spybot und immer wieder kehrende problem

#0
08.07.2005, 18:31
Member

Themenstarter

Beiträge: 66
#31 habe nun das komplette laufwerk nach dieser datei durchsucht und es liegen keine ergebnisse vor! (habe extra eingegeben waol.exe )

und "bearshare" war in der systemsteuerung unter software auch nicht mehr zu finden, was kann ich jetzt machen?
__________
*cremo*
Seitenanfang Seitenende
08.07.2005, 19:12
Member

Beiträge: 1132
#32 Du musst im Win Explorer folgende Einstellungen vornehmen, damit Du alle Dateien sehen kannst:
Extras => Ordneroptionen => Ansicht. Dort dann das Häkchen bei "Geschützte und Systemddateien ausblenden" entfernen und weiter unten "Alle Dateien anzeigen" markieren. Dann noch mal suchen.

Suche nacheinander mit dem RegSearch-Tool zuerst
{9f95f736-0f62-4214-a4b4-caa6738d4c07}
und dann
{558ec983-bedb-9168-b2de-31dbf0ee543e}
Poste die Ergebnisse.

Wenn Du ein weiteres Antispy-Tool benutzen willst, dann versuche das mal
Microsoft Antispy
http://www.microsoft.com/athome/security/spyware/software/default.mspx

Poste ein aktuelles HJT Log.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
08.07.2005, 19:58
Member

Themenstarter

Beiträge: 66
#33 Suche nacheinander mit dem RegSearch-Tool zuerst
{9f95f736-0f62-4214-a4b4-caa6738d4c07} hier :

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "{9f95f736-0f62-4214-a4b4-caa6738d4c07}" 08.07.2005 19:58:13

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9F95F736-0F62-4214-A4B4-CAA6738D4C07}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9F95F736-0F62-4214-A4B4-CAA6738D4C07}\ProgID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9F95F736-0F62-4214-A4B4-CAA6738D4C07}\Programmable]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9F95F736-0F62-4214-A4B4-CAA6738D4C07}\TypeLib]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9F95F736-0F62-4214-A4B4-CAA6738D4C07}\VersionIndependentProgID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RunMSC.Loader\CLSID]
@="{9F95F736-0F62-4214-A4B4-CAA6738D4C07}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RunMSC.Loader.1\CLSID]
@="{9F95F736-0F62-4214-A4B4-CAA6738D4C07}"

[HKEY_USERS\S-1-5-21-2021467631-2008841466-3176870894-1006\Software\Microsoft\Search Assistant\ACMru\5603]
"001"="{9f95f736-0f62-4214-a4b4-caa6738d4c07}"

dann zu
{558ec983-bedb-9168-b2de-31dbf0ee543e}
Poste die Ergebnisse.

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "{558ec983-bedb-9168-b2de-31dbf0ee543e}" 08.07.2005 20:00:18

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}\InProcServer32]

[HKEY_USERS\S-1-5-21-2021467631-2008841466-3176870894-1006\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="{558ec983-bedb-9168-b2de-31dbf0ee543e}"
---------------------------------------------------------------------------

*das aktuelle logfile lautet wie folgt*

Logfile of HijackThis v1.99.1
Scan saved at 20:01:36, on 08.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\WINDOWS\System32\WScript.exe
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
C:\WINDOWS\System32\WScript.exe
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\MANDYU~1\LOKALE~1\Temp\Rar$EX00.328\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/26967d424b68a9bb1a23/netzip/RdxIE601_de.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{031CF1C5-CD1B-469D-8DC3-C6AEEC4DF29B}: NameServer = 217.237.149.161 217.237.151.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{031CF1C5-CD1B-469D-8DC3-C6AEEC4DF29B}: NameServer = 217.237.149.161 217.237.151.225
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
__________
*cremo*
Seitenanfang Seitenende
08.07.2005, 20:33
Member

Beiträge: 1132
#34 Das Log ist sauber.
BearShare ist offenbar nicht aktiv. Was ist mit waol.exe?

Suche, ob Du den Ordner C:\Program Files\Bearshare findest. Wenn ja, dann löschen. Danach CCleaner öffner => auf den Reiter Probleme klicken => "nach Fehlern suchen" drücken. Nach abgeschlossenem Scan => "Probleme beheben" drücken und wenn Du nach einer Sicherung gefragt wirst, dann mit "ja" antworten.
Anschließend noch mal nach den beiden Registryschlüsseln suchen, ob CCleaner sie gelöscht hat.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
09.07.2005, 10:54
Member

Themenstarter

Beiträge: 66
#35 also auch den ordner von bearshare habe ich nicht finden können und waol.exe immer noch icht, allerdings habe ich generell einen ordner unter c gefunden der AOL heiß, hat das damit schon was zu tun?
__________
*cremo*
Seitenanfang Seitenende
09.07.2005, 11:41
Member

Beiträge: 1132
#36 Suche mal auf dem gesamten Laufwerk nach bearshare.

Benutze das Regsearch-Tool und suche nach "waol". Poste das Ergebnis. Schau mal in den AOL-Ordner rein, ob der leer ist, und, wenn Du AOL sowieso nicht nutzt, dann kannst Du den auch löschen.

Hast Du die Registry mit CCleaner bereinigt?

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
09.07.2005, 16:12
Member

Themenstarter

Beiträge: 66
#37 mit bearsahre konnte ich allerdings immer noch nichts finden, sollte ich das auch mal über den regsearch-tool probieren oder bringt das nichts?

den aol-ordner habe ich gefunden also nun löschen?
(möcht da nur auf nummer sicher gehen deshalb auch nochmal die nachfrage)
habe diesen über den ordner "anwendungsdaten" (der ist auch nicht normal gelb gefärbt, sondern so hell gelb, (sind zum bespiel auch ordner vorhanden wie "adobe") gefunden

......................................................................................................
hier das ergebnis vom regsearch-tool mit der suche nach waol

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "waol" 09.07.2005 16:09:16

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\Waol.EXE]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{340B3522-216C-11D2-997F-0060B0A18829}]
@="Waol"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MediaPlayer\ShimInclusionList\WAOL.EXE]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\ExclusionList]
"waol.exe"=dword:00000001


den cleaner habe ich auch nochmal angewendet
__________
*cremo*
Seitenanfang Seitenende
09.07.2005, 16:27
Member

Beiträge: 1132
#38 Das sind wohl alles Registry-Leichen von früher einmal installierten Programmen. Sollten eigentlich von CCleaner bereinigt werden. Die manuelle Reinigung ist für jemanden wie Dich mit wenig Erfahrung zu riskant. Du könntest Dir die Registry zerschießen.
Du kannst auch noch versuchen, mit dem RegSeeker Deine Registry zu bereinigen
RegSeeker
http://www.chip.de/downloads/c_downloads_10786291.html

Der Ordner "Anwendungsdaten" ist ein Unterordner des Benutzerkontos, das gerade aktiv ist. Er enthält installierte Programme. Der AOL-Ordner stört eigentlich nicht. Aber Du kannst ihn löschen, wenn das Programm (AOL) deinstalliert, d.h. nicht mehr in Systemsteuerung/Software zu sehen ist.

Ansonsten ist, wie gesagt, Dein HJT Log sauber. Wenn Dir der PC keine Probleme mehr macht, dann war's das.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 09.07.2005 um 16:29 Uhr von Heron editiert.
Seitenanfang Seitenende
09.07.2005, 16:44
Member

Themenstarter

Beiträge: 66
#39 danke für deine so viele mühe um das ganze, habe nun auch nochmal ein update gemacht bei spybot und durchlaufen lassen und er hat nix angezeigt, auch nicht mediaplex, denke auch das es nun bereinigt ist.

VIELEN LIEBEN DANK FÜR ALLES, bin dir wirklich für die hilfe sehr sehr dankbar, vor allem weils ja doch ein wenig gedauert hat

lieben gruß, cremo
__________
*cremo*
Seitenanfang Seitenende