Hallo.
Hab mal wieder son problemchen.
Wenn ich auf meinem Rechner Spybot search and destroy durchlaufen lasse, wird immer wieder das Problem:Targetsaver gefunden, dann auch behoben.
wenn ich dann aber wieder ins Internet gehe, taucht das Problem wieder auf.
wer hat nen Plan??
mfg und besten Dank
Julian

@Pedro
Poste mal dein hijackthis Log
Gruss
Olomide

gehe in die Registry

Start<Ausfuehren<regedit

mit rechtsklick loeschen:

HKEY_LOCAL_MACHINE\SOFTWARE\TSA
HKEY_LOCAL_MACHINE\SOFTWARE\Uninstall\TSA
HKEY_CURRENT_USER\SOFTWARE\TSA

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Tsa2"="C:\PROGRA~1\COMMON~1\tsa\tsm2.exe"

schliesse die Registry

PC neustarten

-------------------------------------------------------------

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\Program Files\Common Files\tsa\inst.dat
C:\Program Files\Common Files\tsa\ts2.exel
C:\Program Files\Common Files\tsa\ts2lock
C:\Program Files\Common Files\tsa\tsl2.exe
C:\Program Files\Common Files\tsa\tsm2.exe
C:\Program Files\Common Files\tsa\tsm2lock
C:\Program Files\Common Files\tsa\tsm2.exe
C:\Program Files\Common Files\tsa\tsm2lock
C:\Program Files\Common Files\tsa\tsp2.exe
C:\Program Files\Common Files\tsa\tsuninst.exe
C:\Program Files\Common Files\tsa\rainbow\classify.dll

PC neustarten

C:\Program Files\Common Files\tsa\rainbow:<--loeschen
C:\Program Files\Common Files\tsa<--loeschen

-----------------------------------------------------------------------------

Hallo.
Danke für die schnelle antwort!

diesen eintrag gibt es leider nicht:
HKEY_LOCAL_MACHINE\SOFTWARE\Uninstall\TSA

Trotzdem zu vorgehn und diesen schritt auslassen??

Waren das eigentlich zwei möglichkeiten das ding zu entfernen oder muss ich beides machen??

und eine Frage noch aus interesse, wo finde ich denn den Hijackthislog???

mfg
Julian

Hi!

1) Ja fahre trotzdem fort. Nikita hat Dir die bekannten Dateipfade aufgezählt wo dieses Programm sich einnistet, muss aber nicht immer 100% übereinstimmen....

2) Ja es sind zwei verschiedene Methoden...Nikita ist schon einen Schritt weiter gegangen, also mache erst einmal was Sie geschrieben hat

3)HijackThis ist ein Tool um verschiedene Sachen bez. der Registrierung und der Festplatte und Listet den Inhalt...

HijackThis examines certain key areas of the Registry and Hard Drive and lists their contents.
Source:http://www.tomcoyote.org/hjt/

HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
* Lade/entpacke HijackThis in einen eigenen Ordner (wichtig für eventl. Backups etc)
*Beim erst start: --> None of the above, just start the program (danach einfach scan)
--> Savelog --> es öffnet sich Notepad
* Poste das KOMPLETTE Log ins Forum / deinen schon erstellten Thread, durch selektieren mit der Maus und dann kopieren und einfügen

MfG,

Gut danke.
Bei mir war von den sachen nur:
HKEY_LOCAL_MACHINE\SOFTWARE\TSA
zu finden.
Das hab ich gelöscht.

Kannst du mir vielleicht noch ne seite nennen bei dem ich was über die registry lernen kann??

Also besten dank nochmal

Morgen!
Was genau möchtest Du denn wissen?

#GraGhosts Artikel:
http://www.informationsarchiv.net/foren/beitrag-9001.html

#oder so was?
http://mitglied.lycos.de/bauersebi/Computer/Registry/Registry-Surfing.htm

MfG,

Hallo.
Ja so was ist schon mal sehr gut.

aber nochmal zurück zu meinem Problem, hab den einzigen eintrag der vorhanden war zwar gelöscht aber das Teil ist immer noch da son mist.
Soll ichs mal einfach mit dem zweiten vorschlag von nikita versuchen??

Vielen dank
julian

Hallo@Petdro

Wenn man einen Eintrag aus der Registry loescht, ist noch nicht als Datei geloescht--> und traegt sich wieder in die Registry ein.

Du musst die Malware also loeschen

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\Program Files\Common Files\tsa\inst.dat
C:\Program Files\Common Files\tsa\ts2.exel
C:\Program Files\Common Files\tsa\ts2lock
C:\Program Files\Common Files\tsa\tsl2.exe
C:\Program Files\Common Files\tsa\tsm2.exe
C:\Program Files\Common Files\tsa\tsm2lock
C:\Program Files\Common Files\tsa\tsm2.exe
C:\Program Files\Common Files\tsa\tsm2lock
C:\Program Files\Common Files\tsa\tsp2.exe
C:\Program Files\Common Files\tsa\tsuninst.exe
C:\Program Files\Common Files\tsa\rainbow\classify.dll

PC neustarten

C:\Program Files\Common Files\tsa\rainbow:<--loeschen
C:\Program Files\Common Files\tsa<--loeschen

-----------------------------------------------------------------------------

HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"

Hallo Nikita.
danke noch mal für die antworten.

die beiden einträge die ich löschen sollte sind nicht vorhanden???

und dies verfluchte drecksdingen ist immer noch da und nervt tierisch

Was hab ich falsch gemacht???

hast du das gemacht?

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\Program Files\Common Files\tsa\inst.dat
C:\Program Files\Common Files\tsa\ts2.exel
C:\Program Files\Common Files\tsa\ts2lock
C:\Program Files\Common Files\tsa\tsl2.exe
C:\Program Files\Common Files\tsa\tsm2.exe
C:\Program Files\Common Files\tsa\tsm2lock
C:\Program Files\Common Files\tsa\tsm2.exe
C:\Program Files\Common Files\tsa\tsm2lock
C:\Program Files\Common Files\tsa\tsp2.exe
C:\Program Files\Common Files\tsa\tsuninst.exe
C:\Program Files\Common Files\tsa\rainbow\classify.dll

PC neustarten

C:\Program Files\Common Files\tsa\rainbow:<--loeschen
C:\Program Files\Common Files\tsa<--loeschen

Hallo!
Ja genau das
aber diese eintrage:C:\Program Files\Common Files\tsa\rainbow:<--loeschen
C:\Program Files\Common Files\tsa<--loeschen
waren nicht vorhanden und deshalb konnte ich sie natürlich auch nicht löschen.

HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"

Also vielen dank nochmal für deine Hilfsbereitschaft!!!!:D

Also :

Logfile of HijackThis v1.99.1
Scan saved at 00:52:10, on 28.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
C:\Programme\avmclient\AvmObexService.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\Tablet.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\avmclient\bluefritz.exe
C:\Programme\avmclient\AvmObex.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\mgwngfek.exe
C:\Programme\ISTsvc\istsvc.exe
C:\Programme\avmclient\AvmObex.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\COMMON~1\oziw\oziwm.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\FRITZ!\IWatch.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\PROGRA~1\COMMON~1\oziw\oziwa.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ROBERT~1\LOKALE~1\Temp\Rar$EX00.109\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [pRdbhG] C:\WINDOWS\mgwngfek.exe
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [pszqpul] C:\WINDOWS\pszqpul.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [pRdbh$vùõš/‚²‘ÆßfÏC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\mgwngfek.exe
O4 - HKLM\..\Run: [Á³# L"h'þ9Óœð3rÅWC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\mgwngfek.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [oziw] C:\PROGRA~1\COMMON~1\oziw\oziwm.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DE27B88-7DF3-47F4-9177-55B65E4C1EBE}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5C95440-2A36-4BF1-8A2C-8CEB74FC8D59}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe