PS Guard Problem |
||
---|---|---|
#0
| ||
18.08.2005, 20:40
...neu hier
Beiträge: 8 |
||
|
||
18.08.2005, 22:44
Member
Beiträge: 4730 |
#2
Ok, Du hast neben dem PSGuard noch ein paar unschöne Sachen drauf.
Lade Dir Killbox herunter und entpacke es. Deaktiviere die Systemwiederherstellung. http://www.bsi.de/av/texte/wiederher_me.htm fixe mit HijackThis (HJT) folgende Einträge (Häkchen setzen, "fix checked" klicken) O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\SYSTEM\msmsgs.exe O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\SYSTEM\intell32.exe O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe O20 - Winlogon Notify: style2 - C:\WINDOWS\Q1073972_DISK.DLL Starte neu im abgesicherten Modus (siehe Link oben). Führe Killbox aus. Aktiviere Option "Delete on Reboot". Füge folgendes ins Eingabefeld ein und bestätige jede Eingabe mit Klick auf das rote Kreuz. Achtung: Es kommen zwei Abfragen. Die Frage nach dem Reboot beantwortest Du erst nach der letzten Datei mit YES! C:\WINDOWS\SYSTEM\msmsgs.exe C:\WINDOWS\SYSTEM\intell32.exe C:\Programme\PSGuard\PSGuard.exe C:\WINDOWS\Q1073972_DISK.DLL PC wird neu gestartet. Dein PC ist aber immer noch nicht gesäubert (das war bisher nur die Grundreinigung) Lade eScan und führe einen Systemscan damit durch, wie auf der Seite beschrieben. Teile uns das Ergebnis mit. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
18.08.2005, 23:13
...neu hier
Themenstarter Beiträge: 8 |
#3
also danke dir erst mal!
nur hab da jetzt noch ne frage hab jetzt im abgesicherten modus killbox gestartet und das dann so gemacht wie du gesagt hast. hab auf das kreuzchen geklickt und dann sagt er: "file will be deleted on next reboot" und dann kann man wählen zwischen "ok" und "abbrechen" was muss ich das machen?? danke für die geduld! bin aber nicht so fit in sachen computer! @sabina: kannst du mir vielleicht bitte schnell hier weiterhelfen? Dieser Beitrag wurde am 18.08.2005 um 23:33 Uhr von _stefan_ editiert.
|
|
|
||
19.08.2005, 09:36
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@_stefan_
•KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken C:\WINDOWS\SYSTEM\msmsgs.exe C:\WINDOWS\SYSTEM\intell32.exe C:\Programme\PSGuard\PSGuard.exe C:\WINDOWS\Q1073972_DISK.DLL und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" PC neustarten loesche: C:\Programme\PSGuard smitRem TOOL (Entfernungstool) Download: http://noahdfear.geekstogo.com/ öffne smitRem folder, Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.08.2005, 09:53
...neu hier
Themenstarter Beiträge: 8 |
#5
ja danke.
aber wie gesagt wenn ich dann auf das rote kreu klicke sagt er nur "file will be deleted on next reboot". und dann habe ich die auswahl zwischen "ok" und "abbrechen". was muss denn ind den kasten wo das gelbe dreieck ist mit dem ausrufezeichen? |
|
|
||
19.08.2005, 10:42
Member
Beiträge: 18 |
#6
Hallo, bin neu hier und denke ich habe den psguard auch auf dem Rechner.
Hoffe, ihr könnt mir helfen... Hier das log: Logfile of HijackThis v1.99.1 Scan saved at 11:31:33, on 17.08.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\D-Tools\daemon.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\PestPatrol\PPControl.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\PestPatrol\PPMemCheck.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\PestPatrol\CookiePatrol.exe C:\WINDOWS\NCLAUNCH.EXe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\iPod\bin\iPodService.exe c:\progra~1\intern~1\iexplore.exe c:\progra~1\intern~1\iexplore.exe C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Meine empfangenen Dateien\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.apyfioctbcq.com/h00sxPIwJm8y0r0T8Js_3UmpChHPzG8dsOUc6ovNbDVkgc9vltbRnk2RzcUvARhf.jpg R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uhbvcbwloxcpcvuro.biz/h00sxPIwJm_ChXpE8YVq3aYTQ9IpfocEoNiw29TlBb8.html R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\a.bin\MWSSRCAS.DLL (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: (no name) - {AD40E9F9-B642-5D8C-5CA5-D233A317AD57} - C:\DOKUME~1\Manuel\ANWEND~1\TRUSTA~1\Bleh Defy.exe O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file) O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file) O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\a.bin\mwsoemon.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [build draw chic 1] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DvdDriveBuildDraw\title chin.exe O4 - HKLM\..\RunOnce: [CAFIX] "C:\WINDOWS\system32\ZoneLabs\cafix.exe" /IgnoreAll O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\a.bin\mwsoemon.exe O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe O4 - HKCU\..\Run: [Style Idle] C:\DOKUME~1\Manuel\ANWEND~1\VIEWAC~1\OOZE THUNK BAT.exe O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\a.bin\MWSOEMON.EXE O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\a.bin\MWSOEMON.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B0867FC7-5DAB-4E9B-9E3B-54EB31325262}: NameServer = 192.168.122.252,192.168.122.253 O20 - AppInit_DLLs: MsgPlusLoader.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Danke im voraus.... |
|
|
||
19.08.2005, 12:46
Ehrenmitglied
Beiträge: 29434 |
#7
Hallo@_stefan_
Zitat aber wie gesagt wenn ich dann auf das rote kreu klicke sagt er nur "file will be deleted on next reboot". und dann habe ich die auswahl zwischen "ok" und "abbrechen".du kopierst eine Datei ein, dann klickst du auf das rote Kreuz, dann kommt die Frage, ob du neustarten willst, du klickst auf "no", dann kopierst du die naechste Datei rein, dann wieder "no".....usw. erst bei der letzten, klickst du "yes" und der pC startet neu und wird beim Booten alles loeschen, was du eingegeben hast. (du kannst auch nach jeder Datei "yes"bestaetigen und jedesmal neustarten, aber das ist doch sehr umstaendlich ) (in das Feld mit dem gelben Dreieck kommt nichts) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.08.2005, 12:57
Ehrenmitglied
Beiträge: 29434 |
#8
Kerze
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren + Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.apyfioctbcq.com/h00sxPIwJm8y0r0T8Js_3UmpChHPzG8dsOUc6ovNbDVkgc9vltbRnk2RzcUvARhf.jpg R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uhbvcbwloxcpcvuro.biz/h00sxPIwJm_ChXpE8YVq3aYTQ9IpfocEoNiw29TlBb8.html R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\a.bin\MWSSRCAS.DLL (file missing) O2 - BHO: (no name) - {AD40E9F9-B642-5D8C-5CA5-D233A317AD57} - C:\DOKUME~1\Manuel\ANWEND~1\TRUSTA~1\Bleh Defy.exe O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file) O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file) O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\a.bin\mwsoemon.exe O4 - HKLM\..\Run: [build draw chic 1] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DvdDriveBuildDraw\title chin.exe O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\a.bin\mwsoemon.exe O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe O4 - HKCU\..\Run: [Style Idle] C:\DOKUME~1\Manuel\ANWEND~1\VIEWAC~1\OOZE THUNK BAT.exe O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\a.bin\MWSOEMON.EXE O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\a.bin\MWSOEMON.EXE O20 - AppInit_DLLs: MsgPlusLoader.dll PC neustarten deinstalliere: MsgPlus3 MyWebSearch loesche im abgesicherten modus: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DvdDriveBuildDraw\title chin.exe C:\DOKUME~1\Manuel\ANWEND~1\VIEWAC~1\OOZE THUNK BAT.exe C:\DOKUME~1\Manuel\ANWEND~1\TRUSTA~1\Bleh Defy.exe C:\Programme\MyWebSearch\bar\ MsgPlusLoader.dll --------------------------------------------------------------------------------------------- CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html smitRem TOOL (Entfernungstool) Download: http://noahdfear.geekstogo.com/ öffne smitRem folder, Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread escan (poste, was angezeigt wird) http://virus-protect.org/escan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.08.2005, 14:21
Member
Beiträge: 18 |
#9
hier smitrem log:
smitRem log file version 2.3 by noahdfear ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pre-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ logfiles ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Post-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Wininet.dll ~~~ CLEAN! und hier escan: oh sehe der is rieeeeeeesig, soll ich den echt reinsetzen??? |
|
|
||
19.08.2005, 15:00
...neu hier
Themenstarter Beiträge: 8 |
#10
bei funktioniert das mit killbox irgendwie nicht!
1, in dem einen feld neben dem gelben dreieck steht immer irgenwas drin. wenn ich killbox öffne steht das irgendwas kernell32.dll oder so und dann kann man noch andere auswählen aber ganz leer machen kann ich da nix 2, wenn ich eine datei rein kopiert habe und auf des rote kreuz klicke kommt da keine frage die man mit yes oder no beantworten kann sondern es kommt immer "file will be deleted on next reboot" und dann kann ich dies mit ok bestätigen oder abbrechen... WAS ist da los?? ich habe das jetzt bei allen 4 mit ok bestätigt und dann den computer neu gestartet und beim hochfahren ist dann schon gekommen "neue systemdateien werden konfiguriert"..... was soll ich jetzt machen? danke im voraus!!! |
|
|
||
19.08.2005, 15:01
Member
Beiträge: 4730 |
#11
Zitat _stefan_ posteteDort klickst Du auf "ok". Danach fragt er Dich "Do you want to reboot?" (oder so ähnlich), da hälst Du Dich dann an die Anweisungen. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
19.08.2005, 16:16
...neu hier
Themenstarter Beiträge: 8 |
#12
nein außer dem was ich gesagt habe kommt danach nichts mehr....
was soll ich jetzt machen?? soll ich das mit eScan und mit dem smitRem Tool machen und dann hier posten? danke mfg |
|
|
||
19.08.2005, 16:16
Ehrenmitglied
Beiträge: 29434 |
#13
Hallo@_stefan_
Zitat "file will be deleted on next reboot" und dann kann ich dies mit ok bestätigen oder abbrechen...ABBRECHEN WAEHLEN und erst bei der letzten Datei o.k fuehre alles weitere aus, so wie ich es geschrieben habe..... und alles hier posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.08.2005, 16:33
...neu hier
Themenstarter Beiträge: 8 |
#14
ja und wenn ich nach dem letzten auf ok klicke tut sich aber auch nichts. und wenn ich bei den anderen vorher auf abbrechen klicke kommt die meldung : "there is no path to file in the destination box, you must list a file or use a dummy"
was heisst das? und was soll ich nun tun?? und hier ist mal die smitfiles.txt: smitRem log file version 2.3 by noahdfear ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pre-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system folder ~~~ oleext.dll wppp.html intmonp.exe ole32vbs.exe msole32.exe shnlog.exe ~~~ Icons in system folder ~~~ ~~~ Windows directory ~~~ uninstIU.exe sites.ini popuper.exe ~~~ Drive root ~~~ ~~~~ wininet.dll ~~~~ wininet.dll Present!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Post-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system folder ~~~ oleext.dll msole32.exe ~~~ Icons in system folder ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~~ wininet.dll ~~~~ wininet.dll INFECTED!! danke Dieser Beitrag wurde am 19.08.2005 um 16:45 Uhr von _stefan_ editiert.
|
|
|
||
19.08.2005, 19:12
Member
Beiträge: 4730 |
#15
Hallo Stefan,
da ich nicht weiß, womit Du jetzt genau ein Problem hast, erkläre ich es nochmal Schritt für Schritt. Du startest Killbox. Dort siehst Du oben eine Überschrift die da lautet "Full Path of File to Delete". Darunter befindet sich ein Eingabefeld, worin Du die Angaben zur Datei, die gelöscht werden soll, angibst. Neben diesem Eingabefeld befinden sich drei Symbole. Wichtig für Dich ist nur der rote Kreis mit dem weißen Kreuz (hier der Einfachheit halber als rotes Kreuz bezeichnet). Wenn Du die zu löschende Datei angegeben hast, wird diese blau unter dem Eingabefeld angezeigt. Darunter befinden sich übrigens auch die Optionen "Standard File Kill", "Delete on Reboot" und "Replace on Reboot". Der Rest ist für Dich unwichtig und sollte unangetastet bleiben (erst recht rechts unten, wo standardmäßig [System Process] angezeigt wird - da nichts dran ändern!). Du wählst hier die Option "Delete on Reboot" und klickst dann auf das "rote Kreuz". Es erscheint eine Abfrage: "All listet Files will be Deleted on Next Reboot". Da klickst Du auf "Ja". Dann erscheint eine zweite Abfrage: "Files will be Removed on Reboot, Do you want to reboot now?" - hier antwortest Du erst mit "Ja", wenn Du die letzte Datei eingegeben hast. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
bitte helft mir weiter!!
hier das logfile:
Logfile of HijackThis v1.99.1
Scan saved at 20:39:15, on 18.08.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\MSMSGS.EXE
C:\WINDOWS\SYSTEM\MSOLE32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MHOTKEY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\HPZTSB04.EXE
C:\PROGRAMME\SCANSOFT\OMNIPAGESE\OPWARE32.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\ICQLITE\ICQLITE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\INTELL32.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TEMP\TD_0001.DIR\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.meganeforum.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\SYSTEM\msmsgs.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\SYSTEM\intell32.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\yawguard.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0245cb579b8c20808218/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.1.1
O20 - Winlogon Notify: style2 - C:\WINDOWS\Q1073972_DISK.DLL
danke