Vcodec, PS Guard, Smitfraud.C lässt sich nicht entfernen!?

[Supernova]

Hallo,

ich bin am verzweifeln... aber das schreibt wohl jeder der sich hier zum ersten mal registriert. Also folgendes Problem tritt auf und ich bin sehr dankbar für Hilfe!
Nach dem Search durch Spybot findet sich folgendes: Vcodec, PS Guard, Smitfraud.C
Ein Bereinigen des ersten geht nicht und die anderen beiden kommen immer wieder.... was soll ich tun?

Vielen Dank für die Hilfe!!!!
Grüße!

[raman]

Poste bitte das Scanergebniss von Spybot.
Dazu Spybot den Rechner ueberpruefen lassen, dann mit der Rechten Maustaste ins Ergebnisfeld klicken und Bericht in zwischenablage kopieren waehen und in eine Antwort von dir einfuegen.

[spybotsandra]

Hallo,

Einige User haben auch schon berichtet, dass diese Infektionen nach einem Scan im abgesicherten Modus entfernt waren:
http://service1.symantec.com/SUPPORT...7?OpenDocument
Das sollte das Problem lösen.

Mit freundlichen Grüssen
Sandra
Team Spybot

[Supernova]

Dankeschön! Aber der abgesicherte Modus bringt nichts.... :-(
Hier das was Spybot sagt... :

--- Search result list ---
Vcodec: Daten (Datei, nothing done)
C:\WINDOWS\system32\ncompat.tlb

Vcodec: Daten (Datei, nothing done)
C:\WINDOWS\system32\ts.ico


ts.ico kann behoben werden, kommt aber nach Neustart wieder. Die ncompat.tlb Datei geht nicht. Ich habe versucht das Ding in der registry zu löschen, aber es wird von einer anderen Anwendung genutzt...
Den kompletten Bericht zu posten ist zu lang....

[raman]

3 Dinge, die du machen solltest:

Einmal smiitrem nutzen:
http://noahdfear.geekstogo.com/click...click.php?id=1 Das Programm starten und auf dem Desktop entpacken(oder einen anderen Ordner) dann im abgesicherten Modus starten und die Datei Runthis.bat ausfuehren. Folge den Anweisungen auf dem Bildschirm und starte nach der Reinigungsaktion den Rechner neu.

Poste dann ein Hijackthis log http://cidres-security.de/hijackthis.html

Es waere auch noch nett, wenn du einen datfindbat Report *Anhaengen* koenntest(unter "Manage Attachements) http://board.protecus.de/download.ph...02.datFind.bat
starte diese Bat. Dann oeffnet sich Notepad, speichere Die Datei und haenge sie hier an. Je nach groesse koennte es auch noetig sein die txt Datei zu packen, da die Uploadgroesse beschraenkt ist.

[Supernova]

Ich bin Euch so dankbar!!!!!!!!!!!!!!!!!!!!!

Hier der Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 01:55:49, on 19.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Julchen\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8010
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SENS Keyboard V4 Launcher] "C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-18.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E71989F7-9AF2-4E0D-89A7-A98BB2BDC71C}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: KpofLapRyuTbd - {7071DCB4-DADB-761E-C698-73A881CEF12C} - C:\WINDOWS\System32\ttk.dll
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

[Supernova]

hier die txt datei

[Supernova]

bei mir ist alles wieder ok! ich bin sooooooo glücklich! ihr seid die geilsten!!!!

[raman]

Die TXT Datei war leider nicht dabei. Wahrscheinlich war sie zu gross!? Packe sie und versuche es nocheinmal, oder wenn es noch nicht funktioniert schicke sie bitte an virus@protecus.de


Teste bitte diese Datei C:\WINDOWS\System32\ttk.dll bei Jotti http://virusscan.jotti.org/ und melde, was gefunden wird.

[piti22]

Hallo

Ausserdem solltest Du unbedingt nach der Bereinigung Dein Windows updaten (läuft noch mit SP1, mittlerweile 2, plus ner Menge neuer Updates). Ferner Deinen Internet Explorer und die Java Konsole. Du hast j2re1.4.2_03, aktuell ist aber 1.5.0_06.

Es ist kein Wunder, das wenn man ohne aktuelles Windows und IE sich ständig Bösewichte einfängt.


Gruss piti22