Wie kann ich den Trojaner vbsys2.dll löschen ?

#106 tipse

Start-->Ausfuehren--> regedit

beschreibe mir genau, welche Werte du findest:

;Disable Autoupdates
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000001

;Disable Autoupdates
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
"AUOptions"=dword:00000001
"AUState"=dword:00000007


Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

suche den Dienst Automatische Updates und schreibe, ob er auf deaktiviert, manuell oder automatisch gestellt ist

Zitat

Automatische Updates
Aktiviert den Download und die Installation von Windows-Updates. Wenn dieser Dienst deaktiviert wird, kann weder die automatische Updatefunktionalität noch die Windows Update-Website verwendet werden.

Ausführende Datei: \WINDOWS\System32\svchost.exe -k netsvcs
Startarten: Manuell, automatisch, deaktiviert
Standard-Einstellung: Automatisch
Abhängig von: Keinem weiteren Systemdienst.
http://virus-protect.org/windienst.html

__________
MfG Sabina

rund um die PC-Sicherheit

#107 also unter Punkt 1 steht nur: Installer, IPS ec, Safer
Punkt 2: AuOptions= dword 0x00000004 und Au State steht gar nicht da

Aber wenn ich unter Windows Updates gehe dann erscheint dort das Servicepack 1 und 2

Die automatische Updatefunktion ist eingeschaltet, allerdings kommt immer die Meldung, dass der ProduktKey nicht stimmt, was auch immer das heissen mag.

#108 tipse

es kann sein, dass der Trojaner, der solange auf dem Rechner sein Unwesen getrieben hat, deinen CD-Key gestohlen hat, nun verwendet und deiner ist veraendert worden.
Selbst wenn du nun formatierst, wirst du keine Windowsupdates mehr machen koennen, also, dein XP ist wertlos.

Vielleicht hab ich ja mit meiner Vermutung nicht recht.

alles so einstellen, dass die Updates funktionieren
http://www.winguides.com/registry/display.php/1176/

PC neustarten

----------------------------------

wenn es dann nicht klappt, mache folgendes:

Der offizielle Weg um an deinen gültigen Schlüssel heranzukommen ist, die ordentliche Registrierung bei Microsoft.

schau auf deiner XP-CD, den 25-Stellen Key, dann:

http://www.windowspage.de/frame.php?http://www.windowspage.de/windowsxp/sonstiges/productkey.html
__________
MfG Sabina

rund um die PC-Sicherheit

#109 Hey Sabina!

Soweit alles ausgeführt


Hier ist der Report von Trend

Wo finde ich die anderen? :-/

10091 files have been read.
10091 files have been checked.
9111 files have been scanned.
17478 files have been scanned. (including files in archived)0 files containing viruses.
Found 0 viruses totally.
Maybe 0 viruses totally.
Stop At : 11/4/2005 16:02:05 5 minutes 45 seconds (344.98 seconds) has elapsed.

---------*---------*---------*---------*---------*---------*---------*---------*
2005-11-04, 16:02:05, Scanner "c:\AV-CLS\Trend\VSCANTM.BIN" has finished running.



LG Laura

#110 nienna

die anderen Logs findest du in den Ordnern der jeweiligen Sacnner
poste bitte das neue Log vom HijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit

#111 Hier ist der neue HijackThis Scan:

Logfile of HijackThis v1.99.1
Scan saved at 01:06:34, on 05.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sunbelt Software\CounterSpy\Consumer\Thread.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\WINDOWS\Mixer.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\inKline Global\PC Booster\pcbooster.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AOL 9.0a\aoltray.exe
D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
D:\Programme\InterVideo\WinDVR\WinScheduler.exe
D:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Programme\BearShare\BearShare.exe
C:\PROGRA~1\NORTON~1\Navw32.exe
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Laura H\Desktop\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [PC Booster] C:\Programme\inKline Global\PC Booster\pcbooster.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "D:\Programme\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [Scan Spyware] "C:\Programme\ScanSpyware v3.7\Scanner.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinScheduler.lnk = D:\Programme\InterVideo\WinDVR\WinScheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4213FBA5-03DF-4A12-A269-F016C165938E}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E7CCBD8-C134-4135-82CB-2CAD555998E7}: NameServer = 205.188.146.145
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe



Die anderen Logs find ich irgendwie nicht =(
sind die als Dokument abgespeichert oder als irgend ne andere Datei?

#112 nienna

fixe mit dem HiackThis:
O4 - HKCU\..\Run: [Scan Spyware] "C:\Programme\ScanSpyware v3.7\Scanner.exe"

neustarten

deinstalliere:/loesche alles
C:\Programme\ScanSpyware v3.7

Zitat

C:\Programme\ScanSpyware v3.7\SSBackup\baBA.zip infected by AdWare.Win32.WinAD.ak

nun machst du dich auf die "Socken" und laedst die WindowsUpdates (SP2 )
dann muesste fuer heute und in Zukunft wieder alles in Ordnung sein.
__________
MfG Sabina

rund um die PC-Sicherheit

#113 Hallo Sabina,
bezüglich Deiner Arbeitsanweisung vom 25.10 und meine letzte Antwort vom 2.11.2005.
Es würde mich sehr freuen, wenn Du dich mit meiner Sache noch einmal befasst. Über eine Antwort würde ich mich sehr freuen.
Herzlichen Dank
Luc

#114 Hallo Luc

der Thread ist ein wenig umfangreich geworden ....icb hatte dir Anweisungen gegeben, wie du in der Registry loeschen kannst.....
Und, hat es so geklappt ?
Berichte bitte wie es steht...ich finde keine Antwort von dir .
__________
MfG Sabina

rund um die PC-Sicherheit

#115 Hallo Sabina,
folgendes habe ich gemacht:

1.)
"Start-->ausfuehren--> regedit
bearbeiten--> suchen
MirarSetup.exe"
es läßt sich nicht löschen: (STANDARD)
Meldung: "nicht alle angegebenen Werte können gelöscht werden."

2.)
"Start-->ausfuehren--> regedit
bearbeiten--> suchen
MediaTicketsInstaller.ocx "
es läßt sich nicht löschen: (STANDARD)
Meldung: "nicht alle angegebenen Werte können gelöscht werden."

Gruß
Luc

#116 Hallo luc

ich hatte dir geantwortet, wie man einen Schluessel in der Registry loeschen kann...hast du das gelesen und ausgefuehrt ?
__________
MfG Sabina

rund um die PC-Sicherheit

#117 Hallo Sabina,
ja habe ich gemacht. Es waren jeweils 3 Einträge auf der rechten Seite aufgeführt, die ich - bis eben auf diesen einen Eintrag (STANDARD)- löschen konnte.
Guß
Luc

#118 hast du es so gemacht?

Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.
__________
MfG Sabina

rund um die PC-Sicherheit

#119 Hallo Sabina,
habe das mit dem Vollzugriff gemacht.
Beim Löschversuch kommt dann wieder die Meldung "nicht alle angegebenen Werte können gelöscht werden."
Bei diesem Eintrag der sich nicht löschen lässt(STANDARD) steht weiter rechts: (Wert nicht gesetzt).
Gruß
Luc

#120 wenn kein Wert gesetzt ist, dann lasse es.

arbeit noch mit TuneUp und dann sollte es so bleiben.

TuneUp 2006 (30 Tage free) Shareware
http://virus-protect.org/reinigungstoolsregistry.html
wende an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner
__________
MfG Sabina

rund um die PC-Sicherheit