Hier mein erstes Screenshot - im Anhang.



PS: @Princ_of_Galaxy
Ich bin immer im Internet, ich nutze eine Fritz-Box, zum Surfen und Telefonieren.
Habe so eine DSL und Phoneflat von Tiscali, ca. seit September/Oktober 2005,
das PUP-Problem taucht ca. seit November/Dezember auf, erst ab und zu, dann öfter und eines Tages hat mein PC nicht mehr richtig funktioniert, d.h. ich konnte keine Programme mehr starten.
Das hab ich mit Reparatur von der Windows-CD wieder in den Griff bekommen, aber die PUP's blieben.
Danach bin ich beim Hilfe+Infosuchen auf dieses Forum gestossen, in dem mir viel geholfen wurde und den letzten Knackpunkt kriegen wir auch noch hin.
Im Mai, werd ich dann mit Hilfe den PC neu formatieren und iregndwie sicherer machen.

Gruss, Suse

also noch mal...

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. Abkopieren bis November
http://virus-protect.org/datfindbat.html
+
RootkitRevealer
http://www.sysinternals.com/Utilitie...tRevealer.html

Ist das so richtig?

Datentr„ger in Laufwerk C: ist Suse
Volumeseriennummer: 443B-3C49

Verzeichnis von C:\WINDOWS\system32

10.02.2006 15:48 34.085 ODFBJSEL.lgg
10.02.2006 10:52 1.647.647 kspydoc.log
10.02.2006 10:52 0 Sweeper.cfg
06.02.2006 18:03 2.550 Uninstall.ico
06.02.2006 18:03 1.406 Help.ico
06.02.2006 18:03 30.590 pavas.ico
06.02.2006 16:48 0 asfiles.txt
23.01.2006 00:16 1.158 wpa.dbl
23.01.2006 00:05 62.872 perfc009.dat
23.01.2006 00:05 403.996 perfh009.dat
23.01.2006 00:05 416.008 perfh007.dat
23.01.2006 00:05 74.172 perfc007.dat
23.01.2006 00:05 943.466 PerfStringBackup.INI
15.01.2006 00:29 240.736 FNTCACHE.DAT
14.01.2006 11:58 264 $winnt$.inf
14.01.2006 11:51 16.832 amcompat.tlb
14.01.2006 11:51 23.392 nscompat.tlb
14.01.2006 11:50 488 WindowsLogon.manifest
14.01.2006 11:50 488 logonui.exe.manifest
14.01.2006 11:50 749 wuaucpl.cpl.manifest
14.01.2006 11:50 749 cdplayer.exe.manifest
14.01.2006 11:50 749 sapi.cpl.manifest
14.01.2006 11:50 749 nwc.cpl.manifest
14.01.2006 11:50 749 ncpa.cpl.manifest
14.01.2006 11:49 23.604 emptyregdb.dat
14.01.2006 11:48 525 mapisvc.inf
14.01.2006 10:37 1.816 ModemLog_AVM ISDN Custom Config.txt
14.01.2006 10:37 1.796 ModemLog_AVM ISDN BTX.txt
14.01.2006 10:37 1.834 ModemLog_AVM ISDN Analog Modem (V.32bis).txt
14.01.2006 10:37 1.816 ModemLog_AVM ISDN - ISDN (X.75).txt
14.01.2006 10:37 1.806 ModemLog_AVM ISDN FAX (G3).txt
14.01.2006 10:37 1.818 ModemLog_AVM ISDN Mailbox (X.75).txt
14.01.2006 10:37 1.846 ModemLog_AVM ISDN SoftCompression X.75-V.42bis.txt
14.01.2006 10:37 1.828 ModemLog_AVM ISDN RAS (PPP over ISDN).txt
14.01.2006 10:37 1.838 ModemLog_AVM ISDN Internet (PPP over ISDN).txt
04.01.2006 19:46 2.836.320 MRT.exe
03.01.2006 15:31 91.904 S32EVNT1.DLL
29.12.2005 03:54 280.064 gdi32.dll
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
15.11.2005 12:12 126.680 GCCollection.dll
15.11.2005 12:12 117.976 hashlib.dll
15.11.2005 12:12 95.448 gcUnCompress.dll
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
04.11.2005 16:27

nun noch die anderen drei Logs und dann das Log vom Rootkitrevealer ;)

2.

Datentr„ger in Laufwerk C: ist Suse
Volumeseriennummer: 443B-3C49

Verzeichnis von C:\DOKUME~1\Suse\LOKALE~1\Temp

10.02.2006 10:53 1.728 jusched.log
10.02.2006 10:52 16.384 Perflib_Perfdata_7c4.dat
09.02.2006 14:55 16.384 ~DF7D7B.tmp
3 Datei(en) 34.496 Bytes
0 Verzeichnis(se), 88.030.355.456 Bytes frei


3.

Datentr„ger in Laufwerk C: ist Suse
Volumeseriennummer: 443B-3C49

Verzeichnis von C:\WINDOWS

10.02.2006 15:50 24 pvcqN
10.02.2006 15:17 1.884 wincmd.ini
10.02.2006 14:52 95 qjrs.ini
10.02.2006 14:52 95 pjsqs.ini
10.02.2006 14:22 32.640 SchedLgU.Txt
10.02.2006 10:53 0 0.log
10.02.2006 10:53 1.245.706 WindowsUpdate.log
10.02.2006 10:53 159 wiadebug.log
10.02.2006 10:52 50 wiaservc.log
10.02.2006 10:52 2.048 bootstat.dat
08.02.2006 00:14 46.828 setupapi.log
06.02.2006 18:03 32 pavsig.txt
06.02.2006 16:47 870 win.ini
14.01.2006 11:51 316.640 WMSysPr9.prx
14.01.2006 11:51 4.161 ODBCINST.INI
14.01.2006 11:50 749 WindowsShell.Manifest
14.01.2006 11:01 227 system.ini
31.12.2005 00:13 202 NeroDigital.ini
25.11.2005 14:27 1.894.167 setupapi.old

4. bei rapidshare - wieder zu gross


http://rapidshare.de/files/12952997/sys.txt.html



Suse

*RootkitRevealer*

Soll ich das einfach runterladen und starten?
Kann ich da irgendwas falsch machen?

Mein Englisch reicht leider nicht für die Beschreibungen auf der Seite, ich versteh nix.

Danke, Suse

Ja. Ja. Ja.

Lade Dir Rootkitrevealer, starte das Programm, klicke auf Scan und dann mach gar nichts am Rechner, bis der Scan zu Ende ist. Danach das Log speichern (File -> Save) und hier posten.

Hier RootKit - log

bei rapidshare:


http://rapidshare.de/files/12955698/RootkitReveal.txt.html

Oha, imho ist das ein ausgewachsener Rootkit.

Hallo,
sehe ich auch so, bin mir aber über die weitergehende Vorgehensweise nicht im klaren (Überprüfung der Dateien), vielleicht weiß Sabina mehr. Mir würde nur einfallen die Dateien mit einer KnoppixCD zu überprüfen, aber mal abwarten was Sabina meint.
Aus meiner Sicht sollte das System neu aufgesetzt werden, aber auch da warte ich Sabinas sichtweise der Dinge ab.


Grüße Wildone

??? :confused:

hört sich nicht gut an!


Suse

wusste ich es doch ;)...da gibt es einen Dienst und fetten Rootkit obendrein.....
Apropos --> http://virus-protect.org/artikel/spyware/apropos1.html
Allerdings scheint es eine neue Variante zu sein...........

1. Schritt:

aproposfix
http://swandog46.geekstogo.com/aproposfix.exe

lade aproposfix.exe --> klicke RunThis.bat
klicke "enter" und warte, bis sich das Fenster schliesst.
dann kopiere die log.txt ab.

der 2.Schritt kommt danach ;) ..wird aber wahrscheinlich nicht mehr notwendig sein.. Problem geloest, falls der Fix funktioniert.
Wenn nicht, bekommen wir es dennoch weg. ;)

-----------------------------------------------------------------------

C:\System Volume Information\_restore{07D7BC8F-8040-4C3C-85C5-ED3B84D81E06}\RP35\A0019025.dll

C:\WINDOWS\system32\drivers\proanarp.sys
C:\WINDOWS\system32\odfbjsel.exe
C:\Programme\Xeroctor
C:\Programme\Xeroctor\Cache
C:\Programme\Xeroctor\Cache\dns
C:\Programme\Xeroctor\Cache\index
C:\Programme\Xeroctor\data.bin
C:\Programme\Xeroctor\dmbccoin.exe
C:\Programme\Xeroctor\PDXUTJADCPC.dll
C:\Programme\Xeroctor\resping6.exe
C:\Programme\Xeroctor\resping6.lgg
C:\Programme\Xeroctor\WAI.dll

HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_RSPSC
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_RTLPI32
HKLM\SYSTEM\ControlSet003\Services\rtl8139
HKLM\SYSTEM\ControlSet003\Services\RTLpi32
HKLM\SOFTWARE\CvTVsADtcN39

HKLM\S-1-5-21-2255585776-910089136-1440489552-1007\Software\CvTVsADtcN39

HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}

C:\RECYCLER\NPROTECT\02774951.dll
C:\RECYCLER\NPROTECT\02777706

Sysinternals:


Posted: 10 February 2006 at 11:51am | IP Logged

It looks like you have something similar to Spyware.Apropos (aka Wingenerics). The name Wingenerics ain't there but it fits a similar pattern. It confuses by using random names for its folder and many files. Start with http://www.sysinternals.com/Forum/fo...s.asp?TID=2077 for other people's experiences.

Essentially you would need to reboot in safe mode and rename the hidden drivers that RKR finds in C:\WINDOWS\system32\drivers\ and C:\WINDOWS\system32\. See How to delete WinGenerics from system?

The other entries are Norton Protected Recycle, and the System Restore folders making an update.


Deckt sich wohl.

Guten Morgen!

@Sabina

Deinen Optimismus möcht ich haben..... :)

hier das log.file

Log of AproposFix v1.1

************

Running from directory:
C:\PopUp's Hilfe\aprospos\aproposfix

************

Warning: batch running in normal mode, not Safe Mode! In normal mode the fix WILL NOT WORK!

Warning: C:\WINDOWS\regedit.com present!

Registry entries found:


************

No service found!

Removing hidden folder:
No folder found!

Deleting files:


Backing up files:
Done!

Removing registry entries:

REGEDIT4


Done!

Finished!


Ich starte den PC jetzt nochmal und schau was passiert!


Danke, Suse

Ich habe gerade die Cookies gecheckt, leider sind die alten Bekannten wieder da.

*winfixer, errorsafe* :kloppen:

Es kam zwar noch kein PUP, aber das ist dann ja nur eine Frage der Zeit!

PC hatte ich nach aprosposfix neu gestartet.

Soll ich das fix doch mal im abgesicherten Modus starten?


Suse

hi,

also ich hab bei internetoptionen die cookie einstellung gemacht seit dem bekomme ich sie nicht mehr ob das richtig ist kann ich dir aber nicht sagen weil ich selbst so unerfahren bin.

lg

paranoit

Ich hab den abgesicherten Modus gestartet, mit aprosposfix bearbeitet, und hier ist das Resultat:

Log of AproposFix v1.1

************

Running from directory:
C:\PopUp's Hilfe\aprospos\aproposfix

************


Warning: C:\WINDOWS\regedit.com present!

Registry entries found:

[HKEY_LOCAL_MACHINE\Software\CvTVsADtcN39]
@="y sIBaZTUUTUUVUyvvyhtlTUUTjWU:pukv:zULRLM7FaZU6KBO7KLUIKH3G3KIVLRL"
"Device"="\\\\.\\ROORAME"
"DriverPath"="C:\\WINDOWS\\system32\\drivers\\proanarp.sys"
"DriverName"="RTLpi32"
"HideUninstallerName"="C:\\Programme\\Xeroctor\\dmbccoin.exe"
"UninstallerPath"="C:\\WINDOWS\\system32\\lfeewdev.exe"
"UninstallerRegKey"="HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\{C6A6E1E2-64CF-4DC2-BBAA-34ECCA4E2E7C}"
"UninstallerParams"="/CTUN"
"HDll"="C:\\WINDOWS\\system32\\corsacct.dll"
"ServerAddress"="adchannel.contextplus.net"
"LegalNote"="http://adchannel.contextplus.net/legal-note/nonbranded.html"
"PartnerId"="CP.IST2"
"InstallationId"="{Xcbba2e8-a320-06f7-38cb-c1cf21dba46b}"
"PageFiltering"=dword:00000001
"ClientName"="C:\\Programme\\Xeroctor\\resping6.exe"

************

Removing hidden service:
Service RTLpi32 removed.

Removing hidden folder:
Deletion of folder Xeroctor succeeded!

Deleting files:

Deletion of file C:\WINDOWS\system32\drivers\proanarp.sys succeeded!
Deletion of file C:\WINDOWS\system32\odfbjsel.exe succeeded!
Deletion of file C:\WINDOWS\system32\corsacct.dll succeeded!
Deletion of file C:\WINDOWS\system32\lfeewdev.exe succeeded!

Backing up files:
Done!

Removing registry entries:

REGEDIT4

[-HKEY_CURRENT_USER\Software\CvTVsADtcN39]
[-HKEY_LOCAL_MACHINE\Software\CvTVsADtcN39]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C6A6E1E2-64CF-4DC2-BBAA-34ECCA4E2E7C}]

Done!

Finished!

Ich hab zwar keine Ahnung, aber das sieht schon besser aus als das erste, finde ich...... :confused: :( :daumenhoc

Weiterer Bericht folgt!

Gruss, Suse

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\CvTVsADtcN39]
[-HKEY_LOCAL_MACHINE\S-1-5-21-2255585776-910089136-1440489552-1007\Software\CvTVsADtcN39]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}]

---------------------------------------------------------------------------------------------------------

Den folgenden Text in den Editor kopieren und als fix.bat
Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an

@ECHO OFF

attrib -s -r -h C:\WINDOWS\system32\drivers\proanarp.sys
attrib -s -r -h C:\WINDOWS\pvcqN
attrib -s -r -h C:\WINDOWS\system32\odfbjsel.exe
attrib -s -r -h C:\WINDOWS\system32\ODFBJSEL.lgg
attrib -s -r -h C:\Programme\Xeroctor\Cache\dns
attrib -s -r -h C:\Programme\Xeroctor\Cache\index
attrib -s -r -h C:\Programme\Xeroctor\Cache
attrib -s -r -h C:\Programme\Xeroctor\data.bin
attrib -s -r -h C:\Programme\Xeroctor\dmbccoin.exe
attrib -s -r -h C:\Programme\Xeroctor\PDXUTJADCPC.dll
attrib -s -r -h C:\Programme\Xeroctor\resping6.exe
attrib -s -r -h C:\Programme\Xeroctor\resping6.lgg
attrib -s -r -h C:\Programme\Xeroctor\WAI.dll
attrib -s -r -h C:\Programme\Xeroctor
del C:\WINDOWS\system32\drivers\proanarp.sys
del C:\WINDOWS\pvcqN
del C:\WINDOWS\system32\odfbjsel.exe
del C:\WINDOWS\system32\ODFBJSEL.lgg
del C:\Programme\Xeroctor\Cache
del C:\Programme\Xeroctor\Cache\dns
del C:\Programme\Xeroctor\Cache\index
del C:\Programme\Xeroctor\data.bin
del C:\Programme\Xeroctor\dmbccoin.exe
del C:\Programme\Xeroctor\PDXUTJADCPC.dll
del C:\Programme\Xeroctor\resping6.exe
del C:\Programme\Xeroctor\resping6.lgg
del C:\Programme\Xeroctor\WAI.dll
del C:\Programme\Xeroctor
exit

------------------------------------------------------------------------------------------

In den abgesicherten Modus starten.(F8 druecken, wenn der PC startet)

- Die fix.bat Datei auf dem Desktop doppelklicken.
- Die Datei "fixme.reg" auf dem Desktop doppelklicken (und der Registry beifuegen)

dann scanne noch mal mit Rootkitrevealer ;)

---------------------------------------------------------------------------------
dann folgendes: hast du eine Realtek -Netzwerkkarte ? Es ist wichtig zu wissen, ehe wir irgendeinen Dienst loeschen.

die beiden kopiert und gspeichert.


- Die Datei "fixme.reg" auf dem Desktop doppelklicken (und der Registry beifuegen)

wie macht man das?

--------------------------------

Netzwerkadapter (Systemsteuerung - Hardware):

-1394-Netzwerkadapter

-Realtek RTL 1839/810x Family Fast Ethernet NIC

----------------------------------------------------

Bis jetzt kein PUP mehr!

Suse

wenn du die reg doppeltklickst, wirst du gefragt mit ja oder nein, ob sie der registry beigefuegt werden soll.
antworte mit ja.

schau noch mal, ob alles so ist, wie jetzt, denn ich habe editiert...waehrend du schon auf der Lauer gelegen hast...du warst zu schnell :D

dann scanne noch mal mit Rootkitrevealer

Ja, sorry, aber wenns jetzt dem Ende zugeht, kann ichs gar nicht mehr erwarten.....
Ich hab im Normalfall schon keine Geduld für nix, und dies war ne harte Prüfung für mich (+ die beiden Kittys...)


OK, ich habs nochmal gemacht und die ersten beiden vorsichtshalber gelöscht.

Allerdings stand da noch was von Codierung, da ist jetzt ANSI eingestellt - ist das so richtig?

Gruss, Suse

Alles erledigt!

Rootkit - log:

KLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 11.2.2006 16:03 80 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Microsoft SQL Server\PINNACLESYS\MSSQLServer\uptime_time_utc 11.2.2006 16:02 8 bytes Data mismatch between Windows API and raw hive data.
C:\RECYCLER\NPROTECT\02775172.DIC 7.2.2006 15:00 162 bytes Visible in Windows API, but not in MFT or directory index.
C:\RECYCLER\NPROTECT\02775173.DIC 7.2.2006 15:00 162 bytes Visible in Windows API, but not in MFT or directory index.
C:\RECYCLER\NPROTECT\02777945 11.2.2006 16:04 5.10 MB Hidden from Windows API.
C:\RECYCLER\NPROTECT\02777946.edb 11.2.2006 16:01 64.00 KB Hidden from Windows API.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 11.2.2006 16:01 64.00 KB Visible in Windows API, but not in MFT or directory index.


Sind wir durch? :huepp:

Danke!

Gruss, Suse

Diese Einträge noch mit RegDelNul löschen. Im Anschluss daran nochmal die von Sabina erwähnte fixme.reg laufen lassen.

Wie geht das mit dem Löschen?

regdelnull hab ich runtergeladen, wenn ich auf die exe klicke, öffnet sich nix.

Leider ist auf der Seite alles englisch, kann ich nicht verstehen.


fixme.reg - die von mir auf den Desktop kopierte?

Danke, Suse

am besten kopierst Du die Datei "regelnul.exe" in folgenden Ordner C:\Windows

Dann klickst Du auf "Start" -> "Ausführen" gibst cmd ein und drückst "Enter". Dann gibst Du in dem Fenster regdelnul HKLM -s ein. Danach folgen Abfragen, ob Du die gefundenen Sachen löschen willst.

Ich meine das hier:

Geht leider nicht!

Ich bekomm die Meldung regdelnull (regdelnul) falsch geschrieben.....oder konnte nicht gefunden werden...

Ich schreib das genau so, wie es in C steht: regdelnull

Was mach ich nu falsch?

Danke, Suse

Ok, versuchen wir es anders rum:

Kopiere die Datei regdelnull.exe nach C:\
Nun Start -> Ausführen -> cmd (Enter)
Nun cd.. eingeben (Enter).
Das ganze Nochmal.
Jetzt sollte da stehen:

C:\>

Eingeben:

regdelnull hklm -s
(Enter drücken)

leider auch nicht, es steht nicht C da, es steht immer:

c:\dokumente und Einstellungen\suse>_

und dann wieder ...falsch geschrieben oder nicht gefunden....

Ich glaub, ich habs, ich musste das mit cd.. 2mal machen

OK, erledigt!

Gelöscht und fix laufen lassen.

Muss ich jetzt nochmal irgendein Kontrollprogramm oder sowas laufen lassen?

Danke, Suse

********hinfällig. hatte ja geklappt***************

dann scanne noch mal mit Rootkitrevealer, wenn die Registry-Eintraege geloescht sind ;)

Das ist jetzt bei Rootkit rausgekommen:

KLM\SOFTWARE\Microsoft\Microsoft SQL Server\PINNACLESYS\MSSQLServer\uptime_time_utc 11.2.2006 18:29 8 bytes Data mismatch between Windows API and raw hive data.
C:\RECYCLER\NPROTECT\02775196.MOZ 7.2.2006 16:00 162 bytes Visible in Windows API, but not in MFT or directory index.
C:\RECYCLER\NPROTECT\02778008 11.2.2006 18:31 5.22 MB Hidden from Windows API.


Soltte es das jetzt gewesen sein.....??? :dummguck:


Gruss, Suse

Ja, das sollte es gewesen sein.

Der erste Eintrag ist Pinnacle. Die sind leider dafür bekannt, immer mindestens einen Eintrag zu verstecken. Die beiden anderen gehören zum Protected Recycler von Norton/Symantec, sollten also auch ok sein.

Herrlich diese Ruhe!

Ich möchte mich dann hier mal bei allen fleißigen Helfern bedanken, die nicht ihre Geduld verloren haben und hier in mich und meine Blöd- und Unerfahrenheit unglaublich viel Zeit und Mühe investiert haben!!!


VIELEN VIELEN DANK!!! :bussi:


ganz besonders an Sabina!

@Sabina: Denk an den Inhalt meiner PM.....!


Nu heißt es :party:

und, wenn mir was komisch vorkommt - Finger weg und nix aufschwatzen lassen.


Danke!, ich habe viel gelernt bei Euch!

Nehmts nicht persönlich - Aber ehrlich gesagt, ich hoffe, wir hören nicht wieder voneinander in diesem Forum...... :lach:


Gruss, eine zufriedene SUSE