|
PSGuard läßt sich nicht aus der Registry löschen Ich habe sowohl den Smitfraud remover angewendet, als auch die anderen Hilfestellungen zu dem anscheinend bekannten Problem ausprobiert. Da ich aber ein relativer Laie bin - mache ich vermutlich Fehler. Wie kann ich in der Registry diesen elenden Schuft entfernen. Zur Zeit habe ich keine akuten Probleme. Ich freue mich über Eure Hilfe Logfile of HijackThis v1.99.1 Scan saved at 13:57:41, on 26.11.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\termsrv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\BntCapi2.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\llssrv.exe C:\WINNT\system32\tcpsvcs.exe C:\WINNT\system32\sfmprint.exe C:\WINNT\system32\mgabg.exe C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe C:\Programme\Trend Micro\OfficeScan\PCCSRV\web\service\ofcservice.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\RsFsa.exe C:\Programme\Trend Micro\OfficeScan\PCCSRV\Web\Service\DbServer.exe C:\Programme\Trend Micro\OfficeScan\PCCSRV\Web\Service\NSAgent.exe C:\WINNT\system32\RsSub.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\snmp.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\lserver.exe C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\wins.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\Dfssvc.exe C:\Programme\Trend Micro\OfficeScan Client\ofcdog.exe C:\WINNT\System32\dns.exe C:\WINNT\system32\inetsrv\inetinfo.exe C:\WINNT\system32\sfmsvc.exe C:\WINNT\system32\msdtc.exe C:\WINNT\system32\RsEng.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\PDesk\PDesk.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe C:\Programme\GoogleFilter\Core\Googlefilter.exe C:\WINNT\system32\spool\DRIVERS\W32X86\2\fppdis1.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hplamp.exe C:\Programme\Trend Micro\OfficeScan Client\Pop3Trap.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINNT\system32\internat.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\BinTec\BRICKware\brkmon.exe C:\Programme\FRITZ!\FriFax32.exe C:\Programme\FRITZ!\FriVox32.exe C:\Programme\Caere\PageKeeper30\system\PKJobs.exe C:\Programme\CASIO\Photo Loader\Plauto.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Caere\PageKeeper30\SYSTEM\PKTOPASS.EXE C:\Programme\Caere\PageKeeper30\SYSTEM\PKSlapi.exe C:\Programme\Microsoft Office\Office\OUTLOOK.EXE C:\WINNT\msagent\AgentSvr.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINNT\explorer.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\hh\LOKALE~1\Temp\Rar$EX66.969\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.maxblue.de/ F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [MGA_CD_Install] E:\mgasetup.exe /No_Welcome /Lang:Deutsch O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow O4 - HKLM\..\Run: [Googlefilter] C:\Programme\GoogleFilter\Core\Googlefilter.exe /run O4 - HKLM\..\Run: [pdfFactory Dispatcher v1] C:\WINNT\system32\spool\DRIVERS\W32X86\2\fppdis1.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [HP Lamp] "C:\Programme\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hplamp.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [RegSvr32] C:\WINNT\system32\msmsgs.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Googlefilter] C:\Programme\GoogleFilter\Core\Googlefilter.exe /run O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Activity Monitor.lnk = C:\Programme\BinTec\BRICKware\brkmon.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe O4 - Global Startup: FRITZ!vox.lnk = C:\Programme\FRITZ!\FriVox32.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: PageKeeper - Aufträge.lnk = C:\Programme\Caere\PageKeeper30\system\PKJobs.exe O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - https://192.168.0.2/officescan/console/html/AtxEnc.cab O16 - DPF: {69B502DF-D12F-4FD7-9892-D8DFA2D96474} (OfficeScan Management-Konsole) - https://192.168.0.2/officescan/console/html/AtxConsole.cab O16 - DPF: {A050E865-64E3-431B-8079-F0DFCEA90A2D} (PieChart Class) - https://192.168.0.2/officescan/console/html/AtxPie.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E87F378C-9730-4958-BC7E-710DC5634BB7}: NameServer = 192.168.0.5 O23 - Service: Bintec Capi 2.0 Daemon (BntCapiDaemon) - Bintec Access Networks GmbH - C:\WINNT\system32\BntCapi2.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe O23 - Service: OfficeScan Master Service (ofcservice) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan\PCCSRV\web\service\ofcservice.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe |
@Bumbelbee Leider sind die mehreren laufenden Prozesse mir nicht bekannt. Mach bitte noch Folgendes: 1. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen. 2. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen. 3. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten. |
Vielen Dank für Deine Antwort. Leider habe ich Windows 2000 Server auf der Maschine - dies ist nicht kompatibel zu eScan Antivirus. Es erscheint eine Fehlermeldung, daß nur Workstations unterstützt werden. Gibt es vielleicht ein alternatives Tool? |
@Bumbelbee Was für Problem hast du genau? Gruss Expert |
In der Registry HLM Software sitzt ein Eintrag von PSGuard.com, den ich nicht löschen kann. Spyboot bemerkt den Eintrag nicht - aber vMicrosoft AntiSpyware meldet den Eintrag, kann es aber nicht löschen. Manuell auch nicht möglich - auch nicht im Abgesicherten Modus. Ich setze W2000 Server mit aktuellem SP ein. Hast Du einen Tip für mich? - Oder welche Infos brauchst Du. Smitfraud remover ist auch schon drüber - vor circa 2 Wochen hat aber offensichtlich nur die aktiven Komponenten beseitigt. |
@Bumbelbee 1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor. Oder unter Start/Programme/Zubehör/Editor 2. copiere diser Code rein: Zitat:
4. Doppel klick auf diese Datei Fix.bat Gruss Expert |
Habe ich gemacht - registry eintrag ist immer noch da |
Zitat:
Gruss Expert |
Leider auch nach einem Neustart - der Eintrag von PS Guard ist immer noch da |
@Bumbelbee Gut #Lade dir Ewido Security Suite unbeding Update,noch nicht scannen. #PC neustarten--> abgesicherter Modus #Starte Ewido Security Suite mach ein voller Scan (Complete System Scan) #Der Report des Ewido Scans posten Gruss Expert |
o security suite - Scan Report --------------------------------------------------------- + Erstellt am: 00:24:43, 27.11.2005 + Report-Checksumme: 750ED7CB + Scanergebnis: HKLM\SOFTWARE\PSGuard.com -> Spyware.PSGuard : Fehler beim Säubern HKLM\SOFTWARE\PSGuard.com\PSGuard -> Spyware.PSGuard : Fehler beim Säubern HKLM\SOFTWARE\PSGuard.com\PSGuard\P.S.Guard -> Spyware.PSGuard : Fehler beim Säubern HKLM\SOFTWARE\PSGuard.com\PSGuard\P.S.Guard\License -> Spyware.PSGuard : Gesäubert mit Backup ::Report Ende Vor dem Neustart ist PSGuard noch da - ich starte jetzt neu ..... |
@Bumbelbee Normalerweise sollte Fix.bat datei funktionieren,naja egal Unter Start/Ausführen folgende eingeben ein nach andere mit OK bestätigen Einfach kopieren & einfügen: reg add HKEY_LOCAL_MACHINE\SOFTWARE\psguard.comdummy Dann drücke OK reg delete HKEY_LOCAL_MACHINE\SOFTWARE\psguard.comdummy /f Dann drücke OK reg restore HKEY_LOCAL_MACHINE\SOFTWARE\psguard.com psguard.comdummy.hiv Dann drücke OK reg delete HKEY_LOCAL_MACHINE\SOFTWARE\psguard.com /f Dann drücke OK reg query HKEY_LOCAL_MACHINE\SOFTWARE\psguard.com Dann drücke OK #PC neustarten--> abgesicherter Modus 1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor. Oder unter Start/Programme/Zubehör/Editor 2. copiere diser Code rein: Zitat:
4. Doppel klick auf diese Datei Fix.bat #PC neustarten Melde dich,ob es funktioniert hat Gruss Expert |
@Bumbelbee Poste mal Inhalt von look.txt Gruss Expert |
Also Du bist ja ein Schatz - mir immer noch zu helfen. Ich habe jetzt alle Registry Kommandos ausgeführt und immer den response erhalten, daß die Bibliotheken nicht verfügbar sind - also kein Vorgang ausgeführt wurde. Soll ich jetzt trotzdem den 2. Schritt durchführen? |
Zitat:
|
bisher war der Inhalt von look.txt immer leer - habe Deine Hilfedateien dieser art schon aus anderen userproblemen probiert - auch im abgesicherten modus - aber ohne Erfolg und immer mit der gleichen Meldung - leere Datei grüsse |
Leider hat es nicht funktioniert..... gruss |
@Bumbelbee Hast du mal probiert unter Registry manuell zu löschen?Kommt fehler meldung oder wie? Gruss Expert |
manuelles löschen geht nicht - löschen wird verweigert |
reg add HKEY_LOCAL_MACHINE\SOFTWARE\psguard.comdummy Mein PC kennt die Datei reg nicht - wenn ich meine registry öffne muss ich regedit32 eingeben - ich vermute ich muss den Pfad ändern - kannst Du mir helfen? |
@Bumbelbee Win 2000 Hast du Spybot darauf?falls ja #Starte bitte Spybot,gehe auf Menü,klicke auf Erweiterter Modus,dann links unten klicke auf Werkzeuge,dann auf Resident,Danach den Haken bei Resident (TeaTimer) entfernen. #Pc neustarten Melde mich später ,gute nacht Gruss Expert |
ich kann diesen schei.. haken nicht aktivieren |
[QUOTE=Expert]@Bumbelbee Win 2000 Server Spyboot findet das Problem gar nicht - macht also keine Fehlermeldung. Nur der Microsoft und evido Scanner zeigen das Problem an - können aber nicht entfernen - auch nicht im abgesicherten Modus. Was können die Einträge überhaupt auslösen - hast Du da Erfahrungen - gehts da um lästige Werbung oder Spione? |
Zitat:
Oder einfach deinstalliere/entferne Spybot Gruss Expert |
spyboot ist entfernt -was kann ich jetzt tun? |
@Bumbelbee Versuche noch unter registry manuell zu löschen,ob es noch klappt,wenn es nich klappt,vielleicht hilt dir eine Systemwiederherstellung vor der Infektion Gruss Expert |
Zitat:
|
Zitat:
|
Zitat:
??? |
@Bumbelbee Nacht Entfernung von Spybot,hast du noch mal manuell zu löschen schon probriert? Ich meine Systemwiederherstellung Gruss Expert |
Zitat:
|
@Bumbelbee Melde mich gleich Gruss Expert |
@Bumbelbee #Lade dir Psguardregfix.zip Psguardregfix.zip auf dem Desktop speichern und auf dem desktop entpacken,danach wird einen Ordner Psguardregfix auf dem Desktop erstellt. 1)#Nun muss du dieser Ordner öffnen,dann Doppelklick auf ClickThis.bat dann den Inhalt von Shudder.txt hier posten. 2)#Klicke auf psguardrem.reg mit Ok beschtätigen Gruss Expert |
here we are: Testing presence of HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD ........... Testing presence of HKEY_LOCAL_MACHINE\SOFTWARE\PSGuard.com ........... Creating dummy .......... Hiving Dummy / Saving Dummyhive .......... Deleting Dummy .......... Adding Dummyhive ........... Deleting ShudderLTD/PSGuard.com ........... Checking if ShudderLTD/PSGuard.com is still present .......... Deleting leftovers in registry .......... Leftovers deleted! Registry Eintrag von PS ist immer noch da |
[QUOTE=Bumbelbee]here we are: hi ich bin in 45 minuten wieder da grüsse bb |
@Bumbelbee #Lade dir SmitfraudFix.zip SmitfraudFix.zip auf dem Desktop speichern und auf dem desktop entpacken,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 1 und dann Enter,wird ein rapport.txt im Ordner SmitfraudFix erstellt,den Inhalt hier posten. #Lade dir smitrem.exe ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und Start klicken.Dann wird ein Ordner SmitRem auf dem Desktop angelegt und die Dateien dahin entpackt.Noch nicht ausführen. #PC neustarten--> abgesicherter Modus Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen. Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt #Inhalt folgende ordner loeschen: C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen C:\WINDOWS\temp---> Inhalt löschen 1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor. Oder unter Start/Programme/Zubehör/Editor 2. copiere diser Code rein: Code: REGEDIT44.Doppel klick auf diese Datei Fix.reg #Neue HijackThis Log,den rapport.txt von SmitfraudFix & auch das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten. Gruss Expert |
[QUOTE=Expert]@Bumbelbee #Lade dir SmitfraudFix.zip SmitfraudFix.zip auf dem Desktop speichern und auf dem desktop entpacken,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 1 und dann Enter,wird ein rapport.txt im Ordner SmitfraudFix erstellt,den Inhalt hier posten. SmitFraudFix v1.98 Rapport fait à 17:35:30,37 le So 27.11.2005 Executé à partir de C:\Dokumente und Einstellungen\hh\Desktop\SmitfraudFix OS: Microsoft Windows 2000 [Version 5.00.2195] »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\ »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\Web »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32 »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Dokumente und Einstellungen\hh\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer »»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Programme Rest kommt gleich ... |
In der Registry kann ich nichts mehr finden - die Scanner laufen noch... Ich danke Dir herzlich für deine Gedult und Ausdauer, die du mir entgegen gebracht hast. Super nett von Dir!!!!: Die Files: Logfile of HijackThis v1.99.1 ... [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/showpost.php?p=171957&postcount=1 danke GUA [/edit] smitRem © log file version 2.7 by noahdfear Microsoft Windows 2000 [Version 5.00.2195] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key present! Running LTDFix/PSGuard.com fix! PSGuard.com key was successfully removed! :) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ well done mate!!!! Auch die Scanner haben nichts mehr gefunden - Du hast mein Problem gelöst - super!! |
@Bumbelbee #Lade dir swsc.exe im C:\WINNT Ordner speichern oder verschieben nach download #PC neustarten--> abgesicherter Modus Starte das HijackThis "Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken, PC neustarten O23 - Service: Bintec Capi 2.0 Daemon (BntCapiDaemon) - Bintec Access Networks GmbH - C:\WINNT\system32\BntCapi2.exe #PC neustarten--> abgesicherter Modus 1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor. Oder unter Start/Programme/Zubehör/Editor 2. copiere diser Code rein: Erste Bat Datei Zitat:
4.Doppel klick auf diese Datei Fix.reg Zweite Bat datei Zitat:
4.Doppel klick auf diese Datei Fix.bat #Inhalt folgende ordner loeschen: C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen C:\WINNT\temp---> Inhalt löschen #PC neustarten #Neue HijackThis Log posten Gruss Expert |
Hallo Expert, denkst Du es müssen noch mehr Schritte erfolgen? 3. Speichere die Datei als Fix.reg auf Desktop 4.Doppel klick auf diese Datei Fix.reg hierbei hat es eine Fehlermeldung gegeben, daß es sich nicht um eine Registry datei handelt - hat das was zu bedeuten. Das Logfile: Logfile of HijackThis v1.99.1 Scan saved at 19:41:04, on 28.11.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\termsrv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\llssrv.exe C:\WINNT\system32\tcpsvcs.exe C:\WINNT\system32\sfmprint.exe C:\WINNT\system32\mgabg.exe C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe C:\Programme\Trend Micro\OfficeScan\PCCSRV\web\service\ofcservice.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\RsFsa.exe C:\Programme\Trend Micro\OfficeScan\PCCSRV\Web\Service\DbServer.exe C:\Programme\Trend Micro\OfficeScan\PCCSRV\Web\Service\NSAgent.exe C:\WINNT\system32\RsSub.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\snmp.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\lserver.exe C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\wins.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\Dfssvc.exe C:\WINNT\System32\dns.exe C:\WINNT\system32\inetsrv\inetinfo.exe C:\WINNT\system32\sfmsvc.exe C:\WINNT\system32\msdtc.exe C:\Programme\Trend Micro\OfficeScan Client\ofcdog.exe C:\WINNT\system32\RsEng.exe C:\WINNT\System32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\PDesk\PDesk.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe C:\Programme\GoogleFilter\Core\Googlefilter.exe C:\WINNT\system32\spool\DRIVERS\W32X86\2\fppdis1.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hplamp.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\Trend Micro\OfficeScan Client\Pop3Trap.exe C:\WINNT\system32\internat.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\BinTec\BRICKware\brkmon.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\FRITZ!\FriFax32.exe C:\Programme\FRITZ!\FriVox32.exe C:\Programme\Caere\PageKeeper30\system\PKJobs.exe C:\Programme\CASIO\Photo Loader\Plauto.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Caere\PageKeeper30\SYSTEM\PKTOPASS.EXE C:\Programme\Caere\PageKeeper30\SYSTEM\PKSlapi.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINNT\explorer.exe D:\Download\PSGuard\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.maxblue.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [MGA_CD_Install] E:\mgasetup.exe /No_Welcome /Lang:Deutsch O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow O4 - HKLM\..\Run: [Googlefilter] C:\Programme\GoogleFilter\Core\Googlefilter.exe /run O4 - HKLM\..\Run: [pdfFactory Dispatcher v1] C:\WINNT\system32\spool\DRIVERS\W32X86\2\fppdis1.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [HP Lamp] "C:\Programme\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hplamp.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Googlefilter] C:\Programme\GoogleFilter\Core\Googlefilter.exe /run O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Activity Monitor.lnk = C:\Programme\BinTec\BRICKware\brkmon.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe O4 - Global Startup: FRITZ!vox.lnk = C:\Programme\FRITZ!\FriVox32.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: PageKeeper - Aufträge.lnk = C:\Programme\Caere\PageKeeper30\system\PKJobs.exe O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - https://192.168.0.2/officescan/console/html/AtxEnc.cab O16 - DPF: {69B502DF-D12F-4FD7-9892-D8DFA2D96474} (OfficeScan Management-Konsole) - https://192.168.0.2/officescan/console/html/AtxConsole.cab O16 - DPF: {A050E865-64E3-431B-8079-F0DFCEA90A2D} (PieChart Class) - https://192.168.0.2/officescan/console/html/AtxPie.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E87F378C-9730-4958-BC7E-710DC5634BB7}: NameServer = 192.168.0.5 O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe O23 - Service: OfficeScan Master Service (ofcservice) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan\PCCSRV\web\service\ofcservice.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe grüsse bb |
@Bumbelbee Alles soll ok sein :D Mit Fix.reg sollte gehen,einfach kopieren & einfügen,beim einfügen Windows Registry Editor Version 5.00 muss ganz oben sein(das heisst in der erste Zeile sonst kommt Fehlermeldung) Aber ist nicht mehr nötig,sowiso kannst du versuchen,dein Fehler zu korigieren Gruss Expert |
Zitat:
Vielen Dank nochmal für Deinen exelenten service! gruss hh |
@Bumbelbee Super :D Wenn du Probleme hast wieder melden Gruss Expert |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:55 Uhr. |
Copyright ©2000-2025, Trojaner-Board