hallo... bin neu hier...
habe die suche schon benutzt
also es geht um das tool "geobytes `m" ist so ein antispamtool. da es mir nicht so zugesagt hat habe ich es wieder deinstallt.
jetzt mein problem:
ich bekomme es nicht aus der registrie raus... sobald ich das enfernt habe innerhalb einer sekunde ist es wieder eingeschrieben. zur info... also ich bin kein neuling auf dem gebiet und habe schon einiges wieder aus dem rechner enfernt, aber sowas verbissenes habe ich noch nie erlebt. habe alle tools schon probiert. trojanercheck, tuneup, msconfig und per hand. das teil will nicht verschwinden.
vielleicht kennt jemand eine lösung wie ich den stromer loswerde... das programm ist schon lang nicht mehr auf dem rechner nur noch der eintrag das es automatisch starten soll...
Ad-watch sagt mir, nachdem ich den eintrag per hand gelöscht habe aus der registrie folgendes:

24.06.2005 16:59:37 - Registry modification detected
Root:HKEY_CURRENT_USER
Key:Software\Microsoft\Windows\CurrentVersion\Run
Value:Geobytes 'm...
Data:E:\Geobytes\Geobytes m\m.exe -tray
New Data:

vielen dank vorraus... tom

Hi,
Hast schon mit Security Task Manager versucht.
Und systemwiederherstellung deaktivieren.

Zitat:

Zitat von alois

Hi,
Hast schon mit Security Task Manager versucht.
Und systemwiederherstellung deaktivieren.

neee, aber das werd ich gleich mal machen... thx

Zitat:

Zitat von alois

Hi,
Hast schon mit Security Task Manager versucht.
Und systemwiederherstellung deaktivieren.

so, habe das mal probiert. leider ohne erfolg. das kann doch nicht sein.

habe noch nicht einmal so einen trojaner gesehen, der sich so verbissen wieder ins system schreibt.
ich will doch einfach nur ne saubere registrie

also habe jetzt mal mit HijackThis einen scan gemacht, damit ihr sehen könnt welche tools noch im hintergrund laufen und die vielleicht den eintrag wieder herstellen.

habe den eintrag des bösen mal dick gemacht ....

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\TV Movie\TV Movie ClickFinder\tvtip.EXE
E:\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
E:\TuneUp Utilities 2004\MemOptimizer.exe
E:\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\WINDOWS\system32\Wtablet\TabUserW.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\browserhijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://open.myswitchboard.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = tom
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - E:\Siber Systems\AI RoboForm\RoboForm.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\google\googletoolbar1.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - E:\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\google\googletoolbar1.dll
O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TVTip] E:\TV Movie\TV Movie ClickFinder\tvtip.EXE /m
O4 - HKLM\..\Run: [AWMON] "E:\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "E:\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [RoboForm] "E:\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [Geobytes 'm...] E:\Geobytes\Geobytes m\m.exe -tray
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Google Search - res://E:\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Alte Version auf &archives.org ansehen - C:\Dokumente und Einstellungen\tom\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tuarch.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://E:\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: In &neuem Fenster öffnen - C:\Dokumente und Einstellungen\tom\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tuofinw.htm
O8 - Extra context menu item: Verweisseiten - res://E:\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Zoom &In - C:\Dokumente und Einstellungen\tom\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tuzoomin.htm
O8 - Extra context menu item: Zoom &Out - C:\Dokumente und Einstellungen\tom\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tuzoomout.htm
O8 - Extra context menu item: Ähnliche Seiten - res://E:\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Übersetzen mit &dict.leo.org - C:\Dokumente und Einstellungen\tom\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tutrans.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://E:\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://E:\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://E:\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - &Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://E:\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://E:\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-S&ymbolleiste - {724d43aa-0d85-11d4-9908-00400523e39a} - file://E:\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1118250688799


thx tom
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.


LG Cidre
S-Mod TB

Hallo tombola,

wenn du schon ein HJT Log-File, dann poste dies doch vollständig.
Wichtige Systeminfos fehlen und ebenso dürftest du noch eine alte HJT Version angewendet haben, da die O23 Einträge (Dienste) nicht ersichtlich sind.

Zum Problem...

Deaktiviere Ad-Watch, fixe anschließend diese Einträge [1] und aktiviere bei Bdarf Ad-Watch wieder.

[1]

Zitat:

O4 - HKCU\..\Run: [Geobytes 'm...] E:\Geobytes\Geobytes m\m.exe -tray
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

btw:
Beachte meine Anmerkung!

Hat sich nun endlich alles geklärt. Es war Ad-Watch welches immer wieder den Eintrag eingefügt hat. Vielen Dank für deine Hilfe.