Hallo,

habe mir einen Trojaner "psguard" eingefangen. Der Desktop ist rot und es blinkt andauernd. Webroot spy sweeper konnte ihn nicht entfernen. Im Forum habe ich dann den Hijacker gefunden, installiert und beigefügtes logfile generiert.

Und nun ? Bin kein Experte und weiß nicht was ich jetzt machen soll.

Wer kann helfen ?

Viele Grüße

Kurt



Logfile of HijackThis v1.99.1
Scan saved at 21:17:42, on 19.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\brsvc01a.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\brss01a.exe
D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\WINDOWS\Twain_32\FlatBed\HotKey.exe
D:\WINDOWS\System32\sstray.exe
C:\Programme\CyberLink\PowerVCRII\Agent.exe
C:\Programme\iTunes\iTunesHelper.exe
D:\Programme\QuickTime\qttask.exe
D:\WINDOWS\system32\shdocsvc.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
D:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Reader\reader_sl.exe
D:\Programme\FRITZ!DSL\StCenter.exe
D:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\Programme\FRITZ!DSL\IGDCTRL.EXE
D:\WINDOWS\System32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programme\iPod\bin\iPodService.exe
D:\WINDOWS\explorer.exe
D:\Dokumente und Einstellungen\ich\Desktop\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HotKey] D:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Agent] c:\Programme\CyberLink\PowerVCRII\Agent.exe
O4 - HKLM\..\Run: [Remote_Agent] c:\Programme\CyberLink\PowerVCRII\RemoteAgent.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FHStart] D:\WINDOWS\system32\shdocsvc.exe home
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = D:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader\reader_sl.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = D:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\MSOffice\Office10\OSA.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = D:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: &MSN Search - res://D:\Programme\MSN Toolbar Suite\TB\02.00.0001.1203\en-us\msntb.dll/search.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MSOffice\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O20 - Winlogon Notify: WRNotifier - D:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - D:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - D:\WINDOWS\System32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe

@kurt66

#Lade dir SmitfraudFix.zip
SmitfraudFix.zip auf dem Desktop speichern und auf dem desktop entpacken,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 1 und dann Enter,wird ein rapport.txt im Ordner SmitfraudFix erstellt,den Inhalt hier posten.

#Lade dir smitrem.exe ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und Start klicken.Dann wird ein Ordner SmitRem auf dem Desktop angelegt und die Dateien dahin entpackt.Noch nicht ausführen.

#Lade dir Ewido Security Suite unbeding Update,noch nicht scannen

#lade Adaware, Spybot unbeding Update,noch nicht scannen.

#PC neustarten--> abgesicherter Modus
Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen.
Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt

#PC neustarten--> abgesicherter Modus
Starte das HijackThis "Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken, PC neustarten
O4 - HKLM\..\Run: [FHStart] D:\WINDOWS\system32\shdocsvc.exe home
O8 - Extra context menu item: &MSN Search - res://D:\Programme\MSN Toolbar Suite\TB\02.00.0001.1203\en-us\msntb.dll/search.htm
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com

#PC neustarten--> abgesicherter Modus
Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
Loesche:
D:\WINDOWS\system32\shdocsvc.exe

#PC neustarten--> abgesicherter Modus
#Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

#Danach der PC mit Adaware, Spybot scannen und alle Funde entfernen.

#Inhalt folgende ordner loeschen:
D:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen
D:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen
D:\WINDOWS\temp---> Inhalt löschen

1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor
2. copiere diser Code rein:

Zitat:

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{3F245C2A-1558-3CCA-04A8-7AA23B60E40F}"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General]
"Wallpaper"=-

[-HKEY_CURRENT_USER\Software\Classes\CLSID\{3F245C2A-1558-3CCA-04A8-7AA23B60E40F}]

3. Speichere die Datei als Fix.reg auf Desktop
4.Doppel klick auf diese Datei Fix.reg

1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor
2. copiere diser Code rein:

Zitat:

reg add HKEY_LOCAL_MACHINE\SOFTWARE\psguard.comdummy >> look.txt
reg save HKEY_LOCAL_MACHINE\SOFTWARE\psguard.comdummy psguard.comdummy.hiv >> look.txt
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\psguard.comdummy /f >> look.txt
reg restore HKEY_LOCAL_MACHINE\SOFTWARE\psguard.com psguard.comdummy.hiv >> look.txt
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\psguard.com /f >> look.txt
reg query HKEY_LOCAL_MACHINE\SOFTWARE\psguard.com >> look.txt
del psguard.comdummy.hiv
start notepad look.txt

3. Speichere die Datei als Rem.bat auf Desktop
4. Doppel klick auf diese Datei Rem.bat

#Neue HijackThis Log,den Report des Ewido Scans,rapport.txt von SmitfraudFix & auch das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten.

Gruss
Expert

hallo,

danke für den tip. bin gerade dabei....

kurze rückfrage: was ist der abgesicherter Modus beim Neustart ?

viele grüße kurt

Zitat:

Zitat von kurt66

hallo,

danke für den tip. bin gerade dabei....

kurze rückfrage: was ist der abgesicherter Modus beim Neustart ?

viele grüße kurt

Windows im Abgesicherten Modus starten

Gruss
Expert

Hallo,

so das hat jetzt etwas gedauert. Habe alles so gemacht wie beschrieben und hat gut geklappt.

HIer sind die logs. Was ist jetzt zu tun ?

grüße kurt



SmitFraudFix v1.96

Rapport fait à 22:51:33,23 le 19.11.2005
Executé à partir de D:\Dokumente und Einstellungen\ich\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS

D:\WINDOWS\desktop.html PRESENT !
D:\WINDOWS\uninstIU.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS\system32

D:\WINDOWS\system32\birdihuy.dll PRESENT !
D:\WINDOWS\system32\shdocsvc.dll PRESENT !
D:\WINDOWS\system32\shdocsvc.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\Dokumente und Einstellungen\ich\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

D:\Dokumente und Einstellungen\All Users\Desktop\P.S.Guard spyware remover.lnk PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\Programme

D:\Programme\P.S.Guard\ PRESENT!

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

HKLM\SOFTWARE\PSGuard.com Présent !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

D:\WINDOWS\system32\wininet.dll infecté !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement

Datentr„ger in Laufwerk D: ist RECOVERY
Volumeseriennummer: 94E9-4893

Verzeichnis von D:\WINDOWS\SYSTEM32

29.08.2002 12:00 604.672 wininet.dll
1 Datei(en) 604.672 Bytes

Verzeichnis von D:\WINDOWS\SYSTEM32\dllcache

29.08.2002 12:00 604.672 wininet.dll
1 Datei(en) 604.672 Bytes

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport




Logfile of HijackThis v1.99.1
Scan saved at 01:32:08, on 20.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\Explorer.EXE
C:\Programme\Adobe\Reader\AcroRd32Info.exe
D:\Dokumente und Einstellungen\ich\Desktop\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HotKey] D:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Agent] c:\Programme\CyberLink\PowerVCRII\Agent.exe
O4 - HKLM\..\Run: [Remote_Agent] c:\Programme\CyberLink\PowerVCRII\RemoteAgent.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = D:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader\reader_sl.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = D:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\MSOffice\Office10\OSA.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = D:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MSOffice\Office10\EXCEL.EXE/3000
O20 - Winlogon Notify: WRNotifier - D:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - D:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - D:\WINDOWS\System32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - D:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe

Beim versuch den Report des Ewido Scans zu Posten kommt folgende Fehlermeldung von trojaner-board.de .....

Was nu ?


1. Sie haben in Ihrer Signatur oder Ihrem vorherigen Beitrag 71 Grafiken verwendet. Erlaubt sind maximal 8 Grafiken. Bitte klicken Sie auf 'Zurück' und entfernen Sie einige davon.

Zu den Grafiken zählen Smileys, das vB Code [img] Tag und das HTML <img> Tag. Die Benutzung dieser drei Grafikarten kann vom Administrator eingeschränkt werden.

@kurt66

HijackThis Log von normaler Modus,den Report des Ewido Scans, & das Logfile von smitrem,welches unter C:\smitfiles.txt

Die brauche ich noch

Oder versuche mal Ewido Scans als *.txt datei zu posten wie hier

http://www.trojaner-board.de/showthr...t=23697&page=2

Gruss
Expert

So eins nach dem anderen.....

HijackThis Log


Logfile of HijackThis v1.99.1
Scan saved at 10:09:32, on 20.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\brsvc01a.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\brss01a.exe
D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\WINDOWS\Twain_32\FlatBed\HotKey.exe
D:\WINDOWS\System32\sstray.exe
C:\Programme\CyberLink\PowerVCRII\Agent.exe
C:\Programme\iTunes\iTunesHelper.exe
D:\Programme\QuickTime\qttask.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
D:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Reader\reader_sl.exe
D:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
D:\Programme\FRITZ!DSL\StCenter.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\Programme\FRITZ!DSL\IGDCTRL.EXE
D:\Programme\ewido\security suite\ewidoctrl.exe
D:\Programme\ewido\security suite\ewidoguard.exe
D:\WINDOWS\System32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programme\iPod\bin\iPodService.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Dokumente und Einstellungen\ich\Desktop\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HotKey] D:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Agent] c:\Programme\CyberLink\PowerVCRII\Agent.exe
O4 - HKLM\..\Run: [Remote_Agent] c:\Programme\CyberLink\PowerVCRII\RemoteAgent.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = D:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader\reader_sl.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = D:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\MSOffice\Office10\OSA.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = D:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MSOffice\Office10\EXCEL.EXE/3000
O20 - Winlogon Notify: WRNotifier - D:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - D:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - D:\WINDOWS\System32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - D:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe

....ewido scans...

als text datei. muste sie in 2 teile unterteilen.

kurt66

und der 2. teil

kommt sogar noch ein 3. teil

der 3. teil

finally das logfile von smitrem

grüße kurt



smitRem © log file
version 2.7

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key

PSGuard.com key present!



Running LTDFix/PSGuard.com fix!



PSGuard.com key was successfully removed!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~

P.S.Guard


~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~

uninstIU.exe
desktop.html


~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

wininet.dll INFECTED!! Starting replacement procedure.


~~~~ Looking for D:\WINDOWS\system32\dllcache\wininet.dll ~~~~


~~~~ D:\WINDOWS\system32\dllcache\wininet.dll Present! ~~~~


~~~~ Checking dllcache\wininet.dll for infection ~~~~


~~~~ dllcache\wininet.dll Clean! ~~~~

~~~ Replaced wininet.dll from dllcache ~~~



~~~ Upon reboot ~~~

wininet.old present!
oleadm.dll not present!
oleext.dll not present!


~~~ Upon completion ~~~

wininet.old not present!
oleadm.dll not present!
oleext.dll not present!


~~~~ Rechecking D:\WINDOWS\system32\wininet.dll for infection ~~~~


~~~~ D:\WINDOWS\system32\wininet.dll Clean! ~~~~

@kurt66

#Doppelklick auf SmitfraudFix.cmd,dann Taste 2 und dann Enter,wenn diese Frage o/n kommt muss du mit Taste o beatätigen,wird ein rapport.txt im Ordner SmitfraudFix erstellt,den Inhalt hier posten.
Danach Taste 3 mit o beatätigen

#Lade dir smitfraud.reg Datei (Rechtsklick - Ziel speichern unter)
smitfraud.reg und speichere sie auf dem Desktop.
Smitfraud.reg mit rechts anklicken und Zusammenführen wählen.(Im abgesicherter Modus ausführen)

#PC neustarten--> abgesicherter Modus
1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor
2. copiere diser Code rein:

Zitat:

@ECHO OFF
attrib -s -r -h D:\WINDOWS\uninstIU.exe
attrib -s -r -h D:\WINDOWS\system32\birdihuy.dll
attrib -s -r -h D:\WINDOWS\system32\shdocsvc.dll
attrib -s -r -h D:\WINDOWS\system32\shdocsvc.exe
attrib -s -r -h D:\WINDOWS\sites.ini
attrib -s -r -h D:\WINDOWS\desktop.html
attrib -s -r -h D:\WINDOWS\screen.html
attrib -s -r -h D:\WINDOWS\zloader3.exe
attrib -s -r -h D:\WINDOWS\popuper.exe
attrib -s -r -h D:\WINDOWS\system32\msmsgs.exe
attrib -s -r -h D:\WINDOWS\system32\shnlog.exe
attrib -s -r -h D:\WINDOWS\System32\msole32.exe
attrib -s -r -h D:\WINDOWS\System32\shnlog.exe
attrib -s -r -h D:\WINDOWS\System32\intmon.exe
attrib -s -r -h D:\WINDOWS\System32\intmonp.exe
attrib -s -r -h D:\WINDOWS\System32\svcnet.exe
attrib -s -r -h D:\windows\system32\wldr.dll
attrib -s -r -h D:\WINDOWS\system32\ole32vbs.exe
attrib -s -r -h D:\WINDOWS\system32\hhk.dll
attrib -s -r -h D:\WINDOWS\System32\helper.exe
attrib -s -r -h D:\WINDOWS\System32\winnook.exe
attrib -s -r -h D:\WINDOWS\system32\oleadm.dll
attrib -s -r -h D:\WINDOWS\system32\oleadm32.dll
attrib -s -r -h D:\wp.exe
attrib -s -r -h D:\bsw.exe
attrib -s -r -h D:\bsw.bmp
attrib -s -r -h D:\wp.bm
del D:\WINDOWS\uninstIU.exe
del D:\WINDOWS\system32\birdihuy.dll
del D:\WINDOWS\system32\shdocsvc.dll
del D:\WINDOWS\system32\shdocsvc.exe
del D:\WINDOWS\sites.ini
del D:\WINDOWS\desktop.html
del D:\WINDOWS\screen.html
del D:\WINDOWS\zloader3.exe
del D:\WINDOWS\popuper.exe
del D:\WINDOWS\system32\msmsgs.exe
del D:\WINDOWS\system32\shnlog.exe
del D:\WINDOWS\System32\msole32.exe
del D:\WINDOWS\System32\shnlog.exe
del D:\WINDOWS\System32\intmon.exe
del D:\WINDOWS\System32\intmonp.exe
del D:\WINDOWS\System32\svcnet.exe
del D:\windows\system32\wldr.dll
del D:\WINDOWS\system32\ole32vbs.exe
del D:\WINDOWS\system32\hhk.dll
del D:\WINDOWS\System32\helper.exe
del D:\WINDOWS\System32\winnook.exe
del D:\WINDOWS\system32\oleadm.dll
del D:\WINDOWS\system32\oleadm32.dll
del D:wp.exe
del D:\bsw.exe
del D:\bsw.bmp
del D:\wp.bm
exit

3. Speichere die Datei als Fix.bat auf Desktop
4. Doppel klick auf diese Datei Fix.bat

#Loeschen:
D:\Programme\P.S.Guard

PS: Alle Wichtigten Passwärter ändern

Gruss
Expert

hi,

anbei der rapport.

viele grüße

kurt




SmitFraudFix v1.96

Rapport fait à 14:34:28,85 le 20.11.2005
Executé à partir de D:\Dokumente und Einstellungen\ich\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

D:\WINDOWS\system32\birdihuy.dll supprimé
D:\WINDOWS\system32\shdocsvc.dll supprimé
D:\Dokumente und Einstellungen\All Users\Desktop\P.S.Guard spyware remover.lnk supprimé


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

@kurt66

Alles OK

Noch Problem?

EWIDO kannst du wieder deinstallieren(Test Version)

Gruss
Expert