Viren Probleme!

#46 Hallo Sabina,
habe doch noch 1 oder zwei kleinere Fragen, vielleicht kannst Du mir da helfen?
Bevor ich mich an dich gewendet hatte, hatte ich auch ein Programm, dass da Spyware Doctor hiess installiert. Dieses werde ich jetzt nicht mehr los.
Die Uninstall-Funktion funktionierte nicht, manuelles Löschen auch nicht.
Wie werde ich alles los was mit diesem Programm zu tun hat?
Viele Grüße
JorginhoM

#47 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Spyware Doctor

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

-------------------------------------------------------------------------

Zitat

O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q

__________
MfG Sabina

rund um die PC-Sicherheit

#48 Hallo Sabina,
vielen Dank für deine Antwort.
Das Log von regsearch ist:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 28.03.2006 14:13:15 for strings:
; 'spyware doctor'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Chilkat Software, Inc.\ChilkatXml.ChilkatXml]
"registered_dll"="C:\\Programme\\Spyware Doctor\\chilkatxml.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FAB24D9-F81A-49A3-A0E9-A3198DEDF454}\InprocServer32]
@="C:\\Programme\\Spyware Doctor\\chilkatxml.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FAB24D9-F81A-49A3-A0E9-A3198DEDF454}\ToolboxBitmap32]
@="C:\\Programme\\Spyware Doctor\\chilkatxml.dll, 101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE2E4226-494A-4DB2-9B45-7C8586CC01A3}\InprocServer32]
@="C:\\Programme\\Spyware Doctor\\chilkatxml.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{101F9C56-A0F3-455C-ABBB-191168ABCF94}\1.0\0\win32]
@="C:\\Programme\\Spyware Doctor\\chilkatxml.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{101F9C56-A0F3-455C-ABBB-191168ABCF94}\1.0\HELPDIR]
@="C:\\Programme\\Spyware Doctor\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8051E3F7-B752-42C8-AEA7-4CC1D125D49B}\1.0\0\win32]
@="C:\\Programme\\Spyware Doctor\\swdoctor.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8051E3F7-B752-42C8-AEA7-4CC1D125D49B}\1.0\HELPDIR]
@="C:\\Programme\\Spyware Doctor\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{2D663D1A-8670-49D9-A1A5-4C56B4E14E84}]
"ButtonText"="Spyware Doctor"
"HotIcon"="\"C:\\Programme\\Spyware Doctor\\tools\\iesdpb.dll\",1"
"Icon"="\"C:\\Programme\\Spyware Doctor\\tools\\iesdpb.dll\",1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SWDOCTOR.EXE]
@="C:\\Programme\\Spyware Doctor\\swdoctor.exe"
"PATH"="C:\\Programme\\Spyware Doctor\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spyware Doctor_is1]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spyware Doctor_is1]
"Inno Setup: App Path"="C:\\Programme\\Spyware Doctor"
"InstallLocation"="C:\\Programme\\Spyware Doctor\\"
"Inno Setup: Icon Group"="Spyware Doctor"
"DisplayName"="Spyware Doctor 3.5"
"DisplayIcon"="C:\\Programme\\Spyware Doctor\\swdoctor.exe"
"UninstallString"="\"C:\\Programme\\Spyware Doctor\\unins000.exe\""
"QuietUninstallString"="\"C:\\Programme\\Spyware Doctor\\unins000.exe\" /SILENT"

[HKEY_LOCAL_MACHINE\SOFTWARE\PCTools\Spyware Doctor]

[HKEY_LOCAL_MACHINE\SOFTWARE\PCTools\Spyware Doctor]
"uninsmsg1"="Bei der De-Installation wurde festgestellt, daß Spyware Doctor noch läuft."
"uninsmsg2"="Klicken Sie OK, um Spyware Doctor zu beenden und mit der De-Installation fortzufahren oder Beenden, um die De-Installation zu verlassen."

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SDHELPER\0000]
"DeviceDesc"="PC Tools Spyware Doctor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SDhelper]
; Contents of value:
; C:\Programme\Spyware Doctor\sdhelp.exe
"ImagePath"=hex(2):43,3a,5c,50,72,6f,67,72,61,6d,6d,65,5c,53,70,79,77,61,72,65,\
20,44,6f,63,74,6f,72,5c,73,64,68,65,6c,70,2e,65,78,65,00
"DisplayName"="PC Tools Spyware Doctor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SDHELPER\0000]
"DeviceDesc"="PC Tools Spyware Doctor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SDhelper]
; Contents of value:
; C:\Programme\Spyware Doctor\sdhelp.exe
"ImagePath"=hex(2):43,3a,5c,50,72,6f,67,72,61,6d,6d,65,5c,53,70,79,77,61,72,65,\
20,44,6f,63,74,6f,72,5c,73,64,68,65,6c,70,2e,65,78,65,00
"DisplayName"="PC Tools Spyware Doctor"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SDHELPER\0000]
"DeviceDesc"="PC Tools Spyware Doctor"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SDhelper]
; Contents of value:
; C:\Programme\Spyware Doctor\sdhelp.exe
"ImagePath"=hex(2):43,3a,5c,50,72,6f,67,72,61,6d,6d,65,5c,53,70,79,77,61,72,65,\
20,44,6f,63,74,6f,72,5c,73,64,68,65,6c,70,2e,65,78,65,00
"DisplayName"="PC Tools Spyware Doctor"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_USERS\.DEFAULT\Software\PCTools\Spyware Doctor]

[HKEY_USERS\.DEFAULT\Software\PCTools\Spyware Doctor\Settings]

[HKEY_USERS\.DEFAULT\Software\PCTools\Spyware Doctor\Settings\Tools]

[HKEY_USERS\.DEFAULT\Software\PCTools\Spyware Doctor\Settings\Tools\ActCookie]

[HKEY_USERS\S-1-5-21-3730504423-3504440390-693102046-1010\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Spyware Doctor]

[HKEY_USERS\S-1-5-21-3730504423-3504440390-693102046-1010\Software\Microsoft\Windows\CurrentVersion\Run]
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_USERS\S-1-5-21-3730504423-3504440390-693102046-1010\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\Spyware Doctor\\swdoctor.exe"="Spyware Doctor"

[HKEY_USERS\S-1-5-21-3730504423-3504440390-693102046-1010\Software\PCTools\Spyware Doctor]

[HKEY_USERS\S-1-5-21-3730504423-3504440390-693102046-1010\Software\PCTools\Spyware Doctor\Settings]

[HKEY_USERS\S-1-5-21-3730504423-3504440390-693102046-1010\Software\PCTools\Spyware Doctor\Settings\Tools]

[HKEY_USERS\S-1-5-21-3730504423-3504440390-693102046-1010\Software\PCTools\Spyware Doctor\Settings\Tools\ActCookie]

[HKEY_USERS\S-1-5-21-3730504423-3504440390-693102046-1010\Software\PCTools\Spyware Doctor\Settings\Tools\ActiveX Scanner]

[HKEY_USERS\S-1-5-21-3730504423-3504440390-693102046-1010\Software\PCTools\Spyware Doctor\Settings\Tools\ActStartUp]

[HKEY_USERS\S-1-5-21-3730504423-3504440390-693102046-1010\Software\PCTools\Spyware Doctor\Settings\Tools\Browser Activity Scanner]

[HKEY_USERS\S-1-5-21-3730504423-3504440390-693102046-1010\Software\PCTools\Spyware Doctor\Settings\Tools\Disk Scanner]

[HKEY_USERS\S-1-5-21-3730504423-3504440390-693102046-1010\Software\PCTools\Spyware Doctor\Settings\Tools\Exploit Guard]

[HKEY_USERS\S-1-5-21-3730504423-3504440390-693102046-1010\Software\PCTools\Spyware Doctor\Settings\Tools\General Scanner]

[HKEY_USERS\S-1-5-21-3730504423-3504440390-693102046-1010\Software\PCTools\Spyware Doctor\Settings\Tools\IEMonitor]

[HKEY_USERS\S-1-5-21-3730504423-3504440390-693102046-1010\Software\PCTools\Spyware Doctor\Settings\Tools\Immunizer]

[HKEY_USERS\S-1-5-21-3730504423-3504440390-693102046-1010\Software\PCTools\Spyware Doctor\Settings\Tools\Keylogger Guard]

[HKEY_USERS\S-1-5-21-3730504423-3504440390-693102046-1010\Software\PCTools\Spyware Doctor\Settings\Tools\Network Guard]

[HKEY_USERS\S-1-5-21-3730504423-3504440390-693102046-1010\Software\PCTools\Spyware Doctor\Settings\Tools\Popup Blocker]

[HKEY_USERS\S-1-5-21-3730504423-3504440390-693102046-1010\Software\PCTools\Spyware Doctor\Settings\Tools\Process Guard]

[HKEY_USERS\S-1-5-21-3730504423-3504440390-693102046-1010\Software\PCTools\Spyware Doctor\Settings\Tools\Process Scanner]

[HKEY_USERS\S-1-5-21-3730504423-3504440390-693102046-1010\Software\PCTools\Spyware Doctor\Settings\Tools\Registry Scanner]

[HKEY_USERS\S-1-5-21-3730504423-3504440390-693102046-1010\Software\PCTools\Spyware Doctor\Settings\Tools\Scheduler]

[HKEY_USERS\S-1-5-21-3730504423-3504440390-693102046-1010\Software\PCTools\Spyware Doctor\Settings\Tools\Site Guard]

[HKEY_USERS\S-1-5-21-3730504423-3504440390-693102046-1010\Software\PCTools\Spyware Doctor\Settings\Tools\Spyware Doctor Network]

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_USERS\S-1-5-18\Software\PCTools\Spyware Doctor]

[HKEY_USERS\S-1-5-18\Software\PCTools\Spyware Doctor\Settings]

[HKEY_USERS\S-1-5-18\Software\PCTools\Spyware Doctor\Settings\Tools]

[HKEY_USERS\S-1-5-18\Software\PCTools\Spyware Doctor\Settings\Tools\ActCookie]

; End Of The Log...

Gruß
JorginhoM

#49 gehe in die Registry
Start-Ausfuehren-regedit
bearbeiten- suchen --> Spyware Doctor_is1

loeschen

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spyware Doctor_is1

starte den pc neu, dann solltest du das tool deinstallieren koennen,
__________
MfG Sabina

rund um die PC-Sicherheit

#50 Hallo Sabina,
habe ich gemacht, allerdings hatte ich schon vorher als das uninstall nicht funktionierte den Ordner so weit wie möglich per Hand gelöscht, also auch schon die uninstall.exe.
Der Programmordner liess sich aber leider nicht komplett plattmachen, einige Dateien, Ordner konnte ich dabei nicht löschen.

Daher:
Wie kriege ich den Restordner komplett gelöscht, alle registryeinträge und Einträge in der Programmleiste gelöscht.

Nach diesem unvollständigen manuellen Löschversuch meldet sich der PC beim Neustart immer mit einem kleinen Fenster:
Cannot find import; DLL may be missing, corrupt or wrong version.
File "rtl70.bpl", error 126.
Ich denke, dass ist noch eine Spyware Doctor Meldung der jetzt etwas nicht mehr findet. Schlimm?

Tausend Dank für deine Geduld ;-)
Gruß
JorginhoM

#51 hi.
hab alles so gemacht, wie du geschriebn hast, aber ob die weg sind glaub ich nciht, der scan report hat nix ergeben, außer 8 dateien..:

ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 18:01:29, 29.03.2006
+ Report-Checksumme: FF4645A6

+ Scanergebnis:

C:\!KillBox\setup.exe.tmp -> Downloader.VB.yj : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Robert\Cookies\robert@2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Robert\Cookies\robert@advertising[1].txt -> TrackingCookie.Advertising : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Robert\Cookies\robert@as-eu.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Robert\Cookies\robert@as1.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Robert\Cookies\robert@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Robert\Cookies\robert@komtrack[2].txt -> TrackingCookie.Komtrack : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Robert\Cookies\robert@serving-sys[2].txt -> TrackingCookie.Serving-sys : Gesäubert mit Backup


::Report Ende

#52 JorginhoM
mache dir die Arbeit und loesche alle Eintraege in der Registry, vom Doctor.

Start->Ausfuehren--> regedit
bearbeiten--> suchen

PCTools
Spyware Doctor
-----------------------------------------------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\PCTools .. usw. usw....

dann versuche im abgesicherten Modus alles zu loeschen, was du erwischen kannst.

Zitat

Irgend ein in Delphi programmiertes Programm benötigt die Datei rtl70.bpl. Offensichtlich wird das Programm automatisch beim Systemstart sowie beim Start vom IE mit gestartet

__________
MfG Sabina

rund um die PC-Sicherheit

#53 Stephi05

es scheint alles wieder o.k. zu sein
__________
MfG Sabina

rund um die PC-Sicherheit

#54 Hallo Sabina,
danke, das hat so geklappt. Der Spyware Doctor ist weg und das Fenster erschien dann auch nicht mehr. Vielen Dank.
Jetzt bin ich erstmal wunschlos glücklich. :-)
Gruß
JorginhoM

#55 na das scheint ja endlich mal ne gute nachricht zu sein... vielen vielen dank auch!!!!

#56 Hallo Sabina,
habe heute nochmal einen Kaspersky Online Virenscan gemacht.
Dies ist das Log:
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Thursday, March 30, 2006 12:57:47 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 30/03/2006
Kaspersky Anti-Virus database records: 184933
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
I:\

Scan Statistics:
Total number of scanned objects: 191015
Number of viruses found: 4
Number of infected objects: 5
Number of suspicious objects: 0
Duration of the scan process: 03:05:35

Infected Object Name / Virus Name / Last Action
C:\Dokumente und Einstellungen\Thälmann\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\omfg.class-585c2635-67fa259f.class Infected: Trojan-Downloader.Java.OpenStream.y skipped
C:\downloads\VIX.exe/data0011 Infected: not-a-virus:AdWare.Win32.NewDotNet skipped
C:\downloads\VIX.exe/data0012 Infected: not-a-virus:AdWare.Win32.GigatechSuperBar skipped
C:\downloads\VIX.exe/data0013 Infected: not-a-virus:AdWare.Win32.SaveNow.bx skipped
C:\downloads\VIX.exe NSIS: infected - 3 skipped

Scan process completed.

Wie kriege ich den Trojaner weg?
Gruß
JorginhoM

#57 JorginhoM..como é que estas ?

nun weiss du ja,was zu loeschen ist:

1.
C:\Dokumente und Einstellungen\Thälmann\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\omfg.class-585c2635-67fa259f.class

C:\downloads\VIX.exe

2.
Laufwerk C: eine Datenträgerbereinigung vornehmen.
Start > Programme > Zubehör > Systemprogramme >
Datenträgerbereinigung
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
__________
MfG Sabina

rund um die PC-Sicherheit

#58 Olà Sabina,
tausend dank für deine Antwort.
Mein Problem ist, dass ich
C:\Dokumente und Einstellungen\Thälmann\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\omfg.class-585c2635-67fa259f.class
nicht finden kann, da ich im Ordner Thälmann gar keinen Ordner Anwendungsdaten habe, bzw. den nicht sehen kann.;-)

Ich mache aber schon mal die Systembereinigung.
Gruß
JorginhoM

#59 versuche es mal damit:
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html
__________
MfG Sabina

rund um die PC-Sicherheit