spybot und immer wieder kehrende problem |
||
---|---|---|
#0
| ||
08.07.2005, 18:31
Member
Themenstarter Beiträge: 66 |
||
|
||
08.07.2005, 19:12
Member
Beiträge: 1132 |
#32
Du musst im Win Explorer folgende Einstellungen vornehmen, damit Du alle Dateien sehen kannst:
Extras => Ordneroptionen => Ansicht. Dort dann das Häkchen bei "Geschützte und Systemddateien ausblenden" entfernen und weiter unten "Alle Dateien anzeigen" markieren. Dann noch mal suchen. Suche nacheinander mit dem RegSearch-Tool zuerst {9f95f736-0f62-4214-a4b4-caa6738d4c07} und dann {558ec983-bedb-9168-b2de-31dbf0ee543e} Poste die Ergebnisse. Wenn Du ein weiteres Antispy-Tool benutzen willst, dann versuche das mal Microsoft Antispy http://www.microsoft.com/athome/security/spyware/software/default.mspx Poste ein aktuelles HJT Log. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
08.07.2005, 19:58
Member
Themenstarter Beiträge: 66 |
#33
Suche nacheinander mit dem RegSearch-Tool zuerst
{9f95f736-0f62-4214-a4b4-caa6738d4c07} hier : REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "{9f95f736-0f62-4214-a4b4-caa6738d4c07}" 08.07.2005 19:58:13 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9F95F736-0F62-4214-A4B4-CAA6738D4C07}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9F95F736-0F62-4214-A4B4-CAA6738D4C07}\ProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9F95F736-0F62-4214-A4B4-CAA6738D4C07}\Programmable] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9F95F736-0F62-4214-A4B4-CAA6738D4C07}\TypeLib] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9F95F736-0F62-4214-A4B4-CAA6738D4C07}\VersionIndependentProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RunMSC.Loader\CLSID] @="{9F95F736-0F62-4214-A4B4-CAA6738D4C07}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RunMSC.Loader.1\CLSID] @="{9F95F736-0F62-4214-A4B4-CAA6738D4C07}" [HKEY_USERS\S-1-5-21-2021467631-2008841466-3176870894-1006\Software\Microsoft\Search Assistant\ACMru\5603] "001"="{9f95f736-0f62-4214-a4b4-caa6738d4c07}" dann zu {558ec983-bedb-9168-b2de-31dbf0ee543e} Poste die Ergebnisse. REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "{558ec983-bedb-9168-b2de-31dbf0ee543e}" 08.07.2005 20:00:18 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}\InProcServer32] [HKEY_USERS\S-1-5-21-2021467631-2008841466-3176870894-1006\Software\Microsoft\Search Assistant\ACMru\5603] "000"="{558ec983-bedb-9168-b2de-31dbf0ee543e}" --------------------------------------------------------------------------- *das aktuelle logfile lautet wie folgt* Logfile of HijackThis v1.99.1 Scan saved at 20:01:36, on 08.07.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\alg.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Spyware Doctor\swdoctor.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\WinRAR\WinRAR.exe C:\WINDOWS\System32\WScript.exe C:\Programme\Windows NT\Zubehör\WORDPAD.EXE C:\WINDOWS\System32\WScript.exe C:\Programme\Windows NT\Zubehör\WORDPAD.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\MANDYU~1\LOKALE~1\Temp\Rar$EX00.328\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/26967d424b68a9bb1a23/netzip/RdxIE601_de.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{031CF1C5-CD1B-469D-8DC3-C6AEEC4DF29B}: NameServer = 217.237.149.161 217.237.151.225 O17 - HKLM\System\CS1\Services\Tcpip\..\{031CF1C5-CD1B-469D-8DC3-C6AEEC4DF29B}: NameServer = 217.237.149.161 217.237.151.225 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe __________ *cremo* |
|
|
||
08.07.2005, 20:33
Member
Beiträge: 1132 |
#34
Das Log ist sauber.
BearShare ist offenbar nicht aktiv. Was ist mit waol.exe? Suche, ob Du den Ordner C:\Program Files\Bearshare findest. Wenn ja, dann löschen. Danach CCleaner öffner => auf den Reiter Probleme klicken => "nach Fehlern suchen" drücken. Nach abgeschlossenem Scan => "Probleme beheben" drücken und wenn Du nach einer Sicherung gefragt wirst, dann mit "ja" antworten. Anschließend noch mal nach den beiden Registryschlüsseln suchen, ob CCleaner sie gelöscht hat. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
09.07.2005, 10:54
Member
Themenstarter Beiträge: 66 |
#35
also auch den ordner von bearshare habe ich nicht finden können und waol.exe immer noch icht, allerdings habe ich generell einen ordner unter c gefunden der AOL heiß, hat das damit schon was zu tun?
__________ *cremo* |
|
|
||
09.07.2005, 11:41
Member
Beiträge: 1132 |
#36
Suche mal auf dem gesamten Laufwerk nach bearshare.
Benutze das Regsearch-Tool und suche nach "waol". Poste das Ergebnis. Schau mal in den AOL-Ordner rein, ob der leer ist, und, wenn Du AOL sowieso nicht nutzt, dann kannst Du den auch löschen. Hast Du die Registry mit CCleaner bereinigt? Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
09.07.2005, 16:12
Member
Themenstarter Beiträge: 66 |
#37
mit bearsahre konnte ich allerdings immer noch nichts finden, sollte ich das auch mal über den regsearch-tool probieren oder bringt das nichts?
den aol-ordner habe ich gefunden also nun löschen? (möcht da nur auf nummer sicher gehen deshalb auch nochmal die nachfrage) habe diesen über den ordner "anwendungsdaten" (der ist auch nicht normal gelb gefärbt, sondern so hell gelb, (sind zum bespiel auch ordner vorhanden wie "adobe") gefunden ...................................................................................................... hier das ergebnis vom regsearch-tool mit der suche nach waol REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "waol" 09.07.2005 16:09:16 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\Waol.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{340B3522-216C-11D2-997F-0060B0A18829}] @="Waol" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MediaPlayer\ShimInclusionList\WAOL.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\ExclusionList] "waol.exe"=dword:00000001 den cleaner habe ich auch nochmal angewendet __________ *cremo* |
|
|
||
09.07.2005, 16:27
Member
Beiträge: 1132 |
#38
Das sind wohl alles Registry-Leichen von früher einmal installierten Programmen. Sollten eigentlich von CCleaner bereinigt werden. Die manuelle Reinigung ist für jemanden wie Dich mit wenig Erfahrung zu riskant. Du könntest Dir die Registry zerschießen.
Du kannst auch noch versuchen, mit dem RegSeeker Deine Registry zu bereinigen RegSeeker http://www.chip.de/downloads/c_downloads_10786291.html Der Ordner "Anwendungsdaten" ist ein Unterordner des Benutzerkontos, das gerade aktiv ist. Er enthält installierte Programme. Der AOL-Ordner stört eigentlich nicht. Aber Du kannst ihn löschen, wenn das Programm (AOL) deinstalliert, d.h. nicht mehr in Systemsteuerung/Software zu sehen ist. Ansonsten ist, wie gesagt, Dein HJT Log sauber. Wenn Dir der PC keine Probleme mehr macht, dann war's das. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 09.07.2005 um 16:29 Uhr von Heron editiert.
|
|
|
||
09.07.2005, 16:44
Member
Themenstarter Beiträge: 66 |
#39
danke für deine so viele mühe um das ganze, habe nun auch nochmal ein update gemacht bei spybot und durchlaufen lassen und er hat nix angezeigt, auch nicht mediaplex, denke auch das es nun bereinigt ist.
VIELEN LIEBEN DANK FÜR ALLES, bin dir wirklich für die hilfe sehr sehr dankbar, vor allem weils ja doch ein wenig gedauert hat lieben gruß, cremo __________ *cremo* |
|
|
||
und "bearshare" war in der systemsteuerung unter software auch nicht mehr zu finden, was kann ich jetzt machen?
__________
*cremo*