Spyware Quake remove

#16

Zitat

Gehe in die Registry
Start-Ausfuehren - regedit

bearbeiten - suchen - New.net - alle loeschen

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\new.net
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\New.net
HKEY_LOCAL_MACHINE\software\new.net
HKEY_CURRENT_USER\Software\New.net

PC neustarten

__________
MfG Sabina

rund um die PC-Sicherheit

#17 Hallo Sabina,
so ein Mist, habe aus Versehen den ORDNER "Uninstall" gelöscht.....
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\new.net

die anderes jedoch "sachgemäß".

Und nu?
LG Hens.

#18 poste das log bitte.
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#19 Hallo Sabina,
Combofix:
Start Time= 31.07.2006 17:50:38,26
Running from: C:\Programme\Mozilla Firefox

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-07-27 00:10:52 ( .D... ) "C:\Programme\ewido anti-spyware 4.0"
2006-07-23 19:07:04 ( .D... ) "C:\Programme\CleanUp!"
2006-07-23 17:53:44 32206 ( ..SH. ) "C:\Programme\Gemeinsame Dateien\Y1123OU.exe"
2006-07-23 17:34:02 ( .D... ) "C:\Programme\MyXOFT"
2006-07-16 11:18:44 ( .D... ) "C:\Programme\bPlayer2"
2006-06-29 10:10:04 26250 ( ..... ) "C:\Dokumente und Einstellungen\Hens\Anwendungsdaten\wklnhst.dat"
2006-05-22 16:19:12 100489 ( A.... ) "C:\WINDOWS\UninstallFirefox.exe"
2004-05-30 22:25:44 2605 ( A.... ) "C:\Programme\pcbib_bi.ini"
2004-03-15 17:27:00 1813 ( A.... ) "C:\Programme\liesmich_bi.txt"
2004-03-15 17:27:00 1813 ( A.... ) "C:\Programme\liesmich.txt"
2003-08-14 19:13:12 40960 ( A.... ) "C:\Programme\Uninstall_PCM.exe"
2003-08-13 11:58:44 3313664 ( A.... ) "C:\Programme\pcbib_bi.exe"
2003-07-29 16:38:06 24576 ( A.... ) "C:\Programme\IUpdate.exe"
2003-07-26 18:50:18 51712 ( A.... ) "C:\Programme\PAGPCBIB.dll"
2003-07-11 12:55:10 107008 ( A.... ) "C:\Programme\bib.dll"
2003-06-25 10:46:44 12232 ( A.... ) "C:\Programme\lizenz_bi.txt"
2003-06-25 10:46:44 12232 ( A.... ) "C:\Programme\lizenz.txt"
2001-08-06 17:06:34 338338 ( A.... ) "C:\Programme\handbuch_bi.pdf"
2001-08-06 14:22:36 385536 ( A.... ) "C:\Programme\handbuch_bi.doc"
2001-08-04 15:44:30 229083 ( A.... ) "C:\Programme\pcbib_bi.hlp"
2001-08-03 17:35:40 30208 ( A.... ) "C:\Programme\PCBibFind.exe"
2001-08-03 17:21:40 70248 ( A.... ) "C:\Programme\PCBibFind.dll"
2001-07-20 17:03:38 323584 ( A.... ) "C:\Programme\PCLib.exe"
2001-07-20 13:38:22 6546 ( A.... ) "C:\Programme\pcbib_bi.cnt"
2001-03-12 16:02:08 45056 ( A.... ) "C:\Programme\KDMod.dll"
2001-03-07 13:09:14 49152 ( A.... ) "C:\Programme\KDHook.dll"
2001-01-17 07:50:28 266310 ( A.... ) "C:\Programme\ActivePG.dll"
2000-03-21 18:52:54 9 ( A.... ) "C:\Programme\PC-BIB.INF"
1999-12-16 08:33:34 32768 ( A.... ) "C:\Programme\kapkey.dll"
1998-12-13 17:41:32 9728 ( A.... ) "C:\Programme\hotkdl21.dll"
1997-03-26 17:14:38 34 ( A.... ) "C:\Programme\PC_BIB.FI"
1997-03-26 17:13:28 31 ( A.... ) "C:\Programme\PC_BIB.HIC"
1997-02-04 09:49:46 15 ( A.... ) "C:\Programme\PC_BIB.INF"


(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))


2006-07-31 10:53 536.399.872 C:\hiberfil.sys
2006-07-29 18:17 73.728 C:\WINDOWS\system32\asuninst.exe
2006-07-29 18:17 11.776 C:\WINDOWS\system32\ZPORT4AS.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"Dit"="Dit.exe"
"Realtime Monitor"="C:\\PROGRA~1\\CA\\ETRUST~1\\realmon.exe -s"
"CHotkey"="mHotkey.exe"
"PCMService"="\"C:\\Programme\\Medion Home Cinema XL II\\PowerCinema\\PCMService.exe\""
"PRISMSTA.EXE"="PRISMSTA.EXE START"
"WooCnxMon"="C:\\PROGRA~2\\wanadoo\\CnxMon.exe"
"Microsoft Works Update Detection"="C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Works Shared\\WkUFind.exe"
"PinnacleDriverCheck"="C:\\WINDOWS\\System32\\PSDrvCheck.exe"
"HP Software Update"="\"C:\\Programme\\HP\\HP Software Update\\HPWuSchd.exe\""
"XTNDConnect PC - ErPhn2"="C:\\PROGRA~1\\GEMEIN~1\\XCPCSync\\TRANSL~1\\ErPhn2\\ErTray.exe"
"T-DSL SpeedMgr"="\"C:\\PROGRA~1\\T-DSLS~1\\SpeedMgr.exe\""
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"CloneCDElbyCDFL"="\"C:\\Programme\\Elaborate Bytes\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"CloneCDTray"="\"C:\\Programme\\Elaborate Bytes\\CloneCD\\CloneCDTray.exe\""
"WinampAgent"="\"C:\\Programme\\Winamp\\Winampa.exe\""
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_03\\bin\\jusched.exe"
"New.net Startup"="rundll32 C:\\PROGRA~1\\NEWDOT~1\\NEWDOT~1.DLL,ClientStartup -s"
"!ewido"="\"C:\\Programme\\ewido anti-spyware 4.0\\ewido.exe\" /minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"T-Online_Software_5\\WLAN-Access Finder"="C:\\Programme\\T-Online\\WLAN-Access Finder\\ToWLaAcF.exe /StartMinimized"
"Copernic Desktop Search"="\"C:\\Programme\\Copernic Desktop Search\\CopernicDesktopSearch.exe\" /tray"
"MSMSGS"="\"C:\\Programme\\Messenger\\MSMSGS.EXE\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoActiveDesktopChanges"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,de,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=dword:40000004
"OriginalStateInfo"=hex:18,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0"

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system
DisableRegistryTools REG_DWORD 0 (0x0)
DisableTaskMgr REG_DWORD 0 (0x0)
NoDispAppearancePage REG_DWORD 0 (0x0)
NoColorChoice REG_DWORD 0 (0x0)
NoSizeChoice REG_DWORD 0 (0x0)
NoDispBackgroundPage REG_DWORD 0 (0x0)
NoDispScrSavPage REG_DWORD 0 (0x0)
NoDispCPL REG_DWORD 0 (0x0)
NoVisualStyleChoice REG_DWORD 0 (0x0)
NoDispSettingsPage REG_DWORD 0 (0x0)



Contents of the 'Scheduled Tasks' folder

Completion time: 31.07.2006 17:50:53,18
ComboFix ver 06.07.15/28 - This logfile is located at C:\ComboFix.txt

LG,Hens.

#20 1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als neu.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "neu.reg" auf dem Desktop doppelklicken.- und der registry beifuegen

Zitat

REGEDIT4

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"New.net Startup"=-

PC neustarten

----------------------------------------------------

2.
loesche manuell:
C:\Programme\Gemeinsame Dateien\Y1123OU.exe

3.
multiavtool
http://virus-protect.org/multiavtool.html
* klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.

bei der Eingabe "3" im MULTIAVTOOL muss eine Internetverbindung vorhanden sein

- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 - dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

* klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Hallo sabina,
habe
C:\Programme\Gemeinsame Dateien\Y1123OU.exe
auch in der Suchfunktion nicht gefunden.
Hier der Scan-Report von McAfee:
Virus Scan Report File

--------------------------------------------------------------------------------
Virus Scan Information
--------------------------------------------------------------------------------

McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.
Virus data file v4818 created Jul 31 2006
Scanning for 202588 viruses, trojans and variants.


--------------------------------------------------------------------------------
Virus Scan Results
--------------------------------------------------------------------------------




08/01/2006 11:00:39


Options:
"C:\" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: [BOOT]
Scanning C:\*.*
C:\Dokumente und Einstellungen\Hens\Eigene Dateien\Eigene Dokumente\Schriftverkehr\privat\Rike\PART.EXE ... Found potentially unwanted program Joke-MouseShoot.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4CE5J22M\auth_user[1].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4CE5J22M\auth_user[4].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4CE5J22M\auth_user[5].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4CE5J22M\auth_user[6].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\63E76D6Z\spywarestormer[1].exe ... Found potentially unwanted program Generic Adware.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IXKFYHM5\auth_user[1].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IXKFYHM5\auth_user[2].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IXKFYHM5\auth_user[3].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KX0BWRO7\auth_user[1].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KX0BWRO7\auth_user[2].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KX0BWRO7\auth_user[3].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KX0BWRO7\auth_user[4].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KX0BWRO7\auth_user[5].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MRE3QXI7\auth_user[1].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MRE3QXI7\auth_user[2].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MRE3QXI7\auth_user[3].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MRE3QXI7\auth_user[4].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MRE3QXI7\CA2RWXSD.htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S6YBRQTL\auth_user[10].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S6YBRQTL\auth_user[12].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S6YBRQTL\auth_user[13].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S6YBRQTL\auth_user[2].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S6YBRQTL\auth_user[3].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S6YBRQTL\auth_user[6].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S6YBRQTL\exc-nopage[1].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U1OPUL8R\auth_user[1].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U1OPUL8R\auth_user[2].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VC2ZGACZ\auth_user[3].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXGDMN41\auth_user[1].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXGDMN41\auth_user[2].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXGDMN41\auth_user[3].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXGDMN41\auth_user[4].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXGDMN41\auth_user[5].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXGDMN41\auth_user[6].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXGDMN41\auth_user[7].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXGDMN41\auth_user[8].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXGDMN41\etat_mbal[1].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WZE3SP63\auth_user[1].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZH5387GJ\auth_user[10].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZH5387GJ\auth_user[5].htm ... Found potentially unwanted program V-HTM.c.
The file or process has been deleted.

Summary report on C:\*.*
File(s)
Total files: ........... 237892
Clean: ................. 237822
Possibly Infected: ..... 0
Cleaned: ............... 0
Deleted: ............... 41
Non-critical Error(s): 2


Time: 00:55.19


Ist nur der letzte von C: da andere davor wahrscheinlich überschrieben.

Nochmal zu
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\new.net
wo ich den ganzen "Uninstall"-Ordner gelöscht habe:
Ich habe unter Systemsteuerung/Software gesehen, dass ich viele Programme darüber gar nicht mehr entfernen kann. Ist das rückgängig zu machen?
LG, Hens.

#22 Hens

ich haette dich vorher anweisen sollen, die Registry zu sichern,
http://virus-protect.org/reg.html
aber ich dachte, die loescht genau das, was ich angewiesen habe. und nicht mehr.

Im Grunde sind die Eintraege verloren, selbst , wenn du den Schluessel Uninstall neu anlegst, denn alle Unterschluessel sind von dir geloescht worden..............

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion -> New -> Key -> Uninstall


+


-------

Eventuell bekommt man es mit einer Systemwiederherstellung wieder hin, aber dann musst du alle Reinigungsschritte von Beginn an ausfuehren.

Start -> Hilfe und Support -> zur Option "Computeränderungen mit der Systemwiederherstellung rückgängig machen"
Dort wählst du: "Computer zu einem früheren Zeitpunkt wiederherstellen" -> Weiter
Die fett angezeigten Daten im Kalender zeigen dir gesetzte Wiederherstellungspunkte.
__________
MfG Sabina

rund um die PC-Sicherheit

#23 Hallo Sabina,
habe die Systemwiederherstellung und alle Schritte danach wieder durchgeführt. Mein Etrust-antivirusprogramm meldet übrigens jetzt regelmäßig, dass ein Trojaner gefunden und bereinigt wurde....
Der Bildschirm ist aber diemal nicht "blau" geworden. Habe ich was vergessen?
LG,Hens.

#24 nun, wahrscheinlich muessen wir nun die Reinigung von vorn beginnen.

1.
poste bitte das log vom HijackThis + die 4 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#25 Das kann nicht wahr sein!!!!
Das tut mir echt leid. Wenn das meine Zeit kostet, ist es ja meine Schuld, aber wenn all DEINE Mühe umsonst gewesen sein soll, dann stehe ich tief in Deiner Schuld. Ich hätte auch Verständnis, wenn Du dazu jetzt keine Lust mehr hättest...
Aber vielleicht geht es ja jetzt auch ganz schnell...?
Also:
1.
Logfile of HijackThis v1.99.1
Scan saved at 13:19:53, on 02.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\PROGRA~2\wanadoo\CnxMon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\Programme\Copernic Desktop Search\CopernicDesktopSearch.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\Sitecom\Bluetooth Software\BTTray.exe
C:\Palm\hotsync.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Hens\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\MUZIKT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~2\wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\..\Run: [T-Online_Software_5\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [Copernic Desktop Search] "C:\Programme\Copernic Desktop Search\CopernicDesktopSearch.exe" /tray
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: HotSync Manager.lnk = C:\Palm\hotsync.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: (no name) - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Datfindbat (wenn ich mich recht entsinne, dann nur die letzten 3 Monate):
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von c:\

02.08.2006 13:25 0 dirdat.txt
02.08.2006 13:14 536.399.872 hiberfil.sys
02.08.2006 13:14 805.306.368 pagefile.sys
31.07.2006 17:50 8.458 ComboFix.txt
31.07.2006 10:47 3.284 smitfiles.txt
29.07.2006 09:56 2.448 avenger.txt
28.07.2006 10:20 12.387 files.txt
25.07.2006 22:03 744 DirDPF.txt
25.07.2006 22:03 2 DirDPFCns.txt
25.07.2006 21:11 1.583 sys.txt
25.07.2006 21:10 13.826 system.txt
25.07.2006 21:09 851 systemtemp.txt
25.07.2006 21:08 100.372 system32.txt
23.07.2006 19:30 895 VundoFix.txt
19.05.2006 10:02 8.091 FeurioErrorLog.txt

Verzeichnis von C:\WINDOWS\system32

01.08.2006 18:01 2.206 wpa.dbl
30.07.2006 09:12 2.550 Uninstall.ico
30.07.2006 09:12 1.406 Help.ico
30.07.2006 09:12 30.590 pavas.ico
29.07.2006 18:22 0 asfiles.txt
22.05.2006 17:30 257.456 FNTCACHE.DAT
28.04.2006 01:27 81.920 ElbyCDIO.dll
06.04.2006 10:54 73.728 asuninst.exe
03.04.2006 10:59 128 xposer.cfg
03.04.2006 10:59 128 asinst.cfg
26.03.2006 13:47 51.814 perfc009.dat
26.03.2006 13:47 376.016 perfh009.dat
26.03.2006 13:47 386.338 perfh007.dat
26.03.2006 13:47 886.928 PerfStringBackup.INI
26.03.2006 13:47 62.578 perfc007.dat
06.03.2006 22:48 3.534 jupdate-1.5.0_03-b07.log

Verzeichnis von C:\WINDOWS

02.08.2006 13:14 584.793 setupapi.log
02.08.2006 13:14 0 0.log
02.08.2006 13:14 6.092 ModemLog_Bluetooth Modem.txt
02.08.2006 13:14 4.394 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
02.08.2006 13:14 159 wiadebug.log
02.08.2006 13:14 1.570.558 WindowsUpdate.log
02.08.2006 13:14 50 wiaservc.log
02.08.2006 13:14 2.048 bootstat.dat
01.08.2006 20:24 32.630 SchedLgU.Txt
31.07.2006 17:51 229.248 setupact.log
31.07.2006 10:53 806.702 ntbtlog.txt
30.07.2006 09:12 32 pavsig.txt
29.07.2006 18:19 871 win.ini
29.07.2006 18:07 10.584 Active Setup Log.txt
29.07.2006 18:05 719 ie7beta3_main.log
22.07.2006 19:35 50.558 cdplayer.ini
21.07.2006 12:15 95 winamp.ini
22.05.2006 17:08 146.297 ntdtcsetup.log
22.05.2006 17:08 284.457 tsoc.log
22.05.2006 17:08 1.374 imsins.log
22.05.2006 17:08 87.269 iis6.log
22.05.2006 17:08 219.248 comsetup.log
22.05.2006 17:08 40.736 KB899587.log
22.05.2006 17:08 27.992 ocmsn.log
22.05.2006 17:08 476.080 ocgen.log
22.05.2006 17:08 37.704 msgsocm.log
22.05.2006 17:08 649.598 FaxSetup.log
22.05.2006 17:08 13.781 updspapi.log
22.05.2006 17:08 1.374 imsins.BAK
22.05.2006 17:08 39.835 KB896422.log
22.05.2006 17:08 40.688 KB885835.log
22.05.2006 17:07 36.259 KB885836.log
22.05.2006 17:07 17.835 xpsp1hfm.log
22.05.2006 17:07 31.262 KB835732.log
22.05.2006 17:06 32.860 KB901017.log
22.05.2006 17:06 33.346 KB899591.log
22.05.2006 17:05 33.604 KB893756.log
22.05.2006 17:05 31.483 KB896423.log
22.05.2006 17:05 30.690 KB873339.log
22.05.2006 17:04 30.750 KB888113.log
22.05.2006 17:04 32.389 KB896358.log
22.05.2006 17:04 22.430 KB898458.log
22.05.2006 17:03 28.251 KB905495.log
22.05.2006 17:03 35.326 KB902400.log
22.05.2006 17:03 22.474 KB891781.log
22.05.2006 17:02 23.457 KB890046.log
22.05.2006 17:02 17.672 KB904706.log
22.05.2006 17:01 21.897 KB905414.log
22.05.2006 17:01 21.428 KB901214.log
22.05.2006 17:01 19.779 KB888302.log
22.05.2006 17:00 21.133 KB900725.log
22.05.2006 17:00 15.606 KB905749.log
22.05.2006 17:00 14.539 KB896428.log
22.05.2006 16:59 17.884 KB890859.log
22.05.2006 16:53 63 mdm.ini
22.05.2006 16:26 4.821 mozver.dat
22.05.2006 16:19 100.489 UninstallFirefox.exe
16.05.2006 22:42 336.210 wmsetup.log
03.05.2006 00:32 116 NeroDigital.ini
01.05.2006 21:03 4.592 ModemLog_Sony Ericsson 750 USB WMC Modem.txt
01.05.2006 21:03 5.004 ModemLog_Sony Ericsson 750 USB WMC Data Modem.txt

Verzeichnis von C:\DOKUME~1\Hens\LOKALE~1\Temp

02.08.2006 13:14 6.293 jusched.log
01.08.2006 18:32 0 jupdate1.5.0.xml
2 Datei(en) 6.293 Bytes
0 Verzeichnis(se), 9.227.300.864 Bytes frei

Herzlichen Dank, Sabina!

#26 Hens

also, ich kann nichts finden, welchen Trojaner beanstandet denn dein Antivirenprogramm ?

Zitat

Mein Etrust-antivirusprogramm meldet übrigens jetzt regelmäßig, dass ein Trojaner gefunden und bereinigt wurde....

**
scanne noch mal mit ewido und berichte.
__________
MfG Sabina

rund um die PC-Sicherheit

#27 Guten Morgen, Sabina.
---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 10:14:11 03.08.2006

+ Scan-Ergebnis:



C:\Programme\NewDotNet -> Adware.NewDotNet : Keine Aktion durchgeführt.
:mozilla.8:C:\Dokumente und Einstellungen\Hens\Anwendungsdaten\Mozilla\Firefox\Profiles\6k6lhz5v.default\cookies.txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.


::Berichtende

aber: unter Quarantäne steht folgender Trojaner:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\\kernel32.dll

kann und soll ich den löschen?

Im Übrigen ist da immer wieder ein Popup-Fenster mit unterschiedlichen Werbungsinhalten:
- Advertisement - Mozilla Firefox

Soll ich meine Sicherheitseinstellungen im IE und Firefox ändern?

LG, Hens.

#28 1.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

2.
scanne noch mal mit ewido, lasse alles loeschen, was gefunden wird.

3.
das popupfenster beachte nicht, klicke es weg, es kommt von meinem Webseitenzaehler... er ist gratis, bringt aber leider diese doofe Werbung mit sich.
__________
MfG Sabina

rund um die PC-Sicherheit

#29 Hallo Sabina,
folgender Trojaner
"Win32/Nebuler.J/Trojan"
wurde erneut in
"C:\Dokumente und Einstellungen\Hens\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\6k6lhz5v.default\Cache"
gefunden und bereinigt.
Kann ich was dagegen tun? Ist Mozilla anfällig?

Durch die Systembereinigung ist übrigens die Shortcut-Leiste rechts neben dem Start-Button verschwunden. Weisst Du, wie ich die wieder bekomme?

Habe ansonsten Ewido nochmals laufen lassen und alles gelöscht.
Wars das?
LG, Hens.

#30 1.
loesche das Cache vom Firefox (oben in der Leiste , Extras -> Einstellungen -> dort suche, wo man das cache leeren kann)

2.
rechtsklick ganz unten, wo die fehlende Taskleiste ist. -> Eigenschaften -> (In Englisch: Lock the taskbar -> anhaken


__________
MfG Sabina

rund um die PC-Sicherheit