Hilfeee ~ PS Guard

**XnanamichanX** · 31.08.2005 09:57

Hi...
ich brauche dringend Hilfe T_T bei mir ist vor ein paar Tagen etwas passiert:
Auf meinem Desktop war plötzlich ne Warnung, dass mein PC einen Virus hätte und da war ein Link zu einem Programm namens "PS Guard". Ich habs mir nicht heruntergeladen und nicht installiert aber beim nächsten Start startet dieses Programm plötzlich und damit fängt alles an: Der PC ist sogut wie im Eimer..

Meine Frage: Muss ich jetzt die Festplatte formatieren oder gibt es eine andere Lösung?
Log-File poste ich später.

**YoshiGreen** · 31.08.2005 10:30

Was passiert denn, wenn du den PC startest? Hast du ein Antiviren-Programm drauf (wenn nicht: www.free-av.de) und kannst du das starten und suchen lassen.
Hattest du auch eine Firewall an?

Wenn nix mehr gesehen sollte, kannst du entweder versuchen mit Knoppix an deine Platte zu kommen, vorausgesetzt du hast nicht NTFS oder du holst dir die WC-Welt, in der ist immer eine Bootfähige CD mit Virenscanner. Hab das selber zwar noch nie benutzt und weiss deshalb nicht wie gut das ist, auf die Schnelle wäre das aber ne gute Lösung.

Hast du denn Sicherrungskopien von wichtigen Daten? Ne Neuinstall ist im Grunde eigentlich nie verkehrt....

Edith sagt: Eine fixe Suche brachte mich zu diesem Board: http://www.trojaner-board.de/archive...p/t-21098.html

**XnanamichanX** · 31.08.2005 10:50

danke erstmal..
aber irgendwie bin ich zu doof um das ganz zu verstehen... ich hab mich auch mal bei google umgesehen und jede seite hat ein logfile mit diesem hijackthis verlangt..
hier ist mal mein logfile, vielleicht hilft es:

Logfile of HijackThis v1.99.1
Scan saved at 11:33:12, on 31.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C

WINDOWS\System32\smss.exe
C

WINDOWS\system32\winlogon.exe
C

WINDOWS\system32\services.exe
C

WINDOWS\system32\lsass.exe
C

WINDOWS\system32\svchost.exe
C

WINDOWS\System32\svchost.exe
C

WINDOWS\system32\spoolsv.exe
C

WINDOWS\Explorer.EXE
C

PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C

WINDOWS\System32\GEARSec.exe
C

WINDOWS\netinfo.exe
C

WINDOWS\System32\SerExt.exe
C

Programme\Java\jre1.5.0_02\bin\jusched.exe
C

Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C

Programme\QuickTime\qttask.exe
C

WINDOWS\System32\RUNDLL32.EXE
C

Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
C

WINDOWS\System32\atwtusb.exe
C

Programme\Winamp\winampa.exe
C

WINDOWS\System32\steam.exe
C

Programme\ISTsvc\istsvc.exe
C

WINDOWS\brjteb.exe
C

Programme\SurfAccuracy\SAcc.exe
C

Programme\ICQLite\ICQLite.exe
C

WINDOWS\System32\rundll32.exe
C

WINDOWS\System32\intell32.exe
C

Programme\Trend Micro\Internet Security\pccguide.exe
C

Programme\Trend Micro\Internet Security\PCClient.exe
C

Programme\Trend Micro\Internet Security\TMOAgent.exe
C

WINDOWS\System32\ctfmon.exe
C

Programme\Spybot - Search & Destroy\TeaTimer.exe
C

Programme\Gigaset\CAPI\Tools\CALLTRAY.exe
C

Programme\Gigaset\talk&surf 5.1\SEMon21.exe
C

WINDOWS\System32\TBLMOUSE.EXE
C

Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C

WINDOWS\System32\nvsvc32.exe
C

Programme\Trend Micro\Internet Security\Tmntsrv.exe
C

Programme\Trend Micro\Internet Security\tmproxy.exe
C

WINDOWS\wanmpsvc.exe
C

WINDOWS\System32\TASKMAN.EXE
C

Programme\Trend Micro\Internet Security\PccPfw.exe
C

Programme\Gigaset\talk&surf 5.1\xControlCOM.exe
C

Programme\Internet Explorer\iexplore.exe
C

Programme\BullsEye Network\bin\bargains.exe
C

WINDOWS\System32\exul1.exe
C

Dokumente und Einstellungen\nami\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C

WINDOWS\System32\dos.pif

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C

DOKUME~1\nami\LOKALE~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C

DOKUME~1\nami\LOKALE~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C

Programme\ICQToolbar\toolbaru.dll
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C

WINDOWS\nem220.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C

PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C

Programme\WS_FTP Pro\wsbho2K0.dll
O2 - BHO: (no name) - {BD59B805-31DB-4399-838B-B73F24F7FAE8} - C

WINDOWS\System32\ljme.dll
O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10111} - C

Programme\TrueDownloader\truedownloaderie.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C

WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C

WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C

Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SerExt] SerExt.exe /plug
O4 - HKLM\..\Run: [SunJavaUpdateSched] C

Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [AOLDialer] C

Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C

Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C

WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C

WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Norton Ghost 9.0] C

Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] C

Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [steam] steam.exe
O4 - HKLM\..\Run: [IST Service] C

Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [flPl] C

WINDOWS\brjteb.exe
O4 - HKLM\..\Run: [SurfAccuracy] C

Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C

Dokumente und Einstellungen\Gao\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [BullsEye Network] C

Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [SAHBundle] C

DOKUME~1\nami\LOKALE~1\Temp\sahagent.exe run
O4 - HKLM\..\Run: [ICQ Lite] C

Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [sp] rundll32 C

DOKUME~1\nami\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [Microsoft Update 33] wiumvxej.exe
O4 - HKLM\..\Run: [intell32.exe] C

WINDOWS\System32\intell32.exe
O4 - HKLM\..\Run: [PSGuard] C

Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [pccguide.exe] "C

Programme\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C

Programme\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C

Programme\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [DOS Security Service] dos.pif
O4 - HKLM\..\RunServices: [steam] steam.exe
O4 - HKLM\..\RunServices: [Microsoft Update 33] wiumvxej.exe
O4 - HKLM\..\RunServices: [DOS Security Service] dos.pif
O4 - HKCU\..\Run: [CTFMON.EXE] C

WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C

Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [TrueDownloaderAutoStart] C

Programme\TrueDownloader\TrueDownloader.exe /silent
O4 - HKCU\..\Run: [Free Download Manager] C

Programme\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [msnmsgr] "C

Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C

Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DOS Security Service] dos.pif
O4 - HKCU\..\RunServices: [DOS Security Service] dos.pif
O4 - HKCU\..\RunOnce: [ICQ Lite] C

Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C

Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C

Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Call Tray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C

Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: talk&surf 5.1 Monitor.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C

Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C

Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C

Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Mit FDM herunterladen - file://C

Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C

PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://C

Programme\Free Download Manager\dlpage.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C

Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C

Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C

Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C

Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C

WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C

WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C

WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C

Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C

Programme\Messenger\MSMSGS.EXE
O16 - DPF: {B7E76C25-791F-432E-BDB7-748D01A93FC2} (VacPro.int_ver30) - http://advnt01.com/dialer/int_ver30.CAB
O18 - Filter: text/html - {94DE75EC-8ACB-40A8-9B15-ACB13482296A} - C

WINDOWS\System32\ljme.dll
O18 - Filter: text/plain - {94DE75EC-8ACB-40A8-9B15-ACB13482296A} - C

WINDOWS\System32\ljme.dll
O20 - Winlogon Notify: tcpGDC - C

WINDOWS\SYSTEM32\tcpGDC.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C

PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: GEARSecurity - GEAR Software - C

WINDOWS\System32\GEARSec.exe
O23 - Service: netinfo - Unknown owner - C

WINDOWS\netinfo.exe
O23 - Service: Norton Ghost - Symantec Corporation - C

Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C

WINDOWS\System32\nvsvc32.exe
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C

Programme\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C

Programme\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C

Programme\Trend Micro\Internet Security\tmproxy.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C

WINDOWS\wanmpsvc.exe
O23 - Service: xControlCOM - Siemens - C

Programme\Gigaset\talk&surf 5.1\xControlCOM.exe

und nochmal zu der frage: beim start geht eigentlich alles ganz normal, nur dass der pc seehr langsam ist und mein desktop blinkt, ab und zu kommt mein normales wallpaper, und nach einigen sekunden verschwindet es und es kommt wieder diese warnung, und so weiter..

**hawkeye** · 01.09.2005 12:05

hi nanamichan,
ich würd sagen: rette deine wichtigen Sachen und formatiere.
es sieht ziemlich hoffnungslos aus, ziemlich verseucht...

**Ranmaru** · 01.09.2005 12:41

Geh mal auf diese Seite und laß Dein Hijack-Log dort analysieren. Dann siehst Du, welche Prozesse böse und welche sicher sind, lies am besten das Log durch um zu sehen, was das alles ist. Hijack stuft zum Teil Prozesse als böse ein, die es nicht sind, weil es sie noch nicht kennt.
Gegen die Prozesse, die dann als "nasty" eingestuft werden und bei denen Du nicht sicher bist, daß sie zu etwas gehören, was sicher ist, solltest Du was tun. Zunächst im HijackThis markieren und den entsprechenden Registry-Eintrag beheben lassen und dann die Datei selber löschen. Wenn Windows nicht mag, dann startest Du im Safe Mode und machst es dort.

Dazu empfehle ich noch den Security Taskmanager runterzuladen (gibt 'ne kostenlose Light-Version, die aber ausreicht). Das ist ebenfalls ein Programm, was Prozesse analysiert und Dir sagt, was gefixt werden sollte. Gehe dort ebenso vor wie bei Hijack, dann sollten erstmal alle aktiven Viren verschwunden sein. Am Ende empfiehlt sich noch ein Tiefenscan mit dem Virenscanner sowie ein Windows Update, um die Sicherheit zu erhöhen.

Wenn es danach immer noch Probleme gibt, versuch zunächst, die Windows-Installation zu reparieren (CD einlegen, booten und Reparieren auswählen) und wenn das immer noch nichts hilft, dann formatieren.

Thema: Hilfeee ~ PS Guard

Themen-Optionen

Anzeige

Hilfeee ~ PS Guard

Berechtigungen