|
Log-Analyse und Auswertung: Warum kann ich in der Reg. den PSGUARD nicht löschen?????Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
03.11.2005, 12:33 | #1 |
| Warum kann ich in der Reg. den PSGUARD nicht löschen????? Hallo, wer kann helfen? Ich habe psguard eingefangen und kann zwar einiges löschen, er popt auch zur Zeit nicht mehr auf, aber den Registry Eintrag kann ich nicht löschen. Auch im abesicherten Modus das gleiche Spiel. Des weiteren ist da wohl noch ein Browser Hijacker namens CWS.Homepage vorhanden und mit SaveNow noch ein wenig Adware. Diese werden aber von Spybot und Adaware nicht erkannt, nur von XoftSpy. Wat ´nu? Jupp |
03.11.2005, 12:49 | #2 |
| Warum kann ich in der Reg. den PSGUARD nicht löschen????? hey
__________________#Lade dir smitrem.exe ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und Start klicken.Dann wird ein Ordner SmitRem auf dem Desktop angelegt und die Dateien dahin entpackt.Noch nicht ausführen. #Lade dir Ewido Security Suite unbeding Update,noch nicht scannen #lade Adaware, Spybot unbeding Update,noch nicht scannen. #PC neustarten--> abgesicherter Modus Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen. Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt #PC neustarten--> abgesicherter Modus #Starte Ewido Security Suite mach ein voller Scan (Complete System Scan) #Danach der PC mit Adaware, Spybot scannen und alle Funde entfernen. #Inhalt folgende ordner loeschen: C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen C:\Dokumente und Einstellungen\Usename\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen C:\WINDOWS\temp---> Inhalt löschen #Lade dir HijackThis, stelle es in einen seperaten Ordner und starte das Programm. Die dabei erzeugte Logfile bitte speichern und hier posten. #HijackThis Log und den Report des Ewido Scans,auch das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten. Gruss expert |
03.11.2005, 16:32 | #3 |
| Warum kann ich in der Reg. den PSGUARD nicht löschen????? Danke EXPERT für deine Tipps, Ewido ist prima, er hat noch einiges mehr gefunden und bereinigt. Nur leider diesen PSGUARD nicht oder nur teilweise.
__________________Psguard hat sich dermaßen festgefummelt, dass ich ihm immer noch nicht beikomme. Er steckt noch in folgendem Eintrag in der Reg.: hkey_local_machine\software\psguard und ist auch manuell nicht zu löschen. Adaware findet ihn dort, löscht ihn aber auch nicht, sondern tut nur so. Spybot sagt, das System sei sauber. XoftSpy findet psguard und cws.homepage noch immer. Welche Prozesse müssen beendet werden um diesen Lorenz zu löschen? Oder was sonst? Ich traue mich nicht, mein Internet-Banking wieder aufzunehmen.... Hier sind die Logfiles: Logfile of HijackThis v1.99.1 Scan saved at 16:18:33, on 03.11.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\System32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Windows\System32\DWRCS.EXE C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe C:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe C:\Programme\Trend Micro\PC-cillin 2002\WebTrap.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Tools\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blanc R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blanc R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=gateway:3128;http=localhost:8080;https=gateway:3128;socks=gateway:1080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;gateway;trend O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [Microsoft Works Update Detection] c:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe" O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe" O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe" O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Schnäppchenfinder - {48114613-bd25-4632-a0d5-feba3edd2ae9} - C:\Programme\Oxbuy\Schnäppchenfinder 4.0\PointView.exe O9 - Extra button: Preispiraten 2.1.1 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - h**p://www.preispiraten.de/cgi-bin/e/tracker_short.pl?http://www.ebay.de (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{862F7EC0-5B81-439B-B1A6-9CF6D9C8690C}: NameServer = 192.168.122.252,192.168.122.253 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\Windows\System32\DWRCS.EXE O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe smitRem © log file version 2.7 by noahdfear Microsoft Windows XP [Version 5.1.2600] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ msvol.tlb ncompat.tlb ~~~ Icons in System32 ~~~ ts.ico ot.ico ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ CLEAN! ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 14:47:20, 03.11.2005 + Report-Checksumme: 50E6AB87 + Scanergebnis: HKLM\SOFTWARE\Classes\CLSID\{9F95F736-0F62-4214-A4B4-CAA6738D4C07} -> Spyware.SaveNow : Gesäubert mit Backup HKLM\SOFTWARE\Classes\Interface\{C285D18D-43A2-4AEF-83FB-BF280E660A97} -> Spyware.SaveNow : Gesäubert mit Backup HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\ins -> Spyware.WebRebates : Gesäubert mit Backup HKLM\SOFTWARE\PSGuard.com -> Spyware.PSGuard : Fehler beim Säubern HKLM\SOFTWARE\PSGuard.com\PSGuard -> Spyware.PSGuard : Fehler beim Säubern HKLM\SOFTWARE\PSGuard.com\PSGuard\P.S.Guard -> Spyware.PSGuard : Fehler beim Säubern HKLM\SOFTWARE\PSGuard.com\PSGuard\P.S.Guard\License -> Spyware.PSGuard : Gesäubert mit Backup C:\Dokumente und Einstellungen\username\Cookies\username@com[2].txt -> Spyware.Cookie.Com : Gesäubert mit Backup C:\Dokumente und Einstellungen\username\Cookies\username@ivwbox[2].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup C:\Downloads\keylog5.exe/keylogger.exe -> TrojanSpy.Keylog : Gesäubert mit Backup C:\Programme\BearShare\Installer\saveinstwm.exe -> Adware.SaveNow : Gesäubert mit Backup C:\Programme\Security Toolbar\Security Toolbar.dll -> TrojanDownloader.Agent.yb : Gesäubert mit Backup C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP376\A0043109.exe -> TrojanSpy.Keylog : Gesäubert mit Backup C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP376\A0043110.dll -> TrojanSpy.Windowskeylog : Gesäubert mit Backup C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP376\A0043148.exe -> TrojanDropper.Agent.zv : Gesäubert mit Backup C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP376\A0043149.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP376\A0043150.exe -> TrojanDownloader.Small.vu : Gesäubert mit Backup C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP376\A0043151.exe -> TrojanDownloader.Zlob.ap : Gesäubert mit Backup C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP376\A0046171.dll -> Trojan.Small.j : Gesäubert mit Backup C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP376\A0048999.exe -> Dialer.Generic : Gesäubert mit Backup C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP376\A0050302.dll -> Trojan.Promoter.c : Gesäubert mit Backup C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP376\A0050339.dll -> Adware.PSGuard : Gesäubert mit Backup C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP376\A0050340.dll -> Adware.PSGuard : Gesäubert mit Backup C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP376\A0050343.exe -> Adware.PSGuard : Gesäubert mit Backup C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP376\A0050345.dll -> Adware.PSGuard : Gesäubert mit Backup C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP376\A0050417.dll -> Adware.PSGuard : Gesäubert mit Backup C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP376\A0050418.dll -> Adware.PSGuard : Gesäubert mit Backup C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP376\A0050421.exe -> Adware.PSGuard : Gesäubert mit Backup C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP376\A0050423.dll -> Adware.PSGuard : Gesäubert mit Backup C:\Tools\backups\backup-20051031-193626-415.dll -> Trojan.Small.fs : Gesäubert mit Backup C:\Tools\IE-Tools\Outlook-IE-Passw.exe -> Not-A-Virus.Tool.PassView.160 : Gesäubert mit Backup C:\WINDOWS\system32\1024\ld9B88.tmp -> Dialer.Generic : Gesäubert mit Backup ::Report Ende [edit] links entfernt [/edit] Geändert von GUA (03.11.2005 um 19:02 Uhr) |
03.11.2005, 19:28 | #4 |
| Hallo EXPERT, bitte noch mal anschauen, DANKEEEEE! Habe alles gemacht wie beschrieben, Logfiles siehe weiter unten. Danke danke |
03.11.2005, 19:47 | #5 | |
| Warum kann ich in der Reg. den PSGUARD nicht löschen????? hey Zitat:
Oder unter Start/Programme/Zubehör/Editor 2. copiere diser Code rein: Code:
ATTFilter reg add HKEY_LOCAL_MACHINE\SOFTWARE\psguard.comdummy >> look.txt reg save HKEY_LOCAL_MACHINE\SOFTWARE\psguard.comdummy psguard.comdummy.hiv >> look.txt reg delete HKEY_LOCAL_MACHINE\SOFTWARE\psguard.comdummy /f >> look.txt reg restore HKEY_LOCAL_MACHINE\SOFTWARE\psguard.com psguard.comdummy.hiv >> look.txt reg delete HKEY_LOCAL_MACHINE\SOFTWARE\psguard.com /f >> look.txt reg query HKEY_LOCAL_MACHINE\SOFTWARE\psguard.com >> look.txt del psguard.comdummy.hiv start notepad look.txt 4. Doppel klick auf diese Datei Rem.bat Gruss Expert |
03.11.2005, 20:01 | #6 |
| Warum kann ich in der Reg. den PSGUARD nicht löschen????? Danke EXPERT, das hat gefunzt, du trägst deinen Namen zurecht! |
03.11.2005, 20:13 | #7 |
| Warum kann ich in der Reg. den PSGUARD nicht löschen????? Alles OK EWIDO kannst du wieder deinstallieren(Test Version) #PC neustarten--> abgesicherter Modus Starte das HijackThis "Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken, PC neustarten R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blanc R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blanc R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = Gruss Expert |
Themen zu Warum kann ich in der Reg. den PSGUARD nicht löschen????? |
?????, adaware, browser, browser hijacker, eingefangen, eintrag, erkannt, gefangen, gen, helfen, hijacker, löschen, löschen?, modus, namens, nicht erkannt, nicht löschen, nicht mehr, psguard, registry, spybot, warum, weiteren, wenig |