|
PSGuard - Könnt Ihr Euch das mal ansehen? Hallo, PSGuard macht mich gerade fertig... Bin jetzt schon die Anweisungen durchgegangen: smitrem und escan. Bei escan läuft allerdings nichts wie beschrieben oder ich versteh's einfach nicht. Nachdem ich per Rechtsklick auf mwav.exe gegangen bin, fing dann auch schon bald der Scan an. Dh. es wurde kein Ordner C:\Bases_X angelegt, und die kavupd.exe musste ich auch nicht mehr ausführen... ? Jetzt wollte ich eigentlich die Logs posten, die mwav.log ist aber riesig. Und zu guter letzt, lässt sich die find.rar nicht entpacken... ? Lieben Dank schonmal ;-) Saskia |
Das gleiche Problem hatte ich auch, versuch mal Winrar zu öffnen und dann zu sagen dass er das paket in ein bestimmtes verzeichnis entpacken soll.... greets |
Danke für den Tipp ;-) Zumindet das ging jetzt schonmal ... |
Wenn ich die find.bat aber jetzt doppelklicke, passiert so gut wie gar nix. Sehe zwar für eine Millisekunde das DOS Fenster, das schließt sich aber gleich wieder. Und eine txt-Datei wurde auch nicht abgelegt :-( |
Also hier das HijackThis Log: Logfile of HijackThis v1.99.1 Scan saved at 10:43:19, on 01.11.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Apache Group\Apache2\bin\Apache.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\mysql\bin\mysqld-nt.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Apache Group\Apache2\bin\Apache.exe C:\WINDOWS\system32\mssearchnet.exe C:\WINDOWS\system32\nvctrl.exe C:\WINDOWS\system32\atiptaxx.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\TOSHIBA\TouchPad\TPTray.exe C:\Programme\TOSHIBA\Power Management\CePMTray.exe C:\Programme\TOSHIBA\E-KEY\CeEKey.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\ConnectionStatus\Microsoft\services.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Telekom\Eumex 604PC HomeNet\HNetCtrl.exe C:\Programme\Telekom\Eumex 604PC HomeNet\Capictrl.exe C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe C:\Programme\mysql\bin\winmysqladmin.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\DOKUME~1\***\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\***\LOKALE~1\Temp\kavss.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\explorer.exe C:\Programme\HiJackThis\pruefung.com.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://w*w.security2k.net/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.spiegel.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://w*w.security2k.net/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://w*w.security2k.net/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://w*w.security2k.net/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://w*w.security2k.net/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local> O2 - BHO: HomepageBHO - {3bf1f86f-b1a8-489b-8d8b-43781d51411f} - C:\WINDOWS\system32\hpBC27.tmp O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ WinINet] C:\WINDOWS\ConnectionStatus\services.exe O4 - HKLM\..\Run: [ WinCheck] C:\WINDOWS\ConnectionStatus\Microsoft\services.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [_SystemBoot] C:\WINDOWS\Help\Help\services.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [NewsBee Private Edition] "C:\Programme\hhS Siegfried Hirsch\Bundestagswahl-Reader\BundestagsWahlReader.exe" /nosplash O4 - HKCU\..\Run: [_WinINet] C:\WINDOWS\ConnectionStatus\services.exe O4 - HKCU\..\Run: [_WinCheck] C:\WINDOWS\ConnectionStatus\Microsoft\services.exe O4 - Startup: WinMySQLadmin.lnk = C:\Programme\mysql\bin\winmysqladmin.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: HomeNet Control.lnk = ? O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar3.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar3.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar3.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - h**p://w*w.ipix.com/viewers/ipixx.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll O20 - Winlogon Notify: st3i - C:\WINDOWS\q7514695.dll O20 - Winlogon Notify: style32 - C:\WINDOWS\q154502_disk.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Apache2 - Unknown owner - C:\Programme\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing) O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: MySql - Unknown owner - C:/Programme/mysql/bin/mysqld-nt.exe |
Hallo, hast du smitrem schon ausgeführt? Wenn ja bitte die C:\smitfiles.txt posten. Zu Escan, hast du die Datei auch in den Ordner C:\Bases_X entpackt? Du kannst auch mal die MWAV.LOG mit dem Texteditor öffnen und dort mit bearbeiten>>suchen nach den Stichwörtern "infected" "tagged" "offending" suchen, und alle Einträge in denen diese vorkommen posten. Grüße Wildone |
In der Smitfiles Datei? Habe auch noch shudder.txt gefunden. Wird die auch benötigt? smitRem © log file version 2.7 by noahdfear ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ld****.tmp mssearchnet.exe ncompat.tlb nvctrl.exe mscornet.exe oleext.dll hp***.tmp ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ld****.tmp mssearchnet.exe nvctrl.exe mscornet.exe oleext.dll hp***.tmp ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ CLEAN! :) |
Laut hijackthis.de sollten diese Dateien gefixt werden: C:\Windows\FVProtect.exe >> Die finde ich erst gar nicht... ? C:\Windows\ConnectionStatus\Microsoft\services.exe >> Sie sollte wohl eigentlich in sytem32\ liegen. C:\Windows\system32\mssearchnet.exe C:\Windows\system32\nvctrl.exe >> Und die beiden lassen sich nicht löschen. |
Das sieht gar nicht gut aus. Hier die "infected" Einträge von escan: File C:\WINDOWS\system32\OLEEXT.dll infected by "Trojan.Win32.Promoter.c" Virus! Action Taken: No Action Taken. File C:\WINDOWS\q154502_disk.dll infected by "Trojan-Downloader.Win32.Delf.h" Virus! Action Taken: No Action Taken. File C:\WINDOWS\prflbmsgp32.dll infected by "Trojan-Downloader.Win32.Delf.vt" Virus! Action Taken: No Action Taken. File C:\WINDOWS\prflbmsgp32.dll infected by "Trojan-Downloader.Win32.Delf.vt" Virus! Action Taken: No Action Taken. File C:\WINDOWS\q154502_disk.dll infected by "Trojan-Downloader.Win32.Delf.h" Virus! Action Taken: No Action Taken. File C:\WINDOWS\ConnectionStatus\services.exe infected by "Email-Worm.Win32.Sober.s" Virus! Action Taken: No Action Taken. File C:\WINDOWS\Help\Help\services.exe infected by "Worm.Win32.Sober.q" Virus! Action Taken: No Action Taken. File C:\WINDOWS\system32\oleext.dll infected by "Trojan.Win32.Promoter.c" Virus! Action Taken: No Action Taken. File C:\WINDOWS\system32\wininet.old infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken. File C:\WINDOWS\system32\1024\ld18AE.tmp infected by "not-virus:Hoax.Win32.PsGuard.d" Virus! Action Taken: No Action Taken. File C:\WINDOWS\system32\1024\ld4A8A.tmp infected by "not-virus:Hoax.Win32.PsGuard.d" Virus! Action Taken: No Action Taken. File C:\WINDOWS\system32\checkIn.dll infected by "Trojan.Win32.Dialer.ks" Virus! Action Taken: No Action Taken. File C:\WINDOWS\system32\shnlog.exe_tobedeleted infected by "Trojan.Win32.StartPage.zg" Virus! Action Taken: No Action Taken. File C:\WINDOWS\system32\prflbmsgp32.dll infected by "Trojan-Downloader.Win32.Delf.vt" Virus! Action Taken: No Action Taken. File C:\WINDOWS\Help\Help\smss.exe infected by "Worm.Win32.Sober.q" Virus! Action Taken: No Action Taken. File C:\WINDOWS\Help\Help\csrss.exe infected by "Worm.Win32.Sober.q" Virus! Action Taken: No Action Taken. File C:\WINDOWS\Help\Help\wabelwab.exe infected by "Worm.Win32.Sober.r" Virus! Action Taken: No Action Taken. File C:\WINDOWS\Config\system\zipped.wrm infected by "Email-Worm.Win32.Sober.n" Virus! Action Taken: No Action Taken. File C:\WINDOWS\Config\system\services.exe infected by "Email-Worm.Win32.Sober.n" Virus! Action Taken: No Action Taken. File C:\WINDOWS\Config\system\winrundl.exe infected by "Email-Worm.Win32.Sober.p" Virus! Action Taken: No Action Taken. File C:\WINDOWS\msagent\system\smss.exe infected by "Email-Worm.Win32.Sober.l" Virus! Action Taken: No Action Taken. File C:\WINDOWS\msagent\system\zipzip.zab infected by "Email-Worm.Win32.Sober.l" Virus! Action Taken: No Action Taken. File C:\WINDOWS\msagent\system\mswebrun.exe infected by "Email-Worm.Win32.Sober.m" Virus! Action Taken: No Action Taken. File C:\WINDOWS\addins\explorer\csrss.exe infected by "Email-Worm.Win32.Sober.m" Virus! Action Taken: No Action Taken. File C:\WINDOWS\addins\explorer\systemxx.exe infected by "Email-Worm.Win32.Sober.n" Virus! Action Taken: No Action Taken. File C:\WINDOWS\Connection Wizard\Status\services.exe infected by "Email-Worm.Win32.Sober.p" Virus! Action Taken: No Action Taken. File C:\WINDOWS\Connection Wizard\Status\smss.exe infected by "Email-Worm.Win32.Sober.p" Virus! Action Taken: No Action Taken. File C:\WINDOWS\Connection Wizard\Status\csrss.exe infected by "Email-Worm.Win32.Sober.p" Virus! Action Taken: No Action Taken. File C:\WINDOWS\Connection Wizard\Status\packed1.sbr infected by "Email-Worm.Win32.Sober.p" Virus! Action Taken: No Action Taken. File C:\WINDOWS\Connection Wizard\Status\packed2.sbr infected by "Email-Worm.Win32.Sober.p" Virus! Action Taken: No Action Taken. File C:\WINDOWS\Connection Wizard\Status\packed3.sbr infected by "Email-Worm.Win32.Sober.p" Virus! Action Taken: No Action Taken. File C:\WINDOWS\Connection Wizard\Status\fhgeasyc.exe infected by "Worm.Win32.Sober.q" Virus! Action Taken: No Action Taken. File C:\WINDOWS\Connection Wizard\I-Net\services.exe infected by "Worm.Win32.Sober.r" Virus! Action Taken: No Action Taken. File C:\WINDOWS\Connection Wizard\I-Net\windrsok.exe infected by "Email-Worm.Win32.Sober.s" Virus! Action Taken: No Action Taken. File C:\WINDOWS\netdde.dll infected by "Trojan-Downloader.Win32.Delf.yc" Virus! Action Taken: No Action Taken. File C:\WINDOWS\slassac.dll infected by "Trojan-Downloader.Win32.Delf.yc" Virus! Action Taken: No Action Taken. File C:\WINDOWS\q7489719_disk.dll infected by "Trojan-Downloader.Win32.Delf.h" Virus! Action Taken: No Action Taken. |
Tue Nov 01 09:39:26 2005 => ***** Checking for specific ITW Viruses ***** Tue Nov 01 09:39:26 2005 => Checking for Welchia Virus... Tue Nov 01 09:39:26 2005 => Checking for LovGate Virus... Tue Nov 01 09:39:26 2005 => Checking for CodeRed Virus... Tue Nov 01 09:39:26 2005 => Checking for OpaServ Virus... Tue Nov 01 09:39:26 2005 => Checking for Sobig.e Virus... Tue Nov 01 09:39:26 2005 => Checking for Winupie Virus... Tue Nov 01 09:39:26 2005 => Checking for Swen Virus... Tue Nov 01 09:39:26 2005 => Checking for JS.Fortnight Virus... Tue Nov 01 09:39:26 2005 => Checking for Novarg Virus... Tue Nov 01 09:39:26 2005 => Checking for Pagabot Virus... Tue Nov 01 09:39:26 2005 => Checking for Parite.b Virus... Tue Nov 01 09:39:26 2005 => Checking for Parite.a Virus... Tue Nov 01 09:39:26 2005 => Checking for Adware.SeekSeek Virus... Tue Nov 01 09:39:26 2005 => ***** Scanning complete. ***** Tue Nov 01 09:39:26 2005 => Total Objects Scanned: 75494 Tue Nov 01 09:39:26 2005 => Total Virus(es) Found: 106 Tue Nov 01 09:39:26 2005 => Total Disinfected Files: 0 Tue Nov 01 09:39:26 2005 => Total Files Renamed: 0 Tue Nov 01 09:39:26 2005 => Total Deleted Objects: 0 Tue Nov 01 09:39:26 2005 => Total Errors: 752 Tue Nov 01 09:39:26 2005 => Time Elapsed: 00:57:14 Tue Nov 01 09:39:27 2005 => Virus Database Date: 2005/10/21 Tue Nov 01 09:39:27 2005 => Virus Database Count: 155382 Tue Nov 01 09:39:27 2005 => Scan Completed. |
Hallo, also das System scheint mir einfach zuviel Schaden genommen zu haben, besonders die verschiedenen downloader.delf Versionen machen mir Sorgen. Dazu noch eine Hand voll verschiedener Sobervarianten. Ich würde an deiner stelle hier einen Schlußstrich ziehen und das System komplett neu aufsetzen. Eine gute anleitung wie du dabei vorgehen solltest findest du hier . Dort gibt es auch eine menge Tipps wie du dein System so absichern kannst das so etwas zukünftig nicht mehr passiert. Grüße Wildone |
Na Prost, so hab ich mir den Feiertag vorgestellt... Dank Dir für Deine Hilfe ;-) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:42 Uhr. |
Copyright ©2000-2025, Trojaner-Board