Hallo,
ich hab ein problem und hoffe jemand kann mir helfen. Ich hab vor Kurzem Panda Platinum 7 installiert fand das aber nicht so toll (macht den rechner bzw. internet sehr langsam) und hab es daher deinstalliert. Nun denke ich, dass der uninstaller nich das komplette Panda deinstalliert hat, da beispielsweise irgend eine firewall, vermutlich "reste" von panda noch da sind(z.b. wird icq geblockt was vor der panda installation nicht der fall war. außerdem ist der ordner von panda noch da und ich kann eine programmbiblithek nicht löschen PavLSP.dll...und wenn ich die verschiebe so dass sie unwirksam wird kann ich keine internetseiten mehr öffnen. was kann ich tun....

Hallo@zulu84

oder du machst eine Wiederherstellung auf einen Tag BEVOR du den Panda installiert hast oder :

#RegSupreme:
http://www.computerbase.de/downloads/so ... egsupreme/
RegSupreme
Die Sprache kann man im Programm unter Language auf deutsch problemlos umstellen, das Programm muss danach NICHT neu gestartet werden, die sprache wird sofort umgestellt.
Dieses Programm erstellt als erstes eine Sicherungsdatei eurer Registry, diese kann natürlich ne weile dauern. Wenn ihr aufgefordert werdet, einer Datei einen Namen zu vergeben, dann macht ihr das bitte. Nützlich und sinnvoll haben sich bezeichnungen wie: regback_jeweiliges datum u.ä. um die backup datei jederzeit wieder verwenden kann.
........................................................................................................
HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip
Lade das Tool-->Button "scan" --> Button "save" --> es oeffnet sich das Notepad, nun das
Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfuegen"--> kopieren


mfg
Nikita

ertsmal vielen dank für die schnelle hilfe. werde die tools mal ausprobieren. aber wie stelle ich das denn auf ein datum bevor ich panda installiert hatte?

hier die results von hijack


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\Linksts.exe
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\PowerAntiVirus 2004\AVKService.exe
C:\Programme\PowerAntiVirus 2004\AVKWCtl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\zulu\LOKALE~1\Temp\Rar$EX00.500\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\ICQ\ICQNet.exe
O4 - HKLM\..\RunServices: [WSAConfiguration] wmon32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B97D3E0-3DFB-4465-9B93-1CF4B320680F}: NameServer = 195.129.111.49 195.129.111.50
O17 - HKLM\System\CS1\Services\Tcpip\..\{1B97D3E0-3DFB-4465-9B93-1CF4B320680F}: NameServer = 195.129.111.49 195.129.111.50
O20 - AppInit_DLLs: PAVWAIT.DLL

Hallo@zulu84

Dein PC hat performance Probleme, weil du den W32/Agobot-IT hast..Mache folgendes:

Gehe in die Registry
Start<Ausfuehren<regedit (reinschreiben9
die Registry oeffnet sich)

Navegiere zu folgendem Schluessel:
O20 - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
loesche:(rechts)
AppInit_DLLs: PAVWAIT.DLL

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
loesche:
WSAConfiguration = wmon32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
loesche:
WSAConfiguration = wmon32.exe
........................................................................................................

Oeffne das HijackThis-->> Button "scan" -->> Haekchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\RunServices: [WSAConfiguration] wmon32.exe [ W32/Agobot-IT]
O20 - AppInit_DLLs: PAVWAIT.DLL [Panda]

neustarten

Start<Ausfuehren<reinschreiben: cmd
DOS oeffnet sich.

kopiere rein:

attrib -h %systemroot%\system32\PAVWAIT.DLL & ren %systemroot%\SYSTEM32\PAVWAIT.DLL Badfile.bad
<enter<

#oeffne das HijackThis.
HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
In dem Fenster bei Dateiname einfügen\reinkopieren:

C:\WINDOWS\system32\PAVWAIT.DLL

wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "no"

und fuege das naechste ein:
C:\WINDOWS\system32\wmon32.exe

klickst du "yes" und startest den PC neu

#oeffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
loesche alles , lasse nur stehen:

# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost


.....................................................................

<Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS)
ausführen. (oder unter Start<Ausfuehren<%temp% die
"kavupd.exe" suchen) und anklicken.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives
<und "Scan " klicken.

<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte
man nach infected suchen und die Eintraege hier posten
(zusammen mit dem neuen Log vom HijackThis)

ueberpruefe:
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/

C:\WINDOWS\System32\Linksts.exe

* auf Durchsuchen klicken und die zu untersuchende Datei öffnen - jede Datei (max 10MB) einzeln scannen, keine Archive scannen!
* auf Submit klicken - unterhalb des Textblocks wird jetzt der Status angezeigt, zunächst uploading file, please wait = Datei wird hochgeladen, bitte warten , danach inconclusive (scan still in progress) = Scan noch nicht abgeschlossen und letztendlich das Ergebnis des Scans, das laut Statistik (weiter unten auf der Seite) zu etwa 99% akkurat ist...
--------------------


WENN IRGENDWAS NICHT KLAPPT-----POSTE MIR !!!!!!!!!!!

mfg
Nikita

hab das mal alles gemacht und das is meine neue liste:


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\Linksts.exe
C:\Programme\PowerAntiVirus 2004\AVKService.exe
C:\Programme\PowerAntiVirus 2004\AVKWCtl.exe
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\PowerAntiVirus 2004\avk.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\zulu\LOKALE~1\Temp\Rar$EX00.266\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B97D3E0-3DFB-4465-9B93-1CF4B320680F}: NameServer = 195.129.111.50 195.129.111.49
O17 - HKLM\System\CS1\Services\Tcpip\..\{1B97D3E0-3DFB-4465-9B93-1CF4B320680F}: NameServer = 195.129.111.50 195.129.111.49

es sind auch noch viren auf meinem rechner die ich nur in quarantäne schieben konnte.

Worm.WIn32.Padobot.n C:\WINDOWS\system32\config\systemprofile\Lokale Einstellunen\Temporary Internet Files\Content.IE5\WPURWPQN wird im scanner 5 mal aufgeführt

Hallo@zulu84

"Worm.Win32.Padobot.n"/W32.Korgo.S

0) Gehe in die Registry
Start<Ausfuehren<regedit (reinschreiben)
die Registry oeffnet sich.

Navegier zu folgendem Schluessel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless
loesche (falls es da ist auf der rechten Seite):
<"Client"="1"
<"ID"

Lade zur Sicherheit das Entfernungstool:
Symantec Security Response has developed a removal tool to clean the infections of W32.Korgo.S. Use this removal tool first, as it is the easiest way to remove this threat.
http://securityresponse.symantec.com/av ... rgo.s.html

1. ueberpruefe :
wie ich dich gebeten hatte und poste das Ergebnis.

ueberpruefe:
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/

C:\WINDOWS\System32\Linksts.exe

* auf Durchsuchen klicken und die zu untersuchende Datei öffnen - jede Datei (max 10MB) einzeln scannen, keine Archive scannen!
* auf Submit klicken - unterhalb des Textblocks wird jetzt der Status angezeigt, zunächst uploading file, please wait = Datei wird hochgeladen, bitte warten , danach inconclusive (scan still in progress) = Scan noch nicht abgeschlossen und letztendlich das Ergebnis des Scans, das laut Statistik (weiter unten auf der Seite) zu etwa 99% akkurat ist...

2. Datentraegerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

dann scanne noch mal mit eScan und berichte.

mfg
Nikita

is gar nich so einfach
den schlüssel hab ich nich gefunden wireless is da nich. und das tool findet auch nichts, kann das sein weil ich die mit einem andern tool in quarantäne geschickt hab?

das mit den scannen auf der homepage reagiert auch nich.

#öffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
lösche alles , lasse nur stehen:

# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost

Datentraegerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

dann scanne noch mal mit eScan und berichte.

mfg
Nikita

hey nikita,
eScan zeigt keine viren mehr an. vielen dank für deine hilfe. aber wie kann ich mich denn am besten davor schützen sowas nicht mehr zu bekommen?

aber icq geht immer noch nich, das schmiert immer wieder ab hab das schon so oft installiert und deinstalliert..

Hallo@zulu84

Bevor du den icq neu installierst:
<deinstalliere das Tool
<loesche alle Eintraege in der Registry
<installiere neu (vielleicht eine andere Version...ich kenne mich da nicht so aus)

mfg
Nikita

hey nikita oder auch andere, ich kann den pander ordner immer noch nich löschen liegt noch an der PavLSP.dll Programmbibliothek...wie bekomme ich die gelöscht bzw deaktiviert

mfg zulu

-->Löschen/mit der Killbox:
KillBox
http://www.bleepingcomputer.com/files/killbox.php

MFG
Nikita