Dringend Hilfe!!! Hab Schon Alles Versucht!!
 

Hallo Leute!!

brauche jetzt diesmal eure hilfe jungs, hab eigentlich schon ahnung mit diesen ganzen parasitenscheiss aber jetzt...stecke ich in der tinte..das problem sind Viren und Maleware ( psGuard steckt in Regist!!schaffs nicht wegzubekommen löscht sich über regedit nicht!!) habe schon fast alles ausprobiert auch mit safemode und dann scannen die meisten finden ihn oder können ihn nicht löschen so wie Ad-Aware SE Personal...HIlfe!!!!

Ad-Aware SE Personal sagt das er ihn removed aber der ist immer noch da und bekomme den garnicht weg --> 1 Registy Keys Identified= Maleware.Psguard in Regkey( HKEY_LOCAL_MASCHINEsoftware\psguard.com )

Ad-Aware SE Personl zeigt mir auch das noch--->+5 MRU LIST zeigt er an als Negligible Objects
1.Object: C:\Dokumente und Einstellungen\Mike\recent ( hab nach diesen ordner geschaut finde ihn aber nicht?!?

2.Object: HKEY_LOCAL_MACHINE:software\microsoft\direct draw\mostrecentapplication\

3.Object :Hkey_USERS:S-1-5-21-2025211302-2025429265-682003330-1004\software\microsoft\internet explorer

4.Object:Hkey_USERS:S-1-5-21-2025211302-2025429265-682003330-1004\software\microsoft\windows\currentversion\explorer\recentdocs\

das war das was ad-aware mir anzeigt nach scannen meiner platte

Der Escan Antivirus programm zeigt mir auch ne menge wie zb:

searchexe spyware/Adware in Dateisystem!!

smitfraud variant Browser hijacker in Dateisystem!!<---den remover hab ich ausprobiet hab ihn immer noch!!!

2 x Clientman spyware/Adware in dateisystem!!!

cydorr.topicks.a Spyware/adware in dateisystem!!!
das wars erstmal....



hab norton internet security 2006 ( voll der schrott)

so hier ist meine hijack log ich hoffe wirklich ihr könnt mir helfen weil mit festplatte formatieren kann ich mir nicht leisten hab viele daten die ich so auf einmal nicht sichern könnte..die ich aber brauche dringend brauche...

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Razer\razerhid.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Razer\razertra.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Razer\razerofa.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\DOKUME~1\Roland\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Roland\LOKALE~1\Temp\kavss.exe
C:\hijack\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://zone.msn.com/en/root/default.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.pestpatrol.com/pestscan/pestscan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120929496326
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{05E1924A-493E-4478-B367-7226412BD536}: NameServer = 85.255.116.45 85.255.112.230
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA404147-7778-4FA0-ADFF-A268F2E5E18E}: NameServer = 85.255.116.45,85.255.112.230
O17 - HKLM\System\CS1\Services\Tcpip\..\{05E1924A-493E-4478-B367-7226412BD536}: NameServer = 85.255.116.45 85.255.112.230
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

hab schon mit pandascanner und andere scanner versucht nix hilft mir wirklich!!!

hallo,

der kopf zu deinem HJT logfile wäre auch noch schön..

so, falls alles andere nicht klappt, was hier noch geposted wird (oder du es dir sehr leicht

machen willst ;) ), möcht ich dich bitten, als versuchskaninchen mitzuspielen ;)
und zwar für die reinigung von verseuchten pcs mit kaspersky antivirus 2006 beta.
die kaspersky 2006 sparte hat nämlich als kleines schmankerl jede menge remove- und

killverfahren eingebaut bekommen, womit sich ein großteil aktiver malware beseitigen lässt.

1. du lädst dir die aktuellste kaspersky antivirus 2006 beta version runter:
ftp://kav2006@data.kaspersky.com/6.0.0.268 nct/kav6.de.msi
Passwort: Fynb02dbhec60

2. du wählst bei der installation "benutzerdefiniert" aus und installierst keine aktiven

schutzkomponenten (kein "datei-antivirus", kein "mail antivirus", kein "web antivirus"

und kein "proaktiver schutz")

3. du nimmst diesen key zum aktivieren (völlig legal):
1E7CD68C-B4A6-4195-B650-FDFB6928DB8F9

4. du machst während des setups das update von kaspersky

5. du deaktivierst den "startupscan"

6. du legst am besten ein sicheres passwort fest

7. neustart falls von kav gefordert.

8. nach dem hochfahren (oder nach abschluss des setups) erscheint die warnung, der computer

sollte gescannt werden. bitte noch nicht starten.
die meldung einfach wegklicken

9. kasperskyhauptmenu aus dem systemtray aufrufen

10. "einstellungen" anklicken

11. dann auf "virensuche" klicken

12. dann auf "einstellungen" klicken

13. dann das kästchen "nur neue und veränderte dateien untersuchen" und "mailformatdateien

untersuchen" aktivieren. dann auf ok klicken

14. beim "einstellungen anderer aufgaben" textfeld auf den "übernehmen"-button klicken.

15. bei "service" "virensuche nicht anhalten, wenn prozessor..." aktivieren.

16. auf ok klicken

17. wieder im hauptmenu auf "virensuche" klicken. dann auf "arbeitsplatz" klicken.

18. dann auf "hinzufügen" klicken. dann "laufwerksbootsektoren" anwählen und auf ok klicken.

19. auf "virensuche" klicken.

20. am ende der "virensuche" werden pop-up fenster zum reinigungsvorgang erscheinen.

21. dort (wenn möglich) "desinfizieren" auswählen. falls die desinfektion nicht möglich ist,

"löschen" auswählen.

22. falls eine melung erscheint die besagt, zum reinigunsvorgang muss der pc

neugestartet werden mit ok bestätigen.

23. nach dem neustart einen weiteren scan des arbeitsplatzes machen. dieser dauert nur

wenige minuten, da nur noch unbearbeitete dateien gescannt werden.

24. falls wieder malware gefunden wird, sollte diese sich problemlos entfernen lassen.

25. rechner normal neustarten und ergebnisse (wie alles verlief) bitte hier posten ;)

du solltest dann noch mal mit spybot und ad-aware hinterherscannen.

@juli4n

also bei aller liebe..
aber zuerst soll er mal ein HJT logfile posten das komplkett ist und dann sehen wir mal weiter..
kav alees gut und schön,aber hier benutzen wir niemanden als versuchskanninchen..

es sollte dabei aber eigntlich nichts schief gehen, denn kaspersky hat die entsprechenden module schon lange komplett fertiggestellt und da wird sich wahrscheinlich auch in der final nicht viel ändern ;)
da kaum ergebnisse mit dem säubern eines systems mit kav 2006 vorliegen, wäre das hier mal einen versuch wert :)
es geht vorallen dingen sehr einfach und schnell.

wie schon gesagt von sowas halte ich abstand..
nach einem blick auf ein HJT logfile kann man sich das weiter vorgehen überlegen..
vor allem beim wietern vorgehen auf gut bewährte sachen und progis zurückgreifen..

ich meine, kav hätte sogar die killtechnicken von apt drinne und löschen auf treiberebene. damit sollte man eigentlich alles wegkriegen, aber klar.
vielleicht lässt es sich auch so lösen ohne, dass man sich ein zusätzliches programm was teif ins system eingreift installiert :)

danke für eure hilfe jungs !! sorry lese erst jetzt eure threats dachte keiner wird ne antwort haben naja!!!hab den pc aber schon neuaufgesetzt und musste 20 cd für sicherungskopien machen bis 6uhr morgen sass ich da kotz!!! so mein pc ist neuinstalliert ,windowupdate durchgezogen, und haben firefox als nutzung ,habe mir irgendwie jetzt den scheiss Trojan.Gaslide.B eingefange im C:\WINDOWS\$NtServicePackUninstall$\notepad.exe angeblich was eigentlich unmöglich ist<--das findet der spyware doctor

was soll ich tun einfach nur löschen ??? paar tips wären cool

hallo,

zuerst mal zu den antworten..
alle im board hier machen dies in ihrer mehr oder weniger freizeit..
also ab und an mal etwas geduld mitbringen..
zu der anderen sache..
wenn du dich genau an die anleitung zum neuaufsetzen in meiner signatur gehalten hast sollte nix schiefgegangen sein..

zu den kopien..
lasse diese vor erneutem überspielen auf jeden fall mit einem virenscanner mit aktuellem update scannen..

ich habs so gemacht wie du es beschrieben hast!!! hab mit escan gecheckt der findet nix!! Entweder ist das ein ganz neuer Trojaner oder spyware Doctor versucht nur zu faken damit die leute sich danach registrieren....ich hoffe das ist auch nicht so fakespyware wie spyaxe, spyhunter, spystrike, ( spy doctor hört sich genau so unseriös an wie der anderen , oder ist das programm doch was wert??? !!!

hi meine aktuelle neue hjt log:

Logfile of HijackThis v1.99.1
Scan saved at 15:53:21, on 30.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Razer\razerhid.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Razer\razertra.exe
C:\Programme\Razer\razerofa.exe
C:\Programme\Valve\Steam\Steam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://zone.msn.com/en/root/default.htm
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1138554600685
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramewor...o.cab34246.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{468209ED-7217-4D40-84A9-E47940BCD0AF}: NameServer = 195.50.140.252 195.50.140.114 <---weiss jemand was das sein könnte ? hat das was mit counterstrike source zu tun???
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe

danke im voraus....

wie gesagt, da wär immer noch die möglichkeit mit kaspersky:crazy:

@juli

es gibt auch noch viele andere möglichkeiten..

also das log scheint ok zu sein..
werf den spyware arzt runter...
ist wohl ein fehlalarm..
wäre nicht das erste mal..

edit: neue version erschienen, buils 6.0.0.269.
link aktuallisiert.

sch, wollte das garnicht quoten. na egal.

ich kann jedem (etwas ;) ) erfahrenden user der nicht auf einen virenscanner verzichten will die kav 2006 beta nur emfpehlen.
die konkurenz kommt da (meiner meinung nach) nicht mal ansatzweise ran.
und das neue build scheint (bis jetzt) auch sehr stabil zu laufen.

hast du einen sponsorvertag mit KAV?
ist ja nicht mehr zum aushalten das anpreisen von dem programm..