt du folgenden DownloadLink?

http://www.mwti.net/products/mwav/mwav.asp

Bei mir funktioniert er.

Zitat:

Zitat von mohnblume

PS: Den Link zur "Anleitung" konnte ich zwar beim ersten mal erreichen, aber später nicht mehr.

Das liegt an einer Umstellung des Forums, nutze nun diesen Link:

http://www.trojaner-board.de/showthread.php?t=21709

Hallo chronos,

der Link zu eScan kommt nicht zustande (Zeitüberschreitung beim Verbindungsaufbau ...).
Ich benutze Mozilla 1.7.8. und sonst habe ich beim "surfen" eigentlich auch keine Probleme.

Hast Du mir noch einen Tip?

Gruß mohnblume

Funktioniert dieser Link:

ftp://ftp.microworldsystems.com/download/tools/mwav.exe

oder dieser

ftp://update.mailscan.info/download/tools/mwav.exe ?

Jetzt hats geklappt.

Soll ich die Datei mwav.exe starten?

Bitte genau nach Anleitung entpacken.Noch nicht scannen
Vorher aber die Anleitung zum entfernen von Smitfraud/PSGuard abarbeiten, dann erst den Scan starten.

In der ursprünglichen Anleitung (an die ich jetzt wegen neuem Server usw. nicht mehr dran komme) zum "manuellen" entfernen von Viren ...
war die rede von einem 'Reg.File', das die meisten Registryveränderungen rückgängig macht. Könnte ich den Link zu diesem File nochmal bekommen?

Vielen Dank

PS: Was sind eigentlich BHOs ?

Hallo,
meinst du das Tool smitrem? eine Anleitung zum entfernen und einen Link zum Tool findest du hier
Wenn du das durchgeführt hast, brauchen wir den Inhalt der C:\smitfiles.txt und das Escan Logfile.

BHO=Browser Helper Object
im Prinzip nur eine Schnittstelle des Internet Explorers für externe Tools, wird aber auch von Adware/Spyware ganz gerne verwendet um den IE zu kontrollieren.


Grüße Wildone

Die Anleitung zu 'smitrem' habe ich.

In der ersten Antwort zu meinem Problem gab's einen Link (http://www.trojaner-board.de/showthread.php?t=17863)
zu einer Anleitung, die ich mir damals auch ausgedruckt habe. In dieser Anleitung war die Rede von einem 'Reg.File', das die meisten Registryveränderungen rückgängig macht. Könnte ich den Link zu diesem File nochmal bekommen?

Gruß mohnblume

Hallo,
wahrscheinlich meinst du diese reg file hier, aber es wäre aber bedeutend sinnvoller wenn du und die Logs von Escan und smitrem zukommen läßt, da wir dir ohne nicht helfen können, und da das smitrem Tool deine wininet.dll höchstwahrscheinlich nicht säubern kann.



Grüße Wildone

Vielen Dank für den Link.
(Ich hatte leider das kleingedruckte übersehen.)