Salam aleikum ihr alle

so erstmal kurz die vorgeschichte: Vor ungef. 1,5 monaten bekam ich von meinem antiVir die trojaner small.ev.50-66 und small.ev.6 angezeigt. nach mehrmaligem updaten von antiVir ließ sich dieses problem aller wahrscheinlichkeit und hoffnung nach lösen. d.h. irgendwann konnten diese teile wahrscheinlich nach dem neustarten gelöscht werden. seit der gleichen zeit hab ich aber auch den psguard drauf. er startet das hauptprogramm (das euch vll/wahrscheinl. bekannt sein wird) zwar nun nicht mehr eigenständig, aber selbst nach 4maligem deaktivieren des eintrags in der msconfig und 1maligem löschen des "run" eintrags in Local_Machine -> Software -> Microsoft -> Windows -> Run scheint das scheißteil immer noch nicht den abgang zu machen. kommen immer noch die kleinen fensterchen unten in der leiste. Und seit heute, d.h. seit ich den eintrag des ps guards in der regedit gelöscht habe bek. ich von antivir die warnung
"C:\WINDOWS\SYSTEM32\WININET.DLL
Contains code of the Windows virus W32/Nsag.B "
hab auch das dann mit antiVir -> neustart versucht, da der pfad/prozess von windows gesperrt wird , bringt aber nix.
Meiner Meinung und Hoffnung nach hab ich zwar die Trojaner überwunden aber der fuck psGuard und der W32/Nsag.B sind noch drauf und drin.

--- > Meine HijackThis Log:

Logfile of HijackThis v1.99.1
Scan saved at 20:00:53, on 08.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Virenschutz\Antivir\AVGUARD.EXE
D:\Programme\Virenschutz\Antivir\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\msole32.exe
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
E:\Programme\Bärshär\BearShare.exe
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
D:\Programme\Virenschutz\Antivir\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Windows Media Player\wmplayer.exe
D:\Programme\Virenschutz\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://cf.icq.com/cf/icq5/unregister.html
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll (file missing)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [BearShare] "E:\Programme\Bärshär\BearShare.exe" /pause
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\Virenschutz\Antivir\AVGNT.EXE /min
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programme\Adobe\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:tsk.mht!hxxp://69.50.171.149/5/s1//q.chm::/file.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - hxxp://messenger.msn.com/download/msnmessengersetupdownloader.cab
O20 - Winlogon Notify: style2 - C:\WINDOWS\q195310_disk.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\Virenschutz\Antivir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\Virenschutz\Antivir\AVWUPSRV.EXE

----------------------------

Glaub aber dass da nix gefährliches enthalten ist!? aber um das komplett zu beurteilen kenne ich mich vll nicht gut genug aus.

wäre froh wenn mir gleich jemand helfen könnte!
Thx im voraus

lösche erstmal die datei C:\WINDOWS\SYSTEM32\WININET.DLL im abgesicherten modus
(diese datei wird in windows 2000/xp nicht benötigt, nur in 9x)
dann führe diese Anleitung durch.

abgesicherter modus hab ich noch nie gemacht *schäm* kurz erklären bitte
z.

Abgesicherter Modus Erklärung^^
Während des starts einfach dauernd F8 drücken (möglichst bevor der xp-ladebildschirm kommt)
dann abgesicherter modus (und ich meine nur abgesicherter modus) auswählen

hey, thx für die hinweise, aber schon das erste funktioniert nicht
ich kann C:\Windows\system32\wininet.dll nicht löschen (auch nicht im abgesicherten modus ... !?

Außerdem erscheint seit den letzten 3 systemstarts in jedem Laufwerk ein "RECYCLER" im ersten Verzeichnis des Laufwerks und wenn ich draufgehe seh ich im rechten fenster das papierkorbsymbol von XP mit einer langen zahlenreihe à la "S-1-5-21-842925246-2146805459-1060284298-1004" dahinter, und gerade stelle ich fest dass auf einem laufwerk nicht nur einer dieser Papierkörbe sondern SEHR VIELE davon sind ... FUCK
HELP!

man das system ist wirklich ziemlich fehlerhaft dadurch geworden.
du kannst die datei löschen.
starte hijackthis
open misc tools section
delete a file on reboot
dann gebe in der adresszeile den dateinamenpfad an, also:
C:\Windows\system32\wininet.dll
also auf OK.
achja jetz seh ichs ja erst; du hast kein SP drauf! installiere wenn du mit der bereinigung mal fertig bist windows xp service pack 2.

also ich hab HijackThis gesartet (im abgesicherten modus) hab das eingegeben zum löschen, neu gestartet (nicht abgesichert) und es war immer noch da ... soll ich beide male im abgesicherten modus bleiben oder gar nicht oder umgekehrt ? oder liegt's an was anderem ?

autsch... die wininet.dll is ne systemdatei... ich habs mit was anderem verwechselt sry

naja auf jedenfall ist die bereinigt dadurch das xp die neu wiederhergestellt hat. (bin mir dabei aber nicht so sicher)
nun kannst du mit der smitfraud-anleitung weiter machen

mmh bin mir da aber ned so sicher ... antivir gibt mir immer noch laufend den hinweis dass das ding dodaal verseucht ist
und das mit dem smitfraud teil hilft gegen den PSguard ?

natürlich. psguard gehört zur smitfraud familie.
deswegen wirkt das tool auch gegen diesen.
um die dll-datei kümmern wir uns dann eben später

Hi
saug dir mal Spybot danach Hi Jack 1.99 im Abgesicherten laufen
lassen (Service Pack 2 holen ) ganz wichtig!!!!!!!
Ansonten AntiVir6 Pro Prof(Neu) saugen i. abgesicherten suchen lassen!!!
:aplaus:

@bodi ob das alles ausreicht.. warten wir erstmal auf das ergebnis von smitrem & co.
ich denke nicht, dass in dieser situation ein sp2-download wirklich schnell genug ablaufen würde... deswegen mein ich auch, dass ers später installieren soll..

@Chris14 stimmt!
Aber er soll es versuchen hatte auch einen von der Familie!!
Bei mir ging er Weg mit Antivir6 Proff!
Naja er soll es versuchen u Service P.2 später!!

hab jetzt also den W32/ ... blabla zuerst mal links liegen lassen, aber nach jeden neustart is irgendwas durch ihn verändert, hab jetzt zb kein xp desktop- und startleistenlayout mehr ??? *kopfkratz*
aehm gut bin bei der smitfraud hilfe jetzt an dem punkt angelangt, an dem ich escan anwenden sollte, hab die dowgeloadete (schreckliches wort ^^) datei entpackt und installiert, aber dann soll ich ja updaten indem ich zu c:\Bases_X "navigiere" --- c bases x gibsts aber irgendwie nicht, also ... komisch!? ich dreh noch durch heut... hoffe auf antwort