hi,

mein system ist stabil, erst 1nen monat alt. wenig installiert und deinstalliert.

altova spy eintäge sind von einem xml tool, bräuchte ich also nicht rausgebe.....

habe im regcleaner ein haufen einträge von AKSoft gefunden die hab ich rausgegeben....

sie sind auch nun weg diese einträge, auch nicht mehr im backupmodus, weil ich die systemwiederhersteullung deaktiviert habe....

dennoch, sobald ich mich wieder ans netz konnekte ist er wieder da,...

in meiner startup list hab ich nur mehr folgendes:
RegCleaner 4.3 by Jouni Vuorio
These programs are run everytime you start your computer. Try to keep this list as short as possible, selected 7 of 7
[syntax: Program, Filename, Loaded from ]

ATIModeChange, Ati2mdxx.exe, HKEY_LM\Run
AVGCtrl, H:\Programme\AVPersonal\AVGNT.EXE /min, HKEY_LM\Run
Desktop, N/A, Start Menu
Desktop, N/A, Start Menu (Common User)
Nod32kui, "H:\Programme\Eset\nod32kui.exe" /WAITSERVICE, HKEY_LM\Run
PRONoMgr.exe, H:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe, HKEY_LM\Run
SoundMan, Soundman.exe, HKEY_LM\Run

brauche ich die desktop einträge?

Logfile of HijackThis v1.98.2
Scan saved at 11:43:42, on 04.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\S24EvMon.exe
H:\WINDOWS\system32\rundll32.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Programme\AVPersonal\AVGUARD.EXE
H:\Programme\Apache Group\Apache2\bin\Apache.exe
H:\Programme\AVPersonal\AVWUPSRV.EXE
H:\Programme\Eset\nod32krn.exe
H:\WINDOWS\system32\RegSrvc.exe
H:\Programme\Apache Group\Apache2\bin\Apache.exe
H:\WINDOWS\system32\ZCfgSvc.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\SOUNDMAN.EXE
H:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
H:\Programme\Eset\nod32kui.exe
H:\Programme\AVPersonal\AVGNT.EXE
H:\WINDOWS\system32\1XConfig.exe
H:\Dokumente und Einstellungen\ace\Desktop\hijackthis_198\HijackThis.exe
C:\program files\InterMute\SpySubtract\CWShredder.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/Dokumente%20und%20Einstellungen/ace/Eigene%20Dateien/logos/startseite.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.tuwien.ac.at
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/Dokumente%20und%20Einstellungen/ace/Eigene%20Dateien/logos/startseite.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/keyword/%s
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - H:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PRONoMgr.exe] H:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [nod32kui] "H:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [AVGCtrl] H:\Programme\AVPersonal\AVGNT.EXE /min
O8 - Extra context menu item: &Google Search - res://H:\Programme\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://H:\Programme\Google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://H:\Programme\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://H:\Programme\Google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - H:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - H:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=www.tuwien.ac.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB36EA12-B560-49B5-8436-5FB8CA47640C}: NameServer = 195.34.133.10,195.34.133.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA9F5934-03B2-4BD5-B888-C302D494F447}: NameServer = 195.34.133.10,195.34.133.11

......

meine registry selbst ist auch schon ziemlich kurz und wirklich für meine auge nur mehr einträge von bekannten firmen..... könnte es aber gerne posten wenn wer will.....


danke.
lg
raphael

p.s.: nur der einmal öfter aufsteht als er umfällt wird zum schluss stehen!

geht mir genauso....das ist zum schwarzwerden, der mist muss doch wegzubekommen sein

@raphaelschnee
lade dir clearprog bei www.clearprog.de
programm starten, alle häkchen bei windows und IE setzen, danach löschen.
gebe HJT bitte einen eigenen ordner
wechsle in den abgesicherten modus und fixe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/Dokumente%20und%20Einstellungen/ace/Eigene%20Dateien/logos/startseite.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/Dokumente%20und%20Einstellungen/ace/Eigene%20Dateien/logos/startseite.htmlO1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
neu starten

chaosman

Das Problem ist hier ein anderes. Es werden einige Dateien nicht geloescht. Einmal eine guard.tmp im Windows Ordner und zumindest 2 DLL im System32 Ordner. Die Dateinamen der dll sind verschieden, sehen aber meistens so aus:

lv4o09h3e.dll
und
n42u0ef9eh2.dll

Die Dateigroesse und das Datum der Dateien sind relativ gleich und so um die 219-235 KB gross. Eine dieser Dateien erkennt Escan bereits, die anderen kommen hoffentlich die naechsen Tage dazu.

Schau mal unter HKLM/Software/Microsoft/windowsNT/currentVersion/winlogon/notify/syncmgr dort sollte unter DLLNAME der entsprechende Name auftauchen.

Zu mehr bin ich leider noch nicht gekommen

hallo,

@raman

ja super stimmt.... hab auch schon einige weggekriegt...(6,7)
nur den eintrag in der registry... er wechselt:
er kann mal:
HKLM/Software/Microsoft/windowsNT/currentVersion/winlogon/notify/syncmgr
dann wieder
HKLM/Software/Microsoft/windowsNT/currentVersion/winlogon/notify/MS-DOS Eingabe
dann wieder
.../notify/H323sp
.../notify/Themes....
also wirklich alles mögliche.... sobald ich den eintrag und die datei lösche (über den regcleaner), ist er wieder da und legt noch eine zweite an ...

auch im abgesicherten mit systemwiederherstellung deaktiviert und so .... d.h. ich stehe noch immer bei 2 dlls die ich nicht wegkriege....

meine erklärung: eine der dlls wird ja in die winlogon geladen..... die hat sie also im speicher, wenn ich sie rausnehme wird sie von der winlogon wieder erzeugt....

wie kann ich ohne winlogon hochfahren (geht nicht oder?) bzw. winlogon abschießen und so den registry eintragen rauslöschen.. und die dlls auch noch dazu....

wenn ich diese dlls mit escan oder http://virusscan.jotti.org/de scanne, dann wird es nicht zugelassen zu scannen... also weg damit.

mhm... wenn das gelingt dann dürfte es gelungen sein....kann mir da jemand weiterhelfen?

danke.
lg
raphael

Wenn du die Dlls gefunden hast, musst du sie "nur" noch loeschen. Leider ist das wohl ein Problem. Wenn du mutig bist, kannst du es mit dem Advanced Process Manipulation Tool versuchen, die DLLs ausfindig machen und umbenennen. Eine der Dateien sollte Escan(aktualisiert) finden koennen. Die andere muesste ein aehnliches Datum besitzen . Dazu kommt im Windowsverzeichniss noch eine Guard.tmp Datei.

Du kannst die Dlls auch ausfindig machen, indem du mit Hilfe der doskonsole im System32 Verzeichniss copy *.dll nul eingibst. Bei den "Boesen" Dlls wird eine Fehlermeldung ausgegeben. Bitte Dateien niicht loeschen, nur gegebenenfalls umbenennen.

Fuer Sowas waere ein BartPE Cd Genial!
http://pcfreaks.big-clan.net/bartpe/index.shtml Ich glaube da sollte man mal eine Anleitung zu schreiben.....

Denke bitte daran, das das alles von jemandem gemacht werden sollte, der sich einigermassen damit auskennt!

An einer einfacheren loesung wird gearbeitet, wird aber wohl noch etwas dauern.

Vieleicht wird es ueber Ewido funktionieren. Nur erkennt das derzeit auch nur eine DLL.