|
hi, mein system ist stabil, erst 1nen monat alt. wenig installiert und deinstalliert. altova spy eintäge sind von einem xml tool, bräuchte ich also nicht rausgebe..... habe im regcleaner ein haufen einträge von AKSoft gefunden die hab ich rausgegeben.... sie sind auch nun weg diese einträge, auch nicht mehr im backupmodus, weil ich die systemwiederhersteullung deaktiviert habe.... dennoch, sobald ich mich wieder ans netz konnekte ist er wieder da,... in meiner startup list hab ich nur mehr folgendes: RegCleaner 4.3 by Jouni Vuorio These programs are run everytime you start your computer. Try to keep this list as short as possible, selected 7 of 7 [syntax: Program, Filename, Loaded from ] ATIModeChange, Ati2mdxx.exe, HKEY_LM\Run AVGCtrl, H:\Programme\AVPersonal\AVGNT.EXE /min, HKEY_LM\Run Desktop, N/A, Start Menu Desktop, N/A, Start Menu (Common User) Nod32kui, "H:\Programme\Eset\nod32kui.exe" /WAITSERVICE, HKEY_LM\Run PRONoMgr.exe, H:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe, HKEY_LM\Run SoundMan, Soundman.exe, HKEY_LM\Run brauche ich die desktop einträge? Logfile of HijackThis v1.98.2 Scan saved at 11:43:42, on 04.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: H:\WINDOWS\System32\smss.exe H:\WINDOWS\system32\winlogon.exe H:\WINDOWS\system32\services.exe H:\WINDOWS\system32\lsass.exe H:\WINDOWS\system32\Ati2evxx.exe H:\WINDOWS\system32\svchost.exe H:\WINDOWS\System32\svchost.exe H:\WINDOWS\system32\S24EvMon.exe H:\WINDOWS\system32\rundll32.exe H:\WINDOWS\system32\spoolsv.exe H:\Programme\AVPersonal\AVGUARD.EXE H:\Programme\Apache Group\Apache2\bin\Apache.exe H:\Programme\AVPersonal\AVWUPSRV.EXE H:\Programme\Eset\nod32krn.exe H:\WINDOWS\system32\RegSrvc.exe H:\Programme\Apache Group\Apache2\bin\Apache.exe H:\WINDOWS\system32\ZCfgSvc.exe H:\WINDOWS\Explorer.EXE H:\WINDOWS\SOUNDMAN.EXE H:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe H:\Programme\Eset\nod32kui.exe H:\Programme\AVPersonal\AVGNT.EXE H:\WINDOWS\system32\1XConfig.exe H:\Dokumente und Einstellungen\ace\Desktop\hijackthis_198\HijackThis.exe C:\program files\InterMute\SpySubtract\CWShredder.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/Dokumente%20und%20Einstellungen/ace/Eigene%20Dateien/logos/startseite.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.tuwien.ac.at R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/Dokumente%20und%20Einstellungen/ace/Eigene%20Dateien/logos/startseite.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/keyword/%s O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - H:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PRONoMgr.exe] H:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [nod32kui] "H:\Programme\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [AVGCtrl] H:\Programme\AVPersonal\AVGNT.EXE /min O8 - Extra context menu item: &Google Search - res://H:\Programme\Google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://H:\Programme\Google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://H:\Programme\Google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://H:\Programme\Google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - H:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - H:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=www.tuwien.ac.at O17 - HKLM\System\CCS\Services\Tcpip\..\{CB36EA12-B560-49B5-8436-5FB8CA47640C}: NameServer = 195.34.133.10,195.34.133.11 O17 - HKLM\System\CCS\Services\Tcpip\..\{FA9F5934-03B2-4BD5-B888-C302D494F447}: NameServer = 195.34.133.10,195.34.133.11 ...... meine registry selbst ist auch schon ziemlich kurz und wirklich für meine auge nur mehr einträge von bekannten firmen..... könnte es aber gerne posten wenn wer will..... danke. lg raphael p.s.: nur der einmal öfter aufsteht als er umfällt wird zum schluss stehen! |
geht mir genauso....das ist zum schwarzwerden, der mist muss doch wegzubekommen sein |
@raphaelschnee lade dir clearprog bei www.clearprog.de programm starten, alle häkchen bei windows und IE setzen, danach löschen. gebe HJT bitte einen eigenen ordner wechsle in den abgesicherten modus und fixe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/Dokumente%20und%20Einstellungen/ace/Eigene%20Dateien/logos/startseite.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/Dokumente%20und%20Einstellungen/ace/Eigene%20Dateien/logos/startseite.htmlO1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com neu starten chaosman |
Das Problem ist hier ein anderes. Es werden einige Dateien nicht geloescht. Einmal eine guard.tmp im Windows Ordner und zumindest 2 DLL im System32 Ordner. Die Dateinamen der dll sind verschieden, sehen aber meistens so aus: lv4o09h3e.dll und n42u0ef9eh2.dll Die Dateigroesse und das Datum der Dateien sind relativ gleich und so um die 219-235 KB gross. Eine dieser Dateien erkennt Escan bereits, die anderen kommen hoffentlich die naechsen Tage dazu. Schau mal unter HKLM/Software/Microsoft/windowsNT/currentVersion/winlogon/notify/syncmgr dort sollte unter DLLNAME der entsprechende Name auftauchen. Zu mehr bin ich leider noch nicht gekommen |
hallo, @raman ja super stimmt.... hab auch schon einige weggekriegt...(6,7) nur den eintrag in der registry... er wechselt: er kann mal: HKLM/Software/Microsoft/windowsNT/currentVersion/winlogon/notify/syncmgr dann wieder HKLM/Software/Microsoft/windowsNT/currentVersion/winlogon/notify/MS-DOS Eingabe dann wieder .../notify/H323sp .../notify/Themes.... also wirklich alles mögliche.... sobald ich den eintrag und die datei lösche (über den regcleaner), ist er wieder da und legt noch eine zweite an ... auch im abgesicherten mit systemwiederherstellung deaktiviert und so .... d.h. ich stehe noch immer bei 2 dlls die ich nicht wegkriege.... meine erklärung: eine der dlls wird ja in die winlogon geladen..... die hat sie also im speicher, wenn ich sie rausnehme wird sie von der winlogon wieder erzeugt.... wie kann ich ohne winlogon hochfahren (geht nicht oder?) bzw. winlogon abschießen und so den registry eintragen rauslöschen.. und die dlls auch noch dazu.... wenn ich diese dlls mit escan oder http://virusscan.jotti.org/de scanne, dann wird es nicht zugelassen zu scannen... also weg damit. mhm... wenn das gelingt dann dürfte es gelungen sein....kann mir da jemand weiterhelfen? danke. lg raphael |
Wenn du die Dlls gefunden hast, musst du sie "nur" noch loeschen. Leider ist das wohl ein Problem. Wenn du mutig bist, kannst du es mit dem Advanced Process Manipulation Tool versuchen, die DLLs ausfindig machen und umbenennen. Eine der Dateien sollte Escan(aktualisiert) finden koennen. Die andere muesste ein aehnliches Datum besitzen . Dazu kommt im Windowsverzeichniss noch eine Guard.tmp Datei. Du kannst die Dlls auch ausfindig machen, indem du mit Hilfe der doskonsole im System32 Verzeichniss copy *.dll nul eingibst. Bei den "Boesen" Dlls wird eine Fehlermeldung ausgegeben. Bitte Dateien niicht loeschen, nur gegebenenfalls umbenennen. Fuer Sowas waere ein BartPE Cd Genial!:) http://pcfreaks.big-clan.net/bartpe/index.shtml Ich glaube da sollte man mal eine Anleitung zu schreiben..... Denke bitte daran, das das alles von jemandem gemacht werden sollte, der sich einigermassen damit auskennt! An einer einfacheren loesung wird gearbeitet, wird aber wohl noch etwas dauern. Vieleicht wird es ueber Ewido funktionieren. Nur erkennt das derzeit auch nur eine DLL. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:59 Uhr. |
Copyright ©2000-2025, Trojaner-Board