Vcodec, PS Guard, Smitfraud.C lässt sich nicht entfernen!?

[Supernova]

Hallo,

ich bin am verzweifeln... aber das schreibt wohl jeder der sich hier zum ersten mal registriert. Also folgendes Problem tritt auf und ich bin sehr dankbar für Hilfe!
Nach dem Search durch Spybot findet sich folgendes: Vcodec, PS Guard, Smitfraud.C
Ein Bereinigen des ersten geht nicht und die anderen beiden kommen immer wieder.... was soll ich tun?

Vielen Dank für die Hilfe!!!!
Grüße!

 

[raman]

Poste bitte das Scanergebniss von Spybot.
Dazu Spybot den Rechner ueberpruefen lassen, dann mit der Rechten Maustaste ins Ergebnisfeld klicken und Bericht in zwischenablage kopieren waehen und in eine Antwort von dir einfuegen.

 

[spybotsandra]

Hallo,

Einige User haben auch schon berichtet, dass diese Infektionen nach einem Scan im abgesicherten Modus entfernt waren:
http://service1.symantec.com/SUPPOR...15cd18ad6817f511c1256b41003db1a7?OpenDocument
Das sollte das Problem lösen.

Mit freundlichen Grüssen
Sandra
Team Spybot

 

[Supernova]

Dankeschön! Aber der abgesicherte Modus bringt nichts.... :-(
Hier das was Spybot sagt... :

--- Search result list ---
Vcodec: Daten (Datei, nothing done)
C:\WINDOWS\system32\ncompat.tlb

Vcodec: Daten (Datei, nothing done)
C:\WINDOWS\system32\ts.ico


ts.ico kann behoben werden, kommt aber nach Neustart wieder. Die ncompat.tlb Datei geht nicht. Ich habe versucht das Ding in der registry zu löschen, aber es wird von einer anderen Anwendung genutzt...
Den kompletten Bericht zu posten ist zu lang....

 

[raman]

3 Dinge, die du machen solltest:

Einmal smiitrem nutzen:
http://noahdfear.geekstogo.com/click counter/click.php?id=1 Das Programm starten und auf dem Desktop entpacken(oder einen anderen Ordner) dann im abgesicherten Modus starten und die Datei Runthis.bat ausfuehren. Folge den Anweisungen auf dem Bildschirm und starte nach der Reinigungsaktion den Rechner neu.

Poste dann ein Hijackthis log http://cidres-security.de/hijackthis.html

Es waere auch noch nett, wenn du einen datfindbat Report *Anhaengen* koenntest(unter "Manage Attachements) http://board.protecus.de/download.php?id=213002.datFind.bat
starte diese Bat. Dann oeffnet sich Notepad, speichere Die Datei und haenge sie hier an. Je nach groesse koennte es auch noetig sein die txt Datei zu packen, da die Uploadgroesse beschraenkt ist.

 

[Supernova]

Ich bin Euch so dankbar!!!!!!!!!!!!!!!!!!!!!

Hier der Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 01:55:49, on 19.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Julchen\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8010
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SENS Keyboard V4 Launcher] "C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E71989F7-9AF2-4E0D-89A7-A98BB2BDC71C}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: KpofLapRyuTbd - {7071DCB4-DADB-761E-C698-73A881CEF12C} - C:\WINDOWS\System32\ttk.dll
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

[Supernova]

hier die txt datei

 

[Supernova]

bei mir ist alles wieder ok! ich bin sooooooo glücklich! ihr seid die geilsten!!!!

 

[raman]

Die TXT Datei war leider nicht dabei. Wahrscheinlich war sie zu gross!? Packe sie und versuche es nocheinmal, oder wenn es noch nicht funktioniert schicke sie bitte an virus@protecus.de


Teste bitte diese Datei C:\WINDOWS\System32\ttk.dll bei Jotti http://virusscan.jotti.org/ und melde, was gefunden wird.

 

[piti22]

Hallo

Ausserdem solltest Du unbedingt nach der Bereinigung Dein Windows updaten (läuft noch mit SP1, mittlerweile 2, plus ner Menge neuer Updates). Ferner Deinen Internet Explorer und die Java Konsole. Du hast j2re1.4.2_03, aktuell ist aber 1.5.0_06.

Es ist kein Wunder, das wenn man ohne aktuelles Windows und IE sich ständig Bösewichte einfängt.


Gruss piti22

 

[Supernova]

Naja ich bin da eher Anfänger... Wo bekomm ich denn diese Updates? Danke!!!

 

[piti22]

Hi,

ganz einfach mit dem Internet Explorer.

Dort einfach über Extras/Windows Update (hiess in einer älteren UpdateVersion leicht anders, ist aber egal) gehen. Dann kommst Du auf die Updateseite. Alternativ über diese Seite,
http://support.microsoft.com/gp/DOWNLOADOVER
und dort dann Links oben "Windows Update" anklicken.

Als erstes solltest Du das SP2 updaten, da viele Updates die nach SP2 erschienen, das Servicepack voraussetzen.
Wenn das installiert ist, musst Du wieder aff "windows Update gehen" um die restlichen Updates zuinstallieren.

Gerade das SP2 ist wichtig, da XP erst seit dem erscheinen als relativ sicher angesehen werden kann. Da verbesserte Firewall und restriktivere IE Einstellungen. Ausserdem enthält es einen PopUpblocker, usw.
Der Vorteil von Windows Update im Gegesatz zu älterer Updatesoftware ist, das die Funktion jetzt auch die Officeprogramme enthält.

In Zukunft solltest Du dann, jeden 2.ten Mittwoch eines Monats über die Updatefunktion des Internet Explorers gehen, da das der offizielle Tag ist wo Microsoft seine Sicherheitspatches veröffentlicht.

Es ist sehr wichtig dies zutun, da nach dem Updatetag die Sicherheitslücken für Hacker offenliegen und kurz danach immer Exploits erscheinen die diese ausnutzen.

Gruss piti22

PS: Wenn man sich im Internet bewegt, sollte man sich auch etwas mit dem Hintergrund von Computern und Sicherheit beschäftigen.

 

[raman]

Bitte vergesse nicht, das du vor dem Update sicher sein solltest, das der Rechner sauber ist! Arbeite das bitte ab, was ich dir in meinem letzten Posting geraten habe.

 

[Supernova]

Hab alles klar befolgt und verspreche in Zukunft mich mehr darum zu kümmern. Notfalls nen VHS Kurs....
Wenn noch was sein sollte, dann weiß ich ja das es hier echt coole Leute gibt. Danke!

 

[hadrei]

ähnliches problem, ähnliche Lösung

Hallo!

Ich hatte bei mir so was ähnliches
(siehe http://forums.spybot.info/showthread.php?p=13398)

naja, habe halt überall fleißig gelesen, nu isses wech.
Ich weiß zwar nicht genau warum und wie...
Aber ich bin euch dankbar.

Harry

 

[Mari18]

HILFE bitte bitte

Hallo ihr Lieben!
Ich weiß nicht ob das Ding ein Virus ist oder sonst was, jedenfalls macht es mich verrückt!
Jedesmal wenn ich meinen Computer hochfahre erscheint eine Word- Datei mit einem Fenster auf dem folgendes steht: Wählen Sie die Codierung, mit der Ihr Dokument eingelesen werden kann dann soll ich zwischen Windows (Standard); MS-DOS; Andere Codierung wählen! Das kommt immer wieder- gleich doppelt manchmal.
Ich hab versucht es zu löschen auch mit der Software Security Task Manager. Die Datei ist im system32 und heißt guard!
Weiß jemand wie ich diese Datei wirklich endgültig loswerden kann? Seit Wochen versuch ich das hinzukriegen und verzweifle langsam!!

 

[Mari18]

HILFE bitte bitte

Hallo ihr Lieben!
Ich weiß nicht ob das Ding ein Virus ist oder sonst was, jedenfalls macht es mich verrückt!
Jedesmal wenn ich meinen Computer hochfahre erscheint eine Word- Datei mit einem Fenster auf dem folgendes steht: Wählen Sie die Codierung, mit der Ihr Dokument eingelesen werden kann dann soll ich zwischen Windows (Standard); MS-DOS; Andere Codierung wählen! Das kommt immer wieder- gleich doppelt manchmal.
Ich hab versucht es zu löschen auch mit der Software Security Task Manager. Die Datei ist im system32 und heißt guard!
Weiß jemand wie ich diese Datei wirklich endgültig loswerden kann? Seit Wochen versuch ich das hinzukriegen und verzweifle langsam!!

 

[raman]

Eroeffne bitte einen eigenen Thread, indem du ein Hijackthis log popsten solltest. Infos dazu findest du in diesem Thread. Findet Spybot irgendetwas?