spyware: _restore\archive löschen??

Dieses Thema im Forum "Sicherheit" wurde erstellt von ihatespyshit, 12. Oktober 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. ihatespyshit

    ihatespyshit Byte

    Registriert seit:
    11. Oktober 2004
    Beiträge:
    11
    Hallo,
    also hab ME und dazu noch ein haufen spyware und trojaner drauf...von small.dg, das ganze win32 packet...stubby..startpage..dyfuca..instantaccess usw. bis backdoor.magicon.f...sind um die 13 dateien und alle im c:\_restore\temp und c:\_restore\archive ordner. lauten alle irgendwie so: a0373424.cpy..einfach andere nummern und so.
    hab sie mit eScan und digitalpatrol gefunden..kann sie aber nur manuell löschen da ich nur trial version hab.
    das mit dem manuell hab ich dann auch versucht..bin in abgesicherter modus gegangen hab vorher systemwiederherstellung ausgeschalten. die dateien sind aber einfach nicht vorhanden in dem entsprechenden ordner.
    weiss jemand wie ich die löschen kann? oder hat jemand eine gute url wo ich ein programm dlen kann, das die automatisch löschen kann??

    anbei noch mein hijacklog..bitte mal durchsehen:

    Logfile of HijackThis v1.98.2
    Scan saved at 10:56:36, on 12.10.2004
    Platform: Windows ME (Win9x 4.90.3000)
    MSIE: Internet Explorer v5.50 (5.50.4134.0100)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\WINDOWS\SYSTEM\SPOOL32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\WINDOWS\SYSTEM\STIMON.EXE
    C:\PROGRAMME\SYGATE\SPF\SMC.EXE
    C:\WINDOWS\SYSTEM\LEXBCES.EXE
    C:\WINDOWS\SYSTEM\RPCSS.EXE
    C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\PTSNOOP.EXE
    C:\WINDOWS\SYSTEM\CMMPU.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\WINDOWS\SYSTEM\LXSUPMON.EXE
    C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE
    C:\WINDOWS\LOADQM.EXE
    C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
    C:\PROGRAMME\PROANTIVIRUS LAB\DIGITAL PATROL SCANNER 5.0\UPDATE.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\WINDOWS\RUNDLL32.EXE
    C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE
    C:\WINDOWS\SYSTEM\PSTORES.EXE
    C:\WINDOWS\SYSTEM\WINOA386.MOD
    C:\PROGRAMME\WINAMP\WINAMP.EXE
    C:\PROGRAMME\PROANTIVIRUS LAB\DIGITAL PATROL SCANNER 5.0\SCANNER.EXE
    C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
    C:\PROGRAMME\WINZIP\WINZIP32.EXE
    C:\WINDOWS\TEMP\HIJACKTHIS.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.freemail.de/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
    R3 - Default URLSearchHook is missing
    F1 - win.ini: load=C:\WINDOWS\ptsnoop.exe
    F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
    O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [LexStart] Lexstart.exe
    O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
    O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\SYSTEM\LXSUPMON.EXE RUN
    O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    O4 - HKLM\..\Run: [LoadQM] loadqm.exe
    O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
    O4 - HKLM\..\Run: [Digital Patrol Update 5] C:\PROGRAMME\PROANTIVIRUS LAB\DIGITAL PATROL SCANNER 5.0\UPDATE.EXE /autoupdate
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
    O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
    O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE
    O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
    O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll


    vielen dank für anschauen
     
  2. fawny

    fawny Guest

    Restore-Ordner in Root der Platten löschen
    Plattform: Win ME


    Die Systemwiederherstellung von Windows ME speichert alle Zwischenpunkte im Restore-Ordner eines jeden Laufwerks ab. Ist man mit seinem System zufrieden, hat zuvor aber unnötige Zwischenpunkte, brauchen diese dennoch Platz auf der Festplatte, da Windows ME die älteren erst löscht, wenn das Limit gemäß der Systemsteuerung erreicht ist.

    Im DoS-Modus kann man den Ordner aber dennoch löschen, wenn man das System über eine DOS-Diskette oder mit der Startdiskette startet und im DOS verbleibt. Mit dem Befehl deltree /c c:\_restore wird der Ordner auf C gelöscht. Windows erstellt den Ordner später neu.

    Will man den Ordner komplett löschen und nicht mehr sehen, muss man erst die Systemwiederherstellung abschalten, danach den Systemdateienschutz abschalten und nach einem Neustart im DOS-Mode noch die _Restore-Ordner löschen.

    http://www.wintotaldb.de/Tipps/URubrik.php?RBID=2&URBID=9
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen