subseven entfernt aber immernoch fehlermeldung??!

#1 Hi,

ich habe gestern einen Subseven Virus namens Traum entfernt. Nun taucht der Name Traum auch im Systemstart nicht mehr auf, jedoch kommt bei jedem Hochfahren des Rechners am Anfang die Meldung "Traum konnte nicht gestartet werden. Bitte überprüfen sie den Dateinamen etc..."
In "Systemstart" unter der Systemkonfiguration ist ein "stealth" Eintrag welcher keine Bezeichnung unter "Systemstartelement" und unter "Befehl" hat.
Bei Pfad steht nur "SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
(das Häckchen ist NICHT aktiviert...)

Allerdings habe ich auch die Einträge in der Registry gelöscht, daher hab ich keine Ahnung wie ich diese Fehlermeldung entfernen kann.
(systemwiederherstellung funktioniert auch nicht...)

Viele Grüße, Florian

#2 Lad dir mal das runter :
http://lab1.de/Central/Software/System-Tools/Autostart-Manager
und schau mal ob du den Eintrag Traum findest, wenn ja, dann löschen ihn.
MFG
DAFRA

P.s.
WEnn du ihn nicht findest, dann poste mal ein Hijackthis log.

#3 Danke für die schnelle Antwort!
Ich habe das mit dem Hijackthis gemacht und siehe da der doofe Traum ist noch da drin. Wie bekommen ich ihn jetzt weg?

Gruß, Florian

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.carnivoren.org/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.ish.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von ish Internet
F0 - system.ini: Shell=Explorer.exe Traum
F2 - REG:system.ini: Shell=Explorer.exe Traum
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.ish.com
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {6EB5B540-1E74-4D91-A7F0-5B758D333702} (nCaseInstaller Class) - http://infinity.n-case.com/captioncitymain/resources/nCaseInstaller.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37933.5296643519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

#4 Das sind die Eintraege, die du fixen solltest:

F0 - system.ini: Shell=Explorer.exe Traum
F2 - REG:system.ini: Shell=Explorer.exe Traum

und nimm den auch mit raus:

O16 - DPF: {6EB5B540-1E74-4D91-A7F0-5B758D333702} (nCaseInstaller Class) - http://infinity.n-case.com/captioncitymain/resources/nCaseInstaller.cab
__________
MfG Ralf
SEO-Spam Hunter

#5 Danke!! Es hat geklappt!