|
antispam tool hat sich festgebissen...... hallo... bin neu hier... habe die suche schon benutzt :) also es geht um das tool "geobytes `m" ist so ein antispamtool. da es mir nicht so zugesagt hat habe ich es wieder deinstallt. jetzt mein problem: ich bekomme es nicht aus der registrie raus... sobald ich das enfernt habe innerhalb einer sekunde ist es wieder eingeschrieben. zur info... also ich bin kein neuling auf dem gebiet und habe schon einiges wieder aus dem rechner enfernt, aber sowas verbissenes habe ich noch nie erlebt. habe alle tools schon probiert. trojanercheck, tuneup, msconfig und per hand. das teil will nicht verschwinden. vielleicht kennt jemand eine lösung wie ich den stromer loswerde... das programm ist schon lang nicht mehr auf dem rechner nur noch der eintrag das es automatisch starten soll... Ad-watch sagt mir, nachdem ich den eintrag per hand gelöscht habe aus der registrie folgendes: 24.06.2005 16:59:37 - Registry modification detected Root:HKEY_CURRENT_USER Key:Software\Microsoft\Windows\CurrentVersion\Run Value:Geobytes 'm... Data:E:\Geobytes\Geobytes m\m.exe -tray New Data: vielen dank vorraus... tom |
Hi, Hast schon mit Security Task Manager versucht. Und systemwiederherstellung deaktivieren. |
Zitat:
|
Zitat:
habe noch nicht einmal so einen trojaner gesehen, der sich so verbissen wieder ins system schreibt. ich will doch einfach nur ne saubere registrie :heulen: also habe jetzt mal mit hijackthis einen scan gemacht, damit ihr sehen könnt welche tools noch im hintergrund laufen und die vielleicht den eintrag wieder herstellen. habe den eintrag des bösen mal dick gemacht .... Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe E:\TV Movie\TV Movie ClickFinder\tvtip.EXE E:\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe E:\TuneUp Utilities 2004\MemOptimizer.exe E:\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe C:\WINDOWS\system32\Wtablet\TabUserW.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\system32\Tablet.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\System32\alg.exe C:\Programme\Mozilla Firefox\firefox.exe E:\browserhijack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://open.myswitchboard.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = tom O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - E:\Siber Systems\AI RoboForm\RoboForm.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\google\googletoolbar1.dll O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - E:\Siber Systems\AI RoboForm\RoboForm.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\google\googletoolbar1.dll O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [TVTip] E:\TV Movie\TV Movie ClickFinder\tvtip.EXE /m O4 - HKLM\..\Run: [AWMON] "E:\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe" O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKCU\..\Run: [TuneUp MemOptimizer] "E:\TuneUp Utilities 2004\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [RoboForm] "E:\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" O4 - HKCU\..\Run: [Geobytes 'm...] E:\Geobytes\Geobytes m\m.exe -tray :snyper: O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: &Google Search - res://E:\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Alte Version auf &archives.org ansehen - C:\Dokumente und Einstellungen\tom\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tuarch.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://E:\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: In &neuem Fenster öffnen - C:\Dokumente und Einstellungen\tom\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tuofinw.htm O8 - Extra context menu item: Verweisseiten - res://E:\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Zoom &In - C:\Dokumente und Einstellungen\tom\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tuzoomin.htm O8 - Extra context menu item: Zoom &Out - C:\Dokumente und Einstellungen\tom\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tuzoomout.htm O8 - Extra context menu item: Ähnliche Seiten - res://E:\Google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Übersetzen mit &dict.leo.org - C:\Dokumente und Einstellungen\tom\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tutrans.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://E:\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://E:\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://E:\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra 'Tools' menuitem: RF - &Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://E:\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://E:\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra 'Tools' menuitem: RF - RoboForm-S&ymbolleiste - {724d43aa-0d85-11d4-9908-00400523e39a} - file://E:\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1118250688799 thx tom _____________ Anm. Aktive Links editiert! Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis. LG Cidre S-Mod TB |
Hallo tombola, wenn du schon ein HJT Log-File, dann poste dies doch vollständig. Wichtige Systeminfos fehlen und ebenso dürftest du noch eine alte HJT Version angewendet haben, da die O23 Einträge (Dienste) nicht ersichtlich sind. Zum Problem... Deaktiviere Ad-Watch, fixe anschließend diese Einträge [1] und aktiviere bei Bdarf Ad-Watch wieder. [1] Zitat:
Beachte meine Anmerkung! |
Hat sich nun endlich alles geklärt. Es war Ad-Watch welches immer wieder den Eintrag eingefügt hat. Vielen Dank für deine Hilfe. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:44 Uhr. |
Copyright ©2000-2025, Trojaner-Board