Unlöschbarer Mailware und Co.

Dieses Thema Unlöschbarer Mailware und Co. im Forum "Windows XP Forum" wurde erstellt von Anika Berger, 1. Nov. 2006.

Thema: Unlöschbarer Mailware und Co. Hallo Leute, ich hoffe Ihr könnt mir mal helfen, ich bin langsam am Ende meine pysischen Kräfte. :-(...

  1. Hallo Leute,

    ich hoffe Ihr könnt mir mal helfen, ich bin langsam am Ende meine pysischen Kräfte. :-(


    Problembeschreibung:


    Wenn ich mich immer online einwählen will, dann warnt mich jedesmal mein Virenprogramm Prevx1, dass es die Datei namens vrt2.tmp blockt. Dieses Programm, oder was es auch immer ist, aktiviert sich nur dann, wenn ich online gehe. Auch ist es bis jetzt unlöschbar. Ich kann es zwar jedesmal manuell löschen, dennoch ist es immer wieder da, wenn ich ins Netz gehe.

    Auch ist das Problem, dass ich nach ca. 3-8 Minuten den Computer neu starten muss, weil er sich einfach komplett aufhängt. Alle Progamme zeigen an, keine Rückmeldung mehr.

    Habe schon ca. 6-7 mal meine Festplatte komplett gelöscht und XP SP2 neu aufgespielt. Aber irgendwie war immer noch ein Virus drauf. Damals hieß der Virus drsload.exe oder so. Glaube das war der smifraud-C. Dieser wird nicht mehr angezeigt, jetzt kämpfe ich mit den anderen Dingen.

    Habe auch schon div. Tools, wie Kasperspy und CleanThis ausprobiert.

    Gestern hat mich Prevx1 noch vor setup_86227 gewarnt, diese datei habe ich auch gelöscht.

    Auch kommt ab und an die Meldung
    C:\\WINDOWS\system32\lsass.exe unerwartet mit dem Statuscode 128, deshalb muss der Computer nach, so ca. 60 Sekunden heruntergefahren werden.

    Diesen Modus beende ich mit shutdown -a

    Meine Vorgehensweise:

    1.
    Habe Spyware Doctor, Spyware Search and Destroy und Prevx1, diese Programm habe ich im Abgesicherten Modus laufen lassen und alle Dateiteile die infiziert waren oder eine Infekt waren gelöscht. Mir haben diese Programme schon sehr oft gesagt, dass mein System jetzt bereinigt ist. Also dass diese Programme nichts mehr finden.

    2.

    Habe die Einträge unter Regedit manuell gelöscht, welche ich unter diesem Namen gefunden habe.

    3.

    Nachdem sich mein Pc wieder mal aufgehängt hat. :)

    gehe ich in den Abgesicherten Modu und bekomme vollgende Daten:

    Von Spyware Doctor:

    1 Infektion

    CommonComponents Unrelated

    C:\Windows\Debug\DCPROMO.LOG

    Von Prevx1 ( Prevx1 scannt nur, wenn eine aktive Onlineverbindung steht. Glaube diese Software ruft direkt Daten vom Server ab. Deshalb lass ich Prevx1 nicht im AbgesichertenModus laufen.

    1. DR[1].GIF 51KB

    C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\5B5FZC3\/\DR[1].GIF

    2. DR[2].GIF 51KB

    C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\5B5FZC3\/\DR[2].GIF

    3. VRT2.TMP 51 KB

    C:\WINDOWS\TEMP\\/RT2.TMP

    4. VRT2.TMP 51 KB

    C:\WINDOWS\TEMP\\/RT2.TMP








    Meine Prozessdaten in der Taskleiste, wenn ich nicht online bin:


    Logfile of HijackThis v1.99.1
    Scan saved at 19:55, on 06-11-01
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Prevx1\PXAgent.exe
    C:\Programme\Spyware Doctor\sdhelp.exe
    C:\Programme\Apoint2K\Apoint.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\System32\tcpsvcs.exe
    C:\Programme\Apoint2K\Apntex.exe
    C:\Programme\Prevx1\PXConsole.exe
    C:\Programme\Spyware Doctor\swdoctor.exe
    C:\WINDOWS\system32\notepad.exe
    C:\WINDOWS\System32\wpabaln.exe
    C:\WINDOWS\System32\taskmgr.exe
    C:\Dokumente und Einstellungen\m\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

    R3 - Default URLSearchHook is missing
    O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll
    O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
    O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
    O4 - HKLM\..\Run: [Services] C:\prosys32.exe
    O4 - HKLM\..\Run: [PrevxOne] C:\Programme\Prevx1\PXConsole.exe
    O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
    O4 - HKCU\..\Run: [Spyware Doctor] C:\Programme\Spyware Doctor\swdoctor.exe /Q
    O8 - Extra context menu item: &Clean Traces - C:\Programme\DAP\Privacy Package\dapcleanerie.htm
    O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm
    O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm
    O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
    O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
    O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programme\Prevx1\PXAgent.exe -f (file missing)
    O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
    O23 - Service: SNMP-Dienst (SNMP) - Unknown owner - C:\WINDOWS\System32\snmp.exe (file missing)




    MEINE PROZESSDATEN; WENN ONLINE:



    Logfile of HijackThis v1.99.1
    Scan saved at 19:57, on 06-11-01
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Prevx1\PXAgent.exe
    C:\Programme\Spyware Doctor\sdhelp.exe
    C:\Programme\Apoint2K\Apoint.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\System32\tcpsvcs.exe
    C:\Programme\Apoint2K\Apntex.exe
    C:\Programme\Prevx1\PXConsole.exe
    C:\Programme\Spyware Doctor\swdoctor.exe
    C:\WINDOWS\system32\notepad.exe
    C:\WINDOWS\System32\wpabaln.exe
    C:\Dokumente und Einstellungen\m\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe

    R3 - Default URLSearchHook is missing
    O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll
    O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
    O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
    O4 - HKLM\..\Run: [Services] C:\prosys32.exe
    O4 - HKLM\..\Run: [PrevxOne] C:\Programme\Prevx1\PXConsole.exe
    O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
    O4 - HKCU\..\Run: [Spyware Doctor] C:\Programme\Spyware Doctor\swdoctor.exe /Q
    O8 - Extra context menu item: &Clean Traces - C:\Programme\DAP\Privacy Package\dapcleanerie.htm
    O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm
    O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm
    O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
    O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
    O17 - HKLM\System\CCS\Services\Tcpip\..\{6F0BF7A9-219A-45C2-A523-F523685E9AD8}: NameServer = 213.191.74.11 213.191.92.82
    O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programme\Prevx1\PXAgent.exe -f (file missing)
    O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
    O23 - Service: SNMP-Dienst (SNMP) - Unknown owner - C:\WINDOWS\System32\snmp.exe (file missing)







    So, ich hoffe jemand kann mit diesen Informationen etwas anfangen und mir vielleicht helfen.


    Grüße Anika
     
  2. du meinst bestimmt lssas.exe

    leere deine Temp-Dateien.

    warum nicht SP2? ???

    das sollte die Systemdatei sein.

    das ist der Schädling - nicht zu verwechseln mit der Systemdatei.
    http://www.wintotal.de/Spyware/index.php?Filter=L#Spyware186

    das ist auch ein Schädling.
    lösche den Unterschlüssel Services unter
    HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Msconfig\Startupreg\Services
    sieh dir auch die Run Einträge unter
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
    an, ob Schädlinge sich hier eingenistet haben.
    http://www.wintotal.de/Tipps/Eintrag.php?TID=233

    kannst du noch mit HijackThis fixen.
    http://www.wintotal.de/Tipps/Eintrag.php?TID=384

    Wichtig: Systemwiederherstellung vorher abschalten.
    http://www.wintotal.de/Tipps/Eintrag.php?TID=170

    wie oben.
    hier deine Log-Auswertung:
    http://www.hijackthis.de/logfiles/6a4b9e42d304d32030855c502bf1e32e.html

    Am besten die Schädlinge im abgesicherten Modus entfernen
    lssas.exe im system32 Verzeichnis
    prosys32.exe unter C:\ zu finden
    etc.

    Viel Erfolg

    pan_fee