Registry Einträge von Virus gelöscht... |
||
---|---|---|
#0
| ||
07.11.2005, 18:11
...neu hier
Beiträge: 9 |
||
|
||
08.11.2005, 00:53
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@
Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.11.2005, 13:28
...neu hier
Themenstarter Beiträge: 9 |
#3
Habe das System nun mit Hijack This gescannt:
Logfile of HijackThis v1.99.1 Scan saved at 13:27:44, on 08.11.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe C:\Programme\Norton Utilities\NPROTECT.EXE C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe C:\WINDOWS\system32\slserv.exe C:\Programme\Speed Disk\nopdb.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Sebastian\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1:80 O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Download All Links with IDM - C:\Programme\Internet Download Manager\IEGetAll.htm O8 - Extra context menu item: Download with IDM - C:\Programme\Internet Download Manager\IEExt.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: RapidShare-Download - res://C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\ir_ext_temp_0\AutoPlay\Docs\more-rapid.exe/RsMenExt.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Outpost Firewall Pro-Schnelleinrichten - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\PROGRA~1\Agnitum\OUTPOS~1\Plugins\BrowserBar\ie_bar.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O19 - User stylesheet: C:\WINDOWS\windows.dat O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Utilities\NPROTECT.EXE O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\Programme\Speed Disk\nopdb.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe |
|
|
||
08.11.2005, 13:55
Ehrenmitglied
Beiträge: 29434 |
#4
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1:80 O19 - User stylesheet: C:\WINDOWS\windows.dat pc neustarten CCleaner http://virus-protect.org/temp.html lösche alle temp-Dateien kopiere hier die 4 Logs http://virus-protect.org/datfindbat.html ------------------------------------------------------------ Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: windows.dat Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) wiederhole es mit: styles __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.11.2005, 14:52
...neu hier
Themenstarter Beiträge: 9 |
#5
So, habe alles gemacht:
Verzeichnis von C:\WINDOWS\system32 08.11.2005 14:29 429 datFind.bat 06.11.2005 09:37 143.624 FNTCACHE.DAT 05.11.2005 23:23 311.604 perfh009.dat 05.11.2005 23:23 39.992 perfc009.dat 03.11.2005 20:23 14.848 BASSMOD.dll 30.10.2005 09:16 316.594 perfh007.dat 30.10.2005 09:16 48.156 perfc007.dat 30.10.2005 09:16 728.112 PerfStringBackup.INI 27.10.2005 11:55 2.206 wpa.dbl 17.10.2005 19:19 98.304 CmdLineExt.dll 17.10.2005 14:01 4.096 crash 06.10.2005 17:55 2.870 jupdate-1.5.0_01-b08.log 30.09.2005 15:48 16.832 amcompat.tlb 30.09.2005 15:48 23.392 nscompat.tlb 28.09.2005 19:26 25.065 wmpscheme.xml 28.09.2005 19:23 261 $winnt$.inf 28.09.2005 19:21 2.951 CONFIG.NT 28.09.2005 19:21 488 logonui.exe.manifest 28.09.2005 19:21 488 WindowsLogon.manifest 28.09.2005 19:20 749 wuaucpl.cpl.manifest 28.09.2005 19:20 749 cdplayer.exe.manifest 28.09.2005 19:20 749 nwc.cpl.manifest 28.09.2005 19:20 749 ncpa.cpl.manifest 28.09.2005 19:20 749 sapi.cpl.manifest 28.09.2005 19:19 21.740 emptyregdb.dat 13.09.2005 20:50 608.448 comctl32.ocx 31.08.2005 06:08 307.200 atiiiexx.dll 31.08.2005 05:33 258.048 ATIDEMGR.dll 31.08.2005 04:57 6.684.672 atioglx1.dll 31.08.2005 03:57 4.718.592 atioglxx.dll 31.08.2005 03:42 238.592 ati2dvag.dll 31.08.2005 03:37 106.496 atipdlxx.dll 31.08.2005 03:37 73.728 Oemdspif.dll 31.08.2005 03:37 25.088 Ati2mdxx.exe 31.08.2005 03:37 39.936 ati2edxx.dll 31.08.2005 03:37 46.080 ati2evxx.dll 31.08.2005 03:36 376.832 ati2evxx.exe 31.08.2005 03:35 53.248 ATIDDC.DLL 31.08.2005 03:28 2.429.824 ati3duag.dll 31.08.2005 03:23 600.672 ativvaxx.dll 31.08.2005 03:10 147.456 atikvmag.dll 31.08.2005 02:47 17.408 atitvo32.dll 31.08.2005 02:42 233.472 ati2cqag.dll 30.08.2005 20:05 516.096 ati2sgag.exe 26.08.2005 15:54 104.373 atiicdxx.dat Verzeichnis von C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp 08.11.2005 14:29 429 datFind.bat 08.11.2005 14:12 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}3207.html 08.11.2005 13:33 16.384 ~DFDD30.tmp 08.11.2005 13:33 16.384 ~DF7CEC.tmp 07.11.2005 17:59 49.152 ~DF7C8E.tmp 07.11.2005 16:14 0 WMP4A.tmp 07.11.2005 16:01 16.384 ~DF91C8.tmp 07.11.2005 16:01 16.384 ~DF2C16.tmp 06.11.2005 21:53 16.384 ~DF818F.tmp 06.11.2005 21:53 16.384 ~DF3BFA.tmp 06.11.2005 20:48 16.384 ~DF27CD.tmp 06.11.2005 20:20 49.152 ~DF1E09.tmp 06.11.2005 19:20 0 CacheInfo.dnl 06.11.2005 14:25 16.384 ~DFABA1.tmp 06.11.2005 14:25 16.384 ~DF86F5.tmp 06.11.2005 14:01 16.384 ~DF877B.tmp 06.11.2005 14:01 16.384 ~DF8702.tmp 06.11.2005 14:01 16.384 ~DF8689.tmp 06.11.2005 14:01 16.384 ~DF85EE.tmp 06.11.2005 13:49 16.384 ~DF5163.tmp 06.11.2005 13:49 16.384 ~DF50EF.tmp 06.11.2005 13:49 16.384 ~DF4F6F.tmp 06.11.2005 13:49 16.384 ~DF4EFD.tmp 06.11.2005 09:38 16.384 ~DF5CCA.tmp 06.11.2005 09:38 16.384 ~DFD6CE.tmp 05.11.2005 23:02 73.728 unwise.exe 05.11.2005 20:20 16.384 ~DFFEEC.tmp Verzeichnis von C:\WINDOWS 08.11.2005 14:32 0 0.log 08.11.2005 14:31 522 ODBC.INI 08.11.2005 14:31 1.062 windows.dat 08.11.2005 14:31 2.048 bootstat.dat 07.11.2005 20:02 192 winamp.ini 07.11.2005 17:03 116 NeroDigital.ini 07.11.2005 15:57 633 win.ini 06.11.2005 23:05 99.970 UninstallFirefox.exe 06.11.2005 23:04 2.704 mozver.dat 06.11.2005 18:14 68 IDMan.INI 06.11.2005 14:05 59.571 wmsetup.log 05.11.2005 23:40 19 install.log 05.11.2005 20:12 50 wiaservc.log 05.11.2005 20:12 309 wiadebug.log 05.11.2005 12:09 49 transp.gif 31.10.2005 20:38 446.433 setupapi.log 21.10.2005 17:03 337.267 DirectX.log 18.10.2005 10:42 0 musicmaker.INI 17.10.2005 21:21 68.336 MEMORY.DMP 16.10.2005 10:50 282 system.ini 11.10.2005 20:54 737.280 iun6002.exe 10.10.2005 18:06 19.989 comsetup.log 10.10.2005 18:06 61.142 iis6.log 10.10.2005 18:06 10.425 ntdtcsetup.log 10.10.2005 18:06 15.838 tsoc.log 10.10.2005 18:06 1.393 imsins.log 10.10.2005 18:06 1.937 tabletoc.log 10.10.2005 18:06 18.171 KB893803.log 10.10.2005 18:06 4.643 netfxocm.log 10.10.2005 18:06 1.489 ocmsn.log 10.10.2005 18:06 21.675 ocgen.log 10.10.2005 18:06 1.474 msgsocm.log 10.10.2005 18:06 23.902 FaxSetup.log 10.10.2005 18:06 13.806 msmqinst.log 09.10.2005 10:52 0 nsreg.dat 06.10.2005 14:11 554 eReg.dat 04.10.2005 20:55 1.374 imsins.BAK 04.10.2005 20:55 11.026 KB822603.log 04.10.2005 13:31 203.918 setupact.log 03.10.2005 18:43 32 lead 03.10.2005 13:13 249.856 Setup1.exe 03.10.2005 13:13 73.216 ST6UNST.EXE 30.09.2005 15:49 237 wmsetup10.log 30.09.2005 15:48 316.640 WMSysPr9.prx 28.09.2005 21:07 5.233 Norton Utilities.log 28.09.2005 21:06 1.743 SYMINST.LOG 28.09.2005 19:46 774 SchedLgU.Txt 28.09.2005 19:26 829 OEWABLog.txt 28.09.2005 19:26 867.853 setuplog.txt 28.09.2005 19:24 8.192 REGLOCS.OLD 28.09.2005 19:21 0 control.ini 28.09.2005 19:21 299.552 WMSysPrx.prx 28.09.2005 19:21 4.161 ODBCINST.INI 28.09.2005 19:21 280 Windows Update.log 28.09.2005 19:20 749 WindowsShell.Manifest 28.09.2005 19:19 1.060 sessmgr.setup.log 28.09.2005 19:19 37 vbaddin.ini 28.09.2005 19:19 36 vb.ini 28.09.2005 19:19 128 DtcInstall.log Verzeichnis von C:\ 08.11.2005 14:43 0 sys.txt 08.11.2005 14:43 5.403 system.txt 08.11.2005 14:42 24.270 systemtemp.txt 08.11.2005 14:42 98.724 system32.txt 08.11.2005 14:31 1.073.270.784 hiberfil.sys 08.11.2005 14:31 1.610.612.736 pagefile.sys 28.09.2005 19:35 515 pnpID.dat 28.09.2005 19:34 39 CTJINI.INI 28.09.2005 19:21 0 AUTOEXEC.BAT 28.09.2005 19:21 0 CONFIG.SYS 28.09.2005 19:21 0 IO.SYS 28.09.2005 19:21 0 MSDOS.SYS 28.09.2005 19:17 194 boot.ini RegSearch: windows.dat : Zitat [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Styles]styles : Zitat [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.asl]Ich hoffedas hilft! |
|
|
||
08.11.2005, 15:03
Ehrenmitglied
Beiträge: 29434 |
#6
warum fuehrst du nicht aus, worum ich gebeten hatte:
CCleaner http://virus-protect.org/temp.html lösche alle temp-Dateien dann Log Nr. 2 noch einmal: Verzeichnis von C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.11.2005, 15:07
Ehrenmitglied
Beiträge: 29434 |
#7
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - scannen - POST_THIS.TXT abkopieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.11.2005, 15:07
...neu hier
Themenstarter Beiträge: 9 |
#8
Ok sry, war ccleaner war grade noch
dabei, als ich das logfile erstellt habe... Das Verzeichnis ist jetzt leer edit: Und hier: ServiceFilter 1.1 by rand1038 Microsoft Windows XP Professional Version: 5.1.2600 Service Pack 1 Nov 8, 2005 15:08:34 ---> Begin Service Listing <--- Unknown Service # 1 Service Name: Adobe LM Service Display Name: Adobe LM Service Start Mode: Manual Start Name: LocalSystem Description: AdobeLM ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\adobe systems shared\service\adobelmsvc.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 2 Service Name: IDriverT Display Name: InstallDriver Table Manager Start Mode: Manual Start Name: LocalSystem Description: Provides support for the Running Object Table for InstallShield ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\installshield\driver\1050\intel 32\idrivert.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 3 Service Name: KLBLMain Display Name: Kaspersky Anti-Virus Service Start Mode: Auto Start Name: LocalSystem Description: Provides anti-virus functionality of Kaspersky Anti-Virus Personal Pro installed on the ... Service Type: Own Process Path: c:\programme\kaspersky lab\kaspersky anti-virus personal pro 5\kavmm.exe -run bl -n personalpro -v 5.0.0.0 -ttsr 10000000 State: Running Process ID: 1940 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #4 Service Name: Macromedia Licensing Service Display Name: Macromedia Licensing Service Start Mode: Manual Start Name: LocalSystem Description: Provides authentication services for Macromedia ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\macromedia shared\service\macromedia licensing.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #5 Service Name: NProtectService Display Name: Norton Unerase Protection Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\programme\norton utilities\nprotect.exe State: Running Process ID: 1980 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #6 Service Name: ose Display Name: Office Source Engine Start Mode: Manual Start Name: LocalSystem Description: Speichert Installationsdateien, die für Updates und Reparieren verwendet werden, und ist für den ... Service Type: Own Process Path: c:\programme\gemeinsame dateien\microsoft shared\source engine\ose.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 7 Service Name: OutpostFirewall Display Name: Outpost Firewall Service Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\progra~1\agnitum\outpos~1\outpost.exe /service State: Running Process ID: 276 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #8 Service Name: rpcapd Display Name: Remote Packet Capture Protocol v.0 (experimental) Start Mode: Manual Start Name: LocalSystem Description: Allows to capture traffic on this machine from a remote ... Service Type: Own Process Path: "c:\programme\winpcap\rpcapd.exe" -d -f "c:\programme\winpcap\rpcapd.ini" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #9 Service Name: SLService Display Name: SmartLinkService Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: slserv.exe State: Running Process ID: 392 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #10 Service Name: Speed Disk service Display Name: Speed Disk service Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\programme\speed disk\nopdb.exe State: Running Process ID: 468 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 11 Service Name: StarWindService Display Name: StarWind iSCSI Service Start Mode: Auto Start Name: LocalSystem Description: Enables network access to local devices via iSCSI ... Service Type: Own Process Path: c:\programme\alcohol soft\alcohol 120\starwind\starwindservice.exe State: Running Process ID: 496 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #12 Service Name: SwPrv Display Name: MS Software Shadow Copy Provider Start Mode: Manual Start Name: LocalSystem Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ... Service Type: Own Process Path: c:\windows\system32\dllhost.exe /processid:{0d0855b6-bc31-40f4-b065-e3914da239d5} State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch ---> End Service Listing <--- There are 91 Win32 services on this machine. 12 were unrecognized. Script Execution Time: 3,640625 seconds. Dieser Beitrag wurde am 08.11.2005 um 15:10 Uhr von Storrm editiert.
|
|
|
||
08.11.2005, 15:36
Ehrenmitglied
Beiträge: 29434 |
#9
Hallo@
ESS3remove.bat verwenden. http://virus-protect.org/zip/ESS3remove.zip - entzippe - klicke die ESS3remove.bat Während das Batfile läuft, wirst du gefragt, eine beliebige taste einzudrücken, um den Fix weiter auszuführen Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als remove.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. REGEDIT4 [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "DisableLocalUserRun"=- [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "DisableLocalUserRun"=- [HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "DisableLocalUserRun"=- [HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "DisableLocalUserRun"=- [HKEY_CURRENT_USER\Software\Microsoft\Microsoft\Windows\CurrentVersion\Policies\Explorer] "DisableLocalUserRun"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "DisableLocalMachineRun"=- [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="" [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="" [HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="" [HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="" [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="" [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Styles] "User Stylesheet"=- "Use My Stylesheet"=dword:00000000 [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Styles] "User Stylesheet"=- "Use My Stylesheet"=dword:00000000 [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Styles] "User Stylesheet"=- "Use My Stylesheet"=dword:00000000 [HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Styles] "User Stylesheet"=- "Use My Stylesheet"=dword:00000000 [HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Styles] "User Stylesheet"=- "Use My Stylesheet"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles] "User Stylesheet"=- "Use My Stylesheet"=dword:00000000 [HKEY_USERS\S-1-5-21-1715567821-1547161642-839522115-1003\Software\Microsoft\Internet Explorer\Styles] "User Stylesheet"=- [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_EXTRASYSTEMSERVICE3] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ExtraSystemService3] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_EXTRASYSTEMSERVICE3] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ExtraSystemService3] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EXTRASYSTEMSERVICE3] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ExtraSystemService3] Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "remove.reg" auf dem Desktop doppelklicken und der Registry beifuegen fixe mit dem HijackThis: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1:80 O19 - User stylesheet: C:\WINDOWS\windows.dat PC neustarten und poste das neue Log vom HijakThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.11.2005, 15:55
Ehrenmitglied
Beiträge: 29434 |
#10
ich habe die reg-Datei veraendert, also lade die Seite hier mal neu bevor du sie anwendest
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.11.2005, 19:15
...neu hier
Themenstarter Beiträge: 9 |
#11
Wenn ich dann versuche, die remove.reg im abgesicherten Modus
auszuführen, bekomme ich folgende Fehlermeldung: Zitat remove.reg kann nicht importiert werden: Fehler beim Zugriff auf die Registrierung. |
|
|
||
09.11.2005, 00:24
Ehrenmitglied
Beiträge: 29434 |
#12
das stimmt, es gibt irgendeinen Fehler.....
REGEDIT4 [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Styles] "User Stylesheet"=- [HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Styles] "User Stylesheet"=- [HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Styles] "User Stylesheet"=- [HKEY_USERS\S-1-5-21-1715567821-1547161642-839522115-1003\Software\Microsoft\Internet Explorer\Styles] "User Stylesheet"=- [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Styles] "User Stylesheet"=- [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_EXTRASYSTEMSERVICE3] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ExtraSystemService3] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_EXTRASYSTEMSERVICE3] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ExtraSystemService3] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EXTRASYSTEMSERVICE3] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ExtraSystemService3] - __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.11.2005, 18:47
...neu hier
Themenstarter Beiträge: 9 |
#13
Da bekomme ich leider genau den selben Fehler...
|
|
|
||
10.11.2005, 01:14
Ehrenmitglied
Beiträge: 29434 |
#14
o.k. der Fehler liegt wahrscheinlich daran, dass der Dienst ein anderer ist, als angenommen.
Registry Search Tool http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren Doppelklick:regsrch.vbs reinkopieren: EXTRASYSTEMSERVICE3 Press 'OK' warten, bis die Suche beendet ist. ----------------------------- gehe in die Registry Start-->Ausfuehren--> regedit bearbeiten--> suchen ->> windows.dat [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Styles] "Use My Stylesheet"=dword:00000001 <--aendere in 0 [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Styles] "User Stylesheet"="C:\\WINDOWS\\windows.dat"<--loeschen [HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Styles] "Use My Stylesheet"=dword:00000001 <--aendere in 0 [HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Styles] "User Stylesheet"="C:\\WINDOWS\\windows.dat"<--loeschen [HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Styles] "Use My Stylesheet"=dword:00000001 <--aendere in 0 [HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Styles] "User Stylesheet"="C:\\WINDOWS\\windows.dat"<--loeschen [HKEY_USERS\S-1-5-21-1715567821-1547161642-839522115-1003\Software\Microsoft\Internet Explorer\Styles] "Use My Stylesheet"=dword:00000001<--aendere in 0 [HKEY_USERS\S-1-5-21-1715567821-1547161642-839522115-1003\Software\Microsoft\Internet Explorer\Styles] "User Stylesheet"="C:\\WINDOWS\\windows.dat"<--loeschen [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Styles] "Use My Stylesheet"=dword:00000001<--aendere in 0 [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Styles] "User Stylesheet"="C:\\WINDOWS\\windows.dat"<--loeschen PC neustarten ++ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.11.2005, 20:00
...neu hier
Themenstarter Beiträge: 9 |
#15
So...
Die Ergebnisse von RegSrch: Zitat [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_EXTRASYSTEMSERVICE3]Wenn ich in der Registry nach windows.dat suche passiert irgendwie garnichts... bzw. er sagt der suchvorgang ist beedet und zeigt keine Ergebnisse... Ich hab dann die Verzeichnisse von Hand "besichtigt". Die Daten waren etweder 0 bzw gelöscht, oder die pfade nicht vorhanden. mfg Storrm |
|
|
||
ist mein erster Post hier.
Ich habe folgendes Problem:
Ich habe mir irgendeinen Wurm eingefangen.
Über eine I-Net site, die ich besucht habe.
Sofort sprangen mein Spybot Teamtimer
und die Komponenten Kontrolle von Outpost an.
Habe alles verboten usw. (Hatte leider mein Kaspersky nicht laufen )
Hab danach sofort alles geschlossen.
Doch irgendetwas hat immer wieder versucht
Registry Einträge zu verändern. Ich habe dann
über RegCleaner meine Registry angeschaut
und gemerkt, dass alle Startup Einträge entfernt wurden.
(Zum Glück konnte Windows aber noch starten, da nur
installierte Programme betroffen waren)
Nach einem Neustart hab ich dann versucht, die
Einträge von Hand wieder zu ergänzen.
Aber das ging leider nicht, denn irgenwas löscht sofort
alle Einträge sobald ich sie speichere.
Ich hab dann Spybot laufen lassen und der
hat etwas namens "Possible Hijacker" gefunden.
Doch das Problem lässt sich nicht beheben.
Nun meine Frage, weiß jemand um welches
Problem es sich handelt, bzw. wie man es behebt?
Danke im vorraus!
(Falls ich im falschen Forum gepostet habe, bitte ich um Verzeihung!)
mfg