Problem seit Deinstallierung AntiVirenKit
 

Seit dem ich G Data AntiVirenKit deinstalliert habe, meldet der PC beim hochfahren folgendes:
Die Windows Registrierung oder System.INI verweist auf nicht mehr vorhandene Systemdatei.Bitte deinstallieren oder installieren das Programm usw.
Das habe ich dann auch gemacht, aber es ändert sich nichts.In der Autostartgruppe taucht es auch noch auf.Dann habe ich das Häkchen weggenommen aber es bleibt beim Hochfahrproblem.Was kann ich noch tun?

hi sanni
ein logfile vielleicht (von hijackthis)

Ja würde ich gerne aber mein PC öffnet Hijackthis file nicht nachdem ich es runtergeladen habe.Der PC sagt dann immer er kann diese ZIP Datei nicht öffnen.Wo wir wieder bei einem neuen Problem wären :confused: Ach übrigens ich habe Windows 98SE.

hi

zieh dir die exe

Danke hat super geklappt.Ich kann das Logfile aber nicht öffnen und bearbeiten weil ich incmail.exe und notepad.exe nicht habe :mad: Wie kann ich es trotzdem hier rein posten?

Logfile of HijackThis v1.99.1
Scan saved at 16:27:11, on 06.04.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
E:\EIGENE DATEIEN\1_99_1.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://line-plus.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://line-plus.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://line-plus.com/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://line-plus.com/sweb/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://line-plus.com/sweb/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: ICOO Loader BHO - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [DealHelperDown] C:\WINDOWS\Download.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [SpyKiller] C:\Programme\SpyKiller\spykiller.exe /startup
O4 - Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Microsoft.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O13 - DefaultPrefix: http://line-plus.com/p/
O13 - WWW Prefix: http://line-plus.com/p/
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\MSOPT.DLL (file missing)
O19 - User stylesheet: c:\windows\my.css


Ich habe es über Word aufgerufen und es hat sogar geklappt wie man sieht.
Mein ursprüngliches Problem habe ich jetzt gelöst.Mein PC fährt wieder fehlerfrei hoch!

hi

http://www.notepad.org/

http://www.spywareinfo.com/~merijn/w...s.html#control

@Sanni
wechsle in den abgesicherten modus und fixe mit HJT
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: ICOO Loader BHO - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - (no file)
O4 - HKLM\..\Run: [DealHelperDown] C:\WINDOWS\Download.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\MSOPT.DLL (file missing)

lösche danach manuell
C:\WINDOWS\web\related.htm
C:\WINDOWS\Download.exe

neu booten, neues HJT logfile posten

chaosman

@Passat2002 vielen Dank für die Links aber beim ersten passiert nichts und beim zweiten brauch ich zum entpacken eine Datei zum öffnen von ZiP.
Mein PC meldet ich brauche dafür acrord32.exe und die habe ich nicht.

Logfile of HijackThis v1.99.1
Scan saved at 21:32:47, on 06.04.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
D:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA9.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
E:\EIGENE DATEIEN\1_99_1.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://line-plus.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://line-plus.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://line-plus.com/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://line-plus.com/sweb/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://line-plus.com/sweb/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\..\Run: [SpyKiller] C:\Programme\SpyKiller\spykiller.exe /startup
O4 - Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Microsoft.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O13 - DefaultPrefix: http://line-plus.com/p/
O13 - WWW Prefix: http://line-plus.com/p/
O19 - User stylesheet: c:\windows\my.css


@chaosman hier ist mein neues Logfile.Ich habe alles gemacht nur C:\WINDOWS\Download.exe konnte ich nicht manuell löschen da ich es nicht gefunden habe
Was sind diese line-plus.com/search Seiten?

Wende dies an ->
Lade den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK

Navigiere im linken Fenster zum Ordner C:\WINDOWS\Downloaded Program Files und lösche (markieren -> F8 -> JA) die beanstandeten Dateien.

Fixe diese Einträge noch:
Alle R0 und R1
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
Alle O13

Anschliessend dies ausführen:
Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

@cidre Vielen Dank für die Hilfe!
Hier die eScan Ergebnisse:


Thu Apr 07 17:36:43 2005 => System found infected with Lycos Sidesearch Spyware/Adware ({000007C6-17DF-4438-92A4-DE5537471BA3})! Action taken: No Action Taken.
Thu Apr 07 17:36:43 2005 => File System Found infected by "Lycos Sidesearch Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Apr 07 17:36:43 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Thu Apr 07 17:36:43 2005 => File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Apr 07 17:36:44 2005 => Offending value found in HKLM\Software\powerscan !!!
Thu Apr 07 17:36:44 2005 => System found infected with powerscan Spyware/Adware! Action taken: No Action Taken.
Thu Apr 07 17:36:44 2005 => File System Found infected by "powerscan Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Apr 07 17:36:44 2005 => Offending value found in HKLM\Software\powerscan !!!
Thu Apr 07 17:36:44 2005 => System found infected with powerscan Spyware/Adware! Action taken: No Action Taken.
Thu Apr 07 17:36:44 2005 => File System Found infected by "powerscan Spyware/Adware" Virus. Action Taken: No Action Taken.
=> Offending value found in HKLM\Software\powerscan !!!
Thu Apr 07 17:36:44 2005 => System found infected with powerscan Spyware/Adware! Action taken: No Action Taken.
Thu Apr 07 17:36:44 2005 => File System Found infected by "powerscan Spyware/Adware" Virus. Action Taken: No Action Taken.Thu Apr 07 17:36:44 2005 => System found infected with powerscan Spyware/Adware! Action taken: No Action Taken.
Thu Apr 07 17:36:44 2005 => File System Found infected by "powerscan Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Apr 07 17:36:44 2005 => Offending Folder C:\PROGRA~1\POWERS~1 present...
Thu Apr 07 17:36:44 2005 => System found infected with power scan Spyware/Adware! Action taken: No Action Taken.
Thu Apr 07 17:36:44 2005 => File System Found infected by "power scan Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Apr 07 17:36:44 2005 => Offending Folder C:\PROGRA~1\180SOL~1 present...
Thu Apr 07 17:36:44 2005 => System found infected with 180Solutions Spyware/Adware! Action taken: No Action Taken.
Thu Apr 07 17:36:44 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Apr 07 17:36:44 2005 => Offending value found in HKCU\Software\dealhelper !!!
Thu Apr 07 17:36:44 2005 => System found infected with dealhelper Spyware/Adware! Action taken: No Action Taken.Thu Apr 07 17:36:44 2005 => File System Found infected by "dealhelper Spyware/Adware" Virus. Action Taken: No Action Taken.
Thu Apr 07 17:36:44 2005 => Offending value found in HKCU\Software\VB and VBA Program Settings !!!
Thu Apr 07 17:36:44 2005 => System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken.
Thu Apr 07 17:36:44 2005 => File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.

@Sanni
zur powerscan
http://www.spyany.com/program/articl...Powerscan.html
lade Adaware
download
installieren und updaten

lade spybot download
installieren und updaten

beide programme in den abgesicherten modus scannen lassen.
neu booten
chaosman

@chaosman Ich habe Powerscan im regedit manuell gelöscht.
Dann habe ich Ad Aware und Spybot scannen lassen.
Dann habe ich nochmal eScan laufen lassen.Hier ist das Ergebnis:

Thu Apr 07 23:50:17 2005 => System found infected with Lycos Sidesearch Spyware/Adware ({000007C6-17DF-4438-92A4-DE5537471BA3})! Action taken: No Action Taken.
Thu Apr 07 23:50:17 2005 => File System Found infected by "Lycos Sidesearch Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Apr 07 23:50:18 2005 => Offending value found in HKCU\Software\VB and VBA Program Settings !!!
Thu Apr 07 23:50:18 2005 => System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken.
Thu Apr 07 23:50:18 2005 => File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Apr 07 23:53:43 2005 => File C:\WINDOWS\TEMP\msbb_.exe infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.

Thu Apr 07 23:57:31 2005 => Scanning File C:\WINDOWS\COMMAND\EBD\EBD.CAB
Thu Apr 07 23:57:31 2005 => File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.