psguard, bekomm ihn nicht komplett weg

#0
17.08.2005, 15:13
Member

Beiträge: 32
#16 Sodele, also alles nach deiner Anleitung ausgeführt, bei Ewido hab ich den schnellen scan genommen, da der komplette schonmal durchgelaufen ist und 101 einträge entfernt hatte.


---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 14:56:44, 17.08.2005
+ Report-Checksumme: F3DC9F39

+ Scanergebnis:

C:\Dokumente und Einstellungen\Steffen\Cookies\steffen@2o7[1].txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Steffen\Cookies\steffen@as-eu.falkag[2].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Steffen\Cookies\steffen@as1.falkag[2].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup


::Report Ende


smitRem log file
version 2.3

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

ShudderLTD key present! Running LTDFix!

ShudderLTD key was successfully removed! ;)


Pre-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

msole32.exe
hhk.dll
logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~

sites.ini


~~~ Drive root ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Post-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

msole32.exe
hhk.dll
logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~

sites.ini


~~~ Drive root ~~~



~~~ Wininet.dll ~~~

CLEAN! ;)

Hmm, hoffe das hilft dir weiter ;)
Seitenanfang Seitenende
17.08.2005, 15:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 SteffenK

poste bitte das neue Log vom HijackThis und berichte, ob nun alles wieder gut funktioniert...oder nicht.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.08.2005, 15:26
Member

Beiträge: 32
#18 Logfile of HijackThis v1.99.1
Scan saved at 15:24:34, on 17.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\Sony\Jog Dial Utility\JogServ2.exe
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\Programme\Sony\10Key Utility\va10key.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [JOGSERV2.EXE] C:\Programme\Sony\Jog Dial Utility\JogServ2.exe
O4 - HKLM\..\Run: [va10key] C:\Programme\Sony\10Key Utility\va10key.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PowerPanel.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe


Also bis jetzt hat sich das gelbe Dreieck nicht wieder gezeigt,
denke mal ich werde mich melden, falls es wiederkommt. Vielen Dank für die kompetente, schnelle Hilfe!!
Werdet ihr eigentlich bezahlt? Verdient hättet ihr es!! Also nochmal vielen Dank!
Dieser Beitrag wurde am 17.08.2005 um 15:33 Uhr von SteffenK editiert.
Seitenanfang Seitenende
17.08.2005, 15:27
...neu hier

Themenstarter

Beiträge: 9
#19 Glaube meine Antwort ist untergegangen ;)

Hatte geschrieben dass ewido nur cookies gefunden und entfernt hat (Log auf Seite 1 von dem Thread) und das sobald ich den escan laufen lasse, er immer wieder den da findet:

"Object "AltNet Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen."

Was könnte das sein?

Und wie leere ich die Quarantäne von SpyBot?
Seitenanfang Seitenende
17.08.2005, 15:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 Hallo@Secu45

C:\WINDOWS\Temp\Altnet

loesche die altnet -Dateien , falls du sie findest:
http://virus-protect.org/Artikel/spyware/Altnet.html

+

Adaware SE
http://virus-protect.org/adaware.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.08.2005, 15:42
...neu hier

Themenstarter

Beiträge: 9
#21 Hab den Artikel gelesen und bei mir is weder was im Temp Verzeichnis noch im ProgramFiles. Der escan sagt ja auch "found in File System". Direkt ne Datei gibt er ja nicht an. Weiß auch net was es bedeuten soll. Adaware SE findet auf jeden fall nichts mehr.
Seitenanfang Seitenende
17.08.2005, 16:01
Member

Beiträge: 1132
#22 Suche mal in der Registry nach "AltNet" und lösche die entsprechenden Einträge falls vorhanden.

Spybot öffnen => auf Wiederherstellung oder Recovery (englische Vers.) klicken => dann siehst Du die gespeicherten Einträge => markieren und löschen

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
17.08.2005, 16:38
...neu hier

Themenstarter

Beiträge: 9
#23 Also habe weder in der Registry, noch irgendwelche dateien gefunden die irgendwie was mit AltNet zu tun haben könnten.

Habe dann zu dieser Meldung einfach mal im Inet n bissle rumgesucht und habe ein paar Leute gefunden die genau das gleiche haben und sonst mit keinen Mitteln was finden. Die meisten Antworten waren, dass es ein Bug von eScan sei, was ich jetzt mal einfach so hinnehme, ausser einer von euch sagt jetzt das is Quatsch. ;)

Ich sage schon mal vielen, vielen, vielen .... Dank an alle die mir geholfen haben. Bin so froh, dass der Rechner jetzt Virenfrei ist, weil es der Rechner meiner Eltern ist. Bei meinem hätte ich wohl einfach formatiert.

Ich muss jetzt endlich mal wieder ans lernen gehen, schreibe ende des Monats eine Prüfung, die ich unbedingt bestehen muss, weil ich sonst von der Uni flieg ;).

Nochmal Vielen Dank. Echt Spitze die Hilfe in diesem Forum.
Dieser Beitrag wurde am 17.08.2005 um 16:43 Uhr von Secu45 editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: