Problem: Adware sysdll.reg läßt sich nicht löschen

Dieses Thema Problem: Adware sysdll.reg läßt sich nicht löschen im Forum "Sonstiges rund ums Internet" wurde erstellt von atecki, 5. Apr. 2004.

Thema: Problem: Adware sysdll.reg läßt sich nicht löschen Hier mein Hijack report (habe nur bei O 16 die Internet-Banking sachen rausgenommen und woanders etwas anonymisiert...

  1. Hier mein Hijack report (habe nur bei O 16 die Internet-Banking sachen rausgenommen und woanders etwas anonymisiert ;) ):

    Logfile of HijackThis v1.97.7
    Scan saved at 20:46:31, on 05.04.2004
    Platform: Windows 2000 SP2 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
    C:\WINNT\System32\svchost.exe
    C:\Programme\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
    C:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
    C:\WINNT\system32\regsvc.exe
    C:\Programme\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\System32\mspmspsv.exe
    C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
    C:\WINNT\System32\qttask.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
    C:\Programme\Iomega\Tools\IMGICON.EXE
    C:\Programme\Ulead Systems\Ulead PhotoImpact 5 Bundled Edition\Abmtsr.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
    C:\PROGRA~1\NORTON~2\NORTON~1\navw32.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.orf.at/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.aon.at:8080
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - (no file)
    O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
    O4 - HKLM\..\Run: [QuickTime Task] C:\WINNT\System32\qttask.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe
    O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security Professional\UrlLstCk.exe
    O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\NORTON~1\AdvTools\ADVCHK.EXE
    O4 - HKCU\..\Run: [sr64] C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Microsoft\sr64\hnjdalde.exe
    O4 - HKCU\..\Run: [System Update2] c:\dokume~1\axelte~1\anwend~1\system.exe
    O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
    O4 - Global Startup: Iomega Backup-Terminplaner.lnk = C:\Programme\Iomega\Iomega Backup\dtiom98.exe
    O4 - Global Startup: Iomega-Symbole.lnk = C:\Programme\Iomega\Tools\IMGICON.EXE
    O4 - Global Startup: Iomega - Startoptionen.lnk = C:\Programme\Iomega\Tools\IMGSTART.EXE
    O4 - Global Startup: IomegaWare.lnk = C:\Programme\Iomega\Iomegaware\COMMANDER.EXE
    O4 - Global Startup: Album Fast Start.lnk = C:\Programme\Ulead Systems\Ulead PhotoImpact 5 Bundled Edition\Abmtsr.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O9 - Extra button: Related (HKLM)
    O9 - Extra->Tools' menuitem: Show &Related Links (HKLM)
    O9 - Extra button: Real.com (HKLM)
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
    O16 - DPF: {072D3F2E-5FB6-11D3-B461-00C04FA35A21} (CFForm Runtime) - https://www.az.blm.gov/CFIDE/classes/CFJava.cab
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
    O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
    O16 - DPF: {C94BFF60-7315-11D2-A844-0060086FEFD7} (Internet Banking und Brokerage) - xxx
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2CEC31EC-1AAB-43CB-8A32-933B38E3754E}: NameServer = 195.3.96.67,195.3.96.68


    Die sysdll.reg läßt sich mit NAV 2004 (neuestes Update), spybot und cwshredder nicht löschen/reparieren etc. Immerhin scheint die Datei nichts zu machen...

    Wenn der PC komplett suaber ist, wird das SP4 aufgespielt....

    Wäre Super, wenn mir jemand helfen könnte - Danke im Voraus!

    atecki
     
  2. wasn das für eine exe? ??? ::)
    könnte zum Trojan.Win32.Madise gehören ::) könnte...
    http://www.pestpatrol.com/PestInfo/c/cws.asp

    pan_fee
     
  3. Den Tipp habe ich auch schon gefunden - nur er hilft mir nicht weiter, in dem Run Ordner tauchen die Dateien nicht auf. Der Tipp ist für Win 9X und ich verwende Win2000, liegt vermutlich daran.
     
  4. Keine Ahnung, werde ich gleich mal überprüfen...

    wird auch geprüft ;-)


    Zitat korrigiert
     
  5. Gute Frage, als Datei steht dort eine sr32.dll die von NAV als unverdächtig akzeptiert wird...

    Den MAdise Trojaner hatte ich am PC, der ist eliminiert, könnten noch die Überreste sein... Werde es mit hijackthis fixen, dann sollte das passen.

    Weiß denn niemand was zur sysdll.reg??

    Zitat korrigiert
     
  6. sr32.dll: Hast du einen Minolta-Drucker? Dann gehört die Datei zum Druckertreiber.

    Zur sysdll.reg: Such die Datei auf deinem Rechner und poste mal den Inhalt. Er könnte Aufschluss darüber geben, wo noch Malware rumfliegt.

    Im Abgesicherten Modus lassen sich viele sonst gesperrte Dateien löschen.
     
  7. Das muss dringend weg :-*
     
  8. Hi Leute,

    vielen Dank für die bisherige Unterstützung! Habe alle Ratschläge befolgt und hoffe, daß das Ding nu endlich sauber ist.

    @PCDSmartie:
    ja, die Datei könnte von einem Drucker stammen. Scheint also OK zu sein.

    @aninemo:
    sollte nun gelöscht sein ;)

    Hier nochmal der aktuelle Logfile (wieder an 2 Stellen anonymisiert)

    Logfile of HijackThis v1.97.7
    Scan saved at 17:16:00, on 06.04.2004
    Platform: Windows 2000 SP2 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
    C:\WINNT\System32\svchost.exe
    C:\Programme\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
    C:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
    C:\WINNT\system32\regsvc.exe
    C:\Programme\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\System32\mspmspsv.exe
    C:\WINNT\Explorer.EXE
    C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
    C:\WINNT\System32\qttask.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
    C:\Programme\Iomega\Tools\IMGICON.EXE
    C:\Programme\Ulead Systems\Ulead PhotoImpact 5 Bundled Edition\Abmtsr.exe
    C:\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.orf.at/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.aon.at:8080
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
    O4 - HKLM\..\Run: [QuickTime Task] C:\WINNT\System32\qttask.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe
    O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security Professional\UrlLstCk.exe
    O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\NORTON~1\AdvTools\ADVCHK.EXE
    O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
    O4 - Global Startup: Iomega Backup-Terminplaner.lnk = C:\Programme\Iomega\Iomega Backup\dtiom98.exe
    O4 - Global Startup: Iomega-Symbole.lnk = C:\Programme\Iomega\Tools\IMGICON.EXE
    O4 - Global Startup: Iomega - Startoptionen.lnk = C:\Programme\Iomega\Tools\IMGSTART.EXE
    O4 - Global Startup: IomegaWare.lnk = C:\Programme\Iomega\Iomegaware\COMMANDER.EXE
    O4 - Global Startup: Album Fast Start.lnk = C:\Programme\Ulead Systems\Ulead PhotoImpact 5 Bundled Edition\Abmtsr.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O9 - Extra button: Related (HKLM)
    O9 - Extra->Tools' menuitem: Show &Related Links (HKLM)
    O9 - Extra button: Real.com (HKLM)
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
    O16 - DPF: {072D3F2E-5FB6-11D3-B461-00C04FA35A21} (CFForm Runtime) - https://www.az.blm.gov/CFIDE/classes/CFJava.cab
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
    O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
    O16 - DPF: {C94BFF60-7315-11D2-A844-0060086FEFD7} (Internet Banking und Brokerage) - http://xxx
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2CEC31EC-1AAB-43CB-8A32-933B38E3754E}: NameServer = 195.3.96.67,195.3.96.68

    Dürfte ganz ordentlich ausschauen, oder??
     
  9. @PCDsamrtie:

    ich bin die sysdll.reg nun wohl losgeworden, daher kann ich den Inhalt nicht posten.

    Aber manche Dateien lassen sich selbst im abgesicherten Modus so gut wie nicht entfernen....
     
Die Seite wird geladen...

Problem: Adware sysdll.reg läßt sich nicht löschen - Ähnliche Themen

Forum Datum
Adware Problem? Windows XP Forum 19. Okt. 2005
Probleme mit adware :( Viren, Trojaner, Spyware etc. 21. März 2005
SEHR DRINGEND: Probleme bei Upgrade auf Windows 7 Windows Vista Forum 13. Nov. 2016
Problem - Laptop mit angeblich win 10 und win 7 Windows 10 Forum 13. Nov. 2016
Dualboot Windows Uhrzeit Problem Windows 10 Forum 10. Nov. 2016