C:\WINDOWS\isrvs\ --> Adware-Isearch

[Juman]

was meinst du mit dem submit wo finde ich des auf der seite:

http://www.lavasofthelp.com/submit/
ich seh da irgendwie nichts

[Nikita]

Name (optional):
Email Address:
Submission File: <------

Please provide some information on what you are submitting:

[Juman]

du tut mir leid hat irgendwie nichts geholfen
bei den regedit dateien konnte ich keine finden

die fehler sind alle wieder da

[Nikita]

Juman

So arbeite ich nicht--> ich hab dich gebeten, von allen Schritten, die du ausfuehrst, die Logs und vom escan die infizierten Dateien zu posten und am Ende das neue Log vom HijackTHis.

Wenn du nicht auf diese Weise mit mir kommunizierst, kann ich dir auch nicht helfen.

Oder was soll ich tun, nachdem ich deinen Satz gelesen habe ? Den mit der Registry--> "bei den regedit dateien konnte ich keine finden" .....

[Donnie]

nabend cheffin,
bin mal wieder da. schreibe im moment klausuren und habe daher (leider) andere prioritäten.

habe deine aufträge ausführen wollen,
aber ich konnte nichts davon rinden.



#Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

gib in die Suchfunktion von Windows ein. (als Textdokument und als Datei , die gesucht werden soll)

<BHO Download & Update
<IEBrowserHelper.pas
<iSearch Applications

das muesstest du dann finden unter:
C:\Dokumente und Einstellungen\MeineDokumente\

loesche, falls du es findest.


Start<Ausfuehren<regedit

HKEY_CLASSES_ROOT>CLSID
loeschen:
{5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993}

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>
Explorer>Browser Helper Objects>
loeschen:
{5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993}

HKEY_LOCAL_MACHINE>Software>Classes>CLSID>
loeschen:
{5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993}

[HKEY_USERS\S-1-5-21-1960408961-1383384898-839522115-1000\Software\Microsoft\Internet Explorer\Explorer Bars\
loesche:
{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU]
"000"="isrvs"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ext\CLSID]
loesche:
"{5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993}"="1"

das programm "javawebstart" habe ich instaliert und ausgeführt!
es hat 2 infectionen gefunden in einem mir vorher vollkommen unbekannten ordner:

c/systemvolumeinformation/wirre zahlenkombination

diese konnte das programm aber nicht "säubern"!
soll ich versuchen sie manuell zu löschen?
hat dieses prog. irgendwo eine logfile? braust du sie?

herzlichen dank!

[Nikita]

Hallo@Donnie

c/systemvolumeinformat.....

das geht ganz einfach weg. wenn du die Systemwiederherstellung deaktivierst.

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

dann wieder aktivieren

_______________________________________________________________

Lege die Windows-Installations-CD ein und starte mit dieser CD.

stelle sicher, dass die Bootreihenfolge im Bios so eingestellt ist, dass der Rechner von der CD bootet.

Waehle die Option R (fuer Reparatur) und starte damit die Wiederherstellungskonsole.

C:\

gib ein:

cd windows\isrvs

del desktop.exe

del ffisearch.exe

del mfiltis.dll

del sysupd.dll

rd isrvs

schreibe: exit

wenn die Konsole runterfaehrt, nimm schnell die CD raus.

und starte wieder ins normale Windows.

dann ueberpruefe ob C:\WINDOWS\isrvs geloescht ist.

und saeubere die Registry mit.
#RegCleaner
(Tip: Lade RegCleaner, stelle das Tool in Deutsch ein und saeubere ueber <Tools<Registry saeubern<alles durchfuehren < den PC (du kannst alles angezeigte Loeschen, denn es verbleibt eine Sicherung)
http://www.chip.de/downloads/c_downloads_8830516.html