Liebe potentielle Helfer,

ich habe mir durch den unachtsamen Klick auf eine dubiose Datei mindestens einen Hijacker eingefangen und werde diesen nun nicht mehr los. Ich habe schon einiges probiert aber es öffnet sich immer mal wieder der Internetexplorer, bzw. Firefox mit ätzender Werbung. Da ich nun nicht mehr weiter weiß, bitte ich verzweifelt um Hilfe, bzw. darum, dass sich irgendjemand der sich auskennt, meines Logfiles annimmt.

Ich vermute die Datei "dvdplay.exe" als eine der Ursachen, aber ich bekomme die Datei nicht weg
O4 - HKCU\..\Run: [Rdso] C:\DOKUME~1\***\ANWEND~1\ECURIT~1\dvdplay.exe" -vt ndrv

Außerdem habe ich einen Eintrag "Outerinfo" in Programme, der nach löschen wiederkommt und wohl ebenfalls damit zu tun hat.

Wer kann mir helfen? Vielen Dank vorab!

Hier mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:11:04, on 21.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS.1\System32\smss.exe
C:\WINDOWS.1\system32\winlogon.exe
C:\WINDOWS.1\system32\services.exe
C:\WINDOWS.1\system32\lsass.exe
C:\WINDOWS.1\system32\Ati2evxx.exe
C:\WINDOWS.1\system32\svchost.exe
C:\WINDOWS.1\System32\svchost.exe
C:\WINDOWS.1\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS.1\system32\spoolsv.exe
C:\WINDOWS.1\Explorer.EXE
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS.1\system32\CTSvcCDA.EXE
C:\WINDOWS.1\SYSTEM32\GEARSEC.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\DU Meter\DUMeter.exe
C:\WINDOWS.1\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\WINDOWS.1\system32\CTHELPER.EXE
C:\WINDOWS.1\system32\ZoneLabs\vsmon.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\UltraMon\UltraMon.exe
C:\WINDOWS.1\system32\MsPMSPSv.exe
C:\WINDOWS.1\system32\ctfmon.exe
C:\Programme\Creative\Shared Files\Media Sniffer\MtdAcq.EXE
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\UltraMon\UltraMonTaskbar.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\Common files\M?crosoft\n?tepad.exe
C:\DOKUME~1\***\ANWEND~1\ECURIT~1\dvdplay.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS.1\system32\drwtsn32.exe
C:\WINDOWS.1\system32\drwtsn32.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Tools und Miniprogramme\HijackThis Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [awxDTools] rundll32 C:\PROGRA~1\arniWORX\AWXDTO~1\awxDTools.dll,awxRegisterDll /r /s
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [IntelliPoint] C:\Programme\Microsoft IntelliPoint\ipoint.exe
O4 - HKLM\..\Run: [UltraMon] "C:\Programme\UltraMon\UltraMon.exe" /auto
O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS.1\system32\fqesvncw.dll",realset
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.1\system32\ctfmon.exe
O4 - HKCU\..\Run: [MtdAcq] C:\Programme\Creative\Shared Files\Media Sniffer\MtdAcq.EXE /s
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Rdso] "C:\DOKUME~1\***\ANWEND~1\ECURIT~1\dvdplay.exe" -vt ndrv
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://F:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - h**ps://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file:///E:/components/hidinputmonitorx.ocx
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - h**ps://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file:///E:/components/A9.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165744176625
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://www.creative.com/su/ocx/15028/CTPID.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS.1\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS.1\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS.1\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS.1\system32\CTSvcCDA.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS.1\SYSTEM32\GEARSEC.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS.1\system32\oodag.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS.1\system32\ZoneLabs\vsmon.exe
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINDOWS.1\system32\WFXSVC.EXE

Hi,
dein Log sieht etwas seltsam aus...
Lass bitte mal folgende Dateien:

Zitat:

C:\Programme\Common files\M?crosoft\n?tepad.exe
C:\DOKUME~1\***\ANWEND~1\ECURIT~1\dvdplay.exe
C:\WINDOWS.1\system32\fqesvncw.dll

bei virustotal auswerten, gib bitte alle Infos an, sowie Größe, MD5 etc.

lg myrtille

Hallo myrtille,

danke für Deine schnelle Antwort. Ich habe versucht, die drei Dateien an virustotal zu schicken.

Die Dateie

C:\DOKUME~1\***\ANWEND~1\ECURIT~1\dvdplay.exe

wurden von Outlook geblockt und von Norton Antivirus als Purityscan.Adware-Bedrohung eingestuft. Konnte aber nicht entfernt werden, obwohl die Datei als automatisch gelöscht im Log-File von Norton steht.

bei
C:\Programme\Common files\M?crosoft\n?tepad.exe
genau das selbe.

Die Auswertung von C:\WINDOWS.1\system32\fqesvncw.dll

ergab folgendes:

Complete scanning result of "fqesvncw.dll", processed in VirusTotal at 05/21/2007 13:38:22 (CET).

[ file data ]
* name: fqesvncw.dll
* size: 132660
* md5.: 05f50eb86f8b50044f76eac60b89db18
* sha1: faabf142396795cebf312d00390f1490d2cfb765

[ scan result ]
AhnLab-V3 2007.5.21.1/20070521 found nothing
AntiVir 7.4.0.23/20070521 found [ADSPY/Virtumonde.AR.4]
Authentium 4.93.8/20070518 found nothing
Avast 4.7.997.0/20070521 found nothing
AVG 7.5.0.467/20070520 found nothing
BitDefender 7.2/20070521 found nothing
CAT-QuickHeal 9.00/20070518 found nothing
ClamAV devel-20070416/20070521 found [Trojan.Packed-7]
DrWeb 4.33/20070521 found [Trojan.Virtumod]
eSafe 7.0.15.0/20070520 found nothing
eTrust-Vet 30.7.3649/20070521 found nothing
Ewido 4.0/20070521 found nothing
F-Prot 4.3.2.48/20070518 found nothing
F-Secure 6.70.13030.0/20070521 found nothing
FileAdvisor 1/20070521 found nothing
Fortinet 2.85.0.0/20070521 found [suspicious]
Ikarus T3.1.1.7/20070521 found nothing
Kaspersky 4.0.2.24/20070521 found [not-a-virus:AdWare.Win32.Virtumonde.ar]
McAfee 5034/20070518 found nothing
Microsoft 1.2503/20070521 found nothing
NOD32v2 2281/20070521 found nothing
Norman 5.80.02/20070518 found nothing
Panda 9.0.0.4/20070520 found nothing
Prevx1 V2/20070521 found nothing
Sophos 4.17.0/20070520 found [Virtumundo]
Sunbelt 2.2.907.0/20070517 found [VIPRE.Suspicious]
Symantec 10/20070521 found nothing
TheHacker 6.1.6.119/20070521 found nothing
VBA32 3.12.0/20070521 found nothing
VirusBuster 4.3.7:9/20070520 found nothing
Webwasher-Gateway 6.0.1/20070521 found [Ad-Spyware.Virtumonde.AR.4]

Sieht wohl alles nicht gut aus.
Wie kann es nun am besten weiter gehen?

Mit Dankesgruß
Christoph

Purityscan ist sehr schwer zu entfernen und viel tendieren dazu direkt einen Neuinstallation zu empfehlen.

Es gibt Anleitungen im Netz, zb diese, allerdings dauert die Bereinigung meist länger als das Neuaufsetzen.

lg myrtille

Ok, habe jetzt eine Seite gefunden, die einen Uninstaller für purityscan bietet.

http://www.purityscan.com/uninstall.html

Bin mir allerdings nicht sicher, ob man sich damit nicht noch mehr reinreitet. Das dort angebotene Uninstallerprogramm funktionierte (erst im abgesicherten Modus). Dadurch waren jedenfalls die beiden Dateien
"n?tepad.exe" und "dvdplay.exe" zu entfernen.
Die Datei "fqesvncw.dll" habe ich mit dem Programm "Unlocker" freigeben und entfernen können. Soweit so gut.

Alerdings habe ich jetzt das blöde Problem, dass sich die "explorer.exe" nicht mehr beim Systemstart lädt (obwohl sie in der Registry korrekt angemeldet ist) und ich deshalb den Explorer nur noch über den Task-Manager starten kann. Eine entsprechende Google-Sucher ergab, dass wohl nur ein Neu-Aufsetzen des Computers helfen soll.

Es scheint, als bin ich vom Regen in die Traufe geraten.

Danke jedenfalls nochmals für dein Hilfe.

Beste Grüße
Christoph

Ähh. Tja, da kann ich jetzt auch nicht viel zu sagen.

Du kannst ja mal nen eScan machen, wenn du glaubst, dass das Problem von Malware kommt.
Aber ein Neuaufsetzen ist mit sicherheit nicht falsch.

lg myrtille

so, explorer wieder da (lag an einem vewaisten Registry-Eintrag zu der komischen geläschten dll-Datei), aber just als ich diese Zeilen tippte, kam auch wider der aufspringende Internetexplorer...

Werd jetzt noch ein bißchen googeln - und dich für deine Hilfe ins Nachtgebet mit einschließen ;-) - zusammen mit den frommen Wünschen nach einem sauberen System!

Mach am besten mal den untengenannten eScan. Du hast neben PurityScan auch Virtumonde drauf, der lässt sich allerdings recht leicht nach diesem Post entfernen.

Wäre aber eben interessant zu wissen, ob PurityScan noch drauf ist.

lg myrtille

Hallo myrtille,

den virtomundo schein ich mit vundofix wegbekommen zu haben. Es springen auch keine Fenster mehr auf.

Ein Scan mit escan bringt allerdings komische Resultate, denn laut diesem Programm hätte ich mehrere Tausend Viren auf dem Computer. Er wiederholt jedenfalls immer eine Angabe (Mon May 21 23:54:12 2007 => Offending Key found: HKLM\Software\clickspring !!!) und bin schon bei über 50 000 (!) Einträgen, weshalb ich den Scan jetzt abbreche. Eine Log-Datei würde also immer größer werden, eine zuschickbare Auswertung nahezu unmöglich.

Was hat das nun wieder zu bedeuten? Mein System scheint nämlich sauber zu arbeiten.

Beste Grüße
Christoph

clickspring ist ein anderer Name vom Purityscan. Du bist ihn also noch nicht los.

Es könnte natürlich sein, dass nur noch die Registryeinträge vorhanden sind (was ich allerdings nur bedingt glaube.) Du kannst ja mal mit dem Regseeker die Registry bereinigen lassen und auch clearprog durchlaufen lassen.

Mache danach einen erneuten eScan und schau ob die Meldungen geringer werden.

EDIT: Ok, es ist zu spät. Mach (von mir aus auch vorher das "Ausmisten" ) den eScan und lass die find.bat durchlaufen, die fasst das ganze dann an sich so weit zusammen, dass du das Log hier posten können solltest.

Ich habe die Registry mit den genannetn Programmen bereinigt. Das hat aber nichts gebracht, eScan zeigt immer noch mehrere Zehntausend "Viren" an. Ich habe aber das Problem isolieren können. eScan hängt sich auf, weil er an einem Eintrag in der Registrierung "hängenbleibt".

Dort (HKL > Software > Clickspring) ist ein Eintrag von Clickspring, der sich nicht löschen lässt, weil er keine Berechtigung erteilt. Das Problem ist, dass ich auch anstellen kann was ich will, es ist mir nicht möglich ("erlaubt") irgendeine Berechtigung zu erteilen oder zu erlauben. So kann ich ihn auch nicht löschen, umbenennen oder sonst irgendwas damit zu machen.

Es wäre zwar schön, diesen Eintrag löschen zu können, das System selbst aber läuft bislang wieder sauber.

Wie könnte ich wohl den Schlüssel entfernen?

lg
Christoph

Dein System läuft "sauber", wiel PurityScan nicht bemerkt werden will und weil es ein gutes Programm ist. Du bist offensichtlich weiterhin kompromitiert und den Registryeintrag kannst du wahrscheinlich nicht löschen, weil das Programm und die im Beitrag eingetragenen Dateien noch aktiv sind.

Das einzige was du bemerkt hattest war vundo, das für die Popups verantwortlich war.

Ich wiederhole es nochmal neuaufsetzen ist die beste Lösung!

Meine letzte Alternative lautet: Schaumal, ob die Dateien noch existieren. Wenn ja, lade dir Killbox (einfach im Forum nach Killbox suchen) lösche die Dateien mit "delete on reboot", versuche danach den Registryeintrag zu löschen, erstelle ein neues HJT-Log und lass den eScan nochmal laufen.

lg myrtille

Ich habe es jetzt endlich geschafft den Registry-Eintrag von Clickspring zu löschen. eScan läuft jetzt auch durch und zeigt nur noch das ein oder andere an , das aber noch ein bißchen Zeit hat bis ich es entferne (Brauch den PC im Moment zum Arbeiten, weshalb ein Gesamt-Scan im abgesicherten Modus noch ein bißchen warten muss.