PSGuard / Trojan-Spy.HTML.Smitfraud.c / Wininet.dll & Oleadm.dll

Dieses Thema PSGuard / Trojan-Spy.HTML.Smitfraud.c / Wininet.dll & Oleadm.dll im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von DrBrain16, 30. Juli 2005.

Thema: PSGuard / Trojan-Spy.HTML.Smitfraud.c / Wininet.dll & Oleadm.dll Tagchen!!! Hey als ich heute morgen meinen Rechner gestartet habe habe ich einen blauen Screen gehabt der folgender...

  1. Tagchen!!!

    Hey als ich heute morgen meinen Rechner gestartet habe habe ich einen blauen Screen gehabt der folgender maßen aussieht:
    [​IMG]

    Und danach startete sich noch ein Programm namens PSGuard und ich habe absolut keine Ahnung wo es herkommt!
    Und ach meine Startseite im IE ändert sich immer Automatisch auf die folgende Seite: http://websearchnetwork.com/
    Ich habe es zwar schon mit der Systemwiederherstellung von Windows rückgängig machen können aber nach einigen Minuten ist es immer wieder das selbe!!!
    Zusätzlich dazu kommt auch immernoch von Norten AntiVirus die Virenmeldung in der Wininet.dll und der Oleadm.dll!

    Hier schonmal mein LogFile für euch:

    Logfile of HijackThis v1.99.1
    Scan saved at 15:56:00, on 30.07.2005
    Platform: Windows XP  (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Norton\AntiVirus\navapsvc.exe
    C:\Programme\Norton\AntiVirus\AdvTools\NPROTECT.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\Programme\Norton\AntiVirus\SAVScan.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programme\ICQLite\ICQLite.exe
    C:\Programme\MSN Messenger\Plus\MsgPlus.exe
    C:\Programme\ZoneAlarm Pro\zlclient.exe
    C:\Programme\Java\bin\jusched.exe
    C:\WINDOWS\System32\ezSP_Px.exe
    C:\WINDOWS\Dit.exe
    C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
    C:\Programme\PowerCinema\PowerCinema\My_TV\Agent.exe
    C:\WINDOWS\DitExp.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Programme\MSN Messenger\msnmsgr.exe
    C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
    C:\Programme\Internet Explorer\SlimBrowser\sbrowser.exe
    C:\Programme\Internet Explorer\SlimBrowser\PlugIn\InstantGet\InstantGet.exe
    C:\Programme\Symantec\LiveUpdate\LUALL.EXE
    C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    C:\Dokumente und Einstellungen\Gott\Desktop\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearchnetwork.com/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: InstantGet IECatcher - {569E7719-1A11-415E-9206-AC1860FB8BFF} - C:\Programme\Internet Explorer\SlimBrowser\PlugIn\InstantGet\IGCatcher.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton\AntiVirus\NavShExt.dll
    O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\pumba2.dll (file missing)
    O2 - BHO: AddressBar Class - {f65b197f-8260-4d52-909a-f70118e646eb} - C:\WINDOWS\system32\iasada.dll (file missing)
    O3 - Toolbar: InstantGet Bar - {98C92840-EB1C-40bd-B6A5-395EC9CD6510} - C:\Programme\Internet Explorer\SlimBrowser\PlugIn\InstantGet\IGIEBar.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\pumba2.dll (file missing)
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton\AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [MessengerPlus3] C:\Programme\MSN Messenger\Plus\MsgPlus.exe
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\ZoneAlarm Pro\zlclient.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\bin\jusched.exe
    O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
    O4 - HKLM\..\Run: [Dit] Dit.exe
    O4 - HKLM\..\Run: [sload] C:\WINDOWS\sload.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
    O4 - HKLM\..\Run: [Agent] C:\Programme\PowerCinema\PowerCinema\My_TV\Agent.exe
    O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
    O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\Norton\ANTIVI~1\AdvTools\ADVCHK.EXE
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\RunOnce: [NAVMD25] C:\WINDOWS\UpdtNv28.exe
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKCU\..\Run: [msnmsgr] C:\Programme\MSN Messenger\msnmsgr.exe /background
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: &Alles mit InstantGet runterladen - res://C:\Programme\Internet Explorer\SlimBrowser\PlugIn\InstantGet\IGCatcher.dll/IGAll.htm
    O8 - Extra context menu item: Mit InstantGet runterla&den - res://C:\Programme\Internet Explorer\SlimBrowser\PlugIn\InstantGet\IGCatcher.dll/IGLink.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\bin\npjpi150_02.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\bin\npjpi150_02.dll
    O9 - Extra button: Run InstantGet - {6DDFE91C-A45C-4812-8F57-098932C9D88D} - C:\Programme\Internet Explorer\SlimBrowser\PlugIn\InstantGet\InstantGet.exe
    O9 - Extra->Tools' menuitem: &InstantGet - {6DDFE91C-A45C-4812-8F57-098932C9D88D} - C:\Programme\Internet Explorer\SlimBrowser\PlugIn\InstantGet\InstantGet.exe
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O15 - Trusted Zone: *.sxload.com
    O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.170.82/e9xr2.chm::/file.exe
    O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1117402808092
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
    O20 - AppInit_DLLs: MsgPlusLoader.dll
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
    O23 - Service: MSSQLServerADHelper - Unknown owner - C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe (file missing)
    O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton\AntiVirus\navapsvc.exe
    O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton\AntiVirus\AdvTools\NPROTECT.EXE
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton\AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
    O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
    O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    Ich hoffe mir kann jemand helfen!!!

    Danke schonmal im vorrau!!!
     
  2. Das ist ja eine tolle antwort!!! Hat nicht jemand eine bessere Lösung weil das ist mir dann doch etwas umständlich!!!
     
  3. Hast du dir die Auswertung des Logfiles mal angesehen ?
    Fixe alle bösen Einträge, evtl. läuft dein System danach wieder.

    Anyway, XP komplett ohne ServicePack zu betreiben ist Selbstmord - wie du ja selbst gemerkt hast.

    Cheers,
    Joshua
     
  4. gib hier mal in der Suche nur Smitfraud ein und lass mal suchen:
    http://www.wintotal.de/Spyware/index.php

    hängt mir Smitfraud zusammen:
    http://www.wintotal.de/Spyware/index.php?Filter=P#Spyware5134

    hängt auch mit Smitfraud zusammen

    wie Joshua schon schrieb .....
    SP2: http://www.wintotal.de/softw/?id=2362

    noch mit HijackThis fixen, Azesearch Adware (ZToolbar)
    http://www.wintotal.de/Spyware/index.php?Filter=P#Spyware5403
    lösche die DLL's im jeweiligen Verzeichnis am besten im abgesicherten Modus [F8]

    hast du Lotus Notes? ???
    Wenn nicht würde ich es löschen

    http://www.wintotal-forum.de/index.php/topic,84123.0.html
    http://www.wintotal.de/Spyware/index.php?Filter=P#Spyware5134
    lösche das Programm unter Software (Systemsteuerung) und lies die Links

    ActiveX-Objekt CoolWebSearch Hijacker, sieh nach unter Downloaded Program Files

    Messenger Plus, Sponsoren-Programm (C2Media):
    http://www.wintotal.de/Spyware/index.php?Filter=M#Spyware5405

    pan_fee