Power Scan, etc. - Wie loswerden

#1 Hi,

bearbeite gerade meinen XP Rechner, der wohl schwer Verseucht ist. 180 Solutions bin ich wohl schon losgeworden, Ad Aware lief schon drüber und hat nichts gefunden, Antivir läuft eben. Alles im abgesicherten Modus.

Folgende Dateien bereiten mir nach wie vor Kopfschmerzen:

- Tv Media (Programm -> Tv Media, auch im Autostart drin, 2x da nicht rauszunehmen
- PowerScan (Start -> Programme, kam und geht nicht mehr weg)

LogFile kommt nachdem ich mit den empfohlenen Suchprogs drüber bin!

//Edit://

Hier der Log File, wobei ich vorweg sagen muss, dass Antivir noch folgenden Trojaner gefunden hat : TR/Dldr.IstBA.II.12 was das auch immer war. Desweiteren hat er auch schon vorher diverse Dateien gelöscht und ich selber den Temp Folder des IE geleert, in dem wohl zahlreiche sachen versteckt waren.

Hier der LOG: (teilweise kommentiert)

Logfile of HijackThis v1.97.7
Scan saved at 15:43:15, on 21.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Motherboard Monitor 5\MBM5.EXE (OK, Temperaturkontrolle)
C:\Programme\IMONC\Imonc.exe (Routersteuerung)
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe (gut oder nicht gut?)
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Dokumente und Einstellungen\dsp\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://web.de/ (Hijack??)
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Programme\TV Media\TvmBho.dll (Problem!!!)
O2 - BHO: (no name) - {00041A26-7033-432C-94C7-6371DE343822} - C:\Programme\scbar\v2\scbar.dll (file missing) (ebenso Prob)
O2 - BHO: (no name) - {0019C3E2-DD48-4A6D-AB2D-8D32436313D9} - C:\WINDOWS\bsx5.dll (kenn ich nicht, haber aber auch bs(x)3.dll)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {A85C4A1B-BD36-44E5-A70F-8EC347D9B24F} - C:\WINDOWS\bs3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx (???? Radio???)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Bsx3] RunDLL32.EXE C:\WINDOWS\bs3.dll,DllRun (????)
O4 - HKLM\..\Run: [bxsx5] RunDLL32.EXE C:\WINDOWS\bsx5.dll,DllRun (????)
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKCU\..\Run: [fli4l] "C:\Programme\IMONC\Imonc.exe" /s:192.168.0.1
O4 - Startup: Verknüpfung mit Imonc.lnk = C:\Programme\IMONC\Imonc.exe
O9 - Extra button: Preispiraten (HKLM) (???? Braucht der das wirklich??)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37960.6447685185
O16 - DPF: {A7798D6C-C6B5-4F26-9363-F7CDBBFFA607} (download Class) - http://www.gigex.com/ActiveX/vxpspeeddelivery.dll (??Muh??)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{93856FD8-B1A6-4D8E-B141-83C2AC34E915}: NameServer = 192.168.0.1 (sollte auch wieder mein Router sein)


Danke für die Mühe, immerhin sitze ich wieder an meinem XP Rechner!

#2 Deaktiviere die Wiederherstellung...kannst du nach der Reinigung wieder aktivieren

Fixe mit dem HijackThis

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://web.de/ (Hijack??)
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Programme\TV Media\TvmBho.dll (Problem!!!)
O2 - BHO: (no name) - {00041A26-7033-432C-94C7-6371DE343822} - C:\Programme\scbar\v2\scbar.dll (file missing) (ebenso Prob)
O2 - BHO: (no name) - {0019C3E2-DD48-4A6D-AB2D-8D32436313D9} - C:\WINDOWS\bsx5.dll (kenn ich nicht, haber aber auch bs(x)3.dll)
O2 - BHO: (no name) - {A85C4A1B-BD36-44E5-A70F-8EC347D9B24F} - C:\WINDOWS\bs3.dll
O4 - HKLM\..\Run: [Bsx3] RunDLL32.EXE C:\WINDOWS\bs3.dll,DllRun (????)
O4 - HKLM\..\Run: [bxsx5] RunDLL32.EXE C:\WINDOWS\bsx5.dll,DllRun (????)
O16 - DPF: {A7798D6C-C6B5-4F26-9363-F7CDBBFFA607} (download Class) - http://www.gigex.com/ActiveX/vxpspeeddelivery.dll (??Muh??)

neustarten

gehe in den abgesicherten Modus


Gehe in die Registry und loesche auf der rechten Seite

Start\Ausfuehren\regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
bs3.dll,DllRun
bsx5.dll,DllRun

schliesse die Registry

Loesche
#C:\Programme\TV Media\TvmBho.dll
#C:\Programme\scbar\v2\scbar.dll
#C:\WINDOWS\bsx5.dll
#C:\WINDOWS\bs3.dll


normal neustarten


Loesche mit ClearProg...schreib dir vorher die wichtigsten Adressen auf
http://www.clearprog.de/
Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs


Lade mwav.exe und scanne ...ist 30 Tage free
http://www.mwti.net/antivirus/free_utilities.asp
poste dann, was der Scanner noch gefunden hat.

Lade Spyhunter
http://www.spy-bot.net/manual.asp

Dann loesche unter InternetOptionen die TemporaryInternetFiles, stelle eine neue Startseite ein und poste das Log noch einmal.


TIP... Lade den Firefox als Browser...ist hijackerfrei
http://www.firebird-browser.de/

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabrina,

habe schon mal weiter gemacht, und den Spybot drüber laufen lassen. Außerdem ließ sich der TV Media Ordner nach dem löschen aus dem Autostart im abgesicherten Modus ohne Probs löschen. Spybot fand nochmal etwa 6 verschiedene Gruppen, welche alle weg gingen (wenn auch nach dem Systemneustart) LogFile sieht jetzt so aus:

Logfile of HijackThis v1.97.7
Scan saved at 16:21:59, on 21.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\IMONC\Imonc.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Dokumente und Einstellungen\dsp\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://web.de/
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKCU\..\Run: [fli4l] "C:\Programme\IMONC\Imonc.exe" /s:192.168.0.1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Verknüpfung mit Imonc.lnk = C:\Programme\IMONC\Imonc.exe
O9 - Extra button: Preispiraten (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37960.6447685185
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{93856FD8-B1A6-4D8E-B141-83C2AC34E915}: NameServer = 192.168.0.1



Zu Deinem Thread hier noch ein paar Fragen:

- R0/R1, starseite war soweit korrekt, aber das aus R0 ist mir unklar. (Soll ich das "fixen"
- Browser Opera ist eh schon Standard, aber letzte Woche musste ich updaten und das geht ja (bei EA.Sports) nur über IE,
- Der Mwav Scanner verträgt der sich mit meinem Antivir?? Oder muss ich das nur für die Zeit deaktivieren
- Die Favoriten (sooo viele schmutzige Seiten) habe ich bereits manuell gelöscht, brauche ich da noch Clearprog??

Vielen Dank, spitzen Forum hier!



//Edit:://

Kleines Update:

Habe mir den Spy Bot Scanner noch geladen und der findet schon wieder Warez ohne Ende! Im Moment knapp 14 Reg Einträge. Langsam bekomme ich das Gefühl, dass jeder Scanner den ich nutze was neues findet, hört das den nie auf *heulstöhn*?

...Leider hilft mir der Spyhunter gerade nichts, weil der gekauft werden möchte!

Ist es schlimm, wenn die Wiederherstellung nicht deaktiviert war?

#4 1. komisch ..ich habe den SpyHunter einfach runtergeladen.
2.die mwav.exe ...30 Tage free vertraegt sich mit anderen Virenscannern, sonst haette ich dich darauf hingewiesen .

das brauchst du natuerlich nicht zu fixen
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://web.de/

mFg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabrina, Danke für die vielen Tipps,

hier mal ein paar weitere Log File:

Logfile of HijackThis v1.97.7
Scan saved at 18:28:38, on 22.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\IMONC\Imonc.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Opera7\opera.exe
C:\Dokumente und Einstellungen\dsp\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://web.de/
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKCU\..\Run: [fli4l] "C:\Programme\IMONC\Imonc.exe" /s:192.168.0.1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Verknüpfung mit Imonc.lnk = C:\Programme\IMONC\Imonc.exe
O9 - Extra button: Preispiraten (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37960.6447685185
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{93856FD8-B1A6-4D8E-B141-83C2AC34E915}: NameServer = 192.168.0.1

AntiVir:

C:\Dokumente und Einstellungen\dsp\Desktop\flash\Players
Flash 5 Player Installer.hqx
ArchiveType: BinHex (Mac)
HINWEIS! Das Archiv ist unbekannt oder defekt
C:\Dokumente und Einstellungen\dsp\Desktop\flash\Players\Debug
Flash 5 Player Installer.hqx
ArchiveType: BinHex (Mac)
HINWEIS! Das Archiv ist unbekannt oder defekt
C:\Dokumente und Einstellungen\dsp\Desktop\flash\Players\Release
Flash 5 Player Installer.hqx
ArchiveType: BinHex (Mac)
HINWEIS! Das Archiv ist unbekannt oder defekt
C:\Dokumente und Einstellungen\dsp\Desktop\videos
M?nner.pps
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\dsp\Eigene Dateien\Downloads
VIA_Hyperion 4IN1_V449vp2.zip
ArchiveType: ZIP
HINWEIS! Das Archiv ist unbekannt oder defekt
C:\Programme\Microsoft Games\Train Simulator\ROUTES\EUROPE2\TerrTex\Snow
OEHalfGrass-MountL.ace
ArchiveType: TAR (tape archiver)
--> SIMISA@@@@@@@@@@

HINWEIS! Der Archivheader ist defekt
C:\Programme\Pinnacle\Studio 9
hfbm0107.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
C:\Programme\WinRAR
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

Ende des Suchlaufs: 22.06.2004 15:04
Benötigte Zeit: 31:12 min


3591 Verzeichnisse wurden durchsucht
43920 Dateien wurden geprüft
7 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Viren bzw. unerwünschte Programme wurden gefunden

XSoft Spy 3.2.08:

Starting Scanning (Smart Scan Mode)
Scanning running processes.
1) : C:\Programme\XoftSpy\XoftSpy.exe
2) : System
3) : smss.exe
4) : csrss.exe
5) : winlogon.exe
6) : services.exe
7) : lsass.exe
8) : svchost.exe
9) : svchost.exe
10) : svchost.exe
11) : svchost.exe
12) : C:\WINDOWS\Explorer.EXE
13) : spoolsv.exe
14) : AVGUARD.EXE
15) : AVWUPSRV.EXE

21) : nvsvc32.exe
22) : svchost.exe

24) : C:\WINDOWS\SOUNDMAN.EXE
25) : C:\Programme\AVPersonal\AVGNT.EXE
26) : C:\Programme\Motherboard Monitor 5\MBM5.EXE
27) : C:\Programme\IMONC\Imonc.exe
28) : C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
29) : C:\Programme\Opera7\opera.exe
30) : C:\Programme\XoftSpy\XoftSpy.exe
1) BookedSpace
Name: BookedSpace.Extension.5
Type: Registry Key
2) BookedSpace
Name: Software\BookedSpace
Type: Registry Key
3) ClipGenie
Name: Software\ClipGenie
Type: Registry Key
4) ClipGenie
Name: Software\TrayNotifier\ClipGenie
Type: Registry Key
5) ClipGenie
Name: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ClipGenie
Type: Registry Key
6) ClipGenie
Name: SOFTWARE\TrayNotifier\ClipGenie
Type: Registry Key
7) CoolWebSearch
Name: software\microsoft\windows\currentversion\internet settings\zonemap\domains\xxxtoolbar.com
Type: Registry Key
8) MainPean Dialer
Name: Software\Freeware
Type: Registry Key
9) NCase
Name: SOFTWARE\180solutions
Type: Registry Key
10) NCase
Name: SOFTWARE\180solutions\msbb
Type: Registry Key
11) Winpup32
Name: Interface\{48E59291-9880-11CF-9754-00AA00C00908}
Type: Registry Key
12) Winpup32
Name: Interface\{48E59292-9880-11CF-9754-00AA00C00908}
Type: Registry Key
13) CWS.Oslogo
Name: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\coolwwwsearch.com
Type: Registry Key
14) Bat/Mumu-A
Name: SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwiz
Type: Registry Value
Scan Finished

Noch Ideen? An den Mwaw File komme ich leider nicht ran, der zeigt komischerweise nur an was er durchsucht hat. Da war nämlich noch was an Dateien.

Gruß und größten Dank, Falk

#6 @falk

Da war doch mehr, als ich dachte...

Gehe in die Registry und loesche, falls es da ist
Start\Ausfuehren\regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runsoftware\microsoft\windows\currentversion\internet settings\zonemap\domains\xxxtoolbar.com

Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\coolwwwsearch.com

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runsoftware\
settings\zonemap\domains\xxxtoolbar.com

Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\coolwwwsearch.com

...................................................................................................

#NCase
http://www.pestpatrol.com/PestInfo/n/ncase.asp

#BatMumu
http://securityresponse.symantec.com/avcenter/venc/data/bat.mumu.a.worm.removal.tool.html

#MainPean Dialer
Name: Software\Freeware deinstallieren

http://sarc.com/avcenter/venc/data/adware.bookedspace.html
#BookedSpace
Name: Software\BookedSpace

.........................................................................................................
Mwaw \alle Dateien scannen \einstellen, ...das Tool loescht Trojaner und Viren und die Spyware zeigt es an.


Kannst du mir posten, von wo du den XSoft Spy 3.2.08: hast????????/

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabrina,

werde später mal Deine Tipps durchführen. Ein paar Infos über die Datein habe ich mir gestern Abend schon über McAfee gezogen, aber trotzdem danke.

Den neuen XSoft Spy habe ich mir über die HP http://www.spy-bot.net/ geladen, scannt, logt, löscht aber leider nicht, wie schon im oberen Post beschrieben.

Danke, Gruß Falk

//Edit://

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runsoftware\microsoft\windows\currentversion\internet settings\zonemap\domains\xxxtoolbar.com

ab CurrentVersion nichts mehr, nur noch Run, RunOnce, RunOneEx

Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\coolwwwsearch.com

ebenso nicht da!

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runsoftware\
settings\zonemap\domains\xxxtoolbar.com

nicht da

Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\[....]

Adressen ohne Ende, die alle eindeutige Ziele haben! Soll ich die alle Killen?

des weiteren ist mir aufgefallen, dass ich unter HKEY_LOKAL_MACHINE\SOFTWARE\ ich noch Einträge wie 180 Solutions, Booked Space, ClipGenie habe. Sollten die nicht weg sein?

GRuß Falk

#8 des weiteren ist mir aufgefallen, dass ich unter HKEY_LOKAL_MACHINE\SOFTWARE\ ich noch Einträge wie 180 Solutions, Booked Space, ClipGenie habe. Sollten die nicht weg sein?

.............das muss alles weg, wie du aus den Links ersehen kannst.

1.NCase

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\msbb.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\aknqux
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\ghrxblvci
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\ivdn
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\rjw
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\rym,
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\zxlextmik
If you find the value HKEY_USERS\s-1-5-21-725345543-1078145449-1343024091-500\software\microsoft\windows\currentversion\run\msbb,



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"msbb"="[path]\msbb.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nCASE HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\msbb
* HKEY_CURRENT_USER\Software\180solutions

6. Exit the Registry Editor.
7. Restart the computer.


loeschen

delmsbb.exe
elrubiovy.exe
gm.exe
ncaseadsuninstaller.exe
ncaseuninstaller.exe
optimize.exe
msbb.exe
........................................................................................................................

Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\[....]

Adressen ohne Ende, die alle eindeutige Ziele haben! Soll ich die alle Killen?

........kille nur, was auf die Malware hindeutet.

......................................................................................................................

http://securityresponse.symantec.com/avcenter/venc/data/bat.mumu.a.worm.removal.tool.html
Lade hier das Removal\Tool fuer den Bat.Mumu.A.Worm

......................................................................................................................
Adware.Bookedspace

Start\Ausfuehren\regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"<name of .dll file>"="Adware.Bookedspace"

# Delete the subkeys:

* HKEY_CLASSES_ROOT\AppID\{0DC5CD7C-F653-4417-AA43-D457BE3A9622}
* HKEY_CLASSES_ROOT\AppID\BookedSpace.DLL
* HKEY_CLASSES_ROOT\BookedSpace.Extension.5
* HKEY_CLASSES_ROOT\BookedSpace.Extension
* HKEY_CLASSES_ROOT\CLSID\{0019C3E2-DD48-4A6D-ABCD-8D32436323D9}
* HKEY_CLASSES_ROOT\TypeLib\{0DC5CD7C-F653-4417-AA43-D457BE3A9622}
* HKEY_CLASSES_ROOT\Interface\{05080E6B-A88A-4CFD-8C3D-982557670B6E}

schliesse die Registry

Loesche .....name of .dll file>"="RunDLL32.exe <path to .dll file>, DllRun


1. Click Start, and then click Run. (The Run dialog box appears.)

2. Type, or copy and paste, the following text:

regsvr32 /u "<path to .dll file>"

where <path to .dll file> is the path and file name written in step 2d. An example would look like this:

regsvr32 /u "c:\windows\system32\oo4.dll"

3. Click OK.

4. If a dialog box confirming this action appears, click OK.

5. Run another scan, deleting any files detected as Adware.Bookedspace.

.....................................................................................................................


ClipGenie


HKEY_CURRENT_USER\software\clipgenie
HKEY_CURRENT_USER\software\traynotifier\clipgenie
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\clipgenie
HKEY_LOCAL_MACHINE\software\traynotifier\clipgenie


loeschen

bikpreview.wmv
casinopreview.wmv
celebpreview.wmv
extpreview.wmv
profilepath+\start menu\programs\clipgenie.lnk


http://www.kephyr.com/spywarescanner/library/clipgenie/index.phtml
http://www.pestpatrol.com/PestInfo/c/clipgenie.asp
.....................................................................................................................
am Besten, du scannst mit der mwav.exe...30 Tage free
das Tool ist gut...scanne im abgesicherten Modus und loesche manuell, was nur angezeigt und nicht geloescht wird.

http://www.mwti.net/antivirus/free_utilities.asp


MfG
Sabina

http://sarc.com/avcenter/venc/data/adware.ncase.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo, da bin ich wieder und bearbeite meine REG.

des weiteren ist mir aufgefallen, dass ich unter HKEY_LOKAL_MACHINE\SOFTWARE\ ich noch Einträge wie 180 Solutions, Booked Space, ClipGenie habe. Sollten die nicht weg sein?

.............das muss alles weg, wie du aus den Links ersehen kannst.

weg, soweit ich es als Spy erkennen konnte

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\msbb.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\aknqux
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\ghrxblvci
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\ivdn
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\rjw
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\rym,
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\zxlextmik
If you find the value HKEY_USERS\s-1-5-21-725345543-1078145449-1343024091-500\software\microsoft\windows\currentversion\run\msbb,

nicht vorhanden

delmsbb.exe
elrubiovy.exe
gm.exe
ncaseadsuninstaller.exe
ncaseuninstaller.exe
optimize.exe

nicht vorhanden, von der msbb.exe waren 2 Dateien in "Windows/Prefetch", die habe ich gelöscht

----------------------

Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\[....]

Hilfe mir ist schwindelig und mein Finger schmerzt. Habe ungefährt alle dreckigen Sites der Welt da drin gehabt. Habe alles gelöscht, weil mir nicht unverdächtig erschien!

Des weiteren ist mir aufgefallen, dass ich unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ einen Schlüssel namens P3P habe, in dessen History Folder sich ebenfalls verdächtige Dateien befinden (u.a. 180 Solutions, Casinoblaster, Sexlist, aber auch enigmasoftwaregroup.com, die den Spyhunter herstellt?? )


---------
HKEY_CURRENT_USER\software\clipgenie
HKEY_CURRENT_USER\software\traynotifier\clipgenie
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\clipgenie
HKEY_LOCAL_MACHINE\software\traynotifier\clipgenie

soweit vorhanden, gelöscht

bikpreview.wmv
casinopreview.wmv
celebpreview.wmv
extpreview.wmv
profilepath+\start menu\programs\clipgenie.lnk (vermute das Startmenü -> Programme gemeint ist, da ist nicht)

nicht vorhanden

Den Patch für Bat lasse ich jetzt gleich laufen, die Sache mit BookedSpace versteh ich noch nicht ganz, fragen mache ich gleich als Edit!

#10 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ einen Schlüssel namens P3P habe, in dessen History Folder sich ebenfalls verdächtige Dateien befinden (u.a. 180 Solutions, Casinoblaster, Sexlist, aber auch enigmasoftwaregroup.com, die den Spyhunter herstellt?? )


Loesche alles....unter InternetOptionen kannst du die History loeschen.


Tipp
Lade Winswep...einfach auf die Grafik klicken.
dann wende das Tool an, aber nur die Funktion \Surfspuren vernichten\
Nach der Anwendung nimmst du das Tool aus dem Autostart bis zur naechsten Anwendung
http://www.winsweep.de/down.htm
Es sei denn, du kaufst WinSweep. dann kannst du alles anwenden....

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#11 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ einen Schlüssel namens P3P habe, in dessen History Folder sich ebenfalls verdächtige Dateien befinden (u.a. 180 Solutions, Casinoblaster, Sexlist, aber auch enigmasoftwaregroup.com, die den Spyhunter herstellt?? )

waren nach dem Cleanen in den Internetoptionen immer noch da, also manuell gelöscht.
Den Ordner P3P habe ich aber gelassen muss der weg?

--------

* HKEY_CLASSES_ROOT\BookedSpace.Extension.5 ------ gelöscht, der rest war nicht vorhanden


was die .dll Sache angeht, so weis ich nicht genau, wonach ich genau suchen soll??

--------

Den Bat/Mumu Scanner habe ich laufen lassen, der teilte mir mit, System wäre sauber, merkwürdig.


lasse jetzt nochmal eine Suche mit dem mwav machen und poste das log

Gruß Falk

#12 Den Ordner P3P habe ich aber gelassen muss der weg?

muss nicht weg...aber besser ist, mit dem Kazaa Lite zu arbeiten.....
ist spywarefrei und du kannst ihn unter Chip.de laden.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Den Ordner P3P habe ich aber gelassen muss der weg?

muss nicht weg...aber besser ist, mit dem Kazaa Lite zu arbeiten.....
ist spywarefrei und du kannst ihn unter Chip.de laden.
MfG
Sabina

Ich habe gar keine Art von p2p! Weder Kazaa, noch sonst was in der Richtung. Mein neuer Mwav läuft noch, habe aber mal ein paar Details aus dem alten vom Di zusammengestellt:

Tue Jun 22 15:57:56 2004 => File C:\Dokumente und Einstellungen\dsp\Eigene Dateien\Downloads\dvdrnb30.exe tagged as not-a-virus:AdvWare.NavExcel. No Action Taken.

Tue Jun 22 15:59:26 2004 => File C:\Dokumente und Einstellungen\dsp\Eigene Dateien\Downloads\premier\Premiere_6.0 Tryout Win\Cleaner\cleaner.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Tue Jun 22 15:59:43 2004 => File C:\Dokumente und Einstellungen\dsp\Eigene Dateien\Downloads\setupcdripper.exe tagged as not-a-virus:AdvWare.BookedSpace.a. No Action Taken.

Tue Jun 22 15:59:44 2004 => File C:\Dokumente und Einstellungen\dsp\Eigene Dateien\Downloads\setup_postpaket_2_3.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Tue Jun 22 16:01:35 2004 => File C:\Dokumente und Einstellungen\dsp\Lokale Einstellungen\Temp\powerscan.exe tagged as not-a-virus:AdvWare.PowerScan.b. No Action Taken.

Tue Jun 22 16:01:37 2004 => File C:\Dokumente und Einstellungen\dsp\Lokale Einstellungen\Temp\tvmupdater.exe tagged as not-a-virus:AdvWare.TotalVelocity.g. No Action Taken.

Tue Jun 22 16:05:02 2004 => File C:\Programme\AVPersonal\INFECTED\BDL14173.EXE.VIR infected by "TrojanDownloader.Win32.Agent.ab" Virus. Action Taken: File Deleted.

Tue Jun 22 16:05:02 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\BETTER[1].EXE.VIR
Tue Jun 22 16:05:03 2004 => File C:\Programme\AVPersonal\INFECTED\BETTER[1].EXE.VIR infected by "TrojanDownloader.Win32.Agent.ab" Virus. Action Taken: File Deleted.

Tue Jun 22 16:05:03 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\DW[1].EXE.VIR
Tue Jun 22 16:05:03 2004 => File C:\Programme\AVPersonal\INFECTED\DW[1].EXE.VIR infected by "TrojanDownloader.Win32.Realtens.e" Virus. Action Taken: File Deleted.

Tue Jun 22 16:05:03 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\INS5E.TMP.VIR
Tue Jun 22 16:05:04 2004 => File C:\Programme\AVPersonal\INFECTED\INS5E.TMP.VIR infected by "TrojanDownloader.Win32.Realtens.e" Virus. Action Taken: File Deleted.

Tue Jun 22 16:05:04 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\ISTBAR.DLL.VIR
Tue Jun 22 16:05:04 2004 => File C:\Programme\AVPersonal\INFECTED\ISTBAR.DLL.VIR infected by "TrojanDownloader.Win32.IstBar.fb" Virus. Action Taken: File Deleted.

Tue Jun 22 16:05:04 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\ISTBAR_SILENT[1].DLL.VIR
Tue Jun 22 16:05:04 2004 => File C:\Programme\AVPersonal\INFECTED\ISTBAR_SILENT[1].DLL.VIR infected by "TrojanDownloader.Win32.IstBar.fb" Virus. Action Taken: File Deleted.

Tue Jun 22 16:05:04 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\istsvc.VIR
Tue Jun 22 16:05:05 2004 => File C:\Programme\AVPersonal\INFECTED\istsvc.VIR infected by "Trojan.Win32.IstSvc.a" Virus. Action Taken: File Deleted.

Tue Jun 22 16:05:05 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\OPTIMIZE.EXE.VIR
Tue Jun 22 16:05:05 2004 => File C:\Programme\AVPersonal\INFECTED\OPTIMIZE.EXE.VIR infected by "TrojanDownloader.Win32.Dyfuca.bq" Virus. Action Taken: File Deleted.

Tue Jun 22 16:05:05 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\OPTIMIZE[1].EXE.VIR
Tue Jun 22 16:05:05 2004 => File C:\Programme\AVPersonal\INFECTED\OPTIMIZE[1].EXE.VIR infected by "TrojanDownloader.Win32.Dyfuca.bq" Virus. Action Taken: File Deleted.

Tue Jun 22 17:01:13 2004 => File C:\System Volume Information\_restore{B13EECD8-BCC0-49DD-B3B6-86FB401555F3}\RP282\A0052356.rbf tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Tue Jun 22 17:03:00 2004 => File C:\System Volume Information\_restore{B13EECD8-BCC0-49DD-B3B6-86FB401555F3}\RP300\A0056475.exe tagged as not-a-virus:AdvWare.PowerScan.b. No Action Taken.

Tue Jun 22 17:03:00 2004 => File C:\System Volume Information\_restore{B13EECD8-BCC0-49DD-B3B6-86FB401555F3}\RP300\A0056477.exe infected by "Trojan.Win32.IstSvc.a" Virus. Action Taken: File Deleted.

Tue Jun 22 17:03:05 2004 => File C:\System Volume Information\_restore{B13EECD8-BCC0-49DD-B3B6-86FB401555F3}\RP302\A0056563.exe tagged as not-a-virus:AdvWare.TotalVelocity.g. No Action Taken.

Tue Jun 22 17:03:05 2004 => File C:\System Volume Information\_restore{B13EECD8-BCC0-49DD-B3B6-86FB401555F3}\RP302\A0056564.dll tagged as not-a-virus:AdvWare.TotalVelocity.g. No Action Taken.

Tue Jun 22 17:03:05 2004 => File C:\System Volume Information\_restore{B13EECD8-BCC0-49DD-B3B6-86FB401555F3}\RP302\A0056565.dll tagged as not-a-virus:AdvWare.TotalVelocity.g. No Action Taken.

Des weiteren Vermute ich mal, dass der Ordner bsx im C:\Windows nichts zu suchen hat.

BAT / Mumu findet der AntiSpy immer noch, aber ich vermute mal, dass das ein Bug ist, da ich "nwiz.exe" im Autostart habe, um meine Nvidia Gforce zu betreiben. Außerdem hat sonst keiner drauf angeschlagen.

Editiere den Log später hier herrein. Gruß und tiefsten Respekt, Falk

#14 http://www.symantec.com/avcenter/venc/data/pf/adware.navhelper.html
1. Deinstalliere NavHelper
# Click Start > Control Panel.
# In the Control Panel window, double-click Add or Remove Programs.


Loesche
C:\Dokumente und Einstellungen\dsp\Eigene Dateien\Downloads\dvdrnb30.exe
NHelper.dll


2..Bookedspace noch einmal an die Arbeit machen......

Loesche
C:\Dokumente und Einstellungen\dsp\Eigene Dateien\Downloads\setupcdripper.exe


Start<Ausfuehren<regedit
loesche auf der rechten Seite

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
bs3.dll,DllRun
bsx5.dll,DllRun


# HKEY_CLASSES_ROOT\AppID\{0DC5CD7C-F653-4417-AA43-D457BE3A9622}
# HKEY_CLASSES_ROOT\AppID\BookedSpace.DLL
# HKEY_CLASSES_ROOT\BookedSpace.Extension.5
# HKEY_CLASSES_ROOT\BookedSpace.Extension
# HKEY_CLASSES_ROOT\CLSID\{0019C3E2-DD48-4A6D-ABCD-8D32436323D9}
# HKEY_CLASSES_ROOT\TypeLib\{0DC5CD7C-F653-4417-AA43-D457BE3A9622}
# HKEY_CLASSES_ROOT\Interface\{05080E6B-A88A-4CFD-8C3D-982557670B6E}

schliesse die Registry

loesche
oo4.dll
bxxs5.dll
bs3.dll
bsx5.dll

1. Click Start, and then click Ausfuehren
2. Type, or copy and paste, the following text:

regsvr32 /u "<path to .dll file>"

where <path to .dll file> is the path and file name written in step 2d. An example would look like this:
regsvr32 /u "c:\windows\system32\bsx5.dll" und auch bs3.dll

3. Click OK.
4. If a dialog box confirming this action appears, click OK.

..........................................................................................................

3.loesche C:\Dokumente und Einstellungen\dsp\Lokale Einstellungen\Temp\powerscan.exe

.........................................................................................................

Deaktiviere die Wiederherstellung, boote und aktiviere sie wieder

.................................................................................................................
Lies dir das mal durch...wegen der P3P
http://www.computercops.biz/modules.php?name=Forums&file=viewtopic&p=429
http://enterprisesecurity.symantec.com/content.cfm?articleid=1834&EID=0

Lade den Firefox..ist sicherer
http://www.firebird-browser.de/

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#15 HI! I am back!

Also Reg ist soweit sauber, vom booked space, wiederherstellung ist schon seit gestern aus und der SpySoft spuckt mir nur noch diese Sachen aus!

Starting Scanning (Smart Scan Mode)
1) MainPean Dialer
Name: Software\Freeware
Type: Registry Key
2) Winpup32
Name: Interface\{48E59291-9880-11CF-9754-00AA00C00908}
Type: Registry Key
3) Winpup32
Name: Interface\{48E59292-9880-11CF-9754-00AA00C00908}
Type: Registry Key
4) Bat/Mumu-A
Name: SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwiz
Type: Registry Value
Scan Finished

Wie gesagt, das Removal von Symatec ist drüber gelaufen!


Der Dialer steht ebensowenig wie der NavHelper in den Softwareeinstellungen, dafür habe ich dort den TVMedia und ein paar andere Freunde gefunden. Darunter verdächtige Programme wei URL.IE APP und TP HTTP, die mir nichts sagen (weitere wären Search OS, SMB OS, Support Software, alle ohne weitere Beschreibung)


Die P3P Artikel sind ja interessant, aber unschlüssig sind sie über das weitere Verfahren damit auch, wenn ich das Verstanden habe. Unsicher ist es aber wohl auch, na ja Microsoft mal wieder halb gedacht.


Die Dateien aus dem Temp sind auch raus, kann ich einfach das ganze Verzeichnis mal löschen?? Waren auch noch andere komsiche Sachen drin.

Eine aktuelle mwav kommt so in 2-3 Stunden!

Danke, Gruß Falk

//Edit//

Hier der Mwav log in Teilen:


Fri Jun 25 14:23:16 2004 => **********************************************************
Fri Jun 25 14:23:16 2004 => eScan AntiVirus Toolkit Utility.
Fri Jun 25 14:23:16 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Fri Jun 25 14:23:16 2004 =>
Fri Jun 25 14:23:16 2004 => Support: support@mwti.net
Fri Jun 25 14:23:16 2004 => Web: http://www.mwti.net
Fri Jun 25 14:23:16 2004 => **********************************************************
Fri Jun 25 14:23:16 2004 => Version 4.2.4
Fri Jun 25 14:23:16 2004 => Log File: C:\DOKUME~1\dsp\LOKALE~1\Temp\mwav.log
Fri Jun 25 14:23:16 2004 => Latest Date of files inside MWAV: 20 Jun 2004 15:17:25.

Fri Jun 25 14:23:16 2004 => Options Selected by User:
Fri Jun 25 14:23:16 2004 => Memory Check: Enabled
Fri Jun 25 14:23:16 2004 => Registry Check: Enabled
Fri Jun 25 14:23:16 2004 => StartUp Folder Check: Enabled
Fri Jun 25 14:23:16 2004 => System Folder Check: Enabled
Fri Jun 25 14:23:16 2004 => System Area Check: Disabled
Fri Jun 25 14:23:16 2004 => Services Check: Enabled
Fri Jun 25 14:23:16 2004 => Drive Check: Enabled
Fri Jun 25 14:23:16 2004 => All Drive Check isabled
Fri Jun 25 14:23:16 2004 => Scanning Type: Scan And Clean
Fri Jun 25 14:23:16 2004 => Drive Selected = C:\
Fri Jun 25 14:23:16 2004 => Folder Check: Disabled

Fri Jun 25 14:23:16 2004 => ***** Scanning Memory Files *****
Fri Jun 25 14:23:16 2004 => Scanning File C:\WINDOWS\system32\services.exe
Fri Jun 25 14:23:16 2004 => Scanning File C:\WINDOWS\system32\lsass.exe
Fri Jun 25 14:23:16 2004 => Scanning File C:\WINDOWS\system32\svchost.exe
Fri Jun 25 14:23:16 2004 => Scanning File C:\WINDOWS\System32\svchost.exe
Fri Jun 25 14:23:16 2004 => Scanning File C:\WINDOWS\system32\spoolsv.exe
Fri Jun 25 14:23:16 2004 => Scanning File C:\WINDOWS\SOUNDMAN.EXE
Fri Jun 25 14:23:17 2004 => Scanning File C:\Programme\AVPersonal\AVGNT.EXE
Fri Jun 25 14:23:17 2004 => Scanning File C:\PROGRA~1\MOTHER~1\MBM5.EXE
Fri Jun 25 14:23:17 2004 => Scanning File C:\Programme\AVPersonal\AVGUARD.EXE
Fri Jun 25 14:23:17 2004 => Scanning File C:\PROGRA~1\SPYBOT~1\TeaTimer.exe
Fri Jun 25 14:23:17 2004 => Scanning File C:\Programme\AVPersonal\AVWUPSRV.EXE
Fri Jun 25 14:23:18 2004 => Scanning File C:\WINDOWS\System32\nvsvc32.exe
Fri Jun 25 14:23:18 2004 => Scanning File C:\WINDOWS\System32\svchost.exe
Fri Jun 25 14:23:18 2004 => Scanning File C:\Programme\IMONC\Imonc.exe
Fri Jun 25 14:23:18 2004 => Scanning File C:\Programme\Opera7\opera.exe
Fri Jun 25 14:23:19 2004 => Scanning File C:\WINDOWS\explorer.exe
Fri Jun 25 14:23:19 2004 => Scanning File C:\WINDOWS\System32\taskmgr.exe
Fri Jun 25 14:23:19 2004 => Scanning File C:\DOKUME~1\dsp\LOKALE~1\Temp\mwavscan.com
Fri Jun 25 14:23:19 2004 => Scanning File C:\DOKUME~1\dsp\LOKALE~1\Temp\kavss.exe

Fri Jun 25 14:23:19 2004 => ***** Scanning Registry Files *****
Fri Jun 25 14:23:19 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Fri Jun 25 14:23:19 2004 => Scanning File C:\WINDOWS\Explorer.exe
Fri Jun 25 14:23:19 2004 => Scanning File C:\WINDOWS\system32\userinit.exe
Fri Jun 25 14:23:19 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Fri Jun 25 14:23:19 2004 => Scanning File C:\WINDOWS\SOUNDMAN.EXE
Fri Jun 25 14:23:19 2004 => Scanning File C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
Fri Jun 25 14:23:19 2004 => Scanning File C:\WINDOWS\system32\RUNDLL32.EXE
Fri Jun 25 14:23:19 2004 => Scanning File C:\WINDOWS\system32\nwiz.exe
Fri Jun 25 14:23:19 2004 => Scanning File C:\Programme\AVPersonal\AVGNT.EXE
Fri Jun 25 14:23:19 2004 => Scanning File C:\PROGRA~1\MOTHER~1\MBM5.EXE
Fri Jun 25 14:23:20 2004 => Scanning File C:\WINDOWS\System32\PSDrvCheck.exe
Fri Jun 25 14:23:20 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Fri Jun 25 14:23:20 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Fri Jun 25 14:23:20 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Fri Jun 25 14:23:20 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Fri Jun 25 14:23:20 2004 => Scanning File C:\Programme\IMONC\Imonc.exe
Fri Jun 25 14:23:20 2004 => Scanning File C:\PROGRA~1\SPYBOT~1\TeaTimer.exe
Fri Jun 25 14:23:20 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Fri Jun 25 14:23:20 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Fri Jun 25 14:23:20 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Fri Jun 25 14:23:20 2004 => Scanning HKCR\txtfile\shell\open\command
Fri Jun 25 14:23:20 2004 => Scanning HKCR\comfile\shell\open\command
Fri Jun 25 14:23:20 2004 => Scanning HKCR\exefile\shell\open\command
Fri Jun 25 14:23:20 2004 => Scanning HKCR\dllfile\shell\open\command
Fri Jun 25 14:23:20 2004 => Scanning HKCR\batfile\shell\open\command
Fri Jun 25 14:23:20 2004 => Scanning HKCR\piffile\shell\open\command
Fri Jun 25 14:23:20 2004 => Scanning HKCR\scrfile\shell\open\command
Fri Jun 25 14:23:20 2004 => Scanning HKCR\scrfile\shell\config\command
Fri Jun 25 14:23:20 2004 => Scanning HKCR\regfile\shell\open\command

Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bs3.dll
Fri Jun 25 14:23:54 2004 => File C:\WINDOWS\bs3.dll tagged as not-a-virus:AdvWare.BookedSpace.a. No Action Taken.

Fri Jun 25 14:23:54 2004 => Scanning Folder: C:\WINDOWS\bsx32\*.*
Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\ADBN1.bsx
Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\ADVC2.bsx
Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\ADVC3.bsx
Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\ADVC4.bsx
Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\ADVC5.bsx
Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\ADVCTX2.bsx
Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\ASIWS1.bsx
Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\ASIWS2.bsx
Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\ASIWS3.bsx
Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\AUTOS1.bsx
Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\BID1.bsx
Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\BingoRoom1.bsx
Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\CARD2.bsx
Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\CARS1.bsx
Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\CARS2.bsx
Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\CARS3.bsx
Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\CAS1.bsx
Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\CASH1.bsx
Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\CASH2.bsx
Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\CCS1.bsx
Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\DATE3.bsx
Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\DEBT1.bsx
Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\DEEPS1.bsx
Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\DENT1.bsx
Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\DRUG1.bsx
Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\DRUG3.bsx
Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\EBAD1.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\EBAY1.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\EBYA1.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\EBYA2.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\EDU1.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\EML1.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\EXPE1.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\EXPE2.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\FAM1.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\FAST1.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\FINC1.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\FINC3.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\FINC4.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\FindRomance1.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\FLWR1.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\FMND1.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\GIFT1.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\HEAL1.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\HEAL2.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\HEAL3.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\HEAL4.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\HEBE1.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\HERBS1.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\HGH1.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\HGH2.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\HOGAR1.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\HOMES1.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\HOMES2.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\HOMES3.bsx
Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\INK1.bsx
Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\INSUR1.bsx
Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\INSUR3.bsx
Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\INSUR4.bsx
Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\JOBS2.bsx
Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\JOBS3.bsx
Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\KanFinance1.bsx
Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\KanFinance3.bsx
Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\MORT1.bsx
Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\MORT2.bsx
Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\MOVS1.bsx
Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\NEWS1.bsx
Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\OPPR2.bsx
Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\OPPS1.bsx
Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\PEEL4.bsx
Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\PENIS1.bsx
Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\PENIS2.bsx
Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\RAM1.bsx
Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\SHOP1.bsx
Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\Singles1.bsx
Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\SLC1.bsx
Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\SPORT1.bsx
Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\SPZ1.bsx
Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\SPZ3.bsx
Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\TECH1.bsx
Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\TMP1.bsx
Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\TRVL2.bsx
Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\TV1.bsx
Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\bsx32\Useful1.bsx
Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\bsx32\UTN1.bsx
Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\bsx32\UTONE1.bsx
Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\bsx32\VENUE1.bsx
Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\bsx32\WIRE1.bsx
Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\bsx32\WOMEN1.bsx
Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\bsx32\WSMSI2.bsx
Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\bsx32\WWW1.bsx
Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\bsx32\XCHG1.bsx
Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\bsx32\XTFL1.bsx
Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\bsx32\XTFL2.bsx
Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\bsx32.ini
Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\bsx5.dll
Fri Jun 25 14:23:57 2004 => File C:\WINDOWS\bsx5.dll tagged as not-a-virus:AdvWare.BookedSpace.b. No Action Taken.

Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\cdplayer.ini
Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\clock.avi
Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\cnwrqpwn.exe
Fri Jun 25 14:23:57 2004 => File C:\WINDOWS\cnwrqpwn.exe tagged as not-a-virus:AdvWare.180Solutions. No Action Taken.

Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\comsetup.log
Fri Jun 25 14:23:57 2004 => Scanning Folder: C:\WINDOWS\Config\*.*
Fri Jun 25 14:23:57 2004 => Scanning Folder: C:\WINDOWS\Connection Wizard\*.*
Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\control.ini [**]
Fri Jun 25 14:23:57 2004 => Scanning Folder: C:\WINDOWS\Cursors\*.*
Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\Cursors\3dgarro.cur

Fri Jun 25 15:38:56 2004 => Scanning Folder: C:\RECYCLER\S-1-5-21-725345543-920026266-1343024091-1004\*.*
Fri Jun 25 15:38:56 2004 => Scanning File C:\RECYCLER\S-1-5-21-725345543-920026266-1343024091-1004\Dc1.dll
Fri Jun 25 15:38:56 2004 => Scanning File C:\RECYCLER\S-1-5-21-725345543-920026266-1343024091-1004\Dc2.dll
Fri Jun 25 15:38:56 2004 => Scanning Folder: C:\RECYCLER\S-1-5-21-725345543-920026266-1343024091-1004\Dc3\*.*
Fri Jun 25 15:38:56 2004 => Scanning File C:\RECYCLER\S-1-5-21-725345543-920026266-1343024091-1004\Dc4.exe
Fri Jun 25 15:38:57 2004 => File C:\RECYCLER\S-1-5-21-725345543-920026266-1343024091-1004\Dc4.exe tagged as not-a-virus:AdvWare.NavExcel. No Action Taken.

Fri Jun 25 15:38:57 2004 => Scanning File C:\RECYCLER\S-1-5-21-725345543-920026266-1343024091-1004\Dc5.exe
Fri Jun 25 15:38:58 2004 => File C:\RECYCLER\S-1-5-21-725345543-920026266-1343024091-1004\Dc5.exe tagged as not-a-virus:AdvWare.BookedSpace.a. No Action Taken.

Fri Jun 25 15:38:58 2004 => Scanning File C:\RECYCLER\S-1-5-21-725345543-920026266-1343024091-1004\Dc6.exe
Fri Jun 25 15:38:58 2004 => File C:\RECYCLER\S-1-5-21-725345543-920026266-1343024091-1004\Dc6.exe tagged as not-a-virus:AdvWare.PowerScan.b. No Action Taken.

Fri Jun 25 15:38:58 2004 => Scanning File C:\RECYCLER\S-1-5-21-725345543-920026266-1343024091-1004\Dc7.exe
Fri Jun 25 15:38:58 2004 => File C:\RECYCLER\S-1-5-21-725345543-920026266-1343024091-1004\Dc7.exe tagged as not-a-virus:AdvWare.TotalVelocity.g. No Action Taken.

Fri Jun 25 15:38:58 2004 => Scanning File C:\RECYCLER\S-1-5-21-725345543-920026266-1343024091-1004\desktop.ini
Fri Jun 25 15:38:58 2004 => Scanning File C:\RECYCLER\S-1-5-21-725345543-920026266-1343024091-1004\INFO2
Fri Jun 25 15:38:58 2004 => Scanning File C:\Setup.log
Fri Jun 25 15:38:58 2004 => Scanning Folder: C:\System Volume Information\*.*
Fri Jun 25 15:38:58 2004 => ERROR!!! FindFirstFile For C:\System Volume Information\*.* Failed!!! Reason is Zugriff verweigert (0x5)
Fri Jun 25 15:38:58 2004 => Scanning File C:\vlist.log
Fri Jun 25 15:38:58 2004 => Scanning Folder: C:\WUTemp\*.*

Fri Jun 25 15:38:58 2004 => ***** Checking for specific ITW Viruses *****
Fri Jun 25 15:38:58 2004 => Checking for Welchia Virus...
Fri Jun 25 15:38:58 2004 => Checking for LovGate Virus...
Fri Jun 25 15:38:58 2004 => Checking for CodeRed Virus...
Fri Jun 25 15:38:58 2004 => Checking for OpaServ Virus...
Fri Jun 25 15:38:58 2004 => Checking for Sobig.e Virus...
Fri Jun 25 15:38:58 2004 => Checking for Winupie Virus...
Fri Jun 25 15:38:58 2004 => Checking for Swen Virus...
Fri Jun 25 15:38:58 2004 => Checking for JS.Fortnight Virus...
Fri Jun 25 15:38:58 2004 => Checking for Novarg Virus...

Fri Jun 25 15:38:58 2004 => ***** Scanning complete. *****

Fri Jun 25 15:38:58 2004 => Total Number of Files Scanned: 106118
Fri Jun 25 15:38:58 2004 => Total Number of Virus(es) Found: 9
Fri Jun 25 15:38:58 2004 => Total Number of Disinfected Files: 0
Fri Jun 25 15:38:58 2004 => Total Number of Files Renamed: 0
Fri Jun 25 15:38:58 2004 => Total Number of Deleted Files: 0
Fri Jun 25 15:38:58 2004 => Total Number of Errors: 1
Fri Jun 25 15:38:58 2004 => Time Elapsed: 01:15:31
Fri Jun 25 15:38:58 2004 => Virus Database Date: 2004/06/20
Fri Jun 25 15:38:58 2004 => Virus Database Count: 95240

Fri Jun 25 15:38:58 2004 => Scan Completed.