Ad-aware & Antivir & Spybot können "r?gedit.exe" nicht löschen!

hm alternativ mal versuchen das ganze mit hijackthis zu fixen oder mal mit dem cwshreder versuchen.

btw, wo haste dir das denn geholt?! Bei googel gibts das zwar massenhaft in den hijackthislogs, aber richtige informationen("r?gedit.exe" in googel) dazu gibt es nicht O_O

Hallo,

starte mal "msconfig"

schau ob das Programm darüber gestartet wird,
deaktiviere es,
und starte mal den Rechner neu und
boote ihn im abgesicherten Modus und
dann die Antivierprozedur und HiJackThis

Hi,

hatte vergessen zu erwähnen, das ich ebenfalls CWShredder durchlaufen lassen hab. Es wurde nichts gefunden. Hab mir dann die neueste Version geholt 2.14 und dann hat er folgendes gefunden:
CWS.Look2Me
Hab dann einen reset gemacht, aber mein r?gedit.exe ist immer noch da.  

Hab auch mal Stinger durchlaufen lassen - aber das findet auch nichts, bzw. sagt es ist alles OK.  

@Chaosfee
Kein Plan wo ich das her habe, bin zwar hinter 2 FWs und habe im Hintergrund mehrere Tools laufen, aber es zeigt mir, dass es wohl einen 100% Schutz nicht gibt.  
Hab auch schon nach r?gedit.exe gegoogelt, aber hab da keine Infos dazu gefunden.  

---
Was könnte es denn sein - ich selber merke keine Performance einbußen, oder sonstige System Nachteile. Nichtsdestotrotz gehört dieser Mist nicht zum System.  

Keiner eine Ahnung was es sein könnte?  ???

Hallo Scooby ,
vermute nachwievor CWS.Look2Me als Verursacher dieser
merkwürdigen r?gedit.exe . Nur die regedit.exe wäre ein legitimer Eintrag.

Und an den vielen Varianten von CWS.Look2Me scheitern viele Tools.
Es gibt allerdings  ein spezielles Removaltool Kill2me 1.11 (bei :  www.majorgeeks.com/download4166.html ).

Dort gibt es auch am Schluß des Textes einen Entfernungshinweis+Tool des Herstellers selbst--->
Look2me can be difficult to remove, but they do offer their own removal tool located here.
Probier es mal mit diesem dort deine CWS.Look2Me-Varianten wegzubekommen, evlt. auch dann im abgesicherten Modus.

Oder auch gleich mit eScan/Kaspersky den PC komplett scannen auf mögliche weitere Schädlinge. Stinger ist für die gerade aktuellen Schädlinge soweit ok, hat aber halt nur 53 Signaturen im Momment.
 eScan gibt's mit Beschreibung hier:
 http://trojaner-info.de/hijacker/escan.shtml

C:\WINDOWS\system32\r?gedit.exe - Unbekannt
C:\Programme\TerraTec\TerraCam USB\Launchpad.exe - Unbekannt
C:\Programme\Down2Home\Down2Home.exe - Unbekannt
C:\PROGRA~1\ERICSSON\COMMUN~1\MOBILE~1\DbgOut.exe - Unbekannt
R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) - Böse
R3 - URLSearchHook: IncrediFindBHO Class - {0199DF25-9820-4bd5-9FEE-5A765AB4371E} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL (file missing) - Böse
O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe - Böse
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe - Böse
O4 - HKLM\..\Run: [ztvwkj] c:\windows\system32\ztvwkj.exe - Unbekannt
O4 - HKCU\..\Run: [Dotzpcjp] C:\WINDOWS\system32\r?gedit.exe - Unbekannt
O4 - Global Startup: Launchpad.lnk = ? - Unbekannt
O4 - Global Startup: Down2Home.lnk = C:\Programme\Down2Home\Down2Home.exe - Unbekannt
O4 - Global Startup: Norman Personal Firewall Konsole.lnk = C:\Norman\Norman Personal Firewall\NPFMessenger.exe - Unbekannt
O10 - Broken Internet access because of LSP provider 'normanpf.dll' missing - Vermutlich Böse
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab - Eventuell Böse
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/254fa6a229e6c7692819/netzip/RdxIE601_de.cab - Eventuell Böse
O16 - DPF: {ADC3EA10-8A28-41A9-96B4-534ADFC3CA0A} (Configuratore Auto Control) - http://www.lcv.fiat.com/autopricer/ocx/configuratoreauto.cab - Eventuell Böse
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - http://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab - Eventuell Böse
O16 - DPF: {F7DC2A2E-FC34-11D3-B1D9-00A0C99B41BB} (Zoom Class) - http://www.zoomify.com/download/zoomify214.cab - Eventuell Böse
O20 - AppInit_DLLs: MsgPlusLoader.dll - Unbekannt
O20 - Winlogon Notify: WebCheck - C:\WINDOWS\system32\g6jolg1316.dll - Unbekannt

---

Hab mal einige Sachen, nicht alle, vorgehoben. Wie kann ich solche Teile "fixen" - welches Progi brauch ich da?

Hallo, ich glaube du brauchst keinen neuen Programme sondern solltest die bekannte nutzen.
Mit HijackThis die Einträge fixen und darnach im Spybot/Erweiterter Modus/Werkzeuge zuerst updaten, dann immunisieren und anschlissend die Werkzeuge 'Resident, aktiveX, BHO's, Browserseiten, Host-Datei und Systemstart aktivieren. Dort kannst du entsprechende 'böse Eintäge' löschen.
Dazu ist für den aktiveX Schutz noch der Spyware-Blaster eine gute Ergänzung, weil er eine noch weitergehende Immunisierung vornehmen kann.

Vorsorge: (Natürlich einen Virenscanner benutzen)

1. Einen anderen Browser benützen
(Den IE nur für Windows-Update und das auch gleich ausführen)

http://firebird-browser.de/

2. Spybot und Spyware-Blaster laden und jede Woche updaten.

http://spybot.safer-networking.org/index.php?lang=de&page=download
SpywareBlaster: http://www.zdnet.de/downloads/prg/3/7/en10196637-wc.html
Bei Spybot den 'erweiterten Modus' aktivieren und die Werzeuge:
BHO's, Browser-Seiten, IE-Spielereien, und Host-Datei, sowie Prozess-Liste und System Innnereien aktivieren.  Innerhalb beider Programme Updates und Immunisierung durchführen.

3. Bei XPSp2 den Firewall benutzen (nicht abstellen)
oder einen anderen Firewall installieren.

http://download.zonelabs.com/bin/free/de/download/znalmZAAV.html

4. Bei Einwahlmodems antidialler Software installieren und sich vor einem Schadenfall informieren:

http://www.dialerschutz.de/home.php
http://www.dialerhilfe.de/start/start.php

(Allerdings ist es am besten einen guten Virenscanner zu kaufen. Der hat heute (fast) alle Tools drin:
http://www.kaspersky.com/de/downloads?chapter=146440558 )

 

Ich habe im Web eine Seite gefunden, wo jemandem mit diesem Problem geholfen wurde: diese.

Leider kann ich die Lösung nicht umsetzen und einen Lösungsvorschlag anbieten. Ich kenne mich mit Hijackthis leider nicht aus. Aber ich denke, dass es hier im Forum jemanden gibt, der aus deinem Log und der gefundenen Seite für dich eine Lösung erarbeiten kann. Viel Glück.

hallo Scooby !
den bedarf an neuen programmen (bis auf möglicherweise das lspfix) sehe auch z.z. auch nicht.

als tipp: grundsätzlich solltest du immer das komplette hjt-log posten, also mit kopf. man muss das gesamte log durchgehen, sonst ist einfach das risiko zu gross,dass man etwas nicht sieht.

möglicherweise sind deine sog. winsocks beschädigt (kein problem, solange man NOD32 oder Norman nutzt), aber ist schon mal gut, wenn man für später das reparaturtool auf der festplatte hat bzw. wenn man dann nicht mehr ins internet kommt, um es damit zu reparieren. dieses lspfix gibt's hier:
  http://www.cexx.org/lspfix.htm
nur schon mal vorsichtshalber runterladen, um es hinterher zu haben.

Fixen (=löschen-links anhaken) solltest du folg. im abgesicherten Modus und deaktivierter systemwiederherstellung --->
( www.bsi.bund.de/av/texte/wiederher.htm  ) :

R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7}-(no file)- Böse

R3 - URLSearchHook: IncrediFindBHO Class - {0199DF25-9820-4bd5-9FEE-5A765AB4371E} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL(file missing)-
Böse     

O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe - Böse

O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe - Böse

O4 - HKLM\..\Run: [ztvwkj] c:\windows\system32\ztvwkj.exe - Unbekannt

O4 - HKCU\..\Run: [Dotzpcjp] C:\WINDOWS\system32\r?gedit.exe - Unbekannt

O4 - Global Startup: Down2Home.lnk = C:\Programme\Down2Home\Down2Home.exe - Unbekannt

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab - Eventuell Böse

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/254fa6a229e6c7692819/netzip/RdxIE601_de.cab - Eventuell Böse

O16 - DPF: {ADC3EA10-8A28-41A9-96B4-534ADFC3CA0A} (Configuratore Auto Control) - http://www.lcv.fiat.com/autopricer/ocx/configuratoreauto.cab - Eventuell Böse

O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - http://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab - Eventuell Böse

O16 - DPF: {F7DC2A2E-FC34-11D3-B1D9-00A0C99B41BB} (Zoom Class) - http://www.zoomify.com/download/zoomify214.cab - Eventuell Böse

O20 - AppInit_DLLs: MsgPlusLoader.dll - Unbekannt

O20 - Winlogon Notify: WebCheck - C:\WINDOWS\system32\g6jolg1316.dll - Unbekannt


Dann Fix checked drücken. Diese Einträge sind alle unnötig bzw. böse.

Auch solltest du eine hosts-datei unter
C-windows-system32-drivers-ETC-host prüfen, ob da evtl. noch weitere dubiose Einträge sind.

Viel Erfolg.

Hab mal eine Frage mein eScan findet folgende files

File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\vsconfig.xml infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\vsinit.dll infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\vsmonapi.dll infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\vspubapi.dll infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\vsregexp.dll infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\vsutil.dll infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

aber hab keinen Plan wie ich den Virus entfernen kann , weil das ja mit eScan nicht geht ist ja keine Freeware mehr

danke schonma für Hilfe achja und bevor welche schreien hat nichts mit Theman zu tun oder so
Hab auch eine so hohe Auslastung

mfg

eScancheck

Die log-Datei mit dem Tool öffnen->Alle die nicht als 'tagged' gekennzechnet sind markieren ->unten alle Häkchen aktivieren bis auf den ersten->Datein löschen

Gruß

bei installation zonealarm.pro erscheint fehlermeldung
C:windows/system 32/vsmonapi.dll

Kann man denn REGEDIT noch starten ? Ist der evtl von irgendwas umbenannt worden ???