Hallo,

hab hier ein total nerviges Problem:

Ich hatte die DVDfab 8 Testversion runtergeladen, aber nur einmal benutzt. Nach ablauf der Testphase habe ich es wieder deinstalliert.

Nun kommt bei jedem Neustart die Meldung von der Benutzerkontensteuerung, dass sich DVDFab wieder installieren will, sogar 2 Meldungen hintereinander. Muss jedesmal nein klicken, damit ich wieder ins System (Win 7 64bit) komme.
Unter C:\Users\Saxxx\AppData\Local\Temp wird auch jedesmal die Instalations exe wieder reinkopiert, obwohl ich die schon zig mal gelöscht habe.
Zudem habe ich mit regedit nach dvdfab gesucht und jeden Eintrag gelöscht.
Mit msconfig bei dienste oder Systemstart steht auch nichts drin.
Die Installroutine muss irgendwie in der boot.ini oder so verankert sein.
Dann habe ich die Installroutine mal durchlaufen lassen. Sogar dann kommt beim Neustart die Meldung wegen des Installwunsches von DVDfab.
Dann wieder deinstalliert und natürlich wieder die Meldung.
Weiß jemand wie ich diese blöde Installroutine löschen kann, damit das System wieder sauber startet.

Besten Dank

Sandman

Clean Uninstall of DVDFab Platinum or Gold

1.) Uninstall DVDFab Platinum or Gold like you normally do.
2.) Click on Start open the your folder located on the top right side of the start menu.
3.) Open "Document" and delete both the "DVDFAB" folder and the "PCSETUP" folder now close the Document folder.
4.) On the on the menu bar click on "Organize" and scroll down and select "Folder and Search Options"and click on the "View" tab now scroll down and put a tick in the small circle next to "Show hidden files and folders" and click "Apply" then "OK".
5.) Now open the once hidden folder called "AppData" then open the "Roaming" folder and delete the "PCOUFFIN"...(Note)...there are 4 entries so delete all 4 and delete the "VSO" folder now exit the Roaming folder then the AppData folder.
6.) On the on the menu bar click on "Organize" and scroll down and select "Folder and Search Options"and click on the "View" tab now scroll down and put a tick in the small circle next to "Hide files and folders" and click "Apply" then "OK".
7.) Exit your folder and open the C: drive and click on Windows folder and click on "Prefetch"...(Note)...You will get a message stating "You do not currently have permission to access this folder" click the continue button and you will get another pop up message from "User Account Control" click the continue button now scroll down and delete the entry foe DVDFab will look something like "DVDFABPLATINUM.EXE-########.pf ( # ) are letters and numbers 8 in all.
8.) Now exit all windows and you are done

vielleicht befindet sich noch etwas in der aufgabenplanung:
systemsteuerung - verwaltung - aufgabenplanung

autoruns (http://technet.microsoft.com/de-de/sysinternals/bb963902.aspx) wäre hier auch noch sehr hilfreich zum aufspüren von autostarteinträgen.

Danke für die schnellen Antworten.

Das mit der Anleitung zur Deinstallation habe ich gemacht. Die Datein waren auch noch alle vorhanden.

Nur leider kein Erfolg.

Das Programm zur Analyse der Autroruns brachte auch keinen aufschluß leider.

Die genaue Meldung die ich bekomme sieht in etwas so aus.

Benutzerkontensteuerung:

C:\user\Sanxx\AppData\Local\Temp\DVDFab8085 /Spawnwnd=$102Do/NotifyWND=$202BA

Ich krieg langsam die Krise mit dem Drecks DVDFab.

Wenn jemand noch ne Idee hat wäre ich echt dankbar.

Sandman

Probier mal den Revo uninstaller

Ist die Systemwiederherstellung aktiviert? Hat bei mir schon so manches Mal einen Tobsuchtsanfall verhindert.....Sogar hartnäckige Trojaner bin ich so schon losgeworden....

Darum fürs nächste Mal: Vor der Installation von Programmen aller Art einen Wiederherstellungspunkt setzen. Oder Programme wie Sandboxie nutzen.

Nein die Systemwiederherstellung ist nicht wirklich aktiv, der letzte Wiederherstellungspunkt liegt lange vor der Installation von DVD Fab. Die Backups laufen bei mir über den Windows Home Server.

Den Revo Unistaller werde ich mal probieren. Mach dann Meldung ob es funktioniert hat.

Sandman

Starte 'Autoruns' mit Administratorrechten(!), speichere die Ausgabe mit 'File/Save/*.arn', komprimiere die Datei und poste sie hier.

Gesagt getan :-)

anbei die Autoruns .arm Datei

Das ist was im 'Startmenü/Programme/Autostart'. Das heißt zwar 'vpngui.exe', verweist aber auf einen Installer Ordner. Starte das mal und schau, was passiert. Vielleicht ist er das schon. Dein System ist sehr zugemüllt. Du hast wahrscheinlich sämtliche Spyware und Toolbars der letzten Jahre mitgenommen...

Edit:
Das scheint ein Virus zu sein:
HKCU lkpMTaE AdSndUisb c:\users\sandro\appdata\roaming\windows32\svchost.exe

Das ist verdächtig:
KMService Software licensing service c:\windows\syswow64\srvany.exe
atksgt c:\windows\system32\drivers\atksgt.sys
CVPNDRVA c:\windows\system32\drivers\cvpndrva.sys
lirsgt c:\windows\system32\drivers\lirsgt.sys

Kann gut sein, dass ich einiges übersehen habe...

Ich würde extern nach Viren scannen lassen, d.h. AntiVir BootCD (http://www.avira.com/de/support-download-avira-antivir-rescue-system) laden, brennen und booten und die ganzen Platten durchsuchen lassen. DVDFab ist wahrscheinlich gar nicht mehr da. Eher Viren, die irgendwas vorgaukeln, wie du anfangs schon vermutet hast.

Hallo,

danke schon mal für die Antwort.

VpnGUI gehört zum Cisco VPN tool, damit kann ich mich in der Firma einloggen.

Die anderen Sachen kann ich nicht beurteilen.

Viren würde ich ausschließen, hab Norten 2011 drauf, jedes Wochenende läuft ein kompletter scan. Bisher außer ein paar Tracking cookies nichts gefunden.

Werde in einem ersten Schritt Norton nochmldrüber laufen lassen.

Sandman

Man kann von einem korumpierten System aus keinen verlässlichen Virenscan durchführen.
Nimm ein externes Medium, wenn überhaupt die einzige Chance. Falls du ein Rootkit draufhast, kannste alle installierten Virenscanner vergessen.....

Das Eine ist ziemlich sicher ein Virus. Du musst natürlich selbst entscheiden, wie du reagieren möchtest.

lade mal das programm runter und lass es mal drüberlaufen


http://sd-cf.softonic.de/64000/64733/daf8d/mbam-setup-1.50.1.1100.exe?Policy=eyJTdGF0ZW1lbnQiOlt7IlJlc291cmNlIjoiaHR0cDpcL1wvc2QtY2Yuc 29mdG9uaWMuZGVcLzY0MDAwXC82NDczM1wvZGFmOGRcL21iYW0tc2V0dXAtMS41MC4xLjExMDAuZXhlI iwiQ29uZGl0aW9uIjp7IkRhdGVMZXNzVGhhbiI6eyJBV1M6RXBvY2hUaW1lIjoxMzA0NTc3OTQyfX19X X0_&Signature=eJoUVCI-ja2a~nL7PIvd-~1rKOoWdFmviCpKQotGUlKc5cRQoieCPzi5z3CzCA9cplO8EdJKGI1OD6ZCaKUjOjhJt1sYVEmwS~RoD 6byEXG1fPl66cmSedK~T0YZg5ObJjKdkH-XEnUlZJpmj-af4zgJz99MYPKZENge35IEFCg_&Key-Pair-Id=APKAJUA62FNWTI37JTGQ

Das System ist kompromittiert. Piffans Post bringt es auf den Punkt. Der Virus kann Ein- und Ausgabe manipulieren. Du befindest dich in der Matrix. Gegenmaßnahmen innerhalb Windows, bzw. mit Windows-Funktionen (APIs) sind zwecklos (im worst case).

Damit würde ich auch nicht ins Firmennetz gehen. Könnte für Unruhe sorgen.

Hallo,

Problem gelöst.

Habe zur Sicherheit das System von einem externen Bootmedium gestartet und mit Hilfe eines Virenscanners (PCGH Rescue Disk) durchsucht.
Wie schon vermutet kein Virus gefunden.

Ich habe anschließend TuneUp Utilities 2011 runtergeladen und mal die 1 Klick Wartung laufen lassen. Dort wurden noch verwaiste Verknüpfungen usw. gefunden. Die wurden alle gelöscht und voila das System startet wieder ohne nervige Meldung.

Ich danke allen die mir Tipps gegeben haben.

Sandman