Unlöschbarer Mailware und Co.
Hallo Leute,
ich hoffe Ihr könnt mir mal helfen, ich bin langsam am Ende meine pysischen Kräfte. :-(
Problembeschreibung:
Wenn ich mich immer online einwählen will, dann warnt mich jedesmal mein Virenprogramm Prevx1, dass es die Datei namens "vrt2.tmp" blockt. Dieses Programm, oder was es auch immer ist, aktiviert sich nur dann, wenn ich online gehe. Auch ist es bis jetzt unlöschbar. Ich kann es zwar jedesmal manuell löschen, dennoch ist es immer wieder da, wenn ich ins Netz gehe.
Auch ist das Problem, dass ich nach ca. 3-8 Minuten den Computer neu starten muss, weil er sich einfach komplett aufhängt. Alle Progamme zeigen an, "keine Rückmeldung mehr".
Habe schon ca. 6-7 mal meine Festplatte komplett gelöscht und XP SP2 neu aufgespielt. Aber irgendwie war immer noch ein Virus drauf. Damals hieß der Virus drsload.exe oder so. Glaube das war der smifraud-C. Dieser wird nicht mehr angezeigt, jetzt kämpfe ich mit den anderen Dingen.
Habe auch schon div. Tools, wie Kasperspy und CleanThis ausprobiert.
Gestern hat mich Prevx1 noch vor setup_86227 gewarnt, diese datei habe ich auch gelöscht.
Meine Vorgehensweise:
1.
Habe Spyware Doctor, Spyware Search and Destroy und Prevx1, diese Programm habe ich im Abgesicherten Modus laufen lassen und alle Dateiteile die infiziert waren oder eine Infekt waren gelöscht. Mir haben diese Programme schon sehr oft gesagt, dass mein System jetzt bereinigt ist. Also dass diese Programme nichts mehr finden.
2.
Habe die Einträge unter Regedit manuell gelöscht, welche ich unter diesem Namen gefunden habe.
3.
Nachdem sich mein Pc wieder mal aufgehängt hat. :-)
gehe ich in den Abgesicherten Modu und bekomme vollgende Daten:
Von Spyware Doctor:
1 Infektion
CommonComponents Unrelated
C:\Windows\Debug\DCPROMO.LOG
Von Prevx1 ( Prevx1 scannt nur, wenn eine aktive Onlineverbindung steht. Glaube diese Software ruft direkt Daten vom Server ab. Deshalb lass ich Prevx1 nicht im AbgesichertenModus laufen.
1. DR[1].GIF 51KB
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\5B5FZC3\/\DR[1].GIF
2. DR[2].GIF 51KB
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\5B5FZC3\/\DR[2].GIF
3. VRT2.TMP 51 KB
C:\WINDOWS\TEMP\\/RT2.TMP
4. VRT2.TMP 51 KB
C:\WINDOWS\TEMP\\/RT2.TMP
Meine Prozessdaten in der Taskleiste, wenn ich nicht online bin:
Logfile of HijackThis v1.99.1
Scan saved at 19:55, on 06-11-01
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Prevx1\PXAgent.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Prevx1\PXConsole.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\System32\wpabaln.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Dokumente und Einstellungen\m\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe
R3 - Default URLSearchHook is missing
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - HKLM\..\Run: [Services] C:\prosys32.exe
O4 - HKLM\..\Run: [PrevxOne] "C:\Programme\Prevx1\PXConsole.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O8 - Extra context menu item: &Clean Traces - C:\Programme\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programme\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: SNMP-Dienst (SNMP) - Unknown owner - C:\WINDOWS\System32\snmp.exe (file missing)
MEINE PROZESSDATEN; WENN ONLINE:
Logfile of HijackThis v1.99.1
Scan saved at 19:57, on 06-11-01
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Prevx1\PXAgent.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Prevx1\PXConsole.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Dokumente und Einstellungen\m\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe
R3 - Default URLSearchHook is missing
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - HKLM\..\Run: [Services] C:\prosys32.exe
O4 - HKLM\..\Run: [PrevxOne] "C:\Programme\Prevx1\PXConsole.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O8 - Extra context menu item: &Clean Traces - C:\Programme\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F0BF7A9-219A-45C2-A523-F523685E9AD8}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programme\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: SNMP-Dienst (SNMP) - Unknown owner - C:\WINDOWS\System32\snmp.exe (file missing)
So, ich hoffe jemand kann mit diesen Informationen etwas anfangen und mir vielleicht helfen.
Grüße Anika
Originally Posted by piti22
