DoubleClick, MediaPlex, Avenue A. Inc.

#16 Lösche die Schlüssel im linken Fenster
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\uninstall\sw
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\uninstall\se
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\uninstall\hsa

Poste das Log von DllCompare und von RKfiles.

XoftSpy Reinigungstool
http://labs.paretologic.com/spyware.aspx?remove=SaveNow
Download ganz unten auf der Seite "Remove Savenow for me". Scanne Dein System damit.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#17 Lösche die Schlüssel im linken Fenster
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\uninstall\sw
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\uninstall\se
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\uninstall\hsa

auf der linken seite zeigt er allerdings keine der dateien an
-----------------------------------------------------------------------------
LOGFILE von DllCompare

* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

O^E says: "There were no files found "
________________________________________________

1.242 items found: 1.242 files, 0 directories.
Total of file sizes: 254.919.441 bytes 243,11 M

Administrator Account = True

--------------------End log---------------------

LOGFILE RKfiles folgt gleich muss den noch eben machen

so da zeigt er immer an das er den aktuellen pfad der datei nicht finden kann,

bekomme jetzt auch am anfang wenn ich den pc hochfahre eine fehlermeldung, habe sie jetzt allerdings nicht genau aufgechrieben, beinhaltet was das nun keine activen steuerelemente verfügbar sind oder so, aber das könnt man ja hoffe ich mal im anschluß klären und erst eins nach dem anderen machen, habe die datei von rk files in einen leeren ordner entpackt und anschließend öffnete sich auch das DOS fenster allerdings ja mit der fehlermeldung

======================================================

bei dem scan zeigt er folgendes an

SaveNow Registry Key Adware und dann nen langen pfad:
software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}

W32.Xabot.Worm Registry Key Worm
software\microsoft\windows\currentversion\run-

Sober.S File Worm \adcmmmmq.hjg
Sober.S File Worm \nonrunso.ber
Sober.S File Worm \xcvfpokd.tqa
(alle Sober.S im System 32)

Tracking Cookie File unter cookies/mandy und günni @minor annoyance
Tracking Cookie File unter cookies/mandy und günni @minor annoyance
Tracking Cookie File unter cookies/mandy und günni @minor annoyance
__________
*cremo*

#18

Zitat

bei dem scan zeigt er folgendes an

Wer?? Falls Du RKfiles meinst, dann gehe mal in den Ordner, in den Du das Programm entpackt hast, und suche nach einer log.txt . Doppelklicken und den Inhalt des Texteditors posten!

Wie lautet die genaue Fehlermeldung?

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#19 genau meine die von rk

er öffnet ja dieses dos fenster (schwarzer hintergrund)
als überschrift steht c:\windows\system32\cmd.exe in dem schwarzen feld steht folgendes:

1 Datei kopiert
Das System kann den angegebenen Pfad nicht finden.
0 Datein kopiert.
1 Datein kopiert.
Please wait until this Dos windows closes...post the contents of c:\log.tx
Checking system folder.....

------------------------------------------------------------------
dachte auch das ich dann irgendwo diesen log ja finden muss wie bei den anderen auch, kann ich aber nicht, habe bestimmt was dabei nicht richtig gemacht aber so schwer war es ja eigentlich nicht, weiß aber den fehler nicht oder war das schon der logfile? nein oder?
__________
*cremo*

#20 Nein! Logfile auf C:\log.txt also im Hauptverzeichnis. Schaue da mal nach.
War ein Fehler in der Beschreibung.
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#21 C:\Dokumente und Einstellungen\Mandy und G�nni\Desktop\RK_Files

mehr stand da leider nicht!
__________
*cremo*

#22 Gehe mit dem WinExplorer auf C:\ (Lokaler Datenträger C: ) und dann im rechten Fenster die log.txt Datei suchen.
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#23 also was anderes konnte ich nicht finden, habs trotzdem mal gepostet weil die datei auch von heute abend ist, aber glaube nicht das es die ist, was anderes gab es nicht

Service Pack 2 7 12 2005 20:05:43.500
Treiber geladen \WINDOWS\system32\ntoskrnl.exe
Treiber geladen \WINDOWS\system32\hal.dll
Treiber geladen \WINDOWS\system32\KDCOM.DLL
Treiber geladen \WINDOWS\system32\BOOTVID.dll
Treiber geladen ACPI.sys
Treiber geladen \WINDOWS\System32\DRIVERS\WMILIB.SYS
Treiber geladen pci.sys
Treiber geladen isapnp.sys
Treiber geladen pciide.sys
Treiber geladen \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
Treiber geladen intelide.sys
Treiber geladen MountMgr.sys
Treiber geladen ftdisk.sys
Treiber geladen PartMgr.sys

======================================================
muss ich eigentlich bei dem scan den ich gemacht habe noch etwas weiteres machen habe das bis jetzt noch offen stehen lassen
__________
*cremo*

#24 Irgendwie kommen wir nicht mehr weiter!
Hast Du den Scan im abgesicherten Modus gemacht?

Falls die bruchstückhaften Angeben von Dir über den Scan stimmen, dann hattest Du ja offenbar noch mehr Probleme auf dem Rechner bevor Du das erste HJT log in dem ursprünglichen Thread gepostet hast. Stimmt's?

Wenn Du es weiterhin nicht hinbringst, den Scan mit RKfiles zu machen und das Log zu posten, dann kann ich Dir nur noch vorschlagen, verschiedene Online-Scanns zu machen und alle Funde mit der Killbox zu löschen.
Anleitung dazu
http://virus-protect.org/onlinescan.html

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#25 ich habe alles soweit gescannt und auch im abgesicherten modus und die datei vorher aber im normalen modus enpackt.

bevor ich das gepostet hab, hatte ich schonmal schwieirgkeiten mit dem pc das stimmt, da hatte ich dieses dso-exploit auf dem pc, dachte auch das wäre nun alles in ordnung weil ich ursprünglich zwar immer wieder mall diese probleme bei spybot angezeigt bekommen habe, mir aber mittlerweile gedacht habe, das es nicht sein kann, das es immer wieder die gleichen fehlermeldungen sind die dort auftauchen und deswegen hab ich ja auch gepostet, da ich in dem sinne ja keine probleme habe aber ich ja nun weiß das was nichti n ordnung ist.

ich werde das trotzdem nochmal neu runterladen mit rkfiles, weil irgendwie muss das ja gehen!

ich bin ja wirklich nicht jemand der aufgibt, habe es jetzt nochmal im abgesicherten modus probiert, vorher nochmal neu runtergeladen die datei und immer noch das gleiche, allerdings liegt der fehler wohl darin, das dos fenster schließt sich nicht von alleine, ich habe das selbst zu gemacht, wie lange wird sowas dauern können, länger als 15 minuten? aber ich glaub weil er ja schon immer anzeigt das der pfad nicht bekannt ist, das da nix passieren wird, oder?

jezt bin ich echt verzweifelt, weil ich möchte doch einfach nur das der pc wieder in ordnung ist :-(
__________
*cremo*

#26

Zitat

allerdings liegt der fehler wohl darin, das dos fenster schließt sich nicht von alleine, ich habe das selbst zu gemacht, wie lange wird sowas dauern können, länger als 15 minuten?

Aha, da liegt der Knackpunkt. Du musst warten bis das DOS-Fenster sich selbständig schließt, sonst wird kein Log erstellt. Ja, das kann ziemlich lange dauern. Deshalb Geduld und Spucke ...

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#27 dso-exploit fehler? Dass gab es doch nur in Spybot rev:1.3 es gibt jetzt 1.4
http://www.majorgeeks.com/SpyBot-Search_&_Destroy_d2471.html
__________
MfG Argus

#28 das bezog sich ja auch auf hatte mit dem dso-exploit!!! @arnold

hallo heron,

hier das logfile von rkfiles, vielen dank schonmal, mehr stand in dem logfile allerdings nicht, dafür hat sich das dos fenster von alleine geschlossen, habs gleich heute früh durchlaufen lassen, liebe grüße, cremo

LOGFILE:
========

C:\Dokumente und Einstellungen\Mandy und G�nni\Desktop\RK_Files

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

Files Found in all users startup Folder............
------------------------
Files Found in all users windows Folder............
------------------------
Finished
bye
__________
*cremo*

#29 Na siehste, geht doch!
Das Tool zeigt nichts an (prima). Es wäre gut, wenn Du abschließend noch einen Onlinescan mit Panda machen könntest.
http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm

Wichtig dabei ist, dass Du den InternetExplorer (nicht den T-Online-Explorer nimmst) und dass Du Pandasoftware in die "vertraute Zone" des Explorers aufnimmst. Dann können die benötigten ActiveX-Elemente downgeloaded werden.
IE-Symbol auf dem Desktop rechtsklicken => Eigenschafte => Reiter "Sicherheit" => "Vertraute Sites" => "Sites" => "http://www.pandasoftware.com" eintragen => OK
Wenn Panda nicht funktioniert, dann benutze die anderen auf
http://virus-protect.org/onlinescan.html

Poste das Ergebnis. Mache auch noch mal je einen Scan mit AD-Aware und Spybot und poste das aktuelle HJT-Log.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#30 Hallo Heron,

bei dem Panda Scan hat er nix gefunden da war alles in Ordnung, allerdings bei

AdAware
hat er zwei CriticalObjects angezeit, habe den Log einfach mal abgespeichert, wenn dieser benötigt wird, kann ich den auch gerne einstellen,

Spybot hab ich dann auch durchlaufen lassen und es kam keine Fehlermeldung, war alles in Ordnung.

Hier mein aktuelles Log File

Logfile of HijackThis v1.99.1
Scan saved at 17:35:58, on 13.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\MANDYU~1\LOKALE~1\Temp\Rar$EX00.188\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{031CF1C5-CD1B-469D-8DC3-C6AEEC4DF29B}: NameServer = 217.237.149.161 217.237.151.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{031CF1C5-CD1B-469D-8DC3-C6AEEC4DF29B}: NameServer = 217.237.149.161 217.237.151.225
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

ist nun alles in ordnung?
__________
*cremo*