Einträge in der Windows Hosts-Datei!!

ich habe einen winXP-pc bekommen, der vollkommen mit viren verseucht ist

ich habe im bagesicherten modus vollgende tests durchgeführt:

- check mit norton IS 2005
- check mit adaware
- check mit spyboot
- check mit hijack this
- check mit lsbfix

alle programme haben auch einiges gefunden und entfernt, der PC spinnt auch nicht mehr, aber ich habe in der windows hoststdatei immer noch einige einträge:

127.0.0.1 www.igetnet.com
127.0.0.1 code.ignphrases.com
127.0.0.1 clear-search.com
127.0.0.1 r1.clrsch.com
127.0.0.1 sds.clrsch.com
127.0.0.1 status.clrsch.com
127.0.0.1 www.clrsch.com
127.0.0.1 clr-sch.com
127.0.0.1 sds-qckads.com
127.0.0.1 status.qckads.com
69.20.16.183 ieautosearch
69.20.16.183 auto.search.msn.com
69.20.16.183 search.netscape.com

ich kann diese einträge löschen und sie erscheinen gleich wieder !!!
ausserdem gibt es im selben verzeichnis noch eine datei hosts.ics (iCalender-Datei) diese kann ich auch löschen und nach dem neustart erscheint sie wieder!!
Ausserdem habe ich in der software noch ein programm AdDestroyer das ich nicht wegkriege :idee:


ich hoffe ihr habt noch tips, denn so langsam gehen mir die tools aus

ok, solangsam sieht es besser aus, ich habe noch einen check mi adaware SE + Add-on VX2-Clener gemacht und dieser hat doch tatsächlich nochmals 117 kritische einträge gefunden

unglaublich was gewisse leute auf einem pc so fertig bringen

Moin,

Du kannst die Einträge in der hosts alle löschen, zum Schluß sollte nur
127.0.0.1 localhost
drin stehen bleiben.

Wegen der Malware, da würde ich auf jeden Fall mit Adaware noch ein bis 2x den "Full System Scan" läufen lassen!

ich kann die einträge so oft löschen wie ich will, sie erscheinen gleich wieder in der hostsdatei.
ich habe noch ein tool "hoster 1.4" mit dem die hostsdatei korigiert werden kann, aber auch dann erscheinen die einträge wieder?!
Adaware SE findet noch einige dll-dateien die nicht entfernt werden können, auch mit Killbox kann ich diese dll-dateien nicht löschen

mir ist noch aufgefalle das im ereignisprotokoll seltasme fehler sind betreffen NAT und das DHCP deaktiviert wurde?!?!

dieser pc geht jedoch nur mit einem ISDN-modem ins internet und braucht weder nat noch dhcp!

Kill mit dem Taskmanager alle verdächtigen Prozesse und lösche dann die zur Hosts-Änderung gehörigen Dateien (auch die, die Adaware nicht löschen kann) inkl Autostart-Einträge, oder
lösch diese im Abgesicherten Modus.

Kannst auch mit Taskinfo2000 oder processviewer die Tasks mit den zugehörigen Dlls anschauen.

Beste Grüße
ppm007

ich habe alle aktionen im abgesicherten modus durchgeführt, prozesse sind keine mehr am laufen, hijack this zeigt auch nichts mehr an.

nur adaware zeig drei registry-einträge von BargainBuddy an, die weder von adaware noch manuel gelöscht werden können, so wie zwei VX2-Prozesse im system32 ortner, die ebenfalls wedeer von adaware noch manuel gelöscht werden, das VX2-Add-On von adaware zeigt zwar nichts an, ausserdem wechseln diese VX2-Prosesse nach jedem neustart den namen

Versuch mal das
http://www.lavasoftusa.com/software/plugins/vx2cleaner.shtml

Beste Grüße
ppm007

den hab ich schon drin, komischerweise zeigt mir der check mit adaware den vx2 an, wenn ich jedoch nur das add-on starte, wird nichts gefunden.

im moment habe ich eigentlich nur noch ein problem und zwar der bargain buddy der nicht gelöscht wird, oder besser gesagt adaware löscht in und beim nächsten scan ist er wieder aufgeführt

Schau mal hier.

also PestPatrol hab ich mir jetzt besorgt, dass kann ich morgen versuchen, denn die manuelle "deinstallation" scheint mir mächtig aufwendig zusein ..... mal abgsehen das ich die reg.einträge die mir adaware angibt nicht mal im abgesicherten modus manuel löschen kann.

mal gucken was PestPatrol erreicht ......

naja, PestPatrol hat leider das selbe ergebnis gefunden wie adaware.
drei registry-einträge von BargainBuddy, die nach dem löschen gleich wieder auftauchen, wenn ich diese einträge im abgesicherten modus manuel löschen möchte, kommt nur die meldung das diese verwendet werden oder schreibgeschützt sind

Dann musst du offline auf die Registrierung zugreifen und die Einträge löschen. Ein Tool, mit dem du das erledigen kannst, ist der Offline NT Password & Registry Editor.

BuargainBuudy sollte auch über die Systemsteuerung deinstalliert werden können.

http://sarc.com/avcenter/venc/data/adware.bargainbuddy.html

oder manuell

http://www.2-spyware.com/remove-bargainbuddy.html

Beste Grüße
ppm007

@merlin

danke für deinen link, ich habe mir diese diskette erstellt und auf einem pc getestet, irgendwie habe ich es zwar in der reg.editor geschaft, aber bin mit diesen dos-befehlen nicht ganz klar gekommen

allerdings habe ich mir das das progi spyhunter gesaugt THX@ppm007 und dieser hat tatsächlich nochmals 76 kritische elemente gefunden und diese entfernt und zwar ENTGÜLTIG, somit sollte sich das Problem endlich erledigt haben

:res:

ausserdem hat spyhunter eine infizierung des desktopmanager von logitech gefunden, der logischerweise immer im autostart war ..... aber jetzt nicht mehr

THX für eure hilfe, immerhin kenne ich jetzt wieder ein paar neue tools zur virenentfernung.