Play365 Adware - Ganz neue Variante (Unsichtbar in HijackThis,etc...)

#1 Hallo,

das hier ist kein Standard Problem, ich bin selbst relativ "erfahren" sag ich mal wenn es um Spyware, Adware und Browser Hijacking geht. Aber seit einiger Zeit hat mich ein Ding erwischt das ich nicht klein kriege. Es ist von Play365 und öffnet alle Zeit ein Werbefenster, meistens das vielleicht von anderen Hijacks bekannte blaue Fenster "Your computer is infected with Spyware" oder so ähnlich.

Nun, HijackThis hab ich laufen lassen usw, war nichts dabei (macht keinen Sinn es zu posten - es war wirklich nichts dabei, soviel weiß ich auf jeden Fall). Alle gängigen Scanner durchlaufen lassen, sogar AntiSpyware und Windows Defender von Microsoft - aber auch die erkannten nicht das der IE übernommen worden ist.

Beim IE handelt es sich um die neue Beta 2 Version 7. Windows XP, SP2.
Herausgefunden hab ich folgendes:

Der neue IE unterstützt Tabbed Browsing und jedesmal wenn ich einen neuen Tab aufmache, sehe ich in der Leiste gaaaaaanz kurz "Play365" aufblinken das sich dann sofort in "Blank Page" wandelt. Typisches Hijacking.

Habe alle BHO durchgesehen - is nichts dabei, nur GoogleToolbar.
Hab in der Registrierung bei den App_InitDlls (oder wie das heißt) nachgesehen, alles rein.

Hab die Starteinträge gecheckt, passt auch alles. Hab IE deinstalliert und
wieder installiert - alles gleich geblieben.

Die about:blank Datei liegt doch in der Datei ieframe.dll wenn ich mich ned täusch? Diese dürfte aber bei der Neuinstallation überschrieben worden sein (hatte auch selbe Größe und Datum als ichs gecheckt hab) - trotzdem muss sich irgendwo ein HiJack der "about:blank" verstecken.

Ich bin total ratlos. Normalerweise kenn ich mich da voll aus, aber das hier nervt mich seit Tagen und ich find einfach keine Lösung. Hab alle Foren abgegrast und alles was mit Play365 zu tun hat hängt mit einer Vorversion zusammen. Konnte keine Dlls finden annähernd so heißen, auch keine CAB datei (wie oft zu lesen ist). "Downloaded Program Files" hab ich gecheckt da ist das hier drinnen:

29.04.2003 16:58 241 clearadj.inf
29.04.2003 16:41 32.768 clearadjust.dll
18.09.2005 22:51 65 desktop.ini
25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
09.02.2005 15:54 1.271 erma.inf
09.04.2003 18:07 249.856 isusweb.dll
10.11.2005 14:05 876 jinstall-1_5_0_06.inf
25.01.2006 12:43 367 LegitCheckControl.inf
09.10.2003 09:32 144 QTPlugin.inf
27.08.2005 12:30 5.065 swflash.inf
30.06.2003 21:41 1.689 WMV9VCM.inf
14.12.2005 13:22 473.376 xclean_micro.exe

Ist mir nix verdächtiges aufgefallen.

Habs nach einiger Zeit endlich mit einem Screenshot erwischt, siehe Anhang.

HILFE! - Das hier fordert euch bestimmt auf Sau komm raus - da wett ich alles. Nichts unter 20 Posts (meine Wettabgabe *g*)

Los gehts ... DANKE für eure Hilfe

#2 RomanMitterm

CWShredder
http://virus-protect.org/antispytools.html
Während des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!

* Doppelklick CWShredder.exe
* Klick "Fix ->" und klick "OK"
* CWShredder scannen lassen
* Click "Next->" und dann "Exit".
* Log-->"make Report"--> bitte posten

dann kopiere hier bitte die 4 Logs von Datfinbat
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Ok, CWShredder hatte ich vorhin nicht erwähnt, hatte nichts gefunden.

Ok, sorry für die langen Logs hier .... Los gehts:

****************************************************
LOG 1
****************************************************

Verzeichnis von C:\WINDOWS\system32

22.02.2006 09:23 1.080 settingsbkup.sfm
22.02.2006 09:23 11.564 DVCState-{00000000-00000000-00000006-00001102-00000004-00511102}.rfx
22.02.2006 09:23 1.080 settings.sfm
22.02.2006 09:23 27.408 BMXBkpCtrlState-{00000000-00000000-00000006-00001102-00000004-00511102}.rfx
22.02.2006 09:23 30.120 BMXStateBkp-{00000000-00000000-00000006-00001102-00000004-00511102}.rfx
22.02.2006 09:23 27.408 BMXCtrlState-{00000000-00000000-00000006-00001102-00000004-00511102}.rfx
22.02.2006 09:23 30.120 BMXState-{00000000-00000000-00000006-00001102-00000004-00511102}.rfx
22.02.2006 09:20 2.206 wpa.dbl
15.02.2006 07:23 16.832 amcompat.tlb
15.02.2006 07:23 23.392 nscompat.tlb
13.02.2006 10:33 656.208 FNTCACHE.DAT
10.02.2006 22:39 1.383 LexFiles.usr
08.02.2006 06:23 4.513.120 MRT.exe
06.02.2006 15:29 417.582 perfh009.dat
06.02.2006 15:29 69.768 perfc009.dat
06.02.2006 15:29 436.398 perfh007.dat
06.02.2006 15:29 84.150 perfc007.dat
06.02.2006 15:29 995.666 PerfStringBackup.INI
03.02.2006 17:54 147.495 rmoc3260.dll
03.02.2006 17:53 5.632 pndx5032.dll
03.02.2006 17:53 6.656 pndx5016.dll
03.02.2006 17:53 278.528 pncrt.dll
30.01.2006 17:19 552 d3d8caps.dat
25.01.2006 15:39 236.616 iecustom.dll
25.01.2006 15:39 457.728 mshtmled.dll
25.01.2006 15:39 3.260.416 mshtml.dll
25.01.2006 15:39 116.224 xmllite.dll
25.01.2006 15:39 23.552 msfeedsbs.dll
25.01.2006 15:39 201.216 extmgr.dll
25.01.2006 15:39 184.320 ieui.dll
25.01.2006 15:39 155.136 msls31.dll
25.01.2006 15:39 726.016 wininet.dll
25.01.2006 15:39 840.704 urlmon.dll
25.01.2006 15:39 263.168 ieproxy.dll
25.01.2006 15:39 265.728 iepeers.dll
25.01.2006 15:39 387.072 msfeeds.dll
25.01.2006 15:39 6.424.064 ieframe.dll
25.01.2006 15:39 25.088 jsproxy.dll
25.01.2006 15:39 248.320 webcheck.dll
25.01.2006 15:36 431.104 html.iec
25.01.2006 15:36 1.417.728 inetcpl.cpl
25.01.2006 15:36 129.024 WinFXDocObj.exe
25.01.2006 15:36 78.336 ieencode.dll
25.01.2006 15:36 208.896 msrating.dll
25.01.2006 15:36 24.064 licmgr10.dll
25.01.2006 15:36 88.576 occache.dll
25.01.2006 15:35 15.360 corpol.dll
25.01.2006 15:35 230.912 ieaksie.dll
25.01.2006 15:35 145.408 ieakeng.dll
25.01.2006 15:35 466.432 jscript.dll
25.01.2006 15:35 393.728 iedkcs32.dll
25.01.2006 15:35 53.760 admparse.dll
25.01.2006 15:35 39.424 iesetup.dll
25.01.2006 15:35 26.624 ie4uinit.exe
25.01.2006 15:35 27.136 iernonce.dll
25.01.2006 15:35 75.264 inseng.dll
25.01.2006 15:35 109.568 advpack.dll
25.01.2006 15:34 48.128 icardie.dll
25.01.2006 15:34 340.992 dxtmsft.dll
25.01.2006 15:34 33.792 imgutil.dll
25.01.2006 15:34 43.008 pngfilt.dll
25.01.2006 15:34 209.408 dxtrans.dll
25.01.2006 15:34 534.016 mstime.dll
25.01.2006 15:33 44.544 mshta.exe
25.01.2006 15:33 41.984 iertutil.dll
25.01.2006 15:33 66.048 tdc.ocx
25.01.2006 15:31 40.448 url.dll
25.01.2006 15:27 54.793 ieuinit.inf
25.01.2006 15:26 94.208 mshtmler.dll
25.01.2006 15:25 353.792 ieapfltr.dll
25.01.2006 15:24 192.000 ieakui.dll
25.01.2006 15:22 1.381.376 mshtml.tlb
24.01.2006 19:34 118.784 sirenacm.dll
20.01.2006 11:58 45.568 Jgsd400.dll
20.01.2006 11:58 65.536 Jgsh400.dll
20.01.2006 11:58 44.544 Jgaw400.dll
20.01.2006 11:58 35.840 Jgmd400.dll
20.01.2006 11:58 42.496 Jgpl400.dll
20.01.2006 11:58 167.936 Jgdw400.dll
20.01.2006 11:55 22.752 spupdsvc.exe
20.01.2006 11:55 13.536 spmsg.dll
20.01.2006 11:55 49.152 wdigest.dll
20.01.2006 11:55 1.495.040 shdocvw.dll
20.01.2006 11:55 1.022.976 browseui.dll
20.01.2006 11:55 474.112 shlwapi.dll
20.01.2006 11:54 3.167 rsaci.rat
20.01.2006 11:54 42.918 normnfc.nls
20.01.2006 11:54 57.150 normnfkd.nls
20.01.2006 11:54 36.644 normnfd.nls
20.01.2006 11:54 63.176 normnfkc.nls
20.01.2006 11:54 23.552 idndl.dll
20.01.2006 11:54 59.342 normidna.nls
20.01.2006 11:54 20.480 normaliz.dll
20.01.2006 11:54 1.211.680 ieapfltr.dat
18.01.2006 13:05 57.344 avsda.dll
12.01.2006 11:32 543.496 LegitCheckControl.DLL
04.01.2006 04:35 68.096 webclnt.dll
29.12.2005 03:54 280.064 gdi32.dll
14.12.2005 14:38 7.006 jupdate-1.5.0_06-b05.log
08.12.2005 13:56 65.536 QuickTimeVR.qtx
08.12.2005 13:56 49.152 QuickTime.qts
08.12.2005 12:54 50.410 e10kxwdm.ini
08.12.2005 12:24 38.400 CTBURST.DLL
08.12.2005 12:23 146.432 ctdvinst.dll
08.12.2005 12:23 81.920 CTCOINST.DLL
08.12.2005 12:17 33.792 a3d.dll
08.12.2005 12:15 26.624 Ac3api.dll
08.12.2005 12:12 212.480 WRAP_OAL.DLL
08.12.2005 12:08 51.200 OPENAL32.DLL
08.12.2005 12:06 7.168 CTAGENT.DLL
08.12.2005 12:06 23.552 CTSPKHLP.DLL
08.12.2005 12:06 30.208 CTPCMCIA.DLL
08.12.2005 12:06 11.776 CTMMEP.DLL
08.12.2005 12:05 9.216 CTPRES.DLL
08.12.2005 12:05 75.264 CTSCAL.DLL
08.12.2005 12:05 64.000 CTTHXCAL.DLL
08.12.2005 12:05 190.976 CTDC0000.DLL
08.12.2005 12:05 286.208 CTDC0001.DLL
08.12.2005 12:05 129.536 CTDCIFCE.DLL
08.12.2005 11:59 293.747 ctdlang.dat
08.12.2005 11:58 106.496 ctemupia.dll
08.12.2005 11:58 548.352 ctsblfx.dll
08.12.2005 11:58 157.696 cteapsfx.dll
08.12.2005 11:58 536.576 ctaudfx.dll
08.12.2005 11:58 87.552 commonfx.dll
08.12.2005 11:58 317.952 CTEDSPSY.DLL
08.12.2005 11:55 115.200 CTEDSPIO.DLL
08.12.2005 11:55 269.824 CTEDSPFX.DLL
08.12.2005 11:55 119.808 CT_OAL.DLL
08.12.2005 11:55 47.616 CTEDASIO.DLL
08.12.2005 11:55 73.728 CTASIO.DLL
08.12.2005 11:55 71.168 ctdproxy.dll
08.12.2005 11:54 129.024 CTOSUSER.DLL
08.12.2005 11:54 21.504 sfman32.dll
08.12.2005 11:54 120.832 SFMS32.DLL
08.12.2005 11:54 33.792 REGPLIB.EXE
08.12.2005 11:54 73.728 piaproxy.dll
08.12.2005 11:54 140.643 ctbas2w.dat
08.12.2005 11:52 265.066 ctsbas2w.dat
08.12.2005 11:52 231.821 CTSBASW.DAT
08.12.2005 11:52 113.221 CTBASICW.DAT
08.12.2005 11:52 313.207 ctstatic.dat
08.12.2005 11:52 53.932 ctdaught.dat
08.12.2005 11:52 9.216 KILLAPPS.EXE
08.12.2005 11:51 47.104 DEVREG.DLL
08.12.2005 11:41 193 ctzapxx.ini
06.12.2005 06:02 5.533.696 wmp.dll
05.12.2005 16:07 2.240 esnecil.ind
05.12.2005 16:00 2.240 esnecil.nlp
21.11.2005 22:41 17.867 SpoonUninstall-dBpowerAMP Music Converter.dat
21.11.2005 22:41 167.936 SpoonUninstall.exe
21.11.2005 22:41 27.958 SpoonUninstall-dBpowerAMP Music Converter.bmp
21.11.2005 22:38 1.374 SpoonUninstall-dBpowerAMP WMA V9.1 Codec.dat
21.11.2005 22:38 33.846 SpoonUninstall-dBpowerAMP WMA V9.1 Codec.bmp
21.11.2005 22:37 2.069 SpoonUninstall-dBpowerAMP mp3PRO Input Codec.dat
21.11.2005 22:37 27.958 SpoonUninstall-dBpowerAMP mp3PRO Input Codec.bmp
21.11.2005 22:34 2.054 SpoonUninstall-dBpowerAMP Lame (Exe) Codec.dat
21.11.2005 22:34 27.958 SpoonUninstall-dBpowerAMP Lame (Exe) Codec.bmp
17.11.2005 16:17 81.920 ImageDrive.cpl
15.11.2005 12:12 117.976 hashlib.dll
15.11.2005 12:12 126.680 GCCollection.dll
15.11.2005 12:12 95.448 gcUnCompress.dll
14.11.2005 19:00 977.417 soaprtl100.xml
14.11.2005 19:00 78.336 vcldbx100.bpl
14.11.2005 19:00 857.088 xmlrtl100.bpl
14.11.2005 19:00 66.900 soaprtl100.jdbg
14.11.2005 19:00 531.968 soaprtl100.bpl
14.11.2005 19:00 20.812 inet100.jdbg
14.11.2005 19:00 126.464 inet100.bpl
14.11.2005 19:00 163.840 dbexpress100.bpl
14.11.2005 19:00 24.708 dbexpress100.jdbg
14.11.2005 19:00 325.120 xercesxmldom.dll
14.11.2005 19:00 296.680 dbexpress100.xml
14.11.2005 19:00 288.256 dbrtl100.bpl
14.11.2005 19:00 116.092 xmlrtl100.jdbg
14.11.2005 19:00 444.219 inet100.xml
14.11.2005 19:00 373.248 tee100.bpl
14.11.2005 19:00 50.284 dbrtl100.jdbg
14.11.2005 19:00 430.348 adortl100.xml
14.11.2005 19:00 60.016 tee100.jdbg
14.11.2005 19:00 1.036 inetdbxpress100.jdbg
14.11.2005 19:00 5.128 inetdbxpress100.xml
14.11.2005 19:00 15.360 inetdbxpress100.bpl
14.11.2005 19:00 20.420 adortl100.jdbg
14.11.2005 19:00 42.496 dbxcds100.bpl
14.11.2005 19:00 533.784 xmlrtl100.xml
14.11.2005 19:00 5.390 inetdbbde100.xml
14.11.2005 19:00 1.216 dbxcds100.jdbg
14.11.2005 19:00 6.874 dbxcds100.xml
14.11.2005 19:00 2.955.399 rtl100.xml
14.11.2005 19:00 156.532 rtl100.jdbg
14.11.2005 19:00 843.264 rtl100.bpl
14.11.2005 19:00 41.984 teedb100.bpl
14.11.2005 19:00 2.324 teedb100.jdbg
14.11.2005 19:00 257.536 teeui100.bpl
14.11.2005 19:00 571.904 vclie100.bpl
14.11.2005 19:00 1.799.572 websnap100.xml
14.11.2005 19:00 131.052 websnap100.jdbg
14.11.2005 19:00 751.104 websnap100.bpl
14.11.2005 19:00 26.628 teeui100.jdbg
14.11.2005 19:00 463.872 ibxpress100.bpl
14.11.2005 19:00 550.978 bdertl100.xml
14.11.2005 19:00 31.876 bdertl100.jdbg
14.11.2005 19:00 228.864 bdertl100.bpl
14.11.2005 19:00 682.958 webdsnap100.xml
14.11.2005 19:00 64.912 vclie100.jdbg
14.11.2005 19:00 14.848 inetdbbde100.bpl
14.11.2005 19:00 70.984 vclie100.xml
14.11.2005 19:00 38.480 webdsnap100.jdbg
14.11.2005 19:00 270.848 webdsnap100.bpl
14.11.2005 19:00 9.020 vcldbx100.jdbg
14.11.2005 19:00 155.648 adortl100.bpl
14.11.2005 19:00 383.488 midas.dll
14.11.2005 19:00 1.123.758 dbrtl100.xml
14.11.2005 19:00 992 inetdbbde100.jdbg
14.11.2005 19:00 1.731.584 xercesLib.dll
14.11.2005 19:00 322.526 dss100.xml
14.11.2005 19:00 248.320 dsnap100.bpl
14.11.2005 19:00 33.168 dsnap100.jdbg
14.11.2005 19:00 597.919 dsnap100.xml
14.11.2005 19:00 103.424 dsnapcon100.bpl
14.11.2005 19:00 14.088 dsnapcon100.jdbg
14.11.2005 19:00 215.376 dsnapcon100.xml
14.11.2005 19:00 56.320 dsnapent100.bpl
14.11.2005 19:00 5.364 dsnapent100.jdbg
14.11.2005 19:00 44.924 dss100.jdbg
14.11.2005 19:00 38.400 inetdb100.bpl
14.11.2005 19:00 5.484 inetdb100.jdbg
14.11.2005 19:00 1.665.536 vcl100.bpl
14.11.2005 19:00 314.456 vcl100.jdbg
14.11.2005 19:00 421.851 vclx100.xml
14.11.2005 19:00 27.948 vclx100.jdbg
14.11.2005 19:00 4.873.123 vcl100.xml
14.11.2005 19:00 198.656 vclx100.bpl
14.11.2005 19:00 64.512 vclsmp100.bpl
14.11.2005 19:00 94.720 vclshlctrls100.bpl
14.11.2005 19:00 273.920 vcldb100.bpl
14.11.2005 19:00 38.256 vcldb100.jdbg
14.11.2005 19:00 592.748 vcldb100.xml
14.11.2005 19:00 22.835 vcljpg100.xml
14.11.2005 19:00 4.796 vcljpg100.jdbg
14.11.2005 19:00 98.304 vcljpg100.bpl
14.11.2005 19:00 104.151 inetdb100.xml
14.11.2005 19:00 312.832 dss100.bpl
14.11.2005 19:00 47.616 vclib100.bpl
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
05.11.2005 04:16 1.056.256 danim.dll
04.11.2005 16:27 23.304 GWFSPidGen.DLL
02.11.2005 12:47 18.432 rrspy.sys
21.10.2005 04:40 152.064 cdfview.dll
20.10.2005 23:25 1.094.144 esent.dll
19.10.2005 16:24 1.777.664 IndyProtocols70.bpl
19.10.2005 16:24 299.008 IndyCore70.bpl
19.10.2005 16:24 133.120 IndySystem70.bpl
17.10.2005 22:20 80.896 fontsub.dll
17.10.2005 22:20 118.272 t2embed.dll
17.10.2005 09:35 704.512 SYNSOACC.dll
11.10.2005 18:48 2.848 LNSS_comm_dbg.txt
11.10.2005 18:46 4 msdbcrpt.kar.{c7695341-f8b7-43d3-9b64-809c416ca298}
11.10.2005 18:46 4 fsdbcrpt.kar.{c7695341-f8b7-43d3-9b64-809c416ca298}
06.10.2005 04:08 1.839.616 win32k.sys
06.10.2005 01:42 634.880 NCTAudioEditor2.dll
06.10.2005 01:42 467.456 NCTAudioPlayer2.dll
06.10.2005 01:42 467.968 NCTAudioRecord2.dll
06.10.2005 01:42 237.568 lame_enc.dll
06.10.2005 01:42 966.144 NCTAudioInformation2.dll
06.10.2005 01:42 877.568 NCTAudioFile2.dll
06.10.2005 01:42 522.752 NCTAudioTransform2.dll
23.09.2005 07:28 270.848 mscoree.dll
23.09.2005 07:28 74.240 mscories.dll
23.09.2005 07:28 150.016 mscorier.dll
23.09.2005 07:28 83.456 dfshim.dll
23.09.2005 04:06 8.491.520 shell32.dll
19.09.2005 14:34 3.313 LexFiles.ulf
18.09.2005 23:47 0 h323log.txt
18.09.2005 23:23 249 spupdwxp.log
18.09.2005 22:59 25.065 wmpscheme.xml
18.09.2005 22:54 261 $winnt$.inf
18.09.2005 22:52 2.951 CONFIG.NT
18.09.2005 22:51 488 WindowsLogon.manifest
18.09.2005 22:51 488 logonui.exe.manifest
18.09.2005 22:51 749 nwc.cpl.manifest
18.09.2005 22:51 749 ncpa.cpl.manifest
18.09.2005 22:51 749 wuaucpl.cpl.manifest
18.09.2005 22:51 749 sapi.cpl.manifest
18.09.2005 22:51 749 cdplayer.exe.manifest
18.09.2005 22:49 21.740 emptyregdb.dat
14.09.2005 20:17 53.248 pxhpinst.exe
10.09.2005 02:54 2.067.968 cdosys.dll
09.09.2005 08:31 1.183.744 cfhd.dll
08.09.2005 12:44 29.184 popup.ocx
06.09.2005 10:53 18.944 rrspy64.sys
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll
30.08.2005 04:55 1.292.800 quartz.dll
23.08.2005 04:39 124.416 umpnpmgr.dll
22.08.2005 19:31 197.632 netman.dll
12.08.2005 16:23 18.833 Ntaccess.sys
11.08.2005 16:11 65.024 nwwks.dll
05.08.2005 20:05 516.096 ati2sgag.exe
04.08.2005 07:07 307.200 atiiiexx.dll
04.08.2005 06:27 249.856 ATIDEMGR.dll
04.08.2005 05:46 6.684.672 atioglx1.dll
04.08.2005 04:28 5.005.312 atioglxx.dll
04.08.2005 04:10 205.312 ati2dvag.dll
04.08.2005 04:04 106.496 atipdlxx.dll
04.08.2005 04:04 73.728 Oemdspif.dll
04.08.2005 04:04 25.088 Ati2mdxx.exe
04.08.2005 04:04 39.936 ati2edxx.dll
04.08.2005 04:04 46.080 ati2evxx.dll
04.08.2005 04:02 380.928 ati2evxx.exe
04.08.2005 04:02 53.248 ATIDDC.DLL
04.08.2005 03:54 2.365.472 ati3duag.dll
04.08.2005 03:47 639.872 ativvaxx.dll
04.08.2005 03:34 147.456 atikvmag.dll
04.08.2005 03:08 17.408 atitvo32.dll
04.08.2005 03:02 212.992 ati2cqag.dll
02.08.2005 22:24 53.299 pthreadVC.dll
02.08.2005 22:18 233.472 wpcap.dll
02.08.2005 22:08 81.920 Packet.dll
02.08.2005 22:08 61.440 WanPacket.dll

****************************************************
LOG 2
****************************************************

Verzeichnis von C:\DOKUME~1\Roman\LOKALE~1\Temp

22.02.2006 12:03 478 ~WRD0000.doc
22.02.2006 12:01 0 JETFD5E.tmp
22.02.2006 12:01 512 ~DF29AE.tmp
22.02.2006 11:59 512 ~DFB003.tmp
22.02.2006 11:48 512 ~DF6D84.tmp
22.02.2006 11:48 16.384 ~DF6D79.tmp
22.02.2006 10:57 32.768 ~DF7D33.tmp
22.02.2006 09:25 512 ~DF662E.tmp
22.02.2006 09:25 16.384 ~DF6623.tmp
22.02.2006 09:24 16.384 ~DFEC06.tmp
22.02.2006 08:21 16.384 ~DFED29.tmp
22.02.2006 00:54 717 control.xml
21.02.2006 23:55 16.384 ~DF3635.tmp
21.02.2006 23:32 32.768 ~DF4A40.tmp
21.02.2006 12:28 59.964 Adobelm_Cleanup.0001
21.02.2006 12:28 1.097 TWAIN.LOG
21.02.2006 12:28 3 Twain001.Mtx
21.02.2006 12:28 156 Twunk001.MTX
21.02.2006 07:55 16.384 ~DF7AF7.tmp
20.02.2006 09:38 16.384 ~DF524C.tmp
19.02.2006 18:58 0 rsptmp.tmp
19.02.2006 15:56 16.384 ~DF8229.tmp
19.02.2006 09:35 16.384 ~DFF295.tmp
18.02.2006 15:48 1.664 java_install_reg.log
18.02.2006 15:39 0 fla12C.tmp
18.02.2006 14:08 965 IMTDE.xml
18.02.2006 14:08 965 IMTDD.xml
18.02.2006 14:08 965 IMTDC.xml
18.02.2006 14:08 965 IMTDB.xml
18.02.2006 13:52 965 IMTD2.xml

18.02.2006 13:31 1.576 MSI2419a.LOG
18.02.2006 13:24 3.960 EditorLineEnds.ttr
18.02.2006 13:24 0 61.tmp
18.02.2006 13:23 7.680 BdpXMLMerge.exe
18.02.2006 13:23 302 bdpmys.xml
18.02.2006 13:23 572 bdpMysConn.xml
18.02.2006 13:23 379 bdpsyb.xml
18.02.2006 13:23 461 bdpora.xml
18.02.2006 13:23 567 bdpOraConn.xml
18.02.2006 13:23 609 bdpSybConn.xml
18.02.2006 13:23 376 bdpmss.xml
18.02.2006 13:23 572 bdpMsaConn.xml
18.02.2006 13:23 601 bdpMssConn.xml
18.02.2006 13:23 341 bdpmsa.xml
18.02.2006 13:23 564 bdpDb2Conn.xml
18.02.2006 13:23 572 bdpIntConn.xml
18.02.2006 13:23 388 bdpint.xml
18.02.2006 13:23 370 bdpdb2.xml
18.02.2006 13:23 822 IDAPI32.CFG
18.02.2006 13:15 0 is25.tmp
18.02.2006 13:15 526 bdemerge.ini
18.02.2006 13:12 0 is7.tmp
18.02.2006 13:10 16.384 ~DFA0A5.tmp
18.02.2006 12:59 0 isB2.tmp
18.02.2006 12:59 2.382 dotNetFxSDK.log
18.02.2006 12:59 7.308.510 netfxsdk.log
18.02.2006 12:28 0 Twunk002.MTX
18.02.2006 09:06 16.384 ~DFF21B.tmp
17.02.2006 14:01 2.848 tmp-3.xpi
17.02.2006 13:41 16.384 ~DF6DEE.tmp
17.02.2006 08:51 512 ~DFED0C.tmp
17.02.2006 08:51 16.384 ~DFED01.tmp
17.02.2006 08:45 512 ~DF85EB.tmp
17.02.2006 08:45 16.384 ~DF85E0.tmp
16.02.2006 01:12 53.658 387f_appcompat.txt
15.02.2006 21:56 47 tmp-1.xpi
15.02.2006 21:32 47 tmp.xpi
14.02.2006 02:02 99 888AFB86.TMP
13.02.2006 23:16 2.060 design.css
13.02.2006 23:13 6.656 api.php
13.02.2006 17:18 3.225 addfile.php
13.02.2006 10:32 53.658 6d1e_appcompat.txt
18.01.2006 00:39 15.657 wp-stats.php
24.11.2005 01:15 79.377 qmgr.cab
24.11.2005 01:15 2.072 qmgr.inf
22.11.2005 23:53 229.376 _is4.tmp
11.10.2005 22:46 8.728 MPC4D9.tmp
11.10.2004 11:20 2.362.104 setb2.tmp
11.10.2004 11:20 1.026.048 setb1.tmp
11.10.2004 11:20 224.256 setb0.tmp
04.08.2004 08:58 778.240 setup_wm.exe
04.08.2004 08:51 1.810 setb3.tmp
11.05.2001 09:00 6.080 idapi.cnf
114 Datei(en) 12.584.979 Bytes

****************************************************
LOG 3
****************************************************

Verzeichnis von C:\WINDOWS

22.02.2006 12:16 24 ppc2c
22.02.2006 09:24 36.820 spupdsvc.log
22.02.2006 09:24 0 0.log
22.02.2006 09:24 159 wiadebug.log
22.02.2006 09:24 1.165.648 WindowsUpdate.log
22.02.2006 09:24 50 wiaservc.log
22.02.2006 09:23 2.048 bootstat.dat
22.02.2006 09:23 32.636 SchedLgU.Txt
22.02.2006 09:22 18.501 ie7beta2_main.log
22.02.2006 09:22 126.219 comsetup.log
22.02.2006 09:22 460.427 iis6.log
22.02.2006 09:22 76.643 ntdtcsetup.log
22.02.2006 09:22 19.846 ocmsn.log
22.02.2006 09:22 16.572 tabletoc.log
22.02.2006 09:22 167.479 tsoc.log
22.02.2006 09:22 1.374 imsins.log
22.02.2006 09:22 38.230 ie7bet2p.log
22.02.2006 09:22 187.631 ocgen.log
22.02.2006 09:22 25.170 medctroc.Log
22.02.2006 09:22 58.785 netfxocm.log
22.02.2006 09:22 18.024 msgsocm.log
22.02.2006 09:21 342.726 FaxSetup.log
22.02.2006 09:21 122.248 msmqinst.log
22.02.2006 09:21 32.815 updspapi.log
22.02.2006 09:15 1.374 imsins.BAK
22.02.2006 09:15 11.130 ie7bet2pUninst.log
22.02.2006 09:09 438 setuperr.log
22.02.2006 09:09 182.000 setupact.log
22.02.2006 00:54 83.005 wmsetup.log
22.02.2006 00:02 326.631 setupapi.log
21.02.2006 23:49 188.230 ntbtlog.txt
21.02.2006 18:55 116 NeroDigital.ini
21.02.2006 13:48 70 Gnucleus.INI
21.02.2006 12:43 54.156 QTFont.qfn
19.02.2006 15:56 3.163.910 {00000000-00000000-00000006-00001102-00000004-00511102}.CDF
19.02.2006 11:50 1.035 win.ini
18.02.2006 20:54 770 Sof2.INI
18.02.2006 13:05 6.835 KB913446.log
18.02.2006 13:04 9.830 KB911564.log
18.02.2006 13:04 10.997 KB911927.log
18.02.2006 13:03 9.546 KB911565.log
15.02.2006 23:30 13.553 DirectX.log
14.02.2006 18:03 279 wmsetup10.log
14.02.2006 18:00 316.640 WMSysPr9.prx
13.02.2006 10:32 3.163.910 {00000000-00000000-00000006-00001102-00000004-00511102}.BAK
11.02.2006 17:58 514 ODBC.INI
06.02.2006 21:12 1.409 QTFont.for
06.02.2006 16:09 5.814 COM+.log
02.02.2006 13:02 107.134 UninstallFirefox.exe
02.02.2006 13:01 4.259 mozver.dat
24.01.2006 00:54 1.355 IE4 Error Log.txt
22.01.2006 23:16 786 KB867460.log
22.01.2006 14:50 253 system.ini
21.01.2006 11:10 102.400 DUMP4efa.tmp
20.01.2006 10:14 3.862 DgnSetup.log
20.01.2006 10:13 209 dgnsetup.ini
12.01.2006 10:45 11.058 KB912919.log
12.01.2006 10:45 10.303 KB908519.log
11.01.2006 19:55 1.182.147 setupapi.log.0.old
23.12.2005 00:21 5.366 php.ini
21.12.2005 19:08 68 SBWIN.INI
21.12.2005 18:44 10.406 KB910437.log
21.12.2005 18:44 18.740 KB905915.log
14.12.2005 23:32 7.680 Thumbs.db
14.12.2005 13:18 2.425 nemdiag.log
08.12.2005 12:06 35.840 READREG.EXE
08.12.2005 12:06 34.304 PSCONV.EXE
08.12.2005 12:06 16.384 CTHELPER.EXE
08.12.2005 12:05 10.240 CTDCRES.DLL
08.12.2005 11:51 25.600 MIDIDEF.EXE
07.12.2005 10:14 2.837 KB885884.log
06.12.2005 11:35 4 CKSNNT.flg
05.12.2005 17:03 44.784 Logic 5.prf
05.12.2005 16:27 0 gstudio.INI
05.12.2005 15:59 43 Crypkey.ini
05.12.2005 12:47 201 ChordSongTransposerSettings.ini
05.12.2005 12:47 249.856 Setup1.exe
05.12.2005 12:47 73.216 ST6UNST.EXE
05.12.2005 11:58 792 ST6UNST.000
04.12.2005 22:54 8 d392.sys
26.11.2005 12:27 0 nsreg.dat
16.11.2005 09:56 155 winamp.ini
10.11.2005 10:49 11.802 KB896424.log
18.10.2005 23:09 21.104 KB901017.log
18.10.2005 23:08 23.366 KB902400.log
18.10.2005 23:08 14.000 KB896688.log
18.10.2005 23:08 13.382 KB899589.log
18.10.2005 23:08 13.700 KB905414.log
18.10.2005 23:08 13.495 KB900725.log
18.10.2005 23:08 11.342 KB904706.log
18.10.2005 23:08 11.962 KB905749.log
14.10.2005 18:40 72.444 SetBrowser.exe
14.10.2005 18:40 748 SetBrowser.ini
02.10.2005 21:55 43.676 ATMREG.ATM
02.10.2005 21:54 434.004 palab.ttf
02.10.2005 21:54 430.800 palai.ttf
02.10.2005 21:53 489.884 pala.ttf
29.09.2005 16:22 36 webica.ini
19.09.2005 14:33 748 LMAAL2DD.ini


****************************************************
LOG 4
****************************************************

Verzeichnis von C:\

22.02.2006 12:17 0 sys.txt
22.02.2006 12:16 11.261 system.txt
22.02.2006 12:15 5.776 systemtemp.txt
22.02.2006 12:12 123.081 system32.txt
22.02.2006 09:23 402.653.184 pagefile.sys
22.01.2006 14:50 211 boot.ini
06.12.2005 11:35 23.012 CrypKey.Log
05.12.2005 16:30 704 scope
18.09.2005 23:06 47.564 NTDETECT.COM
18.09.2005 23:06 251.184 ntldr
18.09.2005 22:52 0 IO.SYS
18.09.2005 22:52 0 AUTOEXEC.BAT
18.09.2005 22:52 0 MSDOS.SYS
18.09.2005 22:52 0 CONFIG.SYS
25.06.2005 02:39 584 Plugins
23.08.2001 13:00 4.952 bootfont.bin

------------------------------------------------------

Danke für deine Hilfe, na da bin ich mal gespannt.

Roman

#4 das sieht aus wie Apropos....

Zitat

Verzeichnis von C:\WINDOWS
22.02.2006 12:16 24 ppc2c

http://virus-protect.org/artikel/spyware/apropos1.html

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei (txt) auf dem Desktop
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Phuu das hat gedauert aber der scheint da einiges gefunden zu haben ...
Die Datei war 9MB groß ! - Keine Angst, habs gezippt. 400kB.

Im Anhang.

Ich bin dir sooooooo dankbar !

#6 ja, das ist der Apropos
http://virus-protect.org/artikel/spyware/apropos1.html

Zitat

C:\PROGRAMME\SERENSTE\LOGFC.EXE
C:\WINDOWS\SYSTEM32\MSRSKILL.EXE
C:\Programme\Serenste\ace.dll
C:\Programme\Serenste\AI_16-02-2006.log
C:\Programme\Serenste\Cache\00000015_43bc1b70_0001ab3f
C:\Programme\Serenste\data.bin
C:\PROGRAMME\SERENSTE\LOGFC.EXE
C:\Programme\Serenste\p2pcoree.exe
C:\Programme\Serenste\WinGenerics.dll
C:\WINDOWS\system32\drivers\enuhenum.sys
C:\WINDOWS\SYSTEM32\MSRSKILL.EXE

Lade dir diesen Fix dafuer herunter http://swandog46.geekstogo.com/aproposfix.exe
Entpacke es am besten auf dem Desktop, oder in einem anderen Ordner, du musst dir nur merken wo!
Dann starte den PC im abgesicherten Modus und starte die runthis.bat die sich im aproposfix Ordner befindet. Danach den PC wieder normal starten

posten den scanreport

dann:
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html
poste ebenfalls den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo,
verzeih die späte Antwort, hat etwas gedauert.
Hab im Abgesicherten Modus gestartet und den Fix laufen lassen. Der scheint auch einiges bereinigt zu haben - jedoch leider nicht mein Problem.
Hier das Log (darunter das Log von RootkitRevealer):

Log of AproposFix v1.1

************

Running from directory:
C:\Dokumente und Einstellungen\Roman\Desktop\aproposfix

************



Registry entries found:

[HKEY_LOCAL_MACHINE\Software\CpTj7Av5cU99]
@="YPPUYHUdeedeefeDVFhjimdeedtge9z0u195eVbVWHPkjeGULYHUVeHQXKHQXPfVbV"
"Device"="\\\\.\\asc0215"
"DriverPath"="C:\\WINDOWS\\system32\\drivers\\enuhenum.sys"
"DriverName"="vmmrver"
"HideUninstallerName"="C:\\Programme\\Serenste\\p2pcoree.exe"
"UninstallerPath"="C:\\WINDOWS\\system32\\mouautou.exe"
"UninstallerRegKey"="HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\{46CD5171-C0DC-4533-BB02-586B54A02ED0}"
"UninstallerParams"="/CTUN"
"HDll"="C:\\WINDOWS\\system32\\actpyi64.dll"
"ServerAddress"="adchannel.contextplus.net"
"LegalNote"="http://adchannel.contextplus.net/legal-note/nonbranded.html"
"PartnerId"="CP.IST2"
"InstallationId"="{Xc710700-02e4-2953-96f9-5819b46829fe}"
"PageFiltering"=dword:00000001
"CrMnTmt"=dword:0036ee80

************

Removing hidden service:
Service vmmrver removed.

Removing hidden folder:
Deletion of folder Serenste succeeded!

Deleting files:

Deletion of file C:\WINDOWS\system32\drivers\enuhenum.sys succeeded!
Deletion of file C:\WINDOWS\system32\msrskill.exe succeeded!
Deletion of file C:\WINDOWS\system32\actpyi64.dll succeeded!
Deletion of file C:\WINDOWS\system32\mouautou.exe succeeded!

Backing up files:
Done!

Removing registry entries:

REGEDIT4

[-HKEY_CURRENT_USER\Software\CpTj7Av5cU99]
[-HKEY_LOCAL_MACHINE\Software\CpTj7Av5cU99]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{46CD5171-C0DC-4533-BB02-586B54A02ED0}]

Done!

Finished!


*******************************************************

Log vom Rootkit Revealer:

HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 19.01.2006 15:59 0 bytes Access is denied.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP162\A0069804.sys 05.12.2005 11:52 12.00 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP162\change.log 23.02.2006 09:48 5.35 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP162\change.log.5 23.02.2006 09:48 5.35 KB Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP162\drivetable.txt 23.02.2006 10:19 856 bytes Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163 23.02.2006 10:19 0 bytes Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\change.log 23.02.2006 10:32 1.74 KB Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\RestorePointSize 23.02.2006 10:19 8 bytes Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\rp.log 23.02.2006 10:19 536 bytes Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\snapshot 23.02.2006 10:19 0 bytes Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\snapshot\_REGISTRY_MACHINE_SAM 23.02.2006 10:19 28.00 KB Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\snapshot\_REGISTRY_MACHINE_SECURITY 23.02.2006 10:19 60.00 KB Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\snapshot\_REGISTRY_MACHINE_SOFTWARE 23.02.2006 10:19 37.52 MB Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\snapshot\_REGISTRY_MACHINE_SYSTEM 23.02.2006 10:19 5.28 MB Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\snapshot\_REGISTRY_USER_.DEFAULT 23.02.2006 10:19 280.00 KB Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\snapshot\_REGISTRY_USER_NTUSER_S-1-5-18 23.02.2006 10:19 256.00 KB Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\snapshot\_REGISTRY_USER_NTUSER_S-1-5-19 23.02.2006 10:19 232.00 KB Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\snapshot\_REGISTRY_USER_NTUSER_S-1-5-20 23.02.2006 10:19 232.00 KB Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\snapshot\_REGISTRY_USER_NTUSER_S-1-5-21-1214440339-1417001333-682003330-1003 23.02.2006 10:19 10.81 MB Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\snapshot\_REGISTRY_USER_NTUSER_S-1-5-21-1214440339-1417001333-682003330-1004 23.02.2006 10:19 232.00 KB Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\snapshot\_REGISTRY_USER_USRCLASS_S-1-5-19 23.02.2006 10:19 8.00 KB Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\snapshot\_REGISTRY_USER_USRCLASS_S-1-5-20 23.02.2006 10:19 8.00 KB Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\snapshot\_REGISTRY_USER_USRCLASS_S-1-5-21-1214440339-1417001333-682003330-1003 23.02.2006 10:19 136.00 KB Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\snapshot\ComDb.Dat 06.02.2006 15:28 23.06 KB Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\snapshot\domain.txt 23.02.2006 10:19 32 bytes Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\snapshot\Repository 23.02.2006 10:19 0 bytes Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\snapshot\Repository\$WinMgmt.CFG 23.02.2006 09:47 20 bytes Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\snapshot\Repository\FS 23.02.2006 10:19 0 bytes Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\snapshot\Repository\FS\INDEX.BTR 23.02.2006 10:19 1.70 MB Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\snapshot\Repository\FS\INDEX.MAP 23.02.2006 10:19 908 bytes Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\snapshot\Repository\FS\MAPPING.VER 23.02.2006 10:19 4 bytes Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\snapshot\Repository\FS\MAPPING1.MAP 23.02.2006 10:19 5.35 KB Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\snapshot\Repository\FS\MAPPING2.MAP 23.02.2006 10:19 5.35 KB Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\snapshot\Repository\FS\OBJECTS.DATA 23.02.2006 10:19 8.85 MB Hidden from Windows API.
C:\System Volume Information\_restore{CD84ACE8-EB5A-41BE-8692-A2285916E757}\RP163\snapshot\Repository\FS\OBJECTS.MAP 23.02.2006 10:19 4.47 KB Hidden from Windows API.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 22.01.2006 23:37 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 22.01.2006 23:37 111.50 KB Visible in Windows API, but not in MFT or directory index.


*********************************************

Das "Play365" erscheint leider immer noch im IE wenn ich ein neues Tab aufmache (siehe Bild im ersten Post).

Jetzt wirds komplex, hmm? Ich hab keine Ahnung mehr was ich noch tun soll.

#8 0.
stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

2.
dann scanne noch mal mit blacklight
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo!

Hab alles wie vorgeschlagen durchgeführt - die Scanner meldeten alle zwar nichts - aber bin gerade wieder ins normale Windows zurück gekommen und habs ausprobiert - und es scheint als wäre das Problem gelöst.

Hab extra die CPU verlangsamt um auch sicher zu gehen, aber ich kann derzeit nichts feststellen. Jetzt kann natürlich sein das der Browser schneller wurde (durch löschen der ganzen Cookies usw) aber ich vermute du hast das Problem gelöst!

Kann man sagen woran es in etwa lag? Der Blacklight meldete gar keine versteckten Objekte (0 items). Ich verdächtige entweder die Systemwiederherstellung (die ich Idoit noch an hatte) oder (was mir seltsam vorkommen würde) die gute Arbeit von "Cleaner".

Ok, ich sag tausend (10000000000) Dank für deine Profihilfe hier - und ich dachte ich kenn mich aus - werde aber ein Auge auf etwaige Ungereimtheiten achten und schauen ob das Rootkit wirklich entfernt wurde. Ansonsten melde ich mich wieder hier in diesem Thread.

Danke danke danke Sabina du bist meine Heldin!

Roman