zeigt mir jemand wie man TR/swizzor.A löschen kann

#91 Need Help

ich weiss nicht, was dich veranlasst hat, dieses Fake/Trojaner-Proggie zu laden, denn es hat dir im Grunde den Rechner zerschossen...mal sehen, ob du es deinstalliert...geloescht bekommst.

winantivirus pro 2006
http://virus-protect.org/artikel/spyware/winantivirus_%20pro_%202006.html

----------------------------------------------------------------------------
1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinAntiVirusPro2006"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
"C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\WapCHK.dll"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\WinAV.exe\shell]
[-HKEY_LOCAL_MACHINE\SOFTWARE\WinAntiVirus Pro 2006]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WA6P_is1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{723D54C7-7483-4EB8-8EED-CE5B2AEA534D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1AC5C88A-DEA7-462b-A232-04AF5CA42E7E}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2178F3FB-2560-458f-BDEE-631E2FE0DFE4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B2A3156E-3332-4b47-AF5A-5B121503514F}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B646F5E2-0A48-421d-AC91-F96C92BFC17A}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E69F0D6A-1C69-4A04-8709-5EAC2019D9BE}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B5141620-C2B2-4d95-9F0F-134D99C87AB0}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2BC32EF8-BB73-4099-BB2E-0F2951B3E276}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{367A86A5-D048-4785-86BE-4E2706AAFDD9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{732B6533-7F78-4C47-9C01-2979BA0829B9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{1234890A-5E6E-4867-8136-CA6F1456B235}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{FC0B8EB8-AE24-4FD6-B479-E2B464F32DA6}]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FWSvc]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FWSvc]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FWSvc]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FOPN\log]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FOPN]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FOPN\log]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FOPN]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN\log]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN]

[-HKEY_USERS\S-1-5-21-1757981266-1060284298-854245398-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\WinAntiVirus Pro 2006]

[-HKEY_USERS\S-1-5-21-1757981266-1060284298-854245398-1000\Software\WinAntiVirus Pro 2006]

[-HKEY_USERS\S-1-5-21-1757981266-1060284298-854245398-1000\Software\WinAntiVirus Pro 2006\Settings]

2.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen

3.
und WinAntiVirus Pro 2006 deinstallieren
-------------------------------------------------------------------
4.
boote wieder in den Normal modus

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

C:\Programme\WinAntiVirus Pro 2006\unwizard.exe
C:\Programme\WinAntiVirus Pro 2006\fwsvc.exe
C:\Programme\WinAntiVirus Pro 2006\avkernel.dll
C:\Programme\WinAntiVirus Pro 2006\WinAV.exe
C:\Programme\WinAntiVirus Pro 2006\WAV6COM.dll
C:\Programme\WinAntiVirus Pro 2006\IEFWBHO.dll
C:\Programme\WinAntiVirus Pro 2006\winpgi.dll
C:\WINDOWS\system32\fwsvc.sys
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\WapCHK.dll

PC neustarten

loeschen
C:\Programme\WinAntiVirus Pro 2006
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006
C:\WinAntiVirus Pro 2006\Quarantine
C:\Programme\Common Files\WinAntiVirus Pro 2006

wenn das erledigt ist, melde dich, dann sehen wir weiter.......................
__________
MfG Sabina

rund um die PC-Sicherheit

#92 Erstmal vielen herzlichen Dank, dafür das du mir die ganze Zeit hilfst. ^__^

Ich habe jetzt alles erledigt, die ganzen Programme und Pfade sind gelöscht. Aber es öffnet sich immer noch die IExplore.exe. q.q
Ich weiss echt nicht, wie ich die wegbekommen soll, hab schon so derbe viele Sachen probiert. :<

#93 Need Help

Lop/swizzor
http://virus-protect.org/artikel/spyware/lop1.html
-------------------------------------------------------------------------
1.
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

es kann sein, dasss es einige Eintraege vom Winfixer nicht mehr gibt.....

2.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: CIEIntegrator Object - {2178F3FB-2560-458F-BDEE-631E2FE0DFE4} - C:\Programme\WinAntiVirus Pro 2006\winpgi.dll
O2 - BHO: IEFW Object - {B5141620-C2B2-4D95-9F0F-134D99C87AB0} - C:\Programme\WinAntiVirus Pro 2006\IEFWBHO.dll
O2 - BHO: (no name) - {C9D0B531-6839-E7A2-8294-FEDCD6A7EC2F} - C:\DOKUME~1\Hannah\ANWEND~1\LIVESU~1\PROC LITE.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [blah 01 setup save] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\plan fast blah 01\Grey great.exe
O4 - HKLM\..\Run: [WinAntiVirusPro2006] "C:\Programme\WinAntiVirus Pro 2006\WinAV.exe" /min
O4 - HKCU\..\Run: [junk time] C:\DOKUME~1\Hannah\ANWEND~1\BOOBST~1\Way program.exe
O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm
O23 - Service: Firewall service (FWSvc) - WinSoftware, Ltd. - C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe

PC neustarten (in den abgesicherten Modus) --> F8 drücken, wenn der PC hochfährt

3.
deinstallieren:
C:\Programme\DAP
MessengerPlus! 3 + Sponsor

4.
loeschen:
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\LIVESU..........(ist nicht die vollstaendige Bezeichnung)
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\BOOBST............
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\plan fast blah 01\

5.
boote wieder in den normalmodus

6.
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften ---> Reiter Systemwiederherstellung ---> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren)

7.
Counterspy --> löscht die Eintraege in der Registry von MessengerPlus! 3
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu

8.
scanne mit Dr.Web (alles löschen oder umbenennen oder verschieben lassen ! )
http://virus-protect.org/cureit.html

9.
scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html

10.
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Windir%\tasks /a h > files.txt
notepad files.txt

- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit

#94 So hab jetzt wieder alle Punkte abgearbeitet. xD
Ich konnte jedoch die Laufwerke nicht deaktivieren und wieder aktivieren, da ich diese Systemwiederherstellung nicht gefunden hab. Ich nehme an, dass der Weg zur Systemwiederherstellung für xp beschrieben ist und nicht für win 2000. :<

Hier der Scan:

Pandascan:

Incident Status Location

Potentially unwanted tool:application/winantivirus2006 Not disinfected hkey_classes_root\WAP6.PCheck
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Mozilla\Firefox\Profiles\3jldlses.default\cookies.txt[.atdmt.com/]
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Mozilla\Firefox\Profiles\3jldlses.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Com.com Not disinfected C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Mozilla\Firefox\Profiles\3jldlses.default\cookies.txt[.com.com/]
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Mozilla\Firefox\Profiles\3jldlses.default\cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Mozilla\Firefox\Profiles\3jldlses.default\cookies.txt[.hitbox.com/]
Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Mozilla\Firefox\Profiles\3jldlses.default\cookies.txt[.ehg-idg.hitbox.com/]
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Hannah\Cookies\hannah@2o7[1].txt
Spyware:Cookie/888 Not disinfected C:\Dokumente und Einstellungen\Hannah\Cookies\hannah@888[1].txt
Spyware:Cookie/888 Not disinfected C:\Dokumente und Einstellungen\Hannah\Cookies\hannah@888[2].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Hannah\Cookies\hannah@as-eu.falkag[2].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Hannah\Cookies\hannah@as1.falkag[1].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Hannah\Cookies\hannah@atdmt[2].txt
Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Hannah\Cookies\hannah@atwola[1].txt
Spyware:Cookie/Cassava Not disinfected C:\Dokumente und Einstellungen\Hannah\Cookies\hannah@cassava[1].txt
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Hannah\Cookies\hannah@mediaplex[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Hannah\Cookies\hannah@sel.as-eu.falkag[1].txt
Spyware:Cookie/Server.iad.Liveperson Not disinfected C:\Dokumente und Einstellungen\Hannah\Cookies\hannah@server.iad.liveperson[1].txt
Spyware:Cookie/Reliablestats Not disinfected C:\Dokumente und Einstellungen\Hannah\Cookies\hannah@stats1.reliablestats[1].txt
Spyware:Cookie/Weborama Not disinfected C:\Dokumente und Einstellungen\Hannah\Cookies\hannah@weborama[2].txt
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Hannah\Eigene Dateien\backups\backup-20060519-174845-163.dll
Potentially unwanted tool:Application/Winantivirus2006 Not disinfected C:\Programme\Common Files\Companion Wizard\WapCHK.dll
Potentially unwanted tool:Application/Winantivirus2006 Not disinfected C:\Programme\Common Files\Companion Wizard\WapCHK{14D8A29C-13D7-47AC-BDB4-50F5E4DF55B8}.dll




Text von findjobs.bat:

Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 9C45-F6F4

Verzeichnis von C:\WINNT\tasks

16.05.2006 16:24 <DIR> .
16.05.2006 16:24 <DIR> ..
16.05.2006 16:24 268 A630F9D591D37309.job
11.11.2004 14:00 65 desktop.ini
18.09.2005 16:46 6 SA.DAT
3 Datei(en) 339 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\Hannah\Desktop

#95 Need Help

**
Gehe in die Registry
Start - Ausfuehren - regedit

bearbeiten - suchen - WAP6.PCheck

hkey_classes_root\WAP6.PCheck <--loeschen

**
loesche mit der Killbox:
C:\Programme\Common Files\Companion Wizard\WapCHK.dll
neustarten

**
loesche manuell:
C:\Programme\Common Files\Companion Wizard

**
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

%systemdrive%
cd C:\WINNT\tasks
attrib -r -s -h A630F9D591D37309.job
del A630F9D591D37309.job

- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal

------
Win2000 hat keine Systemwiederherstellung
__________
MfG Sabina

rund um die PC-Sicherheit

#96 moin sabina

Danke für deine Hilfe die ganze Zeit über. ^_^
Ich hoffe, das war's jetzt mit den ganzen Viren und so q.q