Hi,
ich hab warscheinlich Sasser auf meinem PC.
Bei mir öffnet isch jetzt beim PC start immer PSGuard. Er bietet an ein paar Datein zu löschen die infiziert sind.
Meine Frage ist folgende:
Ist dieser PSGuard ein Programm vom Microsoft oder ist das mit Sasser gekommen??
Mir ist es vorher nämlich nie aufgefallen.

Danke für die Hilfe :)

Energizer

Hi,
ich hab warscheinlich Sasser auf meinem PC.
Bei mir öffnet isch jetzt beim PC start immer PSGuard. Er bietet an ein paar Datein zu löschen die infiziert sind.
Meine Frage ist folgende:
Ist dieser PSGuard ein Programm vom Microsoft oder ist das mit Sasser gekommen??
Mir ist es vorher nämlich nie aufgefallen.

Danke für die Hilfe :)

Energizer


Hört sich so an, als hättest Du einen Trojaner auf Deinem Rechner. Google mal nach PSGuard, dort solltest Du fündig werden.
Bin mir aber nicht ganz sicher, will bei Dir jetzt keine Panik auslösen :)

Zwirbelheinz

mmm...

Erstell mal ein Log von HijackThis ...

Ich glaube nicht das das nur ein Trojaner ist.

Mein Desktop Hintergrund ist schwarz geworden und in der Mitte ist ein Kasten wo steht:
"WARNING!
YOU'RE IN DANGER!



ALL YOU DO WITH COMPUTER IS STORED FOREVER IN YOUR HARD DISK. WHEN YOU VISIT SITES, SEND EMAILS... ALL YOUR ACTIONS ARE LOGGED. AND IT IS IMPOSSIBLE TO REMOVE THEM WITH STANDARD TOOLS. YOUR DATA IS STILL AVAILABLE FOR FORENSICS. AND IN SOME CASES FOR YOUR BOSS, YOUR FRIENDS, YOUR WIFE, YOUR CHILDREN.

Every site you or somebody or even something, like spyware, opened in your browser, with all images, and all downloaded and maybe later removed movies or mp3 songs - ARE STILL THERE and could broke your life!


SECURE YOURSELF RIGHT NOW!
REMOVE ALL SPYWARE FROM YOUR PC!"

Das hört sich nicht mehr nach einem Trojaner an, oder??

Im Tast-Manager finde ich auch folgenden Prozess: lsass.exe

@ Topic
Also bei Google finde ich nichts ganzes und nichts halbes.
http://www.abb.ch/global/chabb/chabb118.nsf!OpenDatabase&db=/global/chabb/chabb123.nsf&v=98A&e=ge&c=17A2166FC35E4D61C1256E440032864F

Was meint ihr, soll ich es einfach mal durchlaufen lassen??
Was schlimmeres als Formatieren kann mir doch nicht passieren, oder?? (hab ne FlatRate)

mmm...

Erstell mal ein Log von HijackThis ...
Wie mache ich das mit diesem Hijack this??

runterladen, starten und das ergebnis markieren und posten (mehr war da doch nicht, oder? im abgesicherten modus? )
hab vor einer weile nach deinem prob schon gegoogelt. in manchen posts wurde geraten auf pandasoftware.com/activescan zugehen.

runterladen, starten und das ergebnis markieren und posten
Ja, so müsste es eigentlich gehen.
Nur wenn ich da den Report reinkopiert habe dann passiert nichts mehr :(

hab vor einer weile nach deinem prob schon gegoogelt. in manchen posts wurde geraten auf pandasoftware.com/activescan zugehen.
Leider kann man das atm nicht scannen lassen. Ist wohl irgendwie nen Server down oder so :(

zu 1 hab ich selbsat zu wenig erfahrung.
zu 2 http://www.pandasoftware.com/activescan/ konnte ich gerade aufrufen.

mmm...

Du kannst das Logfile von HijackThis auch einfach als Anhang unter deinem Beitrag anhängen.

Welchen Virenscanner hast du am laufen?

mmm...

Du kannst das Logfile von HijackThis auch einfach als Anhang unter deinem Beitrag anhängen.

Welchen Virenscanner hast du am laufen?
Ich weiß, aber wenn ich den anhänge dann arbeitet der PC kurz und dann nichts mehr.

Als Virenscanner habe ich AntiVir ;)

@ Michel
Jetzt gehts auch bei mir.
Nur wenn ich aufden Teil klicken muss, den ich scannen will dann macht er nüscht :|

kannst auch mal auf trojaner-board.de unterforum "Plagegeister aller Art und deren Bekämpfung" nachschauen oder auf besser informierte hilfe von hier warten (kenn mich nicht so gut aus mit der materie).

hoffe das du nicht formatieren/neuinstallieren musst.
gruss michel

kannst auch mal auf trojaner-board.de unterforum "Plagegeister aller Art und deren Bekämpfung" nachschauen oder auf besser informierte hilfe von hier warten (kenn mich nicht so gut aus mit der materie).

hoffe das du nicht formatieren/neuinstallieren musst.
gruss michel
Da hab ich schon ein Thread aufgemacht :D

Aber danke, dass du mir einige Tipps gegeben hast.

Eventuell finden sich hier ja noch andere Leute die mir helfen können.

mmm...

Läuft Spybot (http://www.safer-networking.org/de/index.html) bei dir? Das kann auch ein Log erstellen (suchen lassen, danach kann man über der rechten Maustaste ein Log erstellen lassen) ... alternativ Trial von G-Data oder so runterladen und suchen lassen. Spontan wüsste ich nicht mehr ...

mmm...

Läuft Spybot (http://www.safer-networking.org/de/index.html) bei dir? Das kann auch ein Log erstellen (suchen lassen, danach kann man über der rechten Maustaste ein Log erstellen lassen) ... alternativ Trial von G-Data oder so runterladen und suchen lassen. Spontan wüsste ich nicht mehr ...
Falls du nur ein Log sehen willst, den kann ich dir geben.
Aber im Internet auswerten lassen kann ich nicht.

Ich psote den gleich mal ;)

So, hier ist er:
Logfile of HijackThis v1.99.1
Scan saved at 13:53:04, on 15.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
F:\Programme\Daemon-Tools\daemon.exe
C:\WINDOWS\System32\intel32.exe
C:\Programme\PSGuard\PSGuard.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
F:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\WINDOWS\System32\hookdump.exe
F:\Programme\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\DOKUME~1\BESITZER\LOKALE~1\TEMP\_VWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
F:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\shdocsv.dll/API32.htm#ID=347;065D
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://shdocsv.dll/asst.htm
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Programme\Daemon-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\System32\intel32.exe
O4 - HKLM\..\Run: [Fast Start] C:\WINDOWS\system32\svcnt.exe home
O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Programme\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LDM] F:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [Steam] F:\Spiele\Half Life²\\Steam.exe -silent
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\System32\hookdump.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = F:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = F:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - F:\Programme\Last Minute Gebot\plmg.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - F:\Programme\Last Minute Gebot\plmg.exe (HKCU)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DB4E950-F6A7-4B53-97E4-D024D537DE87}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{3FE62F59-F3E1-424F-B73B-C4FD45D35CB9}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7397E63-F085-4CA0-B8BE-9008E04206C5}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DB4E950-F6A7-4B53-97E4-D024D537DE87}: NameServer = 192.168.0.1
O18 - Protocol: bw+0 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: offline-8876480 - {51820C35-CFD3-4AD0-9A97-C23AFA3C8E5D} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - F:\Programme\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - F:\Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\BESITZER\LOKALE~1\TEMP\_VWUPSRV.EXE

mmm...

Wahrscheinlich böse, im Taskmanager abschiessen:
C:\WINDOWS\System32\intel32.exe
C:\WINDOWS\System32\hookdump.exe

Diese Einträge entfernen:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\shdocsv.dll/API32.htm#ID=347;065D
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://shdocsv.dll/asst.htm


O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE <--- Realtek/ No Name- Soundkarte? Wenn ja, in Ruhe lassen


O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\System32\intel32.exe
O4 - HKLM\..\Run: [Fast Start] C:\WINDOWS\system32\svcnt.exe home <--- Unbekannt!
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\System32\hookdump.exe

Router? wenn ja, die Einträge lassen
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DB4E950-F6A7-4B53-97E4-D024D537DE87}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{3FE62F59-F3E1-424F-B73B-C4FD45D35CB9}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7397E63-F085-4CA0-B8BE-9008E04206C5}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DB4E950-F6A7-4B53-97E4-D024D537DE87}: NameServer = 192.168.0.1


Die drei Dateien (intel32.exe, svcnt.exe und hookdump.exe) mal bei http://virusscan.jotti.org/ und/ oder http://www.virustotal.com/flash/index_en.html hochladen und die Auswertung anschauen. Die Dateien, die Antivir nicht erkennt, kannst du zippen und bei http://www.antivir-pe.de/de/support/verdaechtige_dateien/index.html hochladen. Wenn du es nicht machen willst, kannst du mir die Dateien auch mailen, dann lad ich sie da hoch.
Das Update für Antivir nochmal manuell anstossen ... wegen PS Guard, hab keine Ahnung was das ist. Soweit ich es verstanden habe, kannst du es unter Software wieder deinstallieren ...

Hi,

also ich hab ausm Trojaner Forum ein paar Tipps bekommen.
Nach dem ich diese durchgeführt habe ist mein Desktop ganz blau. Keine Ordner udn Verknüpfungen sind mehr da.
Ist der Wurm jetzt weg??

mmm...

Was hast du den gemacht??? Schau nach, ob die Processe, die ich da als böse rausgesucht habe, immernoch da sind/ aktiv im Speicher sind ...

Also dieser Intel32 war noch da.
Den hookdump habe ich gelöscht.
Momentan wechselt der Bildschirm immer zwischen weiß und grau :|

/Edit/: Ich hab mich entschlossen den PC zu formatieren.
Die ganze kacke geht mir aufn Sack.

Hmmmm, ist das dieser neuartige Virus der die Festplatte per passwort sichert und man dann freundlicherweise das Passwort bekommt wenn man auf eine Amerikanische Seite 200$ überweist?

mmm...

Nein, ist es nicht, das wäre PGPCODER (http://www.heise.de/newsticker/meldung/59819), der allerdings eine leichte Verschlüsselung (http://www.heise.de/newsticker/meldung/60876) hatte ...

so heisst er:
Trojaners Smitfraud.c aka Troj/FakeAle-c

hab den auch drauf ?gehabt?. Der ist ganz schoen uebel. Seit dem funktioniert bei mir die Suchfunktion nicht mehr.

http://www.trojaner-board.de/showthread.php?t=17863&goto=nextnewest
da wir dir geholfen.

wenn du ihn vernichtet hast, sag bescheit