Home » Viren, Trojaner & Malware Forum » Your personal data successfully tracked! » Themenansicht

Your personal data successfully tracked!
#0
05.10.2005, 00:10
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#31 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
"ForceActiveDesktopOn"=dword:00000001 <---auf 0 stellen

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EB740041-E2A0-4346-A4DF-F2AFF42AB23D} <--loeschen

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
loeschen:
"FriendlyName" = ""
"Source" = "C:\DOKUME~1\STEFFE~1.PRO\LOKALE~1\Temp\bd85153da.html"
"SubscribedURL" = "C:\DOKUME~1\STEFFE~1.PRO\LOKALE~1\Temp\bd85153da.html"

musst du loeschen, in der Registry und auch aus den temporaeren Dateien, dann ist auch das Desktop wieder o.k. ;)
C:\DOKUME~1\STEFFE~1.PRO\LOKALE~1\Temp\bd85153da.html



Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_F3490D74D7CSVR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\f3490d74d7csvr]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_F3490D74D7CSVR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\f3490d74d7csvr]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_F3490D74D7CSVR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\f3490d74d7csvr]
dann den PC neustarten und noch mal scannen mit RegSrch.vbs © Bill James
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.10.2005, 15:35
SteffenK
Member

Beiträge: 32
#32 Hmm, also auf meinem Desktop is immer noch ein Arreal das meinen Hintergrund verdeckt, das Regsearch hat auch schon wieder was gefunden.

C:\DOKUME~1\STEFFE~1.PRO\LOKALE~1\Temp\bd85153da.html

lässt sich nicht löschen, bzw. ist nicht vorhandn, auch nicht mit Killbox. ;)

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "f3490d74d7c.exe" 05.10.2005 15:30:41

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_USERS\S-1-5-21-1409082233-602609370-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Uninstall\{D41D8CD9-8F00-B204-E9800998ECF8427E}]
"UninstallString"="\"C:\\WINDOWS\\System32\\f3490d74d7c.exe\" -un"

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "WindowInstallSystem" 05.10.2005 15:31:41

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_F3490D74D7CSVR\0000]
"DeviceDesc"="WindowInstallSystem"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_F3490D74D7CSVR\0000]
"DeviceDesc"="WindowInstallSystem"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_F3490D74D7CSVR\0000]
"DeviceDesc"="WindowInstallSystem"
Seitenanfang Seitenende
05.10.2005, 20:32
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#33 Start-->Ausfeuhren-->regedit

bearbeiten-->suchen -->

WindowInstallSystem
f3490d74d7c.exe

Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_F3490D74D7CSVR\0000]
"DeviceDesc"="WindowInstallSystem"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_F3490D74D7CSVR\0000]
"DeviceDesc"="WindowInstallSystem"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_F3490D74D7CSVR\0000]
"DeviceDesc"="WindowInstallSystem"

[HKEY_USERS\S-1-5-21-1409082233-602609370-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Uninstall\{D41D8CD9-8F00-B204-E9800998ECF8427E}]
"UninstallString"="\"C:\WINDOWS\\System32\f3490d74d7c.exe\" -un"


PC neustarten

scanne noch mal mit dem reg-Tool, es darf nichts mehr angezeigt werden

-----------------------------------------------------------------------------
gib bitte auch in das Reg-Tool ein:

bd85153da.html

und poste, was angezeigt wird ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.10.2005, 21:40
SteffenK
Member

Beiträge: 32
#34 Hier steht mittlerweile:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_F3490D74D7CSVR\0000]
"DeviceDesc"="f3490d74d7cdrv"



f3490d74d7 taucht ja sowohl in dem Verzeichnis als auch jetzt in dem Schlüssel auf, soll ich mal danach suchen und die Schlüssel oder ordner löschen?!

Das wäre das Scan-Ergebnis von Reg-Search wenn ich nach f3490d74d7 suche:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "f3490d74d7" 05.10.2005 21:40:25

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\f3490d74d7csvr]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\f3490d74d7csvr]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_F3490D74D7CDRV]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_F3490D74D7CDRV\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_F3490D74D7CDRV\0000]
"Service"="f3490d74d7cdrv"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_F3490D74D7CDRV\0000]
"DeviceDesc"="f3490d74d7cdrv"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_F3490D74D7CDRV\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_F3490D74D7CSVR]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_F3490D74D7CSVR\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_F3490D74D7CSVR\0000]
"Service"="f3490d74d7csvr"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\f3490d74d7cdrv]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\f3490d74d7cdrv\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\f3490d74d7cdrv\Enum]
"0"="Root\\LEGACY_F3490D74D7CDRV\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\f3490d74d7csvr]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\f3490d74d7csvr]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_F3490D74D7CDRV]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_F3490D74D7CDRV\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_F3490D74D7CDRV\0000]
"Service"="f3490d74d7cdrv"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_F3490D74D7CDRV\0000]
"DeviceDesc"="f3490d74d7cdrv"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_F3490D74D7CSVR]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_F3490D74D7CSVR\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_F3490D74D7CSVR\0000]
"Service"="f3490d74d7csvr"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\f3490d74d7cdrv]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\f3490d74d7csvr]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\f3490d74d7csvr]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_F3490D74D7CDRV]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_F3490D74D7CDRV\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_F3490D74D7CDRV\0000]
"Service"="f3490d74d7cdrv"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_F3490D74D7CDRV\0000]
"DeviceDesc"="f3490d74d7cdrv"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_F3490D74D7CDRV\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_F3490D74D7CSVR]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_F3490D74D7CSVR\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_F3490D74D7CSVR\0000]
"Service"="f3490d74d7csvr"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\f3490d74d7cdrv]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\f3490d74d7cdrv\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\f3490d74d7cdrv\Enum]
"0"="Root\\LEGACY_F3490D74D7CDRV\\0000"
Seitenanfang Seitenende
06.10.2005, 11:34
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#35 ja, alles weg...alles loeschen ;)

und dann ueberpruefen, ob die f3490d74d7c.exe auch effektiv geloescht ist.

unbedingt loeschen !!!!!!!!!!

C:\WINDOWS\f3490d74d7cdrv.sys
C:\WINDOWS\f3490d74d7c.ini

(die sys hatte ich uebersehen, sorry, aber sie ist der Ausloeser von allem)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.10.2005, 15:18
SteffenK
Member

Beiträge: 32
#36 Alles Gelöscht, trotzdem is das weisse Dings noch da....
Und mein PC braucht von Start zu STart immer länger ;)
Seitenanfang Seitenende
07.10.2005, 01:31
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#37 poste bitte noch mal das log vom Silentrunner , dann ueberpruefe, ob die Schluessel aus der Regirstry wirklich ALLE weg sind und ob C:\WINDOWS\f3490d74d7cdrv.sys wirklich geloescht ist.

rechtsklick auf das Desktop-->Eigenschaften-->Desktop (oder Bildschirm in Deutsch)--> unten-->Eigenschaften vom Desktop (?)-->web-->dort nimm das Haekchen raus, falls eins gesetzt ist.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.10.2005, 07:07
SteffenK
Member

Beiträge: 32
#38 Okay, weisses Bobbel aufm Desktop ist weg ;)

"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"WinampAgent" = ""C:\Programme\Winamp\Winampa.exe"" [null data]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_04\bin\jusched.exe" ["Sun Microsystems, Inc."]
"Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
\StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\context.dll" ["ewido networks"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\context.dll" ["ewido networks"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\Dokumente und Einstellungen\Steffen.PROPHECY\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "Steffen" & "All Users" startup folders:
---------------------------------------------------------

C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll" ["Sun Microsystems, Inc."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

ewido security suite control, ewido security suite control, "C:\Programme\ewido\security suite\ewidoctrl.exe" ["ewido networks"]
ewido security suite guard, ewido security suite guard, "C:\Programme\ewido\security suite\ewidoguard.exe" ["ewido networks"]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 12 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 14 seconds.
---------- (total run time: 41 seconds)

Kann es sein, dass der PC so langsam hochfährt, weil ewido im Autostart ist?!
Dieser Beitrag wurde am 07.10.2005 um 07:09 Uhr von SteffenK editiert.
Seitenanfang Seitenende
07.10.2005, 12:10
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#39 SteffenK

deinstalliere den ewido ist sowieso nur 14 Tage free.

Ist die sys geloescht????

---------------------------------------------------------------------
TuneUp 2006 (30 Tage free) Shareware
Tuneup.de/products/tuneup-utilities
http://virus-protect.org/reinigungstoolsregistry.html
wende an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123