|
Schon alles versucht: Bitte um Hilfe (Logfile) Liebe potentielle Helfer, ich habe mir durch den unachtsamen Klick auf eine dubiose Datei mindestens einen Hijacker eingefangen und werde diesen nun nicht mehr los. Ich habe schon einiges probiert aber es öffnet sich immer mal wieder der Internetexplorer, bzw. Firefox mit ätzender Werbung. Da ich nun nicht mehr weiter weiß, bitte ich verzweifelt um Hilfe, bzw. darum, dass sich irgendjemand der sich auskennt, meines Logfiles annimmt. Ich vermute die Datei "dvdplay.exe" als eine der Ursachen, aber ich bekomme die Datei nicht weg O4 - HKCU\..\Run: [Rdso] C:\DOKUME~1\***\ANWEND~1\ECURIT~1\dvdplay.exe" -vt ndrv Außerdem habe ich einen Eintrag "Outerinfo" in Programme, der nach löschen wiederkommt und wohl ebenfalls damit zu tun hat. Wer kann mir helfen? Vielen Dank vorab! Hier mein Logfile: Logfile of HijackThis v1.99.1 Scan saved at 12:11:04, on 21.05.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS.1\System32\smss.exe C:\WINDOWS.1\system32\winlogon.exe C:\WINDOWS.1\system32\services.exe C:\WINDOWS.1\system32\lsass.exe C:\WINDOWS.1\system32\Ati2evxx.exe C:\WINDOWS.1\system32\svchost.exe C:\WINDOWS.1\System32\svchost.exe C:\WINDOWS.1\system32\Ati2evxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS.1\system32\spoolsv.exe C:\WINDOWS.1\Explorer.EXE C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\WINDOWS.1\system32\CTSvcCDA.EXE C:\WINDOWS.1\SYSTEM32\GEARSEC.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\Programme\DU Meter\DUMeter.exe C:\WINDOWS.1\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe C:\Programme\Microsoft IntelliType Pro\itype.exe C:\WINDOWS.1\system32\CTHELPER.EXE C:\WINDOWS.1\system32\ZoneLabs\vsmon.exe C:\Programme\Microsoft IntelliPoint\ipoint.exe C:\Programme\UltraMon\UltraMon.exe C:\WINDOWS.1\system32\MsPMSPSv.exe C:\WINDOWS.1\system32\ctfmon.exe C:\Programme\Creative\Shared Files\Media Sniffer\MtdAcq.EXE C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\Programme\UltraMon\UltraMonTaskbar.exe C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe C:\Programme\Common files\M?crosoft\n?tepad.exe C:\DOKUME~1\***\ANWEND~1\ECURIT~1\dvdplay.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS.1\system32\drwtsn32.exe C:\WINDOWS.1\system32\drwtsn32.exe C:\Dokumente und Einstellungen\***\Eigene Dateien\Tools und Miniprogramme\HijackThis Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about: R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [awxDTools] rundll32 C:\PROGRA~1\arniWORX\AWXDTO~1\awxDTools.dll,awxRegisterDll /r /s O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe" O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM\..\Run: [IntelliPoint] C:\Programme\Microsoft IntelliPoint\ipoint.exe O4 - HKLM\..\Run: [UltraMon] "C:\Programme\UltraMon\UltraMon.exe" /auto O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS.1\system32\fqesvncw.dll",realset O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.1\system32\ctfmon.exe O4 - HKCU\..\Run: [MtdAcq] C:\Programme\Creative\Shared Files\Media Sniffer\MtdAcq.EXE /s O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Rdso] "C:\DOKUME~1\***\ANWEND~1\ECURIT~1\dvdplay.exe" -vt ndrv O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://F:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - h**ps://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file:///E:/components/hidinputmonitorx.ocx O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - h**ps://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file:///E:/components/A9.ocx O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165744176625 O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://www.creative.com/su/ocx/15028/CTPID.cab O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS.1\system32\WPDShServiceObj.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS.1\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS.1\system32\ati2sgag.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS.1\system32\CTSvcCDA.EXE O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS.1\SYSTEM32\GEARSEC.EXE O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS.1\system32\oodag.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS.1\system32\ZoneLabs\vsmon.exe O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINDOWS.1\system32\WFXSVC.EXE |
Hi, dein Log sieht etwas seltsam aus... Lass bitte mal folgende Dateien: Zitat:
lg myrtille |
Hallo myrtille, danke für Deine schnelle Antwort. Ich habe versucht, die drei Dateien an virustotal zu schicken. Die Dateie C:\DOKUME~1\***\ANWEND~1\ECURIT~1\dvdplay.exe wurden von Outlook geblockt und von Norton Antivirus als Purityscan.Adware-Bedrohung eingestuft. Konnte aber nicht entfernt werden, obwohl die Datei als automatisch gelöscht im Log-File von Norton steht. bei C:\Programme\Common files\M?crosoft\n?tepad.exe genau das selbe. Die Auswertung von C:\WINDOWS.1\system32\fqesvncw.dll ergab folgendes: Complete scanning result of "fqesvncw.dll", processed in VirusTotal at 05/21/2007 13:38:22 (CET). [ file data ] * name: fqesvncw.dll * size: 132660 * md5.: 05f50eb86f8b50044f76eac60b89db18 * sha1: faabf142396795cebf312d00390f1490d2cfb765 [ scan result ] AhnLab-V3 2007.5.21.1/20070521 found nothing AntiVir 7.4.0.23/20070521 found [ADSPY/Virtumonde.AR.4] Authentium 4.93.8/20070518 found nothing Avast 4.7.997.0/20070521 found nothing AVG 7.5.0.467/20070520 found nothing BitDefender 7.2/20070521 found nothing CAT-QuickHeal 9.00/20070518 found nothing ClamAV devel-20070416/20070521 found [Trojan.Packed-7] DrWeb 4.33/20070521 found [Trojan.Virtumod] eSafe 7.0.15.0/20070520 found nothing eTrust-Vet 30.7.3649/20070521 found nothing Ewido 4.0/20070521 found nothing F-Prot 4.3.2.48/20070518 found nothing F-Secure 6.70.13030.0/20070521 found nothing FileAdvisor 1/20070521 found nothing Fortinet 2.85.0.0/20070521 found [suspicious] Ikarus T3.1.1.7/20070521 found nothing Kaspersky 4.0.2.24/20070521 found [not-a-virus:AdWare.Win32.Virtumonde.ar] McAfee 5034/20070518 found nothing Microsoft 1.2503/20070521 found nothing NOD32v2 2281/20070521 found nothing Norman 5.80.02/20070518 found nothing Panda 9.0.0.4/20070520 found nothing Prevx1 V2/20070521 found nothing Sophos 4.17.0/20070520 found [Virtumundo] Sunbelt 2.2.907.0/20070517 found [VIPRE.Suspicious] Symantec 10/20070521 found nothing TheHacker 6.1.6.119/20070521 found nothing VBA32 3.12.0/20070521 found nothing VirusBuster 4.3.7:9/20070520 found nothing Webwasher-Gateway 6.0.1/20070521 found [Ad-Spyware.Virtumonde.AR.4] Sieht wohl alles nicht gut aus. Wie kann es nun am besten weiter gehen? Mit Dankesgruß Christoph |
Purityscan ist sehr schwer zu entfernen und viel tendieren dazu direkt einen Neuinstallation zu empfehlen. Es gibt Anleitungen im Netz, zb diese, allerdings dauert die Bereinigung meist länger als das Neuaufsetzen. :o lg myrtille |
Ok, habe jetzt eine Seite gefunden, die einen Uninstaller für purityscan bietet. http://www.purityscan.com/uninstall.html Bin mir allerdings nicht sicher, ob man sich damit nicht noch mehr reinreitet. Das dort angebotene Uninstallerprogramm funktionierte (erst im abgesicherten Modus). Dadurch waren jedenfalls die beiden Dateien "n?tepad.exe" und "dvdplay.exe" zu entfernen. Die Datei "fqesvncw.dll" habe ich mit dem Programm "Unlocker" freigeben und entfernen können. Soweit so gut. Alerdings habe ich jetzt das blöde Problem, dass sich die "explorer.exe" nicht mehr beim Systemstart lädt (obwohl sie in der Registry korrekt angemeldet ist) und ich deshalb den Explorer nur noch über den Task-Manager starten kann. Eine entsprechende Google-Sucher ergab, dass wohl nur ein Neu-Aufsetzen des Computers helfen soll. Es scheint, als bin ich vom Regen in die Traufe geraten. Danke jedenfalls nochmals für dein Hilfe. Beste Grüße Christoph |
Ähh. :o Tja, da kann ich jetzt auch nicht viel zu sagen. :o Du kannst ja mal nen eScan machen, wenn du glaubst, dass das Problem von Malware kommt. Aber ein Neuaufsetzen ist mit sicherheit nicht falsch. lg myrtille |
so, explorer wieder da (lag an einem vewaisten Registry-Eintrag zu der komischen geläschten dll-Datei), aber just als ich diese Zeilen tippte, kam auch wider der aufspringende Internetexplorer... Werd jetzt noch ein bißchen googeln - und dich für deine Hilfe ins Nachtgebet mit einschließen ;-) - zusammen mit den frommen Wünschen nach einem sauberen System! |
Mach am besten mal den untengenannten eScan. Du hast neben PurityScan auch Virtumonde drauf, der lässt sich allerdings recht leicht nach diesem Post entfernen. Wäre aber eben interessant zu wissen, ob PurityScan noch drauf ist. lg myrtille |
Hallo myrtille, den virtomundo schein ich mit vundofix wegbekommen zu haben. Es springen auch keine Fenster mehr auf. Ein Scan mit escan bringt allerdings komische Resultate, denn laut diesem Programm hätte ich mehrere Tausend Viren auf dem Computer. Er wiederholt jedenfalls immer eine Angabe (Mon May 21 23:54:12 2007 => Offending Key found: HKLM\Software\clickspring !!!) und bin schon bei über 50 000 (!) Einträgen, weshalb ich den Scan jetzt abbreche. Eine Log-Datei würde also immer größer werden, eine zuschickbare Auswertung nahezu unmöglich. Was hat das nun wieder zu bedeuten? Mein System scheint nämlich sauber zu arbeiten. Beste Grüße Christoph |
clickspring ist ein anderer Name vom Purityscan. Du bist ihn also noch nicht los. :( Es könnte natürlich sein, dass nur noch die Registryeinträge vorhanden sind (was ich allerdings nur bedingt glaube.) Du kannst ja mal mit dem Regseeker die Registry bereinigen lassen und auch clearprog durchlaufen lassen. Mache danach einen erneuten eScan und schau ob die Meldungen geringer werden. EDIT: Ok, es ist zu spät. :balla: Mach (von mir aus auch vorher das "Ausmisten" ;)) den eScan und lass die find.bat durchlaufen, die fasst das ganze dann an sich so weit zusammen, dass du das Log hier posten können solltest. |
Ich habe die Registry mit den genannetn Programmen bereinigt. Das hat aber nichts gebracht, eScan zeigt immer noch mehrere Zehntausend "Viren" an. Ich habe aber das Problem isolieren können. eScan hängt sich auf, weil er an einem Eintrag in der Registrierung "hängenbleibt". Dort (HKL > Software > Clickspring) ist ein Eintrag von Clickspring, der sich nicht löschen lässt, weil er keine Berechtigung erteilt. Das Problem ist, dass ich auch anstellen kann was ich will, es ist mir nicht möglich ("erlaubt") irgendeine Berechtigung zu erteilen oder zu erlauben. So kann ich ihn auch nicht löschen, umbenennen oder sonst irgendwas damit zu machen. Es wäre zwar schön, diesen Eintrag löschen zu können, das System selbst aber läuft bislang wieder sauber. Wie könnte ich wohl den Schlüssel entfernen? lg Christoph |
Dein System läuft "sauber", wiel PurityScan nicht bemerkt werden will und weil es ein gutes Programm ist. Du bist offensichtlich weiterhin kompromitiert und den Registryeintrag kannst du wahrscheinlich nicht löschen, weil das Programm und die im Beitrag eingetragenen Dateien noch aktiv sind. Das einzige was du bemerkt hattest war vundo, das für die Popups verantwortlich war. Ich wiederhole es nochmal neuaufsetzen ist die beste Lösung! Meine letzte Alternative lautet: Schaumal, ob die Dateien noch existieren. Wenn ja, lade dir Killbox (einfach im Forum nach Killbox suchen) lösche die Dateien mit "delete on reboot", versuche danach den Registryeintrag zu löschen, erstelle ein neues HJT-Log und lass den eScan nochmal laufen. lg myrtille |
Ich habe es jetzt endlich geschafft den Registry-Eintrag von Clickspring zu löschen. eScan läuft jetzt auch durch und zeigt nur noch das ein oder andere an , das aber noch ein bißchen Zeit hat bis ich es entferne (Brauch den PC im Moment zum Arbeiten, weshalb ein Gesamt-Scan im abgesicherten Modus noch ein bißchen warten muss. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:43 Uhr. |
Copyright ©2000-2025, Trojaner-Board