Ad-aware & Antivir & Spybot können "r?gedit.exe" nicht löschen!



Hallo,

wenn ich Antivir starte, checkt es sich ja selber.
Bekomme dann folgende Fehler Meldung:

"Systemtest:Die geloggte Datei C:\WINDOWS\system32\r?gedit.exe konnte nicht ins temporäre Verzeichnis kopiert werden"

Wenn ich Ad-Aware SE durchlaufen lasse, dann findet er diese Datei, aber er sagt das er sie nicht entfernen konnte.Ich muss neu booten und dann würde diese Datei entfernt werden. --- Nach dem booten starten Ad-Aware zwar automatisch, entfernt aber "r?gedit.exe"
immer noch nicht.  

Spybot findet z.B. gar nichts. Obwohl ich das letzte Update habe.  

Last but not least habe ich ein Progi das sich A² nennt, (dient der Beseitigung von Malware, das findet auch nichts.

Gibt es ein Tool, womit ich "r?gedit.exe" entfernen kann?   Bzw. was ist das überhaupt für eine Datei?

THX für Euren Support.

Hallo,

starte mal "msconfig"

schau ob das Programm darüber gestartet wird,
deaktiviere es,
und starte mal den Rechner neu und
boote ihn im abgesicherten Modus und
dann die Antivierprozedur und HiJackThis

Hallo Scooby ,
vermute nachwievor CWS.Look2Me als Verursacher dieser
merkwürdigen r?gedit.exe . Nur die regedit.exe wäre ein legitimer Eintrag.

Und an den vielen Varianten von CWS.Look2Me scheitern viele Tools.
Es gibt allerdings  ein spezielles Removaltool Kill2me 1.11 (bei :  www.majorgeeks.com/download4166.html ).

Dort gibt es auch am Schluß des Textes einen Entfernungshinweis+Tool des Herstellers selbst--->
Look2me can be difficult to remove, but they do offer their own removal tool located here.
Probier es mal mit diesem dort deine CWS.Look2Me-Varianten wegzubekommen, evlt. auch dann im abgesicherten Modus.

Oder auch gleich mit eScan/Kaspersky den PC komplett scannen auf mögliche weitere Schädlinge. Stinger ist für die gerade aktuellen Schädlinge soweit ok, hat aber halt nur 53 Signaturen im Momment.
 eScan gibt's mit Beschreibung hier:
 http://trojaner-info.de/hijacker/escan.shtml

Hallo, ich glaube du brauchst keinen neuen Programme sondern solltest die bekannte nutzen.
Mit HijackThis die Einträge fixen und darnach im Spybot/Erweiterter Modus/Werkzeuge zuerst updaten, dann immunisieren und anschlissend die Werkzeuge 'Resident, aktiveX, BHO's, Browserseiten, Host-Datei und Systemstart aktivieren. Dort kannst du entsprechende 'böse Eintäge' löschen.
Dazu ist für den aktiveX Schutz noch der Spyware-Blaster eine gute Ergänzung, weil er eine noch weitergehende Immunisierung vornehmen kann.

Vorsorge: (Natürlich einen Virenscanner benutzen)

1. Einen anderen Browser benützen
(Den IE nur für Windows-Update und das auch gleich ausführen)

http://firebird-browser.de/

2. Spybot und Spyware-Blaster laden und jede Woche updaten.

http://spybot.safer-networking.org/index.php?lang=de&page=download
SpywareBlaster: http://www.zdnet.de/downloads/prg/3/7/en10196637-wc.html
Bei Spybot den 'erweiterten Modus' aktivieren und die Werzeuge:
BHO's, Browser-Seiten, IE-Spielereien, und Host-Datei, sowie Prozess-Liste und System Innnereien aktivieren.  Innerhalb beider Programme Updates und Immunisierung durchführen.

3. Bei XPSp2 den Firewall benutzen (nicht abstellen)
oder einen anderen Firewall installieren.

http://download.zonelabs.com/bin/free/de/download/znalmZAAV.html

4. Bei Einwahlmodems antidialler Software installieren und sich vor einem Schadenfall informieren:

http://www.dialerschutz.de/home.php
http://www.dialerhilfe.de/start/start.php

(Allerdings ist es am besten einen guten Virenscanner zu kaufen. Der hat heute (fast) alle Tools drin:
http://www.kaspersky.com/de/downloads?chapter=146440558 )

 

hallo Scooby !
den bedarf an neuen programmen (bis auf möglicherweise das lspfix) sehe auch z.z. auch nicht.

als tipp: grundsätzlich solltest du immer das komplette hjt-log posten, also mit kopf. man muss das gesamte log durchgehen, sonst ist einfach das risiko zu gross,dass man etwas nicht sieht.

möglicherweise sind deine sog. winsocks beschädigt (kein problem, solange man NOD32 oder Norman nutzt), aber ist schon mal gut, wenn man für später das reparaturtool auf der festplatte hat bzw. wenn man dann nicht mehr ins internet kommt, um es damit zu reparieren. dieses lspfix gibt's hier:
  http://www.cexx.org/lspfix.htm
nur schon mal vorsichtshalber runterladen, um es hinterher zu haben.

Fixen (=löschen-links anhaken) solltest du folg. im abgesicherten Modus und deaktivierter systemwiederherstellung --->
( www.bsi.bund.de/av/texte/wiederher.htm  ) :

R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7}-(no file)- Böse

R3 - URLSearchHook: IncrediFindBHO Class - {0199DF25-9820-4bd5-9FEE-5A765AB4371E} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL(file missing)-
Böse     

O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe - Böse

O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe - Böse

O4 - HKLM\..\Run: [ztvwkj] c:\windows\system32\ztvwkj.exe - Unbekannt

O4 - HKCU\..\Run: [Dotzpcjp] C:\WINDOWS\system32\r?gedit.exe - Unbekannt

O4 - Global Startup: Down2Home.lnk = C:\Programme\Down2Home\Down2Home.exe - Unbekannt

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab - Eventuell Böse

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/254fa6a229e6c7692819/netzip/RdxIE601_de.cab - Eventuell Böse

O16 - DPF: {ADC3EA10-8A28-41A9-96B4-534ADFC3CA0A} (Configuratore Auto Control) - http://www.lcv.fiat.com/autopricer/ocx/configuratoreauto.cab - Eventuell Böse

O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - http://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab - Eventuell Böse

O16 - DPF: {F7DC2A2E-FC34-11D3-B1D9-00A0C99B41BB} (Zoom Class) - http://www.zoomify.com/download/zoomify214.cab - Eventuell Böse

O20 - AppInit_DLLs: MsgPlusLoader.dll - Unbekannt

O20 - Winlogon Notify: WebCheck - C:\WINDOWS\system32\g6jolg1316.dll - Unbekannt


Dann Fix checked drücken. Diese Einträge sind alle unnötig bzw. böse.

Auch solltest du eine hosts-datei unter
C-windows-system32-drivers-ETC-host prüfen, ob da evtl. noch weitere dubiose Einträge sind.

Viel Erfolg.

eScancheck

Die log-Datei mit dem Tool öffnen->Alle die nicht als 'tagged' gekennzechnet sind markieren ->unten alle Häkchen aktivieren bis auf den ersten->Datein löschen

Gruß

Kann man denn REGEDIT noch starten ? Ist der evtl von irgendwas umbenannt worden