CWS.XPlugin wird erkannt, stellt sich wiederher, bin ratlos |
||
---|---|---|
#0
| ||
23.04.2006, 13:04
Ehrenmitglied
Beiträge: 29434 |
||
|
||
23.04.2006, 13:49
Member
Themenstarter Beiträge: 16 |
#17
Ich habs gemacht, daraufhin wurde der Eintrag entfernt. Dann hab ich wieder normal gestartet und... er ist wieder da... ich gebs auf :/
|
|
|
||
23.04.2006, 14:26
Ehrenmitglied
Beiträge: 29434 |
#18
**
öffne das HijackThis -- Button "scan" -- vor die Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - PC neustarten die Malware, welche den Reg-Eintrag immer wieder neu einsetzt, ist eigentlich nicht mehr auf dem System, denn ich hab nachgeschaut. Im HijackThis ist es sichtbar. Zitat Verzeichnis von C:\WINDOWS\Downloaded Program Files------------------------- wenn man im Windows Explorer in den Windows-Ordner schaut, dann findet man darin die Ordner Downloaded Program Files und Downloaded Installations. Schau dort noch mal nach: Beispiel: Programmdatei: Status: Gesamtgröße: Erstellungsdatum: {33564D57-9980... Unbekannt 4KB Keine ActiveScan Instal... Installiert 132KB Uhrzeit McFreeScan Class Installiert 4KB Uhrzeit Microsoft Data C... Installiert 4KB Uhrzeit Symantec AntiVir... Installiert 652KB Uhrzeit ist ein Exploit.... Zitat {14A3221B-1678-1982-A355-7263B1281987} - >vielleicht gibt es noch Dateien auf dem System, welche den Reg-Eintrag immer wieder neu setzen.... den nun zu finden ... scanne mit Spysweeper (trial) und poste den scanreport http://virus-protect.org/spysweeper.html Zitat 05:10 : Removing registry: HKEY_LOCAL_MACHINE/software/microsoft/code store database/distribution units/{14a3221b-1678-1982-a355-7263b1281987}/installedversion __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.04.2006, 17:00
Member
Themenstarter Beiträge: 16 |
#19
Hi, Dank dir für deine Mühe.
SpySweeper hat nichts gefunden (mit allen Einstellungen, full scan). Ich hab nach file.exe gesucht, nichts gefunden. In den Verzeichnissen Downloaded Program Files und Downloaded Installations nichts Verdächtiges gefunden. Kann man die Dateien in Downloaded Program Files ruhig löschen? |
|
|
||
23.04.2006, 17:03
Ehrenmitglied
Beiträge: 29434 |
#20
Zitat in Downloaded Program Files ruhig löschen?die vorhandenen Eintraege solltest du nicht loeschen...nur die unbekannten, falls es welche gibt....aber ich sehe keine. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.04.2006, 17:15
Member
Themenstarter Beiträge: 16 |
#21
Wenn der Eintrag da ist, findet SpySweeper "tubby toolbar" :Asociated Traces found 4.
Zeigt genau den Eintrag {14a3221b...} |
|
|
||
23.04.2006, 17:26
Ehrenmitglied
Beiträge: 29434 |
#22
das kann sein, dass es zusammengehoert ...schicke alles in Quarantaene,
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.04.2006, 20:01
Member
Themenstarter Beiträge: 16 |
#23
Also ein neuer Log:
Zitat Logfile of HijackThis v1.99.1Na ja die beiden sind das: Zitat O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} -will noch versuchen im abgesicherten Modus fixen... Dieser Beitrag wurde am 27.04.2006 um 16:16 Uhr von Jimmeh editiert.
|
|
|
||
28.04.2006, 00:34
Ehrenmitglied
Beiträge: 29434 |
#24
Fixe mit dem HijackThis:
muss nicht im Autostart sein: O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} - O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ansonsten weiss ich auch nicht mehr, warum sich diese vermaledeiten Eintraege nicht beseitigen lassen... sorry launch.gamespyarcade.com O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} - ist ein Exploit... O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.04.2006, 17:13
Member
Themenstarter Beiträge: 16 |
#25
Egal, ich dank dir, wenigstens habe ich Einiges gelernt.
|
|
|
||
Zitat
boote diesmal in den abgesicherten Modus und klicke dort die fix.reg doppelt.__________
MfG Sabina
rund um die PC-Sicherheit