liebe mit-user, wie kann ich den trojaner "system guard 2009" als laie von meinem notabook mit windows xp löschen - problem ist, daß er offenbar alle prozsse verlangsamt oder mit eigenen überschüttet (vermute ich)? gibt es ein tool, das funktioniert oder eine liste von files /prozessen, die ich von hand löschen könnte?
danke

Hallo fithwin

Überprüfe bitte deine Einstellungen
Kannst du auf deinem Computer alles sehen
Rechtsklick auf START-->Explorer-->Extras-->Ordneroptionen -->den Reiter "Ansicht" -->Versteckte Dateien und Ordner-->"alle Dateien und Ordner"aktivieren-->und--> Extras-->Ordneroptionen-->den Reiter "Ansicht"-->Dateien und Ordner-->geschützte Systemdateien ausblenden(empfohlen) deaktivieren

Danach arbeite bitte diesen Link ab

danke, gentleman - komme erst jetzt dazu, deinen tipp auszuprobieren.
bis später.
frithwin

Hallo Gentleman,
danke erstmal. habe alles gemacht wie angeraten:
Einstellungen überprüft wie beschrieben und den angeg. link abgearbeitet, mit CCleaner gereinigt, Malwarebytes-antimalware installiert.
Report:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1764
Windows 5.1.2600 Service Pack 3

16.02.2009 01:12:07
mbam-log-2009-02-16 (01-12-07).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 148100
Laufzeit: 1 hour(s), 33 minute(s), 15 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 3
Infizierte Dateien: 18

Infizierte Speicherprozesse:
C:\WINDOWS\system32\winscenter.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\{b765db20-8f33-4a72-b5e5-d79cf66d7c84} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Somefox (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\CodecBHO.DLL (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\RichVideoCodec (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\System Guard 2009 (Rogue.SpywareGuard2009) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{08d97f1b-f677-4f48-b8eb-9ffeaf204807} (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\systemguard (Trojan.Systemguard) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\InternetConnection (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ieModule (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Archivos de programa\RichVideoCodec (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Archivos de programa\System Guard 2009 (Rogue.SystemGuard2009) -> Quarantined and deleted successfully.
C:\Archivos de programa\System Guard 2009\quarantine (Rogue.SystemGuard2009) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\winscenter.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Archivos de programa\System Guard 2009\systemguard.exe (Trojan.Systemguard) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Network\svchost.exe (Adware.SpywareGuard) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{120DEFF8-E9D5-4F28-8B1A-6DC8AEF44CB9}\RP167\A0189508.exe (Trojan.Systemguard) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{120DEFF8-E9D5-4F28-8B1A-6DC8AEF44CB9}\RP169\A0189654.exe (Trojan.Systemguard) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{120DEFF8-E9D5-4F28-8B1A-6DC8AEF44CB9}\RP172\A0189685.exe (Trojan.Systemguard) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{120DEFF8-E9D5-4F28-8B1A-6DC8AEF44CB9}\RP172\A0189706.exe (Trojan.Systemguard) -> Quarantined and deleted successfully.
C:\Archivos de programa\System Guard 2009\conf.cfg (Rogue.SystemGuard2009) -> Quarantined and deleted successfully.
C:\Archivos de programa\System Guard 2009\mbase.vdb (Rogue.SystemGuard2009) -> Quarantined and deleted successfully.
C:\Archivos de programa\System Guard 2009\quarantine.vdb (Rogue.SystemGuard2009) -> Quarantined and deleted successfully.
C:\Archivos de programa\System Guard 2009\queue.vdb (Rogue.SystemGuard2009) -> Quarantined and deleted successfully.
C:\Archivos de programa\System Guard 2009\vbase.vdb (Rogue.SystemGuard2009) -> Quarantined and deleted successfully.
C:\WINDOWS\sysexplorer.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\reged.exe (Rogue.SpywareGuard) -> Quarantined and deleted successfully.
C:\WINDOWS\spoolsystem.exe (Rogue.SpywareGuard) -> Quarantined and deleted successfully.
C:\WINDOWS\sys.com (Rogue.SpywareGuard) -> Quarantined and deleted successfully.
C:\WINDOWS\syscert.exe (Rogue.SpywareGuard) -> Quarantined and deleted successfully.
C:\WINDOWS\vmreg.dll (Rogue.SpywareGuard) -> Quarantined and deleted successfully.

Anschl. HiJack this installiert und noch nichts “gefixt”, weil ich außer dem “system guard 2009” – Eintrag nicht sicher war, was “böse” ist - Ergebnis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:45:02, on 16.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\avmwlanstick\WlanNetService.exe
C:\Archivos de programa\avmwlanstick\wlangui.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\Hewlett-Packard\HP Display Settings\hpdisply.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\Java\jre6\bin\jusched.exe
C:\Archivos de programa\Windows Defender\MSASCui.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Archivos de programa\Skype\Phone\Skype.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\winscenter.exe
C:\Archivos de programa\Microsoft Office\Office\WINWORD.EXE
C:\Programme\HiJack This\HiJackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Archivos de programa\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Archivos de programa\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [HP Anzeigeeinstellungen] C:\Archivos de programa\Hewlett-Packard\HP Display Settings\hpdisply.exe /s
O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [systemguard] C:\Archivos de programa\System Guard 2009\systemguard.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1210957771033
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O21 - SSODL: InternetConnection - {87C1EF3B-697E-431F-8A00-A26AEEB40221} - C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Network\DLLs\kzunipqeqt.dll
O21 - SSODL: ieModule - {101CD3CC-75DA-44FC-9AE4-796D3F2B9EAF} - C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Network\DLLs\ieModule.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Archivos de programa\avmwlanstick\WlanNetService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Configuration Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/ADMINI~1/CONFIG~1/Temp/__SkypeIEToolbar_Cache/caea264d80cf3346d48a96a3762727b1/static/active_m.compat.gif

--
End of file - 8920 bytes


Hier noch meine mit HiJack This erstellten Programme:

1-Click YouTubeAssistant
Acrobat.com
Acrobat.com
Actualización de seguridad para el Reproductor de Windows Media (KB952069)
Actualización de seguridad para el Reproductor de Windows Media 11 (KB936782)
Actualización de seguridad para el Reproductor de Windows Media 11 (KB954154)
Actualización de seguridad para Windows XP (KB923789)
Actualización de seguridad para Windows XP (KB938464)
Actualización de seguridad para Windows XP (KB941569)
Actualización de seguridad para Windows XP (KB946648)
Actualización de seguridad para Windows XP (KB950759)
Actualización de seguridad para Windows XP (KB950760)
Actualización de seguridad para Windows XP (KB950762)
Actualización de seguridad para Windows XP (KB950974)
Actualización de seguridad para Windows XP (KB951066)
Actualización de seguridad para Windows XP (KB951376)
Actualización de seguridad para Windows XP (KB951376-v2)
Actualización de seguridad para Windows XP (KB951698)
Actualización de seguridad para Windows XP (KB951748)
Actualización de seguridad para Windows XP (KB952954)
Actualización de seguridad para Windows XP (KB953838)
Actualización de seguridad para Windows XP (KB953839)
Actualización de seguridad para Windows XP (KB954211)
Actualización de seguridad para Windows XP (KB954459)
Actualización de seguridad para Windows XP (KB954600)
Actualización de seguridad para Windows XP (KB955069)
Actualización de seguridad para Windows XP (KB956390)
Actualización de seguridad para Windows XP (KB956391)
Actualización de seguridad para Windows XP (KB956802)
Actualización de seguridad para Windows XP (KB956803)
Actualización de seguridad para Windows XP (KB956841)
Actualización de seguridad para Windows XP (KB957095)
Actualización de seguridad para Windows XP (KB957097)
Actualización de seguridad para Windows XP (KB958215)
Actualización de seguridad para Windows XP (KB958644)
Actualización de seguridad para Windows XP (KB958687)
Actualización de seguridad para Windows XP (KB960714)
Actualización de seguridad para Windows XP (KB960715)
Actualización para Windows XP (KB951072-v2)
Actualización para Windows XP (KB951978)
Actualización para Windows XP (KB955839)
Adobe AIR
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Media Player
Adobe Media Player
Adobe Reader 9 - Deutsch
Adobe® Photoshop® Album Starter Edition 3.0
Apple Mobile Device Support
Apple Software Update
Audacity 1.2.6
Audacity 1.3.6 (Unicode)
Avira AntiVir Personal - Free Antivirus
AVM FRITZ!WLAN
Bonjour
CCleaner (remove only)
Disc2Phone
Google Toolbar for Internet Explorer
HijackThis 2.0.2
HP Anzeigeeinstellungen und HP Configuration Interface
HP PrecisionScan LTX
Intel(R) Extreme Graphics Driver
InterVideo WinDVD
iTunes
Java(TM) 6 Update 11
Java(TM) 6 Update 7
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Office 2000 Professional
Microsoft User-Mode Driver Framework Feature Pack 1.0
Mozilla Firefox (3.0.5)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
OpenOffice.org 2.4
QuickTime
RealPlayer
Reproductor de Windows Media 11
Revisión para el Reproductor de Windows Media 11 (KB939683)
Revisión para Windows XP (KB952287)
Safari
Skype™ 3.8
Sony Ericsson PC Suite 1.20.224
System Guard 2009
Windows Defender
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows XP Service Pack 3

Wenn ich richtig verstehe, hat Malwarebytes schon alles nötige gelöscht, aber die HiJack-This-Ergebnisse muß ich noch selbst ausführen? Und welche der Einträge müssen gelöscht werde?
Schon mal danke – und, ich habe im Internet bei Google (von 2spyware.com und removal forum, glaub ich) folgende Empfehlung gefunden - ist die seriös korrekt?:
System Guard 2009 manual removal:
Kill processes:
systemguard.exe uninstall.exe reged.exe spoolsystem.exe syscert.exe sysexplorer.exe winscenter.exe winlogon.exe svchost.exe

Delete registry values:
HKEY_CLASSES_ROOT\CLSID\{77C96E10-FDA7-4AA7-B318-0631C0D27DBB}
HKEY_CLASSES_ROOT\CLSID\{AB6DAA8C-F726-4FDD-8B06-9537C5878612}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\System Guard 2009
HKEY_LOCAL_MACHINE\SOFTWARE\System Guard 2009
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "systemguard"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad "ieModule"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad "InternetConnection"

Unregister DLLs:
vmreg.dll eewhptdpyl.dll ieModule.dll moduleie.dll

Delete files:
c:\\Program Files\\System Guard 2009 c:\\Program Files\\System Guard 2009\\conf.cfg c:\\Program Files\\System Guard 2009\\mbase.vdb c:\\Program Files\\System Guard 2009\\quarantine.vdb c:\\Program Files\\System Guard 2009\\queue.vdb c:\\Program Files\\System Guard 2009\\systemguard.exe c:\\Program Files\\System Guard 2009\\uninstall.exe c:\\Program Files\\System Guard 2009\\vbase.vdb c:\\Program Files\\System Guard 2009\\quarantine c:\\WINDOWS\\reged.exe c:\\WINDOWS\\spoolsystem.exe c:\\WINDOWS\\sys.com c:\\WINDOWS\\syscert.exe c:\\WINDOWS\\sysexplorer.exe c:\\WINDOWS\\vmreg.dll c:\\WINDOWS\\system32\\winscenter.exe c:\\Documents and Settings\\Bleeping\\Desktop\\System Guard 2009.lnk c:\\Documents and Settings\\Bleeping\\Start Menu\\Programs\\System Guard 2009 c:\\Documents and Settings\\Bleeping\\Start Menu\\Programs\\System Guard 2009\\System Guard 2009.lnk c:\\Documents and Settings\\Bleeping\\Start Menu\\Programs\\System Guard 2009\\Uninstall.lnk c:\\Documents and Settings\\All Users\\Application Data\\winlogon.exe c:\\Documents and Settings\\All Users\\Application Data\\Microsoft\\Network\\svchost.exe c:\\Documents and Settings\\All Users\\Application Data\\Microsoft\\Network\\track.sys c:\\Documents and Settings\\All Users\\Application Data\\Microsoft\\Network\\DLLs c:\\Documents and Settings\\All Users\\Application Data\\Microsoft\\Network\\DLLs\\c.cgm c:\\Documents and Settings\\All Users\\Application Data\\Microsoft\\Network\\DLLs\\eewhptdpyl.dll c:\\Documents and Settings\\All Users\\Application Data\\Microsoft\\Network\\DLLs\\ieModule.dll c:\\Documents and Settings\\All Users\\Application Data\\Microsoft\\Network\\DLLs\\moduleie.dll

Hallo
Ja das mit Malwarebytes hat hingehauen

Hast du noch offensichtliche Anzeichen von System Guard?
Hat du die HJT-Log vor oder nach Malwarebytes erstellt

Freut mich das ein User sich mal selbst über das Problem informiert

Zitat:

Anschl. HiJack this installiert und noch nichts “gefixt”,

genau die richtige Entscheidung

Zitat:

Schon mal danke – und, ich habe im Internet bei Google (von 2spyware.com und removal forum, glaub ich) folgende Empfehlung gefunden - ist die seriös korrekt?:
System Guard 2009 manual removal:
Kill processes:
systemguard.exe uninstall.exe reged.exe spoolsystem.exe syscert.exe sysexplorer.exe winscenter.exe winlogon.exe svchost.exe

Malware kann sich nennen wie sie will und es können auch legitime Einträge dabei sein was genau so heißen
Beispiel svchost.exe
Bei dir läuft "Bonjour"-->Benötigst du dieses Programm.Wird von Apple ungefragt mitinstalliert.
Start-->Systemsteuerung-->Software kannst du es deinstallieren

bitte lade dir SUPERAntiSpyware herunter und ebenfalls nach Anleitung ausführen

Danach sehen wir mal weiter

danke für die blumen, gentlman.
habe die halbe nacht damit zugebracht. "system guard 2009" ist immer noch da und funkt mit seinen meldungen dazwischen. habe aber bisher auch noch keinen neustart gemacht, weil ich nicht wußte, ob gut. weiß auch nicht, ob sich der troj "selbst erneuert" in der zw.zeit.
habe Malwarebytes direkt vor HJT laufen lassen, so wie beschrieben. jetzt werde ich deinen nächsten vorschlag bearbeiten. habe lust, die einträge selbst zu killen - vor allem den "system guard 2009"-eintrag... - aber vielleicht nicht so gute idee, weil ich rasch daneben greifen kann, oder? schreibe, wenns recht ist, dann die ergebnisse wieder rein.

hallo gentlman,
1. "bonjour" läßt sich nicht löschen - kann meine software nur mittels defender öffnen, und da ist keine löschmöglichkeit...
2. Habe Superantispyware-Scan durchgeführt wie vorgeschlagen, dann aber neu gestartet, weil das Programm das vorschlug, um die Quarantäne durchführen zu können... - war falsch?
Jedenfalls kommt bis jetzt keine "system guard 2009"-Meldung mehr, er wird aber immer noch im Desktop und unter "alle Programme" angezeigt. Blöderweise hat SUPERAntiSpyware jetzt die beanstandeten files jetzt nicht mehr griffbereit, oder? Und muß ich für die restlichen vorgeschlagenen Schritte einen neuen superantispyware-scan durchführen?
Das scan-logfile ist jedenfalls wie folgt:

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware!

Generated 02/17/2009 at 10:38 AM

Application Version : 4.25.1012

Core Rules Database Version : 3761
Trace Rules Database Version: 1723

Scan type : Complete Scan
Total Scan Time : 09:56:05

Memory items scanned : 310
Memory threats detected : 2
Registry items scanned : 4812
Registry threats detected : 9
File items scanned : 77254
File threats detected : 35

Rogue.SpywareGuard2008
C:\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS\APPLICATION DATA\MICROSOFT\NETWORK\DLLS\IEMODULE.DLL
C:\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS\APPLICATION DATA\MICROSOFT\NETWORK\DLLS\IEMODULE.DLL
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad#ieModule
HKCR\CLSID\{101CD3CC-75DA-44FC-9AE4-796D3F2B9EAF}
HKCR\CLSID\{101CD3CC-75DA-44FC-9AE4-796D3F2B9EAF}\InprocServer32
HKCR\CLSID\{101CD3CC-75DA-44FC-9AE4-796D3F2B9EAF}\InprocServer32#ThreadingModel
C:\WINDOWS\reged.exe
C:\WINDOWS\spoolsystem.exe
C:\WINDOWS\sys.com
C:\WINDOWS\syscert.exe
C:\WINDOWS\sysexplorer.exe
C:\WINDOWS\vmreg.dll

Trojan.FakeAlert-WinSCenter/A
C:\WINDOWS\SYSTEM32\WINSCENTER.EXE
C:\WINDOWS\SYSTEM32\WINSCENTER.EXE

Rogue.SystemGuard2009
[systemguard] C:\ARCHIVOS DE PROGRAMA\SYSTEM GUARD 2009\SYSTEMGUARD.EXE
C:\ARCHIVOS DE PROGRAMA\SYSTEM GUARD 2009\SYSTEMGUARD.EXE
C:\Archivos de programa\SYSTEM GUARD 2009\conf.cfg
C:\Archivos de programa\SYSTEM GUARD 2009\mbase.vdb
C:\Archivos de programa\SYSTEM GUARD 2009\quarantine
C:\Archivos de programa\SYSTEM GUARD 2009\quarantine.vdb
C:\Archivos de programa\SYSTEM GUARD 2009\queue.vdb
C:\Archivos de programa\SYSTEM GUARD 2009\vbase.vdb
C:\Archivos de programa\SYSTEM GUARD 2009
HKLM\Software\System Guard 2009
HKLM\Software\System Guard 2009\Lic
HKLM\Software\Microsoft\Windows\CurrentVersion\Run#systemguard [ C:\Archivos de programa\System Guard 2009\systemguard.exe ]
C:\RECYCLER\S-1-5-21-1292428093-1677128483-1343024091-500\DC1.LNK
C:\RECYCLER\S-1-5-21-1292428093-1677128483-1343024091-500\DC2\SYSTEM GUARD 2009.LNK
C:\SYSTEM VOLUME INFORMATION\_RESTORE{120DEFF8-E9D5-4F28-8B1A-6DC8AEF44CB9}\RP167\A0189510.LNK
C:\SYSTEM VOLUME INFORMATION\_RESTORE{120DEFF8-E9D5-4F28-8B1A-6DC8AEF44CB9}\RP167\A0189511.LNK
C:\SYSTEM VOLUME INFORMATION\_RESTORE{120DEFF8-E9D5-4F28-8B1A-6DC8AEF44CB9}\RP172\A0189693.LNK
C:\SYSTEM VOLUME INFORMATION\_RESTORE{120DEFF8-E9D5-4F28-8B1A-6DC8AEF44CB9}\RP172\A0189695.LNK
C:\SYSTEM VOLUME INFORMATION\_RESTORE{120DEFF8-E9D5-4F28-8B1A-6DC8AEF44CB9}\RP172\A0189698.LNK
C:\SYSTEM VOLUME INFORMATION\_RESTORE{120DEFF8-E9D5-4F28-8B1A-6DC8AEF44CB9}\RP172\A0189700.LNK
C:\SYSTEM VOLUME INFORMATION\_RESTORE{120DEFF8-E9D5-4F28-8B1A-6DC8AEF44CB9}\RP172\A0189701.LNK
C:\SYSTEM VOLUME INFORMATION\_RESTORE{120DEFF8-E9D5-4F28-8B1A-6DC8AEF44CB9}\RP172\A0189709.LNK
C:\SYSTEM VOLUME INFORMATION\_RESTORE{120DEFF8-E9D5-4F28-8B1A-6DC8AEF44CB9}\RP174\A0194460.LNK
C:\WINDOWS\Prefetch\SYSTEMGUARD.EXE-21044563.pf

Adware.Tracking Cookie
C:\Documents and Settings\Administrador\Cookies\administrador@cgi-bin[2].txt
C:\Documents and Settings\Administrador\Cookies\administrador@ak[2].txt
C:\Documents and Settings\Administrador\Cookies\administrador@atdmt[2].txt
C:\Documents and Settings\Administrador\Cookies\administrador@content.yieldmanager[2].txt
C:\Documents and Settings\Administrador\Cookies\administrador@revsci[2].txt
C:\Documents and Settings\Administrador\Cookies\administrador@doubleclick[1].txt
C:\Documents and Settings\Administrador\Cookies\administrador@ad.yieldmanager[1].txt

Trojan.Unknown Origin
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad#InternetConnection [ {87C1EF3B-697E-431F-8A00-A26AEEB40221} ]


mal wieder danke...

hallo gentlman,

hier nochmal dasselbe als direkte Antwort auf deine Nachricht, dachte, sonst kommt es vielleicht nicht an:

1. "bonjour" läßt sich nicht löschen - kann meine software nur mittels defender öffnen, und da ist keine löschmöglichkeit...
2. Habe Superantispyware-Scan durchgeführt wie vorgeschlagen, dann aber neu gestartet, weil das Programm das vorschlug, um die Quarantäne durchführen zu können... - war falsch?
Jedenfalls kommt bis jetzt keine "system guard 2009"-Meldung mehr, er wird aber immer noch im Desktop und unter "alle Programme" angezeigt. Blöderweise hat SUPERAntiSpyware jetzt die beanstandeten files jetzt nicht mehr griffbereit, oder? Und muß ich für die restlichen vorgeschlagenen Schritte einen neuen superantispyware-scan durchführen?
Ich hab den Superantispyware-Scan jetzt einfach noch einmal gestartet, läuft schon viel schneller als gestern nacht, Ergebnis werde ich wieder mitteilen, vielleicht dagt er mir was über den aktuelen Zustand der Quarantäne...

Das erste logfile war jedenfalls wie folgt:

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware!

Generated 02/17/2009 at 10:38 AM

Application Version : 4.25.1012

Core Rules Database Version : 3761
Trace Rules Database Version: 1723

Scan type : Complete Scan
Total Scan Time : 09:56:05

Memory items scanned : 310
Memory threats detected : 2
Registry items scanned : 4812
Registry threats detected : 9
File items scanned : 77254
File threats detected : 35

Rogue.SpywareGuard2008
C:\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS\APPLICATION DATA\MICROSOFT\NETWORK\DLLS\IEMODULE.DLL
C:\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS\APPLICATION DATA\MICROSOFT\NETWORK\DLLS\IEMODULE.DLL
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\She llServiceObjectDelayLoad#ieModule
HKCR\CLSID\{101CD3CC-75DA-44FC-9AE4-796D3F2B9EAF}
HKCR\CLSID\{101CD3CC-75DA-44FC-9AE4-796D3F2B9EAF}\InprocServer32
HKCR\CLSID\{101CD3CC-75DA-44FC-9AE4-796D3F2B9EAF}\InprocServer32#ThreadingModel
C:\WINDOWS\reged.exe
C:\WINDOWS\spoolsystem.exe
C:\WINDOWS\sys.com
C:\WINDOWS\syscert.exe
C:\WINDOWS\sysexplorer.exe
C:\WINDOWS\vmreg.dll

Trojan.FakeAlert-WinSCenter/A
C:\WINDOWS\SYSTEM32\WINSCENTER.EXE
C:\WINDOWS\SYSTEM32\WINSCENTER.EXE

Rogue.SystemGuard2009
[systemguard] C:\ARCHIVOS DE PROGRAMA\SYSTEM GUARD 2009\SYSTEMGUARD.EXE
C:\ARCHIVOS DE PROGRAMA\SYSTEM GUARD 2009\SYSTEMGUARD.EXE
C:\Archivos de programa\SYSTEM GUARD 2009\conf.cfg
C:\Archivos de programa\SYSTEM GUARD 2009\mbase.vdb
C:\Archivos de programa\SYSTEM GUARD 2009\quarantine
C:\Archivos de programa\SYSTEM GUARD 2009\quarantine.vdb
C:\Archivos de programa\SYSTEM GUARD 2009\queue.vdb
C:\Archivos de programa\SYSTEM GUARD 2009\vbase.vdb
C:\Archivos de programa\SYSTEM GUARD 2009
HKLM\Software\System Guard 2009
HKLM\Software\System Guard 2009\Lic
HKLM\Software\Microsoft\Windows\CurrentVersion\Run #systemguard [ C:\Archivos de programa\System Guard 2009\systemguard.exe ]
C:\RECYCLER\S-1-5-21-1292428093-1677128483-1343024091-500\DC1.LNK
C:\RECYCLER\S-1-5-21-1292428093-1677128483-1343024091-500\DC2\SYSTEM GUARD 2009.LNK
C:\SYSTEM VOLUME INFORMATION\_RESTORE{120DEFF8-E9D5-4F28-8B1A-6DC8AEF44CB9}\RP167\A0189510.LNK
C:\SYSTEM VOLUME INFORMATION\_RESTORE{120DEFF8-E9D5-4F28-8B1A-6DC8AEF44CB9}\RP167\A0189511.LNK
C:\SYSTEM VOLUME INFORMATION\_RESTORE{120DEFF8-E9D5-4F28-8B1A-6DC8AEF44CB9}\RP172\A0189693.LNK
C:\SYSTEM VOLUME INFORMATION\_RESTORE{120DEFF8-E9D5-4F28-8B1A-6DC8AEF44CB9}\RP172\A0189695.LNK
C:\SYSTEM VOLUME INFORMATION\_RESTORE{120DEFF8-E9D5-4F28-8B1A-6DC8AEF44CB9}\RP172\A0189698.LNK
C:\SYSTEM VOLUME INFORMATION\_RESTORE{120DEFF8-E9D5-4F28-8B1A-6DC8AEF44CB9}\RP172\A0189700.LNK
C:\SYSTEM VOLUME INFORMATION\_RESTORE{120DEFF8-E9D5-4F28-8B1A-6DC8AEF44CB9}\RP172\A0189701.LNK
C:\SYSTEM VOLUME INFORMATION\_RESTORE{120DEFF8-E9D5-4F28-8B1A-6DC8AEF44CB9}\RP172\A0189709.LNK
C:\SYSTEM VOLUME INFORMATION\_RESTORE{120DEFF8-E9D5-4F28-8B1A-6DC8AEF44CB9}\RP174\A0194460.LNK
C:\WINDOWS\Prefetch\SYSTEMGUARD.EXE-21044563.pf

Adware.Tracking Cookie
C:\Documents and Settings\Administrador\Cookies\administrador@cgi-bin[2].txt
C:\Documents and Settings\Administrador\Cookies\administrador@ak[2].txt
C:\Documents and Settings\Administrador\Cookies\administrador@atdmt[2].txt
C:\Documents and Settings\Administrador\Cookies\administrador@conte nt.yieldmanager[2].txt
C:\Documents and Settings\Administrador\Cookies\administrador@revsc i[2].txt
C:\Documents and Settings\Administrador\Cookies\administrador@doubl eclick[1].txt
C:\Documents and Settings\Administrador\Cookies\administrador@ad.yi eldmanager[1].txt

Trojan.Unknown Origin
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\She llServiceObjectDelayLoad#InternetConnection [ {87C1EF3B-697E-431F-8A00-A26AEEB40221} ]


mal wieder danke... und immer noch keine neue Meldung von "system guard 2009"... sieht gut aus. bis später.

Hallo Frithwin

Hier wird wahrscheinlich ComboFix notwendig sein und wahrscheinlich noch ein Paar andere Tools

Ich benutze nur tools die mir auch "bekannt"sind.Da ich mit ComboFix nicht so viel Erfahrung habe-->
Bitte ich jemanden der mehr Erfahrung hat damit,mir hier unter die Arme zu greifen
Hab jetzt leider bis zum WE,aus beruflichen Gründen,nicht mehr wirklich Zeit aktiv zu aggieren
Bitte um Verständnis
Danke

hallo gentlman,

Danke für deine Hilfe und viel Erfolg für den Rest der Woche. Ich glaube, wir hatten Erfolg: Es gibt keine Meldung von "system guard 2009" mehr, bei Programmen ist er auch nicht mehr zu finden, und das Desktop-Item ist nur ein Direktzugang, den ich mal mutig von Hand gelöscht habe.
Eine kurze Frage noch: In der Quarantäne vom Superantisypware-Programm sind nur 2 Elemente aufgelistet... Soll ich noch die ComboFix abwarten oder andere fragen oder nichts tun oder löschen und wie beschrieben (booten im sicheren Modus etc.) fortfahren?

Die logfiles vom 2. und 3. Scan waren folgt:

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware!

Generated 02/17/2009 at 01:28 PM

Application Version : 4.25.1012

Core Rules Database Version : 3762
Trace Rules Database Version: 1723

Scan type : Complete Scan
Total Scan Time : 01:46:03

Memory items scanned : 489
Memory threats detected : 0
Registry items scanned : 4794
Registry threats detected : 2
File items scanned : 76156
File threats detected : 4

Adware.Tracking Cookie
C:\Documents and Settings\Administrador\Cookies\administrador@doubleclick[1].txt

Rogue.SystemGuard2009
C:\Documents and Settings\Administrador\Menú Inicio\Programas\SYSTEM GUARD 2009\System Guard 2009.lnk
C:\Documents and Settings\Administrador\Menú Inicio\Programas\SYSTEM GUARD 2009\Uninstall.lnk
C:\Documents and Settings\Administrador\Menú Inicio\Programas\SYSTEM GUARD 2009
HKLM\Software\System Guard 2009
HKLM\Software\System Guard 2009\Lic



logfile vom 3. Scan (incl. memory-stick):

SUPERAntiSpyware Scann-Protokoll
SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware!

Generiert 02/17/2009 bei 05:31 PM

Version der Applikation : 4.25.1012

Version der Kern-Datenbank : 3762
Version der Spur-Datenbank : 1723

Scan Art : kompletter Scann
Totale Scann-Zeit : 02:25:56

Gescannte Speicherelemente : 458
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 4794
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 84802
Erfasste Datei-Elemente : 0

Hallo
Herzlichen Dank aber etwas weniger Stress wär mir Lieber-->Wirtschaftskrise,bei uns nicht

Arbeite einfach die ganze Anleitung ab und Teile die Ergebnisse mit
Wichtig-->auch an unsere Mitleser
Das verschwinden der Probleme bedeutet nicht das dein System sauber ist
bitte nicht vorzeitig beenden