Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Psguard (https://www.trojaner-board.de/18970-psguard.html)

mikrobe 19.06.2005 12:32

Hallo cronos,

hier escan (Panda findet übrigens nichts):

Sun Jun 19 13:57:01 2005 => File C:\Dokumente und Einstellungen\Zeitler4711\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\avalanche.jar-40baa640-59b219f9.zip tagged as not-a-virus:Garbage.Java.FormURLToy. No Action Taken.
Sun Jun 19 13:57:05 2005 => File C:\Dokumente und Einstellungen\Zeitler4711\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\chainz.jar-3cc82104-4501cdb1.zip tagged as not-a-virus:Garbage.Java.FormURLToy. No Action Taken.

Sun Jun 19 13:57:21 2005 => File C:\Dokumente und Einstellungen\Zeitler4711\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\equilibrium.jar-3a651dd9-5d0dc616.zip tagged as not-a-virus:Garbage.Java.FormURLToy. No Action Taken.
Sun Jun 19 13:58:05 2005 => File C:\Dokumente und Einstellungen\Zeitler4711\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\power_chips.jar-ed330f-3a058463.zip tagged as not-a-virus:Garbage.Java.FormURLToy. No Action Taken.


Sun Jun 19 14:01:32 2005 => File C:\isp\AOL\Preload.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.



Wie kann ich diesen Java-Müll loswerden? Oder ist das egal?



Hier der Log:

Logfile of HijackThis v1.99.1
Scan saved at 13:29:00, on 19.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Virustod\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://portal.1und1.de/de/themen/?__rd=ac1704c1XQW8V5OuPx5ihizsOlReiC9g&ucuoId=MX.EUE.DE-20050614123531-e6fb9229855695c5ab045786e22d5d25-S1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe"
O4 - HKCU\..\Run: [1&1 EasyLogin] "C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game11.zylom.lycos.de/activex/zylomgamesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - h**p://game13.zylom.lycos.de/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{83EDFA4B-E4E6-4DD6-9295-6366EA9B9943}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Zwischenzeitlich hat sich Antivir 2 x mit W32/Bumble gemeldet, ist aber nicht erneut aufgetaucht.

Die anderen Logs werde ich noch editieren.

Gruß

mikrobe :huepp:

cronos 19.06.2005 16:32

Also dein Logfile zeigt zunächst keine Auffälligkeiten mehr.
Zitat:


Wie kann ich diesen Java-Müll loswerden
Leere den Cache von Java:

http://java.com/de/download/help/plugin_cache.xml

Aktualisiere zusätzlich dein Java:

http://www.java.com/de/download/help/java_update.xml

Nikita 14.07.2005 00:40

Hi cronos,

hier ist mein hijackthis log-file. Ich habe genau die selben Probleme wie mikrobe. :(
Ich habe mich an die Anleitungen von dir gehalten, aber ich glaube irgendwie bin ich noch nicht ganz sauber.
Ich hoffe, du kannst mir helfen.
Vielen Dank im voraus:

Logfile of HijackThis v1.99.1
Scan saved at 01:33:08, on 14.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\programme\security\avPE\AVGNT.EXE
D:\programme\security\zonealarm\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
D:\programme\security\avPE\AVGUARD.EXE
D:\programme\security\avPE\AVWUPSRV.EXE
C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
C:\PROGRA~1\FRNDSL\FRNDSL.exe
D:\PROGRA~1\UTILIT~1\MOZILLA\FIREFOX.EXE
C:\WINDOWS\System32\svchost.exe
D:\Downloads\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [h**p://www.google.de/]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - D:\PROGRAMME\POPUP-MANAGER\POPUP MANAGER\POPUPMGR_1.0.2.1P.DLL
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - (no file)
O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Microsofts Updates] wuamgrd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\programme\security\avPE\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] D:\programme\security\zonealarm\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\RunServices: [Microsofts Updates] wuamgrd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] scvhost.exe
O4 - HKCU\..\Run: [Microsofts Updates] wuamgrd.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - c95fe080-8f5d-112d-a20b-00aa003c157a - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQLITE\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQLITE\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: Win32 Classes -
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - h**p://asp01.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDF398A3-BEC9-4292-980A-7CCDBFCFC53D}: NameServer = 194.97.173.125 194.97.173.124
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\programme\security\avPE\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\programme\security\avPE\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe

cronos 14.07.2005 06:09

@ Nikita

Leider ist in deinem Fall eine Bereinigung aussichtslos, da du u.a. diesen auf dem Rechner hast:

http://www.sophos.de/virusinfo/analyses/w32rbota.html

Da es sich hier um einen Backdoor handelt ist dein System als ganzes kompromittiert.
Du ssolltest dein System neu aufsetzen, gehe nach folgender Anleitung vor, um sowas in Zukunft zu vermeiden:

http://www.trojaner-board.de/showthread.php?t=12154

podi 14.07.2005 11:11

hiho

habe dasselbe Problem, bin auch der Anleitung gefolgt , jedoch hab ich windows ME drauf und keinen service pack ordner...


hier der Hijack log...
Logfile of HijackThis v1.99.1
Scan saved at 12:08:12, on 14.07.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\WINDOWS\MHOTKEY.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = hxxp://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\SYSTEM\msmsgs.exe
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\SYSTEM\intel32.exe
O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [AOLMIcon] C:\WINDOWS\ICONS\AOLMIcon.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.t-online.de
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - hxxp://www.pandasoftware.com/activescan/as5/asinst.cab

vielleicht kann mir ja wer helfen

Nikita 14.07.2005 11:21

@ cronos:

Naja, schade :koch: !

Ich sitz hier gerade wegen der Uni permanent am Rechner. Kann wohl erst nächste Woche das Formatieren angehen!
Wie gefährlich ist die Geschichte denn einzuschätzen?

Und noch was:
Offline kann nix passieren oder?

CORNHOLIO 05.08.2005 13:05

Guten Tag. Hab mir auch dieses Sch.... Ding eingefangen.
Nach diversen versuchen Ihn zu beseitigen, kamen komischerweise noch weitere Viren bzw. trojaner dazu. Keine Ahnung warum. Habe alle vorangegangen Post durforstet und alles ausprobiert. Hier mein Hijackthis Log.


Logfile of HijackThis v1.99.1
Scan saved at 13:56:08, on 05.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
C:\Dokumente und Einstellungen\Marco\Startmenü\Programme\Autostart\winupdate29418907[1].exe
C:\Dokumente und Einstellungen\Marco\Startmenü\Programme\Autostart\winupdate98903030[1].exe
C:\Dokumente und Einstellungen\Marco\Desktop\HijackThis.exe
C:\WINDOWS\system32\intell32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\aejaaaaa.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\inet20081\services.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\ServicePackFiles\i386\IExplore.exe
C:\WINDOWS\mm.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = WEB.DE
F3 - REG:win.ini: run=C:\WINDOWS\inet20081\services.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inet20081\3.00.06.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\system32\intell32.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20081\services.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20081\services.exe
O4 - Startup: winupdate29418907[1].exe
O4 - Startup: winupdate98903030[1].exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - hxxp://stream.pussyharem.com/stream/mmp.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - hxxp://webcam.fantasy.de/webcam/AxisCamControl.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - hxxp://www.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe







Hier noch der Report von Antivir:

05.08.2005,12:27:10 ---------------------------------------------------------
05.08.2005,12:27:10 [INIT] Der AVGuard Service wird gestarted.
05.08.2005,12:27:10 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
05.08.2005,12:27:11 [INFO] Start Filter Device.
05.08.2005,12:27:11 [INIT] AntiVirService Version: 6.31.00.01 AVE Version 6.31.0.9 VDF Version: 6.31.0.237
05.08.2005,12:27:11 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
05.08.2005,12:27:25 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
05.08.2005,12:27:25 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaac58f.
05.08.2005,12:27:43 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.LQ!
C:\WINDOWS\SYSTEM32\MTQBAAAA.EXE
[INFO] Die Datei wurde überschrieben und gelöscht!
05.08.2005,12:33:24 [INFO] Stop Filter Device.
05.08.2005,12:33:25 [EXIT] Der AVGuard Dienst wurde beendet!
05.08.2005,12:33:26 ---------------------------------------------------------
05.08.2005,12:33:26 [INIT] Der AVGuard Service wird gestarted.
05.08.2005,12:33:27 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
05.08.2005,12:33:27 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
05.08.2005,12:33:27 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaf5f8f.
05.08.2005,12:33:28 [INFO] Start Filter Device.
05.08.2005,12:33:28 [INIT] AntiVirService Version: 6.31.00.01 AVE Version 6.31.1.0 VDF Version: 6.31.1.63
05.08.2005,12:33:28 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
05.08.2005,12:47:43 [INFO] Stop Filter Device.
05.08.2005,12:47:44 [EXIT] Der AVGuard Dienst wurde beendet!
05.08.2005,12:48:11 ---------------------------------------------------------
05.08.2005,12:48:11 [INIT] Der AVGuard Service wird gestarted.
05.08.2005,12:48:11 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
05.08.2005,12:48:12 [INFO] Start Filter Device.
05.08.2005,12:48:12 [INIT] AntiVirService Version: 6.31.00.01 AVE Version 6.31.1.0 VDF Version: 6.31.1.63
05.08.2005,12:48:12 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
05.08.2005,12:48:23 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
05.08.2005,12:48:23 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaaf410.
05.08.2005,12:48:44 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.LQ!
C:\WINDOWS\SYSTEM32\SYPCAAAA.EXE
[INFO] Die Datei wurde überschrieben und gelöscht!
05.08.2005,12:51:58 [INFO] Stop Filter Device.
05.08.2005,12:51:59 [EXIT] Der AVGuard Dienst wurde beendet!
05.08.2005,12:55:02 ---------------------------------------------------------
05.08.2005,12:55:02 [INIT] Der AVGuard Service wird gestarted.
05.08.2005,12:55:03 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
05.08.2005,12:55:04 [INFO] Start Filter Device.
05.08.2005,12:55:04 [INIT] AntiVirService Version: 6.31.00.01 AVE Version 6.31.1.0 VDF Version: 6.31.1.63
05.08.2005,12:55:04 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
05.08.2005,12:55:13 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
05.08.2005,12:55:13 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaaf323.
05.08.2005,12:55:28 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.LQ!
C:\WINDOWS\SYSTEM32\DJSAPAAA.EXE
[INFO] Die Datei wurde überschrieben und gelöscht!
05.08.2005,13:20:36 [INFO] Stop Filter Device.
05.08.2005,13:20:38 [EXIT] Der AVGuard Dienst wurde beendet!
05.08.2005,13:21:39 ---------------------------------------------------------
05.08.2005,13:21:39 [INIT] Der AVGuard Service wird gestarted.
05.08.2005,13:21:45 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
05.08.2005,13:22:19 [INFO] Start Filter Device.
05.08.2005,13:22:19 [INIT] AntiVirService Version: 6.31.00.01 AVE Version 6.31.1.0 VDF Version: 6.31.1.63
05.08.2005,13:22:19 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
05.08.2005,13:22:55 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
05.08.2005,13:22:55 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaab13c2.
05.08.2005,13:23:19 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.LQ!
C:\WINDOWS\SYSTEM32\JWGLVHIM.EXE
[INFO] Die Datei wurde überschrieben und gelöscht!
05.08.2005,13:27:27 [INFO] Stop Filter Device.
05.08.2005,13:27:28 [EXIT] Der AVGuard Dienst wurde beendet!
05.08.2005,13:35:31 ---------------------------------------------------------
05.08.2005,13:35:31 [INIT] Der AVGuard Service wird gestarted.
05.08.2005,13:35:31 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
05.08.2005,13:35:33 [INFO] Start Filter Device.
05.08.2005,13:35:33 [INIT] AntiVirService Version: 6.31.00.01 AVE Version 6.31.1.0 VDF Version: 6.31.1.63
05.08.2005,13:35:33 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
05.08.2005,13:35:52 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
05.08.2005,13:35:52 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa3666.
05.08.2005,13:38:07 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.LQ!
C:\WINDOWS\SYSTEM32\PEADRAAA.EXE
05.08.2005,13:36:23 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.LQ!
C:\WINDOWS\SYSTEM32\PEADRAAA.EXE
05.08.2005,13:51:20 [INFO] Stop Filter Device.
05.08.2005,13:51:21 [EXIT] Der AVGuard Dienst wurde beendet!
05.08.2005,13:51:53 ---------------------------------------------------------
05.08.2005,13:51:53 [INIT] Der AVGuard Service wird gestarted.
05.08.2005,13:51:53 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
05.08.2005,13:51:55 [INFO] Start Filter Device.
05.08.2005,13:51:55 [INIT] AntiVirService Version: 6.31.00.01 AVE Version 6.31.1.0 VDF Version: 6.31.1.63
05.08.2005,13:51:55 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
05.08.2005,13:52:18 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
05.08.2005,13:52:18 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa0f83.
05.08.2005,13:52:41 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.LQ!
C:\WINDOWS\SYSTEM32\VQDTHTDD.EXE
[INFO] Die Datei wurde überschrieben und gelöscht!
05.08.2005,13:53:12 [INFO] Stop Filter Device.
05.08.2005,13:53:13 [EXIT] Der AVGuard Dienst wurde beendet!
05.08.2005,13:53:44 ---------------------------------------------------------
05.08.2005,13:53:44 [INIT] Der AVGuard Service wird gestarted.
05.08.2005,13:53:45 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
05.08.2005,13:53:47 [INFO] Start Filter Device.
05.08.2005,13:53:47 [INIT] AntiVirService Version: 6.31.00.01 AVE Version 6.31.1.0 VDF Version: 6.31.1.63
05.08.2005,13:53:47 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
05.08.2005,13:54:05 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
05.08.2005,13:54:05 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa2507.
05.08.2005,13:54:27 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.LQ!
C:\WINDOWS\SYSTEM32\VQOLCUAS.EXE
[INFO] Die Datei wurde überschrieben und gelöscht!
05.08.2005,13:54:39 [WARNUNG] Ist das Trojanische Pferd TR/LowZones.AI.1!
C:\WINDOWS\SYSTEM32\SDTPVVVI.EXE
[INFO] Die Datei wurde überschrieben und gelöscht!
05.08.2005,13:54:47 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.CWS.C.2!
C:\WINDOWS\EF.EXE
[INFO] Die Datei wurde überschrieben und gelöscht!
05.08.2005,13:54:55 [WARNUNG] Ist das Trojanische Pferd TR/Proxy.Small.bt.3!
C:\WINDOWS\WINSOCKS5.EXE
[INFO] Die Datei wurde überschrieben und gelöscht!


Bin über jede Art von Hilfe sehr dankbar.

stampede 05.08.2005 16:40

Hallo, ich bion ebenfalls von diesem dämlichen PSGUARD betroffen und kann ihn einfach nicht löschen. Kann mir jemand bitte helfen ?

Das ist mein Logfile:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programme\ClamWin\bin\ClamTray.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSI\Bluetooth Software\BTTray.exe
C:\WINDOWS\twain_32\CIS600X\WATCH.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\PROGRA~1\MSI\BLUETO~1\BTSTAC~1.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [MsgCenterExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe" -osboot
O4 - HKLM\..\Run: [wrgh] C:\WINDOWS\wrgh.exe
O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ClamWin] "C:\Programme\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Registry Cleaner] "C:\Programme\Registry Cleaner Trial\RegClean.exe"
O4 - HKCU\..\Run: [TombRaider3LaraCroftSetup.exe] C:\DOWNLO~1\TR3_WR~1.EXE /r
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\CIS600X\WATCH.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsof...?1123199605375
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1123199593406
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/actives...ree/asinst.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: eTrust Antivirus Admin Server (InoNmSrv) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoNmSrv.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Programme\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

macaviril 14.08.2005 11:10

Hallo betreff PSGURAD hier ein Weg, der bei mir problemlos funktioniert hat,
nachdem zuerst nix ging. Trialversion von FSAV runterladen. Nach Installation updaten. Erkennt und beseitigt den Befall auch im nicht abgesicherten Modus.
Danach habe ich noch vorhandene Registryeinträge manuell mit HD Cleaner beseitigt. PSGUARD und die Intel32.exe nochmals manuell gelöscht. Danach war Ruhe. Lediglich der dunkelblaue Monitor bleibt, hat allerdings keinerlei Auswirkungen. Gruß Michael

Koenic 17.08.2005 19:01

hab mir des ding auch eingefangen, bin mittlerweile am verzweifeln.
panda funktioniert net, anstatt des ergebnis bekomm ich (wie jedesmal wenn ich ie öffne) die seite wo ich des prog kaufen soll.

hier mein logfile:
Logfile of HijackThis v1.99.1
Scan saved at 19:13:15, on 17.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\msole32.exe
C:\WINDOWS\system32\shnlog.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\intmon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\WIRELE~1\Keyboard\Ikeymain.exe
C:\Programme\Winamp\winampa.exe
C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\eMule\emule.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\highjackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.bestwebslinks.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.bestwebslinks.com/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://GLOBAL.ACER.COM/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://www.bestwebslinks.com/
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hpDF63.tmp
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\WIRELE~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TCMKeyboard ] C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
O4 - HKLM\..\Run: [TCMMouse ] C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - h**p://www.midasplayer.com/midasa.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - h**p://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099303165375
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - h**p://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B87A06BE-C6FE-44B2-B26A-C7969EEEDE35}: NameServer = 217.237.151.161,217.237.150.141
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

bräuchte da ein wenig hilfe, da ich ne ziemlich krücke bin!
der koenic

ALSniper 17.08.2005 20:28

Ich hatte das Teil bei mir auch drauf....nach mehreren scanns mit Ad-Aware ist es immer wieder aufgetaucht.Erst ein scann im abgesicherten Modus brachte bleibenden Erfolg....weder Ad-Aware,Spybot Search%Destroy noch der hier gepostete onlinescanner finden noch etwas. Mein System scheint wieder sauber zu sein!


mfg

Chris14 17.08.2005 20:43

ahja fakespy und puper-d.
lösche die dateien intmon.exe, hpDF63.tmp, shnlog.exe und msole32.exe im c:\windows\system32
im abgesicherten modus.
mit hijackthis fixe diese einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.bestwebslinks.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.bestwebslinks.com/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://GLOBAL.ACER.COM/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://www.bestwebslinks.com/
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hpDF63.tmp
(falls nicht sichtbar, extras,ordneroptionen,ansicht
geschützte systemdateien ausblenden (haken weg)
inhalte von systemordnern anzeigen (haken hin)
alle dateien und ordner anzeigen) (abgesicherter modus)

start,ausführen,regedit
durchnavigieren durch:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
entferne dort den "ordner" explorer (abgesicherter modus)

anschließend würde ich die sp2 integrierte firewall aktivieren, zonealarm deinstallieren und lieber windows richtig absichern (scripts wie das von www.ntsvcfg.de oder das programm von www.dingens.org sind da sehr nützlich)

poste ein neues HJT Logfile

ALSniper 18.08.2005 14:04

Hattest recht...das Mistding war immer noch da...grrr....ich habe mich an deine Anleitung gehalten,konnte aber einige Dateien nicht finden.Hier das logfile nach der Säuberung im Abgesicherten Modus:



Logfile of HijackThis v1.99.1
Scan saved at 14:56:29, on 18.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\download\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\tools\ICQToolbar\toolbaru.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - D:\tools\GetRight\xx2gr.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\tools\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zBrowser Launcher] d:\treiber\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] d:\treiber\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Phonehome] regsvr32.exe /u /s c:\windows\system32\regwizc.dll
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\tools\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] D:\prg4win\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [AWMON] "D:\prg4win\AD-AWA~1\Ad-Watch.exe"
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\tools\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with GetRight - D:\tools\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\tools\GetRight\GRbrowse.htm
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.aol.de/e60/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123970066606
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\prg4win\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\prg4win\AVPersonal\AVWUPSRV.EXE
O23 - Service: lxbs_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbscoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\prg4win\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - d:\tools\T-DSL SpeedManager\tsmsvc.exe

und hier das File nach dem ersten Neustart.....der erste Eintrag taucht immer wieder auf.

Logfile of HijackThis v1.99.1
Scan saved at 15:02:43, on 18.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\treiber\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
D:\tools\T-DSL SpeedManager\SpeedMgr.exe
D:\prg4win\AVPersonal\AVGNT.EXE
d:\treiber\Logitech\MouseWare\system\em_exec.exe
D:\prg4win\AD-AWA~1\Ad-Watch.exe
d:\prg4win\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
d:\prg4win\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\prg4win\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wscntfy.exe
d:\tools\T-DSL SpeedManager\tsmsvc.exe
D:\download\hijackthis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\prg4win\AOL 9.0\waol.exe
D:\prg4win\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\tools\ICQToolbar\toolbaru.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - D:\tools\GetRight\xx2gr.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\tools\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zBrowser Launcher] d:\treiber\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] d:\treiber\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Phonehome] regsvr32.exe /u /s c:\windows\system32\regwizc.dll
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\tools\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] D:\prg4win\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [AWMON] "D:\prg4win\AD-AWA~1\Ad-Watch.exe"
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\tools\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with GetRight - D:\tools\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\tools\GetRight\GRbrowse.htm
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.aol.de/e60/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123970066606
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\prg4win\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\prg4win\AVPersonal\AVWUPSRV.EXE
O23 - Service: lxbs_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbscoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\prg4win\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - d:\tools\T-DSL SpeedManager\tsmsvc.exe

kann oder muss ich da noch irgend etwas tun?

ALSniper 18.08.2005 14:11

ach ja.....von Ad-Aware bekam ich nach dem ersten neustart diese Meldung:

18.08.2005 14:57:29 - Eine Änderung der Registrierung wurde festgestellt
Stamm:HKEY_CURRENT_USER
Schlüssel:Software\Microsoft\Internet Explorer\Main
Wert:Default_Search_URL
Daten:hxxp://www.bestwebslinks.com/search.php?qq=%1
Neue Daten:no

petzi51 11.06.2007 10:45

:) Hallo Leute , komisch , dass der letzte Eintrag zu diesem Thema im August 2005 war , als ob es diesen :pfui: PSGuard nicht mehr geben würde !
Aber , es gibt ihn noch , und wie , ich hab ihn mir vor 2 Wochen eingefangen , wie weiss ich bis jetzt noch nicht !
Ich habe X Programme ausprobiert , das Ding zu löschen , einige erkannten ihn nicht mal , die , die ihn erkannten schafften es nicht ihn zu löschen !:koch:
Aber , da ich nun mal nie aufgebe , hat mich der Zufall zu einer Lösung geführt , die ich niemand vorenthalten will :

Ausführen :
regedit
Im Registrierungseditor HKEY_LOCAL_MACHINE den Schlüssel SOFTWARE öffnen , dort den Eintrag
ShudderLTD suchen . Der lässt sich 100% nicht löschen , da der Unterordner PSGuard Malware oder wie das sonst heisst ist und den Internet Explorer auf dubiose Seiten entführt und ein weiter Unterordner "License" heisst , der sich auch nicht löschen lässt .
Ich wollte den Binärwert oder sonst einen Wert ändern , ist aber leider keiner vorhanden ! So stiess ich mit einem Rechtsklick auf "ShudderLTD" , "PSGuard" und "License" jedesmal auf "Berechtigungen" . Es gab jedesmal 2 Einträge wer berechtigt ist , ich als Administrator und ein fremder Eintrag . Einfach jedesmal den fremden Eintrag durch anklicken und entfernen abschiessen !!
Bei mir hat der Trick gewirkt , mein Internet Explorer wird seit Tagen nicht mehr ge"hijackt" !!
Würde mich freuen , wenn ich Feedback bekomme , ob es noch bei jemandem geklappt hat !! :Boogie: :party:


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:27 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131