Spybot meldet Backweb Lite

#1 Hallo,

beim durchlaufen von Spybot S&D wurde das Problem Backweb Lite gemeldet, dass sich nicht löschen lässt?
Die Meldung lautet:
Einige Probleme konnten nicht behoben werden; der Grund dafür könnte sein, dass die entsprechenden Dateien immer noch im Speicher residieren.
Dies kann wahrscheinlich nach einem Neustart behoben werden.
Darf Spybot –S&D mit dem nächsten Systemstart automatisch mitstarten?

Jedoch lässt es sich nach dem Neustart nicht beheben und es kommt die gleiche Fehlermeldung immer wieder?

Was ist dieses Backweb Lite? Habe im Internet gesucht und es kam, dass das Programm automatisch Werbung usw. installiert? Wie bekomme ich es wieder weg?

Danke
Sue

#2 Hallo, lade dir das Tool AdAware, Spybot und CWShredder und scan damit
dein PC. Vor dem Start aber unbedingt das update von AdAware, Spybot und CWShredder laden. Anschließend starte dein Antivirenprogramm.
Danach lade dir HijackThis, stelle es in einen seperaten Ordner und starte
das Programm. Die dabei erzeugte Logfile bitte speichern und hier posten.
Rolfs

#3 Hallo,
also hab CWSredder, AdAware und Spybot im abgesicherten Modus laufen lassen. Spybot findet eben diesen Backweb Lite, der sich nicht löschen lässt. Die anderen beiden PRogramme finden nichts.
Außerdem habe ich noch XofSpy durchlaufen lassen. Das Programm findet:
Easy Search Registry Value, Browser Hijacker.

Das Antivir-Programm hat auch nichts angezeigt.

Hier mein danach erstelltes Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 20:30:11, on 03.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=ftp-proxy.btx.dtag.de:80;http=proxy.btx.dtag.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;localhost;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BusinessOnline Log] "C:\Programme\T-DSL Business\BOLog.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [ABBYY Community Agent] C:\Programme\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102701449809
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Danke
Su09

#4 Hallo Sue,

ich sehe gerade, dass Du den S&D Teatimer aktiviert hast. Dieser verhindert doch Änderungen an der Registry! Deaktiviere ihn mal und versuche, das Problem mit Spybot noch einmal zu fixen.

Im Übrigen hier noch eine Zusatzinfo zu Backweb http://www.reger24.de/prozesse/backWeb.exe.php

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;localhost;<local>
kommt mir seltsam vor! Wenn Du den Eintrag nicht kennst, dann mit HJT fixen.

eScan Erkennungstool
http://www.mwti.net/antivirus/free_utilities.asp
Lade Dir das Programm in einen leeren Ordner. Mit KAVUPD.EXE das Programm updaten. Drücke Start => Ausführen => und gib %temp% in das Fenster ein => OK. Dann öffnet sich Dein Temp-Ordner. Suche die KAVUPD.EXE und doppelklicke sie => eScan wird upgedated

Starte den Rechner im abgesicherten Modus.
Das Programm mit "mwav.exe" starten. Überall die Häkchen setzen bei:
All Files, Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder C:\WINDOWS, Include Subdirectories
=> und dann "Scan" klicken.
Nach abgeschlossenem Scan in den Normalmodus zurückgehen, das Log öffnen und (Bearbeiten => Suchen) nach Zeilen mit "infected" (ohne die Anführungszeichen) suchen. Jede einzelne Zeile, die Du findest, abkopieren und posten. Am Ende des Log steht die Zusammenfassung, die bitte auch posten.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#5 Erst mal vielen Dank.

Habe versucht den Teatimer zu deaktivieren, aber das Problem lässt sich trotzdem nicht fixen.

Habe mir escan runtergeladen und deine Anweisungen befolgt.
Hier die "infected" Zeilen:

File System Found infected by "myway Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\backups\backup-20050401-160257-941.dll infected by "not-a-virus:AdWare.ToolBar.MyWay.g" Virus. Action Taken: No Action Taken.
File C:\Programme\INSTAFINK\InstaFinderK_inst.exe infected by "not-a-virus:AdWare.ToolBar.404Search.h" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\backups\backup-20050401-160257-941.dll infected by "not-a-virus:AdWare.ToolBar.MyWay.g" Virus. Action Taken: No Action Taken.
File C:\Programme\INSTAFINK\InstaFinderK_inst.exe infected by "not-a-virus:AdWare.ToolBar.404Search.h" Virus. Action Taken: No Action Taken.

und die Zusammenfassung:

Wed May 04 11:52:55 2005 => ***** Scanning complete. *****
Wed May 04 11:52:55 2005 => Total Objects Scanned: 75933
Wed May 04 11:52:55 2005 => Total Virus(es) Found: 5
Wed May 04 11:52:55 2005 => Total Disinfected Files: 0
Wed May 04 11:52:55 2005 => Total Files Renamed: 0
Wed May 04 11:52:55 2005 => Total Deleted Objects: 0
Wed May 04 11:52:55 2005 => Total Errors: 106
Wed May 04 11:52:55 2005 => Time Elapsed: 01:44:13
Wed May 04 11:52:55 2005 => Virus Database Date: 2005/05/02
Wed May 04 11:52:55 2005 => Virus Database Count: 127997
Wed May 04 11:52:55 2005 => Scan Completed.

Su09

#6 Hi Sue,

hast Du noch irgendwelche Tools am laufen, welche die Registry vor Veränderungen schützen sollen?

Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren!


Scanne mit HijackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;localhost;<local>

Rechner neu starten

Lade Dir herunter die KillBox
http://www.bleepingcomputer.com/files/killbox.php

Öffne die Killbox => Delete on Reboot => und kopiere nacheinander die nachfolgenden Dateien mit kompletter Pfadangabe hinein, drücke das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann antworte mit "no" usf. bis zur letzten Datei, dann mit "yes" antworten
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\backups\backup-20050401-160257-941.dll
C:\Programme\INSTAFINK\InstaFinderK_inst.exe

Mache noch einmal einen Scan mit AdAware, Spybot S&D und CWShredder im abgesicherten Modus. Poste das Log von Spybot S&D.

Lade Dir herunter Kaspersky Antivir Trial Version (14 Tage)
http://www.kaspersky.com/de/downloads?chapter=146520596
Updaten und kompletten Systemscan machen.

Lade Dir herunter F-Secure Rootkit Säuberungstool (Beta)
http://www.f-secure.com/blacklight/cure.shtml
scanne Dein System und reinige es, falls etwas gefunden wird.

Aktuelles HJT Log posten.

Gruß
Heron

edit:
Hast Du Dir die Infos zu Backweb im o.a. Link mal angeschaut? Backweb wird von mehreren Programmen einfach so mit installiert (Beispiel: Logitech-Software)
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#7 Hi,

woran erkenne ich, oder wo sehe ich, ob Tools laufen, die meine Registry vor Veränderungen schützen?

Werde mir nun alles runterladen und dann deinen Anweisungen folgen.
Vielen Dank für Deine Mühe

Sue

ps.: habe den Link zu Backweb angeschaut. Habe aber in letzter Zeit gar nichts neues installiert. mhm...??

#8

Zitat

woran erkenne ich, oder wo sehe ich, ob Tools laufen, die meine Registry vor Veränderungen schützen?

Das musst Du schon wissen, denn diese Progs musst Du ja selbst installiert haben (wie z.B. den Teatimer).

Btw welche Version von Spybot S&D benutzt Du?

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#9 Sodele, nachdem ich nun den ganzen Mittag damit verbracht habe, die Programme durchlaufen zu lassen, hier mal der Logfile von Spybot:

--- Search result list ---
BackWeb lite: Benutzer-Einstellungen (Registrierungsdatenbank-Schlüssel, fixing failed)
HKEY_USERS\S-1-5-18\Software\BackWeb

BackWeb lite: Benutzer-Einstellungen (Registrierungsdatenbank-Schlüssel, fixing failed) HKEY_USERS\.DEFAULT\Software\BackWeb
--- Spybot - Search && Destroy version: 1.3 ---
2005-04-26 Includes\Cookies.sbi
2005-04-27 Includes\Dialer.sbi
2005-04-27 Includes\Hijackers.sbi
2005-04-15 Includes\Keyloggers.sbi
2004-11-29 Includes\LSP.sbi
2005-04-27 Includes\Malware.sbi
2005-04-27 Includes\PUPS.sbi
2005-04-27 Includes\Revision.sbi
2005-02-09 Includes\Security.sbi
2005-04-27 Includes\Spybots.sbi
2005-02-17 Includes\Tracks.uti
2005-04-27 Includes\Trojans.sbi

--- System information ---
Windows XP (Build: 2600) Service Pack 2
/ Internet Explorer 6 / SP1: Windows XP-Hotfix - KB889293
/ Windows XP / SP2: Windows XP Service Pack 2
/ Windows XP / SP3: Windows XP-Hotfix - KB834707
/ Windows XP / SP3: Windows XP-Hotfix - KB867282
/ Windows XP / SP3: Windows XP-Hotfix - KB873333
/ Windows XP / SP3: Windows XP-Hotfix - KB873339
/ Windows XP / SP3: Windows XP-Hotfix - KB885250
/ Windows XP / SP3: Windows XP-Hotfix - KB885835
/ Windows XP / SP3: Windows XP-Hotfix - KB885836
/ Windows XP / SP3: Windows XP-Hotfix - KB886185
/ Windows XP / SP3: Windows XP-Hotfix - KB887472
/ Windows XP / SP3: Windows XP-Hotfix - KB887742
/ Windows XP / SP3: Windows XP-Hotfix - KB888113
/ Windows XP / SP3: Windows XP-Hotfix - KB888302
/ Windows XP / SP3: Windows XP-Hotfix - KB890047
/ Windows XP / SP3: Windows XP-Hotfix - KB890175
/ Windows XP / SP3: Windows XP-Hotfix - KB890859
/ Windows XP / SP3: Windows XP-Hotfix - KB890923
/ Windows XP / SP3: Windows XP-Hotfix - KB891781
/ Windows XP / SP3: Windows XP-Hotfix - KB893066
/ Windows XP / SP3: Windows XP-Hotfix - KB893086
/ Windows XP / SP3: Windows Installer 3.1 (KB893803)


--- Startup entries list ---
Located: HK_LM:Run, ABBYY Community Agent
command: C:\Programme\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
file: C:\Programme\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
size: 241664
MD5: b9c6709e173196ca05ec5784d8187a99

Located: HK_LM:Run, AVGCtrl
command: C:\Programme\AVPersonal\AVGNT.EXE /min
file: C:\Programme\AVPersonal\AVGNT.EXE
size: 163943
MD5: b7cefce86edefdb2cf624ac3ec0ce944

Located: HK_LM:Run, BusinessOnline Log
command: "C:\Programme\T-DSL Business\bolog.exe"
file: C:\Programme\T-DSL Business\bolog.exe
size: 622592
MD5: 19955f2fc470fc99e47d7057e13f6294

Located: HK_LM:Run, Dit
command: Dit.exe
file: C:\WINDOWS\Dit.exe
size: 86016
MD5: 6c7f1a1e0b83146e18357fe986da67fc

Located: HK_LM:Run, iTunesHelper
command: C:\Programme\iTunes\iTunesHelper.exe
file: C:\Programme\iTunes\iTunesHelper.exe
size: 278528
MD5: 2fd3df1d0ddc018202abfc9be6e68923

Located: HK_LM:Run, KAVPersonal50
command: "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
file: C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe
size: 155751
MD5: cba8840c3a38fafbe5555cd90fe8caaa

Located: HK_LM:Run, KernelFaultCheck
command: %systemroot%\system32\dumprep 0 -k
file: C:\WINDOWS\system32\dumprep.exe
size: 10752
MD5: 2a8714774f4f6db56bba49df1c5d9c3a

Located: HK_LM:Run, NeroFilterCheck
command: C:\WINDOWS\system32\NeroCheck.exe
file: C:\WINDOWS\system32\NeroCheck.exe
size: 155648
MD5: 3e4c03cefad8de135263236b61a49c90

Located: HK_LM:Run, NvCplDaemon
command: RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
file: C:\WINDOWS\system32\RUNDLL32.EXE
size: 33792
MD5: 9082ad264d95541ddc7cb2ac6513dc0d

Located: HK_LM:Run, NvMediaCenter
command: RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
file: C:\WINDOWS\system32\RUNDLL32.EXE
size: 33792
MD5: 9082ad264d95541ddc7cb2ac6513dc0d

Located: HK_LM:Run, nwiz
command: nwiz.exe /install
file: C:\WINDOWS\system32\nwiz.exe
size: 921600
MD5: 96880791e6dde3fac08342c1d5b045ac

Located: HK_LM:Run, QuickTime Task
command: "C:\Programme\QuickTime\qttask.exe" -atboottime
file: C:\Programme\QuickTime\qttask.exe
size: 98304
MD5: 76a3a30b58405c2c6d833895253a51a9

Located: HK_LM:Run, SunJavaUpdateSched
command: C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
file: C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
size: 32881
MD5: b3f49526347a82f8939881804c56aa94

Located: HK_LM:Run, T-DSL SpeedMgr
command: "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
file: C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
size: 589824
MD5: d01e2634d2f71f01d572095e50ef5c94

Located: HK_LM:RunOnce, SpybotSnD
command: "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
file: C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
size: 3948032
MD5: 9d7660564cf9a8226dc8d44679f3a64b

Located: HK_CU:Run, CTFMON.EXE
command: C:\WINDOWS\system32\ctfmon.exe
file: C:\WINDOWS\system32\ctfmon.exe
size: 15360
MD5: 7ce20569925df6789c31799f0c538f29

Located: HK_CU:Run, SpybotSD TeaTimer
command: C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
file: C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
size: 1038336
MD5: 58f7e6434d285f4c98ad3621e0bd8c8d

Located: Startup (allgemein), Acrobat Assistant.lnk
command: C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
file: C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
size: 49254
MD5: 0e6e43d31ac16bcf682eb5f63178c492

Located: Startup (allgemein), Adobe Reader - Schnellstart.lnk
command: C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
file: C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
size: 29696
MD5: deb88aef013dd1eefb462d7cad642166

Located: Startup (allgemein), Microsoft Office.lnk
command: C:\Programme\Microsoft Office\Office\OSA9.EXE
file: C:\Programme\Microsoft Office\Office\OSA9.EXE
size: 65588
MD5: 9ef897496163c9b295cfcd37908b2da1

--- Browser helper object list ---
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
BHO name:
CLSID name: AcroIEHlprObj Class
description: Adobe Acrobat reader
classification: Legitimate
known filename: ACROIEHELPER.OCX
info link: http://www.adobe.com/products/acrobat/readstep2.html
info source: TonyKlein
Path: C:\Programme\Adobe\Acrobat 7.0\ActiveX\
Long name: AcroIEHelper.dll
Short name: ACROIE~1.DLL
Date (created): 14.12.2004 02:56:50
Date (last access): 04.05.2005 13:12:52
Date (last write): 14.12.2004 02:56:50
Filesize: 63136
Attributes: archive
MD5: 42729C3DE75A7A51FC6F9EF6546C9199
CRC32: 4D60BD07
Version: 0.7.0.0

{53707962-6F74-2D53-2644-206D7942484F} ()
BHO name:
CLSID name:
description: Spybot-S&D IE Browser plugin
classification: Legitimate
known filename: SDHelper.dll
info link: http://spybot.eon.net.au/
info source: Patrick M. Kolla
Path: C:\PROGRA~1\SPYBOT~1\
Long name: SDHelper.dll
Short name:
Date (created): 12.05.2004 01:03:00
Date (last access): 04.05.2005 13:07:22
Date (last write): 12.05.2004 01:03:00
Filesize: 744960
Attributes: archive
MD5: ABF5BA518C6A5ED104496FF42D19AD88
CRC32: 5587736E
Version: 0.1.0.3

--- ActiveX list ---
{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object)
DPF name:
CLSID name: QuickTime Object
description: Apple Quicktime
classification: Legitimate
known filename: QTPLUGIN.OCX
info link:
info source: Patrick M. Kolla
Path: C:\Programme\QuickTime\
Long name: QTPlugin.ocx
Short name:
Date (created): 12.12.2004 17:09:52
Date (last access): 04.05.2005 13:06:56
Date (last write): 12.12.2004 17:14:40
Filesize: 360504
Attributes: archive
MD5: F88CD154B9627646E9DDA1679155E4E3
CRC32: 5B04FF79
Version: 0.6.0.5

{6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class)
DPF name:
CLSID name: WUWebControl Class
Path: C:\WINDOWS\System32\
Long name: wuweb.dll
Short name:
Date (created): 03.08.2004 14:59:06
Date (last access): 04.05.2005 11:00:02
Date (last write): 03.08.2004 14:59:06
Filesize: 120288
Attributes: archive
MD5: 0CD6248038C70B4C688DBD315D90A97A
CRC32: 0EF7DE01
Version: 0.5.0.4

{8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2)
DPF name: Java Runtime Environment 1.4.2
CLSID name: Java Plug-in 1.4.2_06
description: Sun Java
classification: Legitimate
known filename: %PROGRAM FILES%\JabaSoft\JRE\*\Bin\npjava131.dll
info link:
info source: Patrick M. Kolla
Path: C:\Programme\Java\j2re1.4.2_06\bin\
Long name: NPJPI142_06.dll
Short name: NPJPI1~1.DLL
Date (created): 28.09.2004 21:26:10
Date (last access): 04.05.2005 10:21:46
Date (last write): 28.09.2004 21:26:00
Filesize: 65650
Attributes: archive
MD5: 69E5147BA901A9238C4EB08C84E1A85B
CRC32: 6CB34BCC
Version: 0.1.0.4

{CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA} (Java Runtime Environment 1.4.2)
DPF name: Java Runtime Environment 1.4.2
CLSID name: Java Plug-in 1.4.2_06
Path: C:\Programme\Java\j2re1.4.2_06\bin\
Long name: NPJPI142_06.dll
Short name: NPJPI1~1.DLL
Date (created): 28.09.2004 21:26:10
Date (last access): 04.05.2005 13:38:02
Date (last write): 28.09.2004 21:26:00
Filesize: 65650
Attributes: archive
MD5: 69E5147BA901A9238C4EB08C84E1A85B
CRC32: 6CB34BCC
Version: 0.1.0.4

{D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object)
DPF name:
CLSID name: Shockwave Flash Object
description: Macromedia Shockwave Flash Player
classification: Legitimate
known filename:
info link:
info source: Patrick M. Kolla
Path: C:\WINDOWS\system32\macromed\flash\
Long name: Flash.ocx
Short name:
Date (created): 09.06.2004 16:59:26
Date (last access): 04.05.2005 10:58:06
Date (last write): 09.06.2004 16:59:26
Filesize: 939224
Attributes: archive
MD5: FC3E17E12C2E31FAC34B416B3DAB829F
CRC32: D1CF3A57
Version: 0.7.0.0



--- Process list ---
Spybot - Search && Destroy process list report, 04.05.2005 13:38:00

PID: 0 ( 0) [System]
PID: 4 ( 0) System
PID: 164 ( 4) \SystemRoot\System32\smss.exe
PID: 212 ( 164) csrss.exe
PID: 236 ( 164) \??\C:\WINDOWS\system32\winlogon.exe
PID: 280 ( 236) C:\WINDOWS\system32\services.exe
PID: 292 ( 236) C:\WINDOWS\system32\lsass.exe
PID: 440 ( 280) C:\WINDOWS\system32\svchost.exe
PID: 484 ( 280) svchost.exe
PID: 548 ( 280) C:\WINDOWS\system32\svchost.exe
PID: 756 ( 736) C:\WINDOWS\Explorer.EXE
PID: 1084 ( 756) C:\Programme\Spybot - Search & Destroy\SpybotSD.exe

--- Browser start & search pages list ---
Spybot - Search && Destroy browser pages report, 04.05.2005 13:38:00

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page
C:\WINDOWS\system32\blank.htm
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page
http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Bar
http://www.t-online.de/software/ie401/search.htm
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
http://www.ebay.de/
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page
%SystemRoot%\system32\blank.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page
http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page
http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
http://www.t-online.de
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant
http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm


--- Winsock Layered Service Provider list ---
Protocol 0: MSAFD Tcpip [TCP/IP]
GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP IP protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD Tcpip •

Protocol 1: MSAFD Tcpip [UDP/IP]
GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP IP protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD Tcpip •

Protocol 2: MSAFD Tcpip [RAW/IP]
GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP IP protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD Tcpip •

Protocol 3: RSVP UDP Service Provider
GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A}
Filename: %SystemRoot%\system32\rsvpsp.dll
Description: Microsoft Windows NT/2k/XP RVSP
DB filename: %SystemRoot%\system32\rsvpsp.dll
DB protocol: RSVP * Service Provider

Protocol 4: RSVP TCP Service Provider
GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A}
Filename: %SystemRoot%\system32\rsvpsp.dll
Description: Microsoft Windows NT/2k/XP RVSP
DB filename: %SystemRoot%\system32\rsvpsp.dll
DB protocol: RSVP * Service Provider

Protocol 5: MSAFD NetBIOS [\Device\NetBT_Tcpip_{60722111-3ACA-4717-9390-BA0A40DEEC53}] SEQPACKET 0
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 6: MSAFD NetBIOS [\Device\NetBT_Tcpip_{60722111-3ACA-4717-9390-BA0A40DEEC53}] DATAGRAM 0
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 7: MSAFD NetBIOS [\Device\NetBT_Tcpip_{7EAA289A-EFD1-4720-A19F-C5419F3EE1AD}] SEQPACKET 1
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 8: MSAFD NetBIOS [\Device\NetBT_Tcpip_{7EAA289A-EFD1-4720-A19F-C5419F3EE1AD}] DATAGRAM 1
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 9: MSAFD NetBIOS [\Device\NetBT_Tcpip_{F157C5D6-5807-4F87-9A44-89D90DF4BAEF}] SEQPACKET 2
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 10: MSAFD NetBIOS [\Device\NetBT_Tcpip_{F157C5D6-5807-4F87-9A44-89D90DF4BAEF}] DATAGRAM 2
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 11: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2555FC2C-C407-485B-B03D-00CEA952A8CD}] SEQPACKET 3
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 12: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2555FC2C-C407-485B-B03D-00CEA952A8CD}] DATAGRAM 3
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 13: MSAFD NetBIOS [\Device\NetBT_Tcpip_{50D95A0E-6C5F-4142-ACA9-AE4049DC71C6}] SEQPACKET 4
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 14: MSAFD NetBIOS [\Device\NetBT_Tcpip_{50D95A0E-6C5F-4142-ACA9-AE4049DC71C6}] DATAGRAM 4
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Namespace Provider 0: TCP/IP
GUID: {22059D40-7E9E-11CF-AE5A-00AA00A7112B}
Filename: %SystemRoot%\System32\mswsock.dll
Description: Microsoft Windows NT/2k/XP TCP/IP name space provider
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: TCP/IP

Namespace Provider 1: NTDS
GUID: {3B2637EE-E580-11CF-A555-00C04FD8D4AC}
Filename: %SystemRoot%\System32\winrnr.dll
Description: Microsoft Windows NT/2k/XP name space provider
DB filename: %SystemRoot%\system32\winrnr.dll
DB protocol: NTDS

Namespace Provider 2: NLA-Namespace
GUID: {6642243A-3BA8-4AA6-BAA5-2E0BD71FDD83}
Filename: %SystemRoot%\System32\mswsock.dll
Description: Microsoft Windows NT/2k/XP name space provider
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: NLA-Namespace


und hier der Logfile vom Higjackthis
Logfile of HijackThis v1.99.1
Scan saved at 19:00:14, on 04.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-DSL Business\bolog.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\Dit.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\T-DSL Business\BODialer.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BusinessOnline Log] "C:\Programme\T-DSL Business\bolog.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [ABBYY Community Agent] C:\Programme\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102701449809
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Sodele, das wars jetzt erst mal...
Sue

#10 So, das hast Du bisher schon einmal gut gemacht!

Ein paar Fragen hätte ich allerdings noch, bevor wir weitermachen:
1. Hat Kaspersky noch etwas gefunden?
2. Spybot konnte Backweb wieder nicht fixen, ja?
3. Welche Spybot S&D Version benutzt Du?
4. Haben AdAware, CWShredder und F-Secure Blacklight irgend etwas gefunden?
5. Hast Du Probleme mit Werbe-Popups oder drgl.?

Deinstalliere Kaspersky wieder. Entweder über den im Programm enthaltenen Unistaller oder über Start => Einstellungen => Systemsteuerung => Software

Aktiviere die XP-Systemwiederherstellung wieder!

Dein Log ist sauber wie mit Persil (oder jedes andere Waschmittel, möchte keine Schleichwerbung machen) gewaschene Bettwäsche!

Öffne den Taskmanager (Ctrl+Alt+Del) und gehe auf "Prozesse". Klicke auf die Spaltenüberschrift "Prozess", dann werden die Prozesse alphabetisch geordnet. Suche, ob Du backweb.exe und/oder DLGLI.EXE findest.
Durchsuche das Laufwerk C: mit dem Win-Explorer nach Iadhide3.dll. Ist die Datei vorhanden?

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#11 Hallo,

Kaspersky hat nichts mehr gefunden.
Spybot (Version 1.3) konnte Backweb Lite wieder nicht fixen :-(
restlichen Programme finden auch nichts
keine Probleme mit Werbebotschaften oder sonstigem

Im Taksmanager finde ich kein backweb.exe und auch kein DLGLI.exe.
Iadhide3.dll ist auch nicht auf Laufwerk C: zu finden.

DANKE für deine Hilfe!

Sue

#12 OK.
dann ist Backweb Lite nicht mehr aktiv auf Deinem System. Lediglich die beiden Registry-Einträge sind noch vorhanden. Spybot S&D 1.3x kann diese offensichtlich nicht löschen. Möglicherweise funktioniert es mit der Version 1.4 RC2, die Du Dir hier herunter laden kannst
http://forums.net-integration.net/index.php?showtopic=25574
Ist eine Vorabversion der neuen 1.4 Version, d.h. sie ist noch nicht vollständig getestet und die Benutzung geschieht auf eigene Gefahr. Wurde mir vom Spybot S&D Team empfohlen. Scanne mit dieser Version noch mal Deinen Rechner und fixe die gefundenen Einträge. Dann nochmals scannen, um zu sehen, ob die Einträge gefixt wurden.

Du kannst aber auch, wenn Du Dir es zutraust, die Registry-Einträge manuell löschen.

Erstelle einen Wiederherstellungspunkt über Programme => Zubehör => Systemwiederherstellung und mache
Start => Ausführen => in das Fenster "regedit" (ohne die Anführungszeichen) eingeben => OK, dann öffnet sich der Registry-Editor. Navigiere zu
HKEY_USERS\S-1-5-18\Software\
HKEY_USERS\.DEFAULT\Software\
und lösche jeweils den BackWeb-Eintrag mit Rechtsklick => löschen
Schließe den Editor. Das war's

Alternativ kannst Du auch Surfspuren, Temp-Dateien und die Registry bereinigen mit dem CCleaner
http://www.ccleaner.com/ccdownload.asp

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#13 Hallo Heron,

sodele, die Version 1.4 RC2 von Spybot konnte den Backweb Lite Eintrag löschen!!!!!!! Jippiee!!

Vielen, vielen Dank
Sue

#14

Zitat

Heron postete
So, das hast Du bisher schon einmal gut gemacht!

Ein paar Fragen hätte ich allerdings noch, bevor wir weitermachen:
1. Hat Kaspersky noch etwas gefunden?
2. Spybot konnte Backweb wieder nicht fixen, ja?
3. Welche Spybot S&D Version benutzt Du?
4. Haben AdAware, CWShredder und F-Secure Blacklight irgend etwas gefunden?
5. Hast Du Probleme mit Werbe-Popups oder drgl.?

Deinstalliere Kaspersky wieder. Entweder über den im Programm enthaltenen Unistaller oder über Start => Einstellungen => Systemsteuerung => Software

Aktiviere die XP-Systemwiederherstellung wieder!

Dein Log ist sauber wie mit Persil (oder jedes andere Waschmittel, möchte keine Schleichwerbung machen) gewaschene Bettwäsche!

Öffne den Taskmanager (Ctrl+Alt+Del) und gehe auf "Prozesse". Klicke auf die Spaltenüberschrift "Prozess", dann werden die Prozesse alphabetisch geordnet. Suche, ob Du backweb.exe und/oder DLGLI.EXE findest.
Durchsuche das Laufwerk C: mit dem Win-Explorer nach Iadhide3.dll. Ist die Datei vorhanden?

Gruß
Heron

Hallo erstmal!
Ich hab das selbe Problem wie Sue.
Ich habe c: nach der Iadhide3.dll dursucht und gefunden, was soll ich jetz damit machen?

achja, ich hab grade noch gelesen dass f-secure ein teil hat der backweb heißt und zuständig für das automatische antivirenupdate ist. spybot aber keinen unterschied zwischen backweb und backweb lite macht, sprich: dass backweb als backweb lite angezeigt wird... woher weiß ich jetz ob es das "böse" backweb lite is oder das "gute" backweb von f-secure dass nur falsch angezeigt wird?
achja un ich benutze f-secure antivirus

danke im Vorraus
Rüdi