hallo liebe Schaedlingsbekaempfer,

ich wende mich mit folgendem Prob an euch:

ich habe escan in den neuesten Version ueber mein System laufen lassen mit folgendem Ergebnis (Auszug davon):

Mon Aug 15 11:03:34 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Mon Aug 15 11:03:34 2005 => Loading Spyware Signatures from FIXED Database...
Mon Aug 15 11:03:38 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!
Mon Aug 15 11:04:02 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Aug 15 11:04:02 2005 => Offending value found in HKCU\Software\FunWebProducts !!!
Mon Aug 15 11:04:02 2005 => Object "FunWebProducts Spyware/Adware" found in File System! Action Taken: No Action Taken.


Mon Aug 15 11:04:13 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Mon Aug 15 11:04:13 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\EPScontrol.dll". Action Taken: No Action Taken.

Mon Aug 15 11:04:13 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\FileTransfer.ocx". Action Taken: No Action Taken.

Mon Aug 15 11:04:13 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\npSeaTools_DE.dll". Action Taken: No Action Taken.

Mon Aug 15 11:04:13 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\RdxIE.dll". Action Taken: No Action Taken.

Mon Aug 15 11:04:13 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\System32\iuctl.dll". Action Taken: No Action Taken.

Mon Aug 15 11:04:36 2005 => Entry "HKCR\CLSID\{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}" refers to invalid object "fde.dll". Action Taken: No Action Taken.

nun habe ich versucht die Killbox bzw. eScanCheck110 einzusetzen, aber meiner Meinung nach erfolglos ...

was kann ich tun, bzw. kann ich mit weiterer Information dienen ?

Besten Dank vorab
Gruesse
Zappelphilipp

@Zappelphilipp
Du musst mit einem Registry Cleaner, auswahl deren ist riesig: http://soft-ware.net/system/steuerun...stry/index.asp,
oder manuell die besagten/ungültigen Registry-Einträge löschen.

Zitat:

Zitat von Rene-gad

Du musst mit einem Registry Cleaner, auswahl deren ist riesig: http://soft-ware.net/system/steuerun...stry/index.asp,
oder manuell die besagten/ungültigen Registry-Einträge löschen.

hallo Rene-gad,

kannst Du mir einen Brauchbaren nennen ?
ich habe RegSeeker benutzt, um die Registrierung zu saeubern.
allerdings war es erfolglos, wie mir scheint...

wie loesche ich diese Eintraege manuell ?
wie komme ich in die Registry rein ?

thx

@Zappelphilipp

Zitat:

wie komme ich in die Registry rein ?

Start/Ausführen... regedit eingeben, Ende-Taste

thx, ich wuehl mich mal da durch ...

Guten Morgen !

Ich habe jetzt RegCleaner und Registry CleanUP laufen lassen, mit dem Ergebnis, dass Alles leider noch wie vorher vorhanden ist. Alle Caches wurden auch geleert, die Systemwiederherstellung deaktiviert, und der Scan erfolgte im abgesicherten Modus.

fuer ein manuelles Loeschen halte ich mich nicht fit genug - ich finde Nichts, was ich loeschen kann *wunder*

hmm. hat jemand noch eine Idee, wie ich die Adware/Spyware Meldungen loswerde ?
die ersten beiden Sachen werden jedenfalls als Virenfunde deklariert.

Gruss
Zappelphilipp

@Zappelphilipp

Zitat:

fuer ein manuelles Loeschen halte ich mich nicht fit genug - ich finde Nichts, was ich loeschen kann *wunder*

Guck mal in deinem eScan-Log. Z.B:
HotKeyLocalMachine\Software\Microsoft\Windows\CurrentVersion\ModuleUsage
usw. alle im Log erwähnte.

Zitat:

hmm. hat jemand noch eine Idee, wie ich die Adware/Spyware Meldungen loswerde ?

Meine Signatur zeigt den besten Weg.

Hallo,
du hast ja nur eine Ad/Spywaremeldung, nämlich diese:
Mon Aug 15 11:04:02 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
und das scheint mir so eine Art Bug/Fehlalarm zu sein.
der Rest sind ja nur verweiste Registryeinträge, sollten eigentlich mit Regseeker weg gehen, aber wenn nicht, ist das auch nichts worüber du dir Sorgen machen solltest.


Grüße Wildone

Zitat:

Zitat von Rene-gad

Guck mal in deinem eScan-Log. Z.B:
HotKeyLocalMachine\Software\Microsoft\Windows\CurrentVersion\ModuleUsage
usw. alle im Log erwähnte.

ja, da stehen die 5 oder 6 Eintraege, die ich allerdings beim Total Commander nicht sehe (wenn ich sie damit gerne loeschen will), obwohl ich auch die versteckten Dateien anzeigen lasse. Also sind sie dort ja nicht vorhanden. wo ist denn das Gegenstueck, wenn es Verweise sind ?

Zitat:

Zitat von Rene-gad

Meine Signatur zeigt den besten Weg.

der Beste sicherlich - auch der Einzige ?
ist mein Sys wirklich so komprommitiert ?

@Zappelphilipp

Zitat:

ja, da stehen die 5 oder 6 Eintraege, die ich allerdings beim Total Commander nicht sehe

Musst/Sollst/Darfst du auch nicht sehen, denn es sind keine Dateien, sondern Registry-Einträge, zu denen du nur über RegEdit oder RegSeeker kommst. Wie ich aus dem Log verstanden habe, sind die Dateien nicht mehr da, deswegen steht dort refers to invalid object=bezieht sich auf ein ungültiges/nicht existierendes Objekt.

Zitat:

der Beste sicherlich - auch der Einzige ?

Wenn du mit dem Löschen der Reg-Einträge schaffst und danach eScan wiederholst - schauen wir mal .

okay, da bin ich wieder,
und kann sogar stolz behaupten, dass das manuelle Loeschen der Dateien erfolgreich war

jetzt zu dem neuen log von escan:

diese (mir angezeigten) zwei Plagegeister sind leider immer noch vorhanden, was nun ?
oder sind es tatsaechlich bugs ?

hier der Auszug, die ganze mwav.log.txt kann ich leider nicht anhaengen, dateityp (rar) wird leider nicht unterstuetzt, die gesamte log ist so leider zu gross. hmm.

Mon Aug 22 13:32:27 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Mon Aug 22 13:32:27 2005 => Loading Spyware Signatures from FIXED Database...
Mon Aug 22 13:32:30 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!
Mon Aug 22 13:32:32 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Aug 22 13:32:32 2005 => Offending value found in HKCU\Software\FunWebProducts !!!
Mon Aug 22 13:32:32 2005 => Object "FunWebProducts Spyware/Adware" found in File System! Action Taken: No Action Taken.


freundliche Gruesse vom
Zappelphilipp

Guten Morgen !

ich poste auch mal ein hijackthis-log von heute frueh, aber ich denke, daran gibt es Nichts zu beanstanden:

Logfile of HijackThis v1.99.1
Scan saved at 07:59:32, on 23.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Sicherheit\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://windowsupdate.microsoft.com/
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] D:\Sicherheit\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://update.microsoft.com/w...?1121707430656
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - h**p://www.ravantivirus.com/scan/ravonline.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Gruesse an alle Helfenden

doch. du benutzt den IE. es gibt ja sichere browser wie mozilla firefox
ansonsten alles sauber.

Zitat:

Zitat von Chris14

doch. du benutzt den IE. es gibt ja sichere browser wie mozilla firefox
ansonsten alles sauber.

hallo Chris14,
richtig erkannt, und zwar NUR, um mein system abzudaten

warum das hier angezeigt wird, frag mich nicht.
ich surfe schon seit Jahren mit den Firefox - und zwar immer !

dennoch: es bleibt die Frage, wie ich mit der Adware verfahre ?!?

ich glaube, Rene-gad hat bestimmt nen Tip fuer mich ...

hallo liebe Virenbekaempfer

hat niemand eine Idee, wie ich diese zwei Eintraege loswerde ?

thx a lot, ich lasse spaeter noch mal ein escan drueber laufen, dann schaue ich mal, ob immer noch etwas da ist ...

feierabendliche Gruesse vom
Zappelphilipp