Mehrere Trojaner - Bitte um Bewertung des eScan-Ergebnisses

#1 Guten Tag!

Ich habe mir auf meinem Rechner (Windows Me) mehrere Trojaner eingefangen (TR/Click.526, TR/Qhost.QR, TR/DNSChanger.S.1.B, TR/Dialer.KK). Die Information habe ich von AntiVir erhalten. Leider ist das Programm aber nicht in der Lage gewesen, die Trojaner auch zu löschen. Andere Virenprogramme habe ich bislang nicht ausprobiert. Auf die Hinweise in früheren Beiträgen in diesem Forum hin habe ich einen eScan-Check durchgeführt und die folgende Auswertung erhalten. Kann mir jemand sagen, was ich jetzt zu tun habe? Ist mein Rechner überhaupt noch zu retten?

Vielen Dank schon mal im Voraus.

Gruß
Falcon



--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Wed Aug 24 12:40:03 2005 => File C:\WINDOWS\SYSTEM\HCLEAN32.EXE infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
2: Wed Aug 24 12:40:03 2005 => File C:\WINDOWS\SYSTEM\csvrb.exe infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
3: Wed Aug 24 12:40:07 2005 => Scanning Folder: C:\WINDOWS\Desktop\Antivir\INFECTED\*.*
4: Wed Aug 24 12:40:07 2005 => Scanning File C:\WINDOWS\Desktop\Antivir\INFECTED\#INDEX# [**]
5: Wed Aug 24 12:40:40 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
6: Wed Aug 24 12:40:46 2005 => System found infected with AdWare.ToolBar.SBSoft.h Spyware/Adware ({08BEC6AA-49FC-4379-3587-4B21E286C19E})! Action taken: No Action Taken.
7: Wed Aug 24 12:40:51 2005 => System found infected with NavExt Spyware/Adware ({00110011-4B0B-44D5-9718-90C88817369B})! Action taken: No Action Taken.
8: Wed Aug 24 12:40:51 2005 => System found infected with OnlineDialer(1)-VLoading Variant Spyware ({11BF0E2B-4229-4ADC-9C11-1C6968731018})! Action taken: No Action Taken.
9: Wed Aug 24 12:45:16 2005 => Offending file found: C:\WINDOWS\SYSTEM\hookdll.dll
10: Wed Aug 24 12:45:16 2005 => System found infected with LookNSearch Spyware/Adware (hookdll.dll)! Action taken: No Action Taken.
11: Wed Aug 24 12:52:25 2005 => File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\0H2N85EZ\index[1].chm infected by "Trojan-Proxy.Win32.Lamb.a" Virus! Action Taken: No Action Taken.
12: Wed Aug 24 13:02:52 2005 => File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\2CC3IX7E\mstlb[1].chm infected by "Trojan-Dropper.Win32.Small.yd" Virus! Action Taken: No Action Taken.
13: Wed Aug 24 13:14:36 2005 => Scanning Folder: C:\WINDOWS\Desktop\Antivir\INFECTED\*.*
14: Wed Aug 24 13:14:36 2005 => Scanning File C:\WINDOWS\Desktop\Antivir\INFECTED\#INDEX# [**]
15: Wed Aug 24 13:17:18 2005 => File C:\WINDOWS\Temporary Internet Files\Content.IE5\0H2N85EZ\index[1].chm infected by "Trojan-Proxy.Win32.Lamb.a" Virus! Action Taken: No Action Taken.
16: Wed Aug 24 13:25:53 2005 => File C:\WINDOWS\Temporary Internet Files\Content.IE5\2CC3IX7E\mstlb[1].chm infected by "Trojan-Dropper.Win32.Small.yd" Virus! Action Taken: No Action Taken.
17: Wed Aug 24 13:28:07 2005 => File C:\_RESTORE\TEMP\A0014954.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
18: Wed Aug 24 13:28:09 2005 => File C:\_RESTORE\TEMP\A0014915.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
19: Wed Aug 24 13:28:09 2005 => File C:\_RESTORE\TEMP\A0007660.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
20: Wed Aug 24 13:28:20 2005 => File C:\_RESTORE\TEMP\A0018029.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
21: Wed Aug 24 13:28:21 2005 => File C:\_RESTORE\TEMP\A0013829.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
22: Wed Aug 24 13:28:21 2005 => File C:\_RESTORE\TEMP\A0013840.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
23: Wed Aug 24 13:28:22 2005 => File C:\_RESTORE\TEMP\A0013878.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
24: Wed Aug 24 13:28:23 2005 => File C:\_RESTORE\TEMP\A0014876.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
25: Wed Aug 24 13:28:23 2005 => File C:\_RESTORE\TEMP\A0015954.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
26: Wed Aug 24 13:28:29 2005 => File C:\_RESTORE\TEMP\A0014921.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
27: Wed Aug 24 13:28:32 2005 => File C:\_RESTORE\TEMP\A0015971.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
28: Wed Aug 24 13:28:32 2005 => File C:\_RESTORE\TEMP\A0018041.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
29: Wed Aug 24 13:28:33 2005 => File C:\_RESTORE\TEMP\A0016971.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
30: Wed Aug 24 13:28:35 2005 => File C:\_RESTORE\TEMP\A0018049.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
31: Wed Aug 24 13:28:35 2005 => File C:\_RESTORE\TEMP\A0016984.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
32: Wed Aug 24 13:28:36 2005 => File C:\_RESTORE\TEMP\A0017026.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
33: Wed Aug 24 13:28:36 2005 => File C:\_RESTORE\TEMP\A0017029.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
34: Wed Aug 24 13:28:38 2005 => File C:\_RESTORE\TEMP\A0018071.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
35: Wed Aug 24 13:28:38 2005 => File C:\_RESTORE\TEMP\A0012829.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
36: Wed Aug 24 13:28:42 2005 => File C:\_RESTORE\TEMP\A0018091.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
37: Wed Aug 24 13:28:42 2005 => File C:\_RESTORE\TEMP\A0018114.CPY infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
38: Wed Aug 24 13:28:43 2005 => File C:\_RESTORE\TEMP\A0018118.CPY infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
39: Wed Aug 24 13:28:43 2005 => File C:\_RESTORE\TEMP\A0019092.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
40: Wed Aug 24 13:28:43 2005 => File C:\_RESTORE\TEMP\A0019094.CPY infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
41: Wed Aug 24 13:28:44 2005 => File C:\_RESTORE\TEMP\A0020091.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
42: Wed Aug 24 13:28:44 2005 => File C:\_RESTORE\TEMP\A0020093.CPY infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
43: Wed Aug 24 13:28:45 2005 => File C:\_RESTORE\TEMP\A0020100.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
44: Wed Aug 24 13:28:45 2005 => File C:\_RESTORE\TEMP\A0020102.CPY infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
45: Wed Aug 24 13:28:45 2005 => File C:\_RESTORE\TEMP\A0021099.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
46: Wed Aug 24 13:28:45 2005 => File C:\_RESTORE\TEMP\A0021102.CPY infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
47: Wed Aug 24 13:28:46 2005 => File C:\_RESTORE\TEMP\A0022100.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
48: Wed Aug 24 13:28:46 2005 => File C:\_RESTORE\TEMP\A0022119.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
49: Wed Aug 24 13:28:47 2005 => File C:\_RESTORE\TEMP\A0022152.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
50: Wed Aug 24 13:28:47 2005 => File C:\_RESTORE\TEMP\A0022154.CPY infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
51: Wed Aug 24 13:28:48 2005 => File C:\_RESTORE\TEMP\A0023151.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
52: Wed Aug 24 13:28:48 2005 => File C:\_RESTORE\TEMP\A0023164.CPY infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
53: Wed Aug 24 13:28:50 2005 => File C:\_RESTORE\TEMP\A0023212.CPY infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
54: Wed Aug 24 13:29:19 2005 => File C:\_RESTORE\ARCHIVE\FS107.CAB infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
55: Wed Aug 24 13:29:19 2005 => File C:\_RESTORE\ARCHIVE\FS97.CAB infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
56: Wed Aug 24 13:29:20 2005 => File C:\_RESTORE\ARCHIVE\FS106.CAB infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
57: Wed Aug 24 13:39:36 2005 => Scanning Folder: C:\Programme\Antivir\INFECTED\*.*

--------------------------------------------------
--------------------- TAGGED ---------------------
--------------------------------------------------

1: Wed Aug 24 12:46:08 2005 => File C:\WINDOWS\SYSTEM\ntfsnlpa.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
2: Wed Aug 24 13:04:58 2005 => File C:\WINDOWS\SYSTEM\ntfsnlpa.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
3: Wed Aug 24 13:28:22 2005 => File C:\_RESTORE\TEMP\A0014959.CPY tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
4: Wed Aug 24 13:28:23 2005 => File C:\_RESTORE\TEMP\A0013884.CPY tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
5: Wed Aug 24 13:28:26 2005 => File C:\_RESTORE\TEMP\A0014896.CPY tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
6: Wed Aug 24 13:28:31 2005 => File C:\_RESTORE\TEMP\A0015959.CPY tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
7: Wed Aug 24 13:28:33 2005 => File C:\_RESTORE\TEMP\A0015975.CPY tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
8: Wed Aug 24 13:28:35 2005 => File C:\_RESTORE\TEMP\A0016976.CPY tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
9: Wed Aug 24 13:28:35 2005 => File C:\_RESTORE\TEMP\A0016980.CPY tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
10: Wed Aug 24 13:28:42 2005 => File C:\_RESTORE\TEMP\A0018116.CPY tagged as "not-a-virus:AdWare.FindSpy.a". Action Taken: No Action Taken.
11: Wed Aug 24 13:28:43 2005 => File C:\_RESTORE\TEMP\A0018117.CPY tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
12: Wed Aug 24 13:28:43 2005 => File C:\_RESTORE\TEMP\A0018121.CPY tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
13: Wed Aug 24 13:28:43 2005 => File C:\_RESTORE\TEMP\A0019095.CPY tagged as "not-a-virus:AdWare.FindSpy.a". Action Taken: No Action Taken.
14: Wed Aug 24 13:28:44 2005 => File C:\_RESTORE\TEMP\A0019096.CPY tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
15: Wed Aug 24 13:28:44 2005 => File C:\_RESTORE\TEMP\A0020095.CPY tagged as "not-a-virus:AdWare.FindSpy.a". Action Taken: No Action Taken.
16: Wed Aug 24 13:28:45 2005 => File C:\_RESTORE\TEMP\A0020096.CPY tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
17: Wed Aug 24 13:28:45 2005 => File C:\_RESTORE\TEMP\A0020103.CPY tagged as "not-a-virus:AdWare.FindSpy.a". Action Taken: No Action Taken.
18: Wed Aug 24 13:28:45 2005 => File C:\_RESTORE\TEMP\A0020104.CPY tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
19: Wed Aug 24 13:28:46 2005 => File C:\_RESTORE\TEMP\A0021104.CPY tagged as "not-a-virus:AdWare.FindSpy.a". Action Taken: No Action Taken.
20: Wed Aug 24 13:28:46 2005 => File C:\_RESTORE\TEMP\A0021105.CPY tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
21: Wed Aug 24 13:28:47 2005 => File C:\_RESTORE\TEMP\A0022155.CPY tagged as "not-a-virus:AdWare.FindSpy.a". Action Taken: No Action Taken.
22: Wed Aug 24 13:28:48 2005 => File C:\_RESTORE\TEMP\A0022156.CPY tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
23: Wed Aug 24 13:28:48 2005 => File C:\_RESTORE\TEMP\A0022159.CPY tagged as "not-a-virus:AdWare.FindSpy.a". Action Taken: No Action Taken.
24: Wed Aug 24 13:28:49 2005 => File C:\_RESTORE\TEMP\A0023166.CPY tagged as "not-a-virus:AdWare.FindSpy.a". Action Taken: No Action Taken.
25: Wed Aug 24 13:29:21 2005 => File C:\_RESTORE\ARCHIVE\FS108.CAB tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.

--------------------------------------------------
--------------------- ERRORS ---------------------
--------------------------------------------------

1: Wed Aug 24 12:39:40 2005 => ERROR!!! Invalid Entry = C:\WINDOWS\sys_ext.dll (in key Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{00110011-4B0B-44D5-9718-90C88817369B}). No Action Taken.
2: Wed Aug 24 12:39:45 2005 => ERROR!!! Invalid Entry StubPath = C:\WINDOWS\SYSTEM\Rundll32.exe C:\WINDOWS\SYSTEM\mscories.dll,Install (in key SOFTWARE\Microsoft\Active Setup\Installed Components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}). No Action Taken.
3: Wed Aug 24 12:39:49 2005 => ERROR!!! Invalid Entry AVWUpd32 = C:\WINDOWS\DESKTOP\ANTIVIR\AVWUPD32.EXE /min (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.
4: Wed Aug 24 12:40:03 2005 => ERROR!!! Invalid Entry dmdrk.exe = C:\WINDOWS\SYSTEM\dmdrk.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.
5: Wed Aug 24 12:40:05 2005 => ERROR!!! Invalid Entry winlogon = c:\windows\winlogon.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.
6: Wed Aug 24 12:40:05 2005 => ERROR!!! Invalid Entry WareOut = "C:\Programme\WareOut\WareOut.exe" (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.
7: Wed Aug 24 12:40:06 2005 => ERROR!!! Invalid Entry winlogon = c:\windows\winlogon.exe (in key .DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.
8: Wed Aug 24 12:40:06 2005 => ERROR!!! Invalid Entry WareOut = "C:\Programme\WareOut\WareOut.exe" (in key .DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.
9: Wed Aug 24 12:40:37 2005 => ERROR!!! Invalid Entry \SystemRoot\System\atmarpc.sys in SYSTEM\CurrentControlSet\Services\ATMARPC...
10: Wed Aug 24 12:45:18 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\VLoading.dll". Action Taken: No Action Taken.
11: Wed Aug 24 12:45:19 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\SYSTEM\JETERR40.CHM". Action Taken: No Action Taken.
12: Wed Aug 24 12:45:19 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\SYSTEM\VFPODBC.TXT". Action Taken: No Action Taken.
13: Wed Aug 24 12:45:19 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\SYSTEM\DRVVFP.HLP". Action Taken: No Action Taken.
14: Wed Aug 24 12:45:19 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\SYSTEM\DRVVFP.CNT". Action Taken: No Action Taken.
15: Wed Aug 24 12:45:19 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\SYSTEM\ODBCJET.HLP". Action Taken: No Action Taken.
16: Wed Aug 24 12:45:19 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\SYSTEM\ODBCJET.CNT". Action Taken: No Action Taken.
17: Wed Aug 24 12:45:19 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\SYSTEM\ODBCINST.HLP". Action Taken: No Action Taken.
18: Wed Aug 24 12:45:19 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\SYSTEM\ODBCINST.CNT". Action Taken: No Action Taken.
19: Wed Aug 24 12:45:19 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\SYSTEM\MSOracle32Readme.txt". Action Taken: No Action Taken.
20: Wed Aug 24 12:45:19 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\SYSTEM\MSORCL32.HLP". Action Taken: No Action Taken.
21: Wed Aug 24 12:45:19 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\SYSTEM\MSORCL32.CNT". Action Taken: No Action Taken.
22: Wed Aug 24 12:45:19 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\SYSTEM\SQLSRDME.TXT". Action Taken: No Action Taken.
23: Wed Aug 24 12:45:19 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\SYSTEM\SQLSOLDB.HLP". Action Taken: No Action Taken.
24: Wed Aug 24 12:45:19 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\SYSTEM\SQEDB.TXT". Action Taken: No Action Taken.
25: Wed Aug 24 12:45:19 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\VLoading.dll". Action Taken: No Action Taken.
26: Wed Aug 24 12:45:20 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\wmplayer.exe" refers to invalid object "C:\Programme\Windows Media Player\wmplayer.exe". Action Taken: No Action Taken.
27: Wed Aug 24 12:45:20 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\CMPAGENT.EXE" refers to invalid object "". Action Taken: No Action Taken.
28: Wed Aug 24 12:45:20 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\table30.exe" refers to invalid object "". Action Taken: No Action Taken.
29: Wed Aug 24 12:45:20 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\pbrush.exe" refers to invalid object "C:\WINDOWS\SYSTEM\mspaint.exe". Action Taken: No Action Taken.
30: Wed Aug 24 12:45:20 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\yourapp.Exe" refers to invalid object "C:\Programme\ANI\ANIWZCS2 Service\YourApp.exe". Action Taken: No Action Taken.
31: Wed Aug 24 12:45:20 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\ALi EASYSONG Audiomate" refers to invalid object "C:\Programme\ALi\ALi EASYSONG Audiomate\ALi EASYSONG Audiomate". Action Taken: No Action Taken.
32: Wed Aug 24 12:45:20 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\Tmp" refers to invalid object "C:\Programme\Synaptics\SynTP.sys". Action Taken: No Action Taken.
33: Wed Aug 24 12:45:20 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\MsoHtmEd.exe" refers to invalid object "". Action Taken: No Action Taken.
34: Wed Aug 24 12:45:20 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\E:" refers to invalid object "". Action Taken: No Action Taken.
35: Wed Aug 24 12:45:20 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\ga_main.exe" refers to invalid object "". Action Taken: No Action Taken.
36: Wed Aug 24 12:45:20 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\ipsecdialer.exe" refers to invalid object "C:\Programme\Cisco Systems\VPN Client\ipsecdialer.exe". Action Taken: No Action Taken.
37: Wed Aug 24 12:45:20 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\Createcd50.exe" refers to invalid object "C:\Programme\Gemeinsame Dateien\Adaptec Shared\CreateCD\createcd50.exe". Action Taken: No Action Taken.
38: Wed Aug 24 12:45:21 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HL-5130" refers to invalid object ".\HL-5130". Action Taken: No Action Taken.
39: Wed Aug 24 12:45:21 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\WLANMon.exe" refers to invalid object "C:\Programme\D-Link\AirPlus G\WLANMon.exe". Action Taken: No Action Taken.
40: Wed Aug 24 12:45:21 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Ahead\Nero ToolKit\". Action Taken: No Action Taken.
41: Wed Aug 24 12:45:21 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".tmp". Action Taken: No Action Taken.
42: Wed Aug 24 12:45:21 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".Miriam%20Gonzalez". Action Taken: No Action Taken.
43: Wed Aug 24 12:45:21 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".Julianna%20Young". Action Taken: No Action Taken.
44: Wed Aug 24 12:45:21 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".PRG". Action Taken: No Action Taken.
45: Wed Aug 24 12:45:21 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".sid". Action Taken: No Action Taken.
46: Wed Aug 24 12:45:21 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".D64". Action Taken: No Action Taken.
47: Wed Aug 24 12:45:21 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".T64". Action Taken: No Action Taken.
48: Wed Aug 24 12:45:21 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".tap". Action Taken: No Action Taken.
49: Wed Aug 24 12:45:22 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".". Action Taken: No Action Taken.
50: Wed Aug 24 12:45:22 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/FOR_SALE/README". Action Taken: No Action Taken.
51: Wed Aug 24 12:45:22 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".sized". Action Taken: No Action Taken.
52: Wed Aug 24 12:45:22 2005 => Entry "HKCR\CLSID\{D3B1DE00-6B94-1069-8754-08002B2BD64F}" refers to invalid object "C:\WINDOWS\SYSTEM\disktool.dll". Action Taken: No Action Taken.
53: Wed Aug 24 12:45:26 2005 => Entry "HKCR\CLSID\{BB7DF450-F119-11CD-8465-00AA00425D90}" refers to invalid object "C:\Programme\Microsoft Office\Office\". Action Taken: No Action Taken.
54: Wed Aug 24 12:45:26 2005 => Entry "HKCR\CLSID\{99180163-DA16-101A-935C-444553540000}" refers to invalid object "recncl.dll". Action Taken: No Action Taken.
55: Wed Aug 24 12:45:27 2005 => Entry "HKCR\CLSID\{11BF0E2B-4229-4ADC-9C11-1C6968731018}" refers to invalid object "C:\WINDOWS\DOWNLOADED PROGRAM FILES\VLOADING.DLL". Action Taken: No Action Taken.
56: Wed Aug 24 12:45:27 2005 => Entry "HKCR\CLSID\{C3F02CFC-6279-4D38-9C52-BFABCCF37600}" refers to invalid object "C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\Ipe20.Exe /StiDevice:%1 /StiEvent:%2". Action Taken: No Action Taken.
57: Wed Aug 24 12:45:27 2005 => Entry "HKCR\CLSID\{FBE840E5-13A5-4cff-B2A9-4D1E64A17FF2}" refers to invalid object "E:\PLAYER\WMMP.EXE". Action Taken: No Action Taken.
58: Wed Aug 24 12:45:27 2005 => Entry "HKCR\CLSID\{F4C6D6E0-A8FB-4281-BE24-1662D646FE2B}" refers to invalid object "E:\PLAYER\WMMP.EXE". Action Taken: No Action Taken.
59: Wed Aug 24 12:45:27 2005 => Entry "HKCR\CLSID\{D98E820F-6ACD-4dc0-921E-9841E3D8B4A7}" refers to invalid object "E:\PLAYER\WMMP.EXE". Action Taken: No Action Taken.
60: Wed Aug 24 12:45:29 2005 => Entry "HKCR\CLSID\{00110011-4B0B-44D5-9718-90C88817369B}" refers to invalid object "C:\WINDOWS\sys_ext.dll". Action Taken: No Action Taken.
61: Wed Aug 24 12:45:29 2005 => Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken.
62: Wed Aug 24 12:45:30 2005 => Entry "HKCR\TypeLib\{67355A47-1544-4905-B698-4D7E5B62EC32}" refers to invalid object "C:\WINDOWS\DOWNLOADED PROGRAM FILES\VLOADING.DLL". Action Taken: No Action Taken.
63: Wed Aug 24 12:45:30 2005 => Entry "HKCR\TypeLib\{F57B25DE-1945-4BE1-8B3D-A1065F8B31A9}" refers to invalid object "E:\PLAYER\WMMP.EXE". Action Taken: No Action Taken.
64: Wed Aug 24 12:45:30 2005 => Entry "HKCR\midfile\shell\open\command" refers to invalid object ""C:\Programme\Windows Media Player\wmplayer.exe" /Open "%L"". Action Taken: No Action Taken.
65: Wed Aug 24 12:45:30 2005 => Entry "HKCR\SoundRec\shell\open\command" refers to invalid object ""C:\Programme\Windows Media Player\wmplayer.exe" /Open "%L"". Action Taken: No Action Taken.
66: Wed Aug 24 12:45:30 2005 => Entry "HKCR\avifile\shell\open\command" refers to invalid object ""C:\Programme\Windows Media Player\wmplayer.exe" /prefetch:8 /Open "%L"". Action Taken: No Action Taken.
67: Wed Aug 24 12:45:31 2005 => Entry "HKCR\MMS\shell\open\command" refers to invalid object ""C:\Programme\Windows Media Player\wmplayer.exe" "%L"". Action Taken: No Action Taken.
68: Wed Aug 24 12:45:31 2005 => Entry "HKCR\MMST\shell\open\command" refers to invalid object ""C:\Programme\Windows Media Player\wmplayer.exe" "%L"". Action Taken: No Action Taken.
69: Wed Aug 24 12:45:31 2005 => Entry "HKCR\MMSU\shell\open\command" refers to invalid object ""C:\Programme\Windows Media Player\wmplayer.exe" "%L"". Action Taken: No Action Taken.
70: Wed Aug 24 12:45:31 2005 => Entry "HKCR\MSBD\shell\open\command" refers to invalid object ""C:\Programme\Windows Media Player\wmplayer.exe" "%L"". Action Taken: No Action Taken.
71: Wed Aug 24 12:45:33 2005 => Entry "HKCR\AIFFFILE\shell\open\command" refers to invalid object ""C:\Programme\Windows Media Player\wmplayer.exe" /Open "%L"". Action Taken: No Action Taken.
72: Wed Aug 24 12:45:33 2005 => Entry "HKCR\AUFILE\shell\open\command" refers to invalid object ""C:\Programme\Windows Media Player\wmplayer.exe" /Open "%L"". Action Taken: No Action Taken.
73: Wed Aug 24 12:45:33 2005 => Entry "HKCR\MPEGFILE\shell\open\command" refers to invalid object ""C:\Programme\Windows Media Player\wmplayer.exe" /prefetch:9 /Open "%L"". Action Taken: No Action Taken.
74: Wed Aug 24 12:45:33 2005 => Entry "HKCR\ASFFile\shell\open\command" refers to invalid object ""C:\Programme\Windows Media Player\wmplayer.exe" /prefetch:7 /Open "%L"". Action Taken: No Action Taken.
75: Wed Aug 24 12:45:33 2005 => Entry "HKCR\ASXFile\shell\open\command" refers to invalid object ""C:\Programme\Windows Media Player\wmplayer.exe" /Open "%L"". Action Taken: No Action Taken.
76: Wed Aug 24 12:45:33 2005 => Entry "HKCR\CDAFile\shell\open\command" refers to invalid object ""C:\Programme\Windows Media Player\wmplayer.exe" /Open "%L"". Action Taken: No Action Taken.
77: Wed Aug 24 12:45:33 2005 => Entry "HKCR\m3ufile\shell\open\command" refers to invalid object ""C:\Programme\Windows Media Player\wmplayer.exe" /prefetch:6 /Open "%L"". Action Taken: No Action Taken.
78: Wed Aug 24 12:45:33 2005 => Entry "HKCR\mp3file\shell\open\command" refers to invalid object ""C:\Programme\Windows Media Player\wmplayer.exe" /prefetch:6 /Open "%L"". Action Taken: No Action Taken.
79: Wed Aug 24 12:45:33 2005 => Entry "HKCR\WAXFile\shell\open\command" refers to invalid object ""C:\Programme\Windows Media Player\wmplayer.exe" /Open "%L"". Action Taken: No Action Taken.
80: Wed Aug 24 12:45:33 2005 => Entry "HKCR\WVXFile\shell\open\command" refers to invalid object ""C:\Programme\Windows Media Player\wmplayer.exe" /Open "%L"". Action Taken: No Action Taken.
81: Wed Aug 24 12:45:33 2005 => Entry "HKCR\WMAFile\shell\open\command" refers to invalid object ""C:\Programme\Windows Media Player\wmplayer.exe" /prefetch:5 /Open "%L"". Action Taken: No Action Taken.
82: Wed Aug 24 12:45:33 2005 => Entry "HKCR\WMPFile\shell\open\command" refers to invalid object ""C:\Programme\Windows Media Player\wmplayer.exe" /Open "%L"". Action Taken: No Action Taken.
83: Wed Aug 24 12:45:33 2005 => Entry "HKCR\WMVFile\shell\open\command" refers to invalid object ""C:\Programme\Windows Media Player\wmplayer.exe" /prefetch:7 /Open "%L"". Action Taken: No Action Taken.
84: Wed Aug 24 12:45:33 2005 => Entry "HKCR\WMSFile\shell\open\command" refers to invalid object ""C:\Programme\Windows Media Player\wmplayer.exe" /layout:"%L"". Action Taken: No Action Taken.
85: Wed Aug 24 12:45:33 2005 => Entry "HKCR\WMDFile\shell\open\command" refers to invalid object ""C:\Programme\Windows Media Player\wmplayer.exe" /WMPackage:"%L"". Action Taken: No Action Taken.
86: Wed Aug 24 12:45:33 2005 => Entry "HKCR\WMZFile\shell\open\command" refers to invalid object ""C:\Programme\Windows Media Player\wmplayer.exe" /layout:"%L"". Action Taken: No Action Taken.
87: Wed Aug 24 12:45:33 2005 => Entry "HKCR\Plenoptic.Plenoptic.1" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.
88: Wed Aug 24 12:45:33 2005 => Entry "HKCR\Plenoptic.Plenoptic" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.
89: Wed Aug 24 12:45:33 2005 => Entry "HKCR\WMDMPDAExplorer.WMDMPDAExplorer.1" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.
90: Wed Aug 24 12:45:33 2005 => Entry "HKCR\WMDMPDAExplorer.WMDMPDAExplorer" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.
91: Wed Aug 24 12:45:33 2005 => Entry "HKCR\.acl" refers to invalid object "ACLFile". Action Taken: No Action Taken.
92: Wed Aug 24 12:45:34 2005 => Entry "HKCR\.aw" refers to invalid object "AWFile". Action Taken: No Action Taken.
93: Wed Aug 24 12:45:34 2005 => Entry "HKCR\.col" refers to invalid object "COLFile". Action Taken: No Action Taken.
94: Wed Aug 24 12:45:34 2005 => Entry "HKCR\.det" refers to invalid object "DETFile". Action Taken: No Action Taken.
95: Wed Aug 24 12:45:34 2005 => Entry "HKCR\.elm" refers to invalid object "ELMFile". Action Taken: No Action Taken.
96: Wed Aug 24 12:45:34 2005 => Entry "HKCR\.ffa" refers to invalid object "FFAFile". Action Taken: No Action Taken.
97: Wed Aug 24 12:45:34 2005 => Entry "HKCR\.ffl" refers to invalid object "FFLFile". Action Taken: No Action Taken.
98: Wed Aug 24 12:45:34 2005 => Entry "HKCR\.fft" refers to invalid object "FFTFile". Action Taken: No Action Taken.
99: Wed Aug 24 12:45:34 2005 => Entry "HKCR\.ffx" refers to invalid object "FFXFile". Action Taken: No Action Taken.
100: Wed Aug 24 12:45:34 2005 => Entry "HKCR\.frg" refers to invalid object "Access.Fragment". Action Taken: No Action Taken.
101: Wed Aug 24 12:45:34 2005 => Entry "HKCR\.gst" refers to invalid object "MSMap.Datainst.8". Action Taken: No Action Taken.
102: Wed Aug 24 12:45:34 2005 => Entry "HKCR\.idc" refers to invalid object "idcfile". Action Taken: No Action Taken.
103: Wed Aug 24 12:45:34 2005 => Entry "HKCR\.ldb" refers to invalid object "Access.LockFile.9". Action Taken: No Action Taken.
104: Wed Aug 24 12:45:34 2005 => Entry "HKCR\.lex" refers to invalid object "LEXFile". Action Taken: No Action Taken.
105: Wed Aug 24 12:45:34 2005 => Entry "HKCR\.opc" refers to invalid object "OPCFile". Action Taken: No Action Taken.
106: Wed Aug 24 12:45:34 2005 => Entry "HKCR\.pcb" refers to invalid object "PCBFile". Action Taken: No Action Taken.
107: Wed Aug 24 12:45:34 2005 => Entry "HKCR\.pip" refers to invalid object "PIPFile". Action Taken: No Action Taken.
108: Wed Aug 24 12:45:34 2005 => Entry "HKCR\.SC2" refers to invalid object "SchedulePlus.Application.7". Action Taken: No Action Taken.
109: Wed Aug 24 12:45:34 2005 => Entry "HKCR\.SCD" refers to invalid object "SchedulePlus.Application.7". Action Taken: No Action Taken.
110: Wed Aug 24 12:45:34 2005 => Entry "HKCR\.SCH" refers to invalid object "SchedulePlus.Application.7". Action Taken: No Action Taken.
111: Wed Aug 24 12:45:34 2005 => Entry "HKCR\.sll" refers to invalid object "SSLFile". Action Taken: No Action Taken.
112: Wed Aug 24 12:45:34 2005 => Entry "HKCR\.stf" refers to invalid object "STFFile". Action Taken: No Action Taken.
113: Wed Aug 24 12:45:34 2005 => Entry "HKCR\.tuw" refers to invalid object "TUWFile". Action Taken: No Action Taken.
114: Wed Aug 24 12:45:34 2005 => Entry "HKCR\.wll" refers to invalid object "Word.Addin.8". Action Taken: No Action Taken.
115: Wed Aug 24 12:45:35 2005 => Entry "HKCR\mapifvbx.object" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.
116: Wed Aug 24 12:45:35 2005 => Entry "HKCR\mapifvbx.object.1" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.
117: Wed Aug 24 12:45:35 2005 => Entry "HKCR\MailFileAtt" refers to invalid object "{00020D05-0000-0000-C000-000000000046}". Action Taken: No Action Taken.
118: Wed Aug 24 12:45:35 2005 => Entry "HKCR\ActMsg.Session" refers to invalid object "{3FA7DEB3-6438-101B-ACC1-00AA00423326}". Action Taken: No Action Taken.
119: Wed Aug 24 12:45:36 2005 => Entry "HKCR\PhotoBase.Document\shell\open\command" refers to invalid object "C:\Programme\ArcSoft\PhotoBase\PhotoBase\PHBASE.EXE "%1"". Action Taken: No Action Taken.
120: Wed Aug 24 12:45:36 2005 => Entry "HKCR\ram_auto_file\shell\open\command" refers to invalid object "C:\PROGRA~1\WINDOW~1\wmplayer.exe /Open "%L"". Action Taken: No Action Taken.
121: Wed Aug 24 12:45:37 2005 => Entry "HKCR\WPLFile\shell\open\command" refers to invalid object ""C:\Programme\Windows Media Player\wmplayer.exe" /Open "%L"". Action Taken: No Action Taken.
122: Wed Aug 24 12:45:39 2005 => Entry "HKCR\ComPlusMetaData.MsCorHost" refers to invalid object "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Action Taken: No Action Taken.
123: Wed Aug 24 12:45:39 2005 => Entry "HKCR\ComPlusMetaData.MsCorHost.2" refers to invalid object "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Action Taken: No Action Taken.
124: Wed Aug 24 12:45:39 2005 => Entry "HKCR\SymWriter.pdb" refers to invalid object "{520DC67A-752E-11D3-8D56-00C04F680B2B}". Action Taken: No Action Taken.

--------------------------------------------------
-------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------
--------------------------------------------------

1: C:\WINDOWS\SYSTEM\HCLEAN32.EXE => Trojan.Win32.Qhost.qr
2: C:\WINDOWS\SYSTEM\csvrb.exe => Trojan-Dropper.Win32.Vidro.u
3: C:\WINDOWS\TEMPOR~1\CONTENT.IE5\0H2N85EZ\index[1].chm => Trojan-Proxy.Win32.Lamb.a
4: C:\WINDOWS\TEMPOR~1\CONTENT.IE5\2CC3IX7E\mstlb[1].chm => Trojan-Dropper.Win32.Small.yd
5: C:\WINDOWS\Temporary Internet Files\Content.IE5\0H2N85EZ\index[1].chm => Trojan-Proxy.Win32.Lamb.a
6: C:\WINDOWS\Temporary Internet Files\Content.IE5\2CC3IX7E\mstlb[1].chm => Trojan-Dropper.Win32.Small.yd
7: C:\_RESTORE\TEMP\A0014954.CPY => Trojan-Dropper.Win32.Vidro.u
8: C:\_RESTORE\TEMP\A0014915.CPY => Trojan-Dropper.Win32.Vidro.u
9: C:\_RESTORE\TEMP\A0007660.CPY => Trojan-Dropper.Win32.Vidro.u
10: C:\_RESTORE\TEMP\A0018029.CPY => Trojan-Dropper.Win32.Vidro.u
11: C:\_RESTORE\TEMP\A0013829.CPY => Trojan-Dropper.Win32.Vidro.u
12: C:\_RESTORE\TEMP\A0013840.CPY => Trojan-Dropper.Win32.Vidro.u
13: C:\_RESTORE\TEMP\A0013878.CPY => Trojan-Dropper.Win32.Vidro.u
14: C:\_RESTORE\TEMP\A0014876.CPY => Trojan-Dropper.Win32.Vidro.u
15: C:\_RESTORE\TEMP\A0015954.CPY => Trojan-Dropper.Win32.Vidro.u
16: C:\_RESTORE\TEMP\A0014921.CPY => Trojan-Dropper.Win32.Vidro.u
17: C:\_RESTORE\TEMP\A0015971.CPY => Trojan-Dropper.Win32.Vidro.u
18: C:\_RESTORE\TEMP\A0018041.CPY => Trojan-Dropper.Win32.Vidro.u
19: C:\_RESTORE\TEMP\A0016971.CPY => Trojan-Dropper.Win32.Vidro.u
20: C:\_RESTORE\TEMP\A0018049.CPY => Trojan-Dropper.Win32.Vidro.u
21: C:\_RESTORE\TEMP\A0016984.CPY => Trojan-Dropper.Win32.Vidro.u
22: C:\_RESTORE\TEMP\A0017026.CPY => Trojan-Dropper.Win32.Vidro.u
23: C:\_RESTORE\TEMP\A0017029.CPY => Trojan-Dropper.Win32.Vidro.u
24: C:\_RESTORE\TEMP\A0018071.CPY => Trojan-Dropper.Win32.Vidro.u
25: C:\_RESTORE\TEMP\A0012829.CPY => Trojan-Dropper.Win32.Vidro.u
26: C:\_RESTORE\TEMP\A0018091.CPY => Trojan-Dropper.Win32.Vidro.u
27: C:\_RESTORE\TEMP\A0018114.CPY => Trojan.Win32.Qhost.qr
28: C:\_RESTORE\TEMP\A0018118.CPY => Trojan.Win32.Qhost.qr
29: C:\_RESTORE\TEMP\A0019092.CPY => Trojan-Dropper.Win32.Vidro.u
30: C:\_RESTORE\TEMP\A0019094.CPY => Trojan.Win32.Qhost.qr
31: C:\_RESTORE\TEMP\A0020091.CPY => Trojan-Dropper.Win32.Vidro.u
32: C:\_RESTORE\TEMP\A0020093.CPY => Trojan.Win32.Qhost.qr
33: C:\_RESTORE\TEMP\A0020100.CPY => Trojan-Dropper.Win32.Vidro.u
34: C:\_RESTORE\TEMP\A0020102.CPY => Trojan.Win32.Qhost.qr
35: C:\_RESTORE\TEMP\A0021099.CPY => Trojan-Dropper.Win32.Vidro.u
36: C:\_RESTORE\TEMP\A0021102.CPY => Trojan.Win32.Qhost.qr
37: C:\_RESTORE\TEMP\A0022100.CPY => Trojan-Dropper.Win32.Vidro.u
38: C:\_RESTORE\TEMP\A0022119.CPY => Trojan-Dropper.Win32.Vidro.u
39: C:\_RESTORE\TEMP\A0022152.CPY => Trojan-Dropper.Win32.Vidro.u
40: C:\_RESTORE\TEMP\A0022154.CPY => Trojan.Win32.Qhost.qr
41: C:\_RESTORE\TEMP\A0023151.CPY => Trojan-Dropper.Win32.Vidro.u
42: C:\_RESTORE\TEMP\A0023164.CPY => Trojan.Win32.Qhost.qr
43: C:\_RESTORE\TEMP\A0023212.CPY => Trojan-Dropper.Win32.Vidro.u
44: C:\_RESTORE\ARCHIVE\FS107.CAB => Trojan-Dropper.Win32.Vidro.u
45: C:\_RESTORE\ARCHIVE\FS97.CAB => Trojan-Dropper.Win32.Vidro.u
46: C:\_RESTORE\ARCHIVE\FS106.CAB => Trojan-Dropper.Win32.Vidro.u

--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------

Wed Aug 24 13:47:13 2005 => Total Objects Scanned: 109390
Wed Aug 24 13:47:13 2005 => Total Virus(es) Found: 76
Wed Aug 24 13:47:14 2005 => Total Errors: 124
Wed Aug 24 13:47:14 2005 => Virus Database Date: 2005/08/24
Wed Aug 24 13:47:14 2005 => Virus Database Count: 145360

#2 Hallo@Falcon

loeschen:
C:\WINDOWS\SYSTEM\hookdll.dll
C:\Programme\WareOut

«Windows Me
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807134146924
->>Öffne dafür »Systemsteuerung | System« und wechsel zu
»Systemwiederherstellung«. Dort hake dann
»Systemwiederherstellung auf allen Laufwerken deaktivieren« ab.


CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

scanne bitte mit ewido und poste mir das Log vom Scan
http://virus-protect.org/ewido.html

silentrunners
http://virus-protect.org/silentrunner.html
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo@Sabina!

Vielen Dank für deine Hinweise. Leider war nicht alles erfolgreich:

C:\WINDOWS\SYSTEM\hookdll.dll konnte ich nicht löschen. Fehlermeldung lautet: "[Dateiname] kann nicht gelöscht werden. Die angegebene Datei wird von Windows verwendet."

Der Ordner "WareOut" ist laut Windows Explorer auf der gesamten Festplatte nicht vorhanden, vor allem nicht im Ordner "Programme".

Mit Ewido habe ich gar nichts gemacht, weil auf der URL steht: "bei WinMe funktioniert es nicht...".

Systemwiederherstellung habe ich deaktiviert. CCleaner habe ich 2x durchlaufen lassen. Im Anschluss poste ich das Ergebnis von Silentrunners.

Ergeben sich daraus weitere Lösungsvorschläge?

Gruß
Falcon

"Silent Runners.vbs", revision 40, http://www.silentrunners.org/
Operating System: Windows Me (Millennium Edition)
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"winlogon" = "c:\windows\winlogon.exe" [file not found]
"WareOut" = ""C:\Programme\WareOut\WareOut.exe"" [file not found]
"SpyBlocs" = "C:\Programme\eBlocs\SpyBlocs\GLF9001.exe" ["www.eblocs.com"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ScanRegistry" = "C:\WINDOWS\scanregw.exe /autorun" [MS]
"TaskMonitor" = "C:\WINDOWS\taskmon.exe" [MS]
"PCHealth" = "C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s" [MS]
"SystemTray" = "SysTray.Exe" [MS]
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
"ALiSndMgr" = "ALiSndMg.exe" ["ALi Laboratories Inc."]
"LTSMMSG" = "LTSMMSG.exe" ["Lucent Technologies"]
"AcerPowerkey" = ""C:\Programme\Acer\Powerkey\Powerkey.exe"" ["Acer"]
"SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"VolKey" = "C:\WINDOWS\SYSTEM\Keymap.exe" [null data]
"Launch App" = "c:\DMSINFO\launapp.exe" ["DMS"]
"AVGCtrl" = "C:\WINDOWS\DESKTOP\ANTIVIR\AVGCTRL.EXE /min" ["H+BEDV Datentechnik GmbH"]
"AVWUpd32" = "C:\WINDOWS\DESKTOP\ANTIVIR\AVWUPD32.EXE /min" [file not found]
"TkBellExe" = "C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot" ["RealNetworks, Inc."]
"D-Link AirPlus G" = "C:\Programme\D-Link\AirPlus G\AirGCFG.exe" ["D-Link"]
"ANIWZCS2Service" = "C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" ["Alpha Networks Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ {++}
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
"SchedulingAgent" = "mstask.exe" [MS]
"SSDPSRV" = "C:\WINDOWS\SYSTEM\ssdpsrv.exe" [MS]
"*StateMgr" = "C:\WINDOWS\System\Restore\StateMgr.exe" [MS]
"StillImageMonitor" = "C:\WINDOWS\SYSTEM\STIMON.EXE" [MS]
"KB891711" = "C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE" [MS]

HKLM\Software\Microsoft\Active Setup\Installed Components\
PerUser_CVT_Inis\(Default) = "Windows Setup - FAT32-Konvertierung"
\StubPath = "rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_CVT_Inis 64 C:\WINDOWS\INF\applets1.inf" [MS]
{44BBA851-CC51-11CF-AAFA-00AA00B6015C}\(Default) = "Microsoft Web Publishing-Assistent 1.6"
\StubPath = "rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wpie5x86.inf,PerUserRemove" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX" ["("]
{00110011-4B0B-44D5-9718-90C88817369B}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\sys_ext.dll" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universal Plug and Play Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\SYSTEM\UPNPUI.DLL" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRAMME\REAL\REALONE PLAYER\RPPLUGINS\IERPPLUG.DLL" ["RealNetworks"]
"{2E9D3540-211C-11d0-A5F2-00A0248C37BE}" = "Nero Shell Extension Property Sheet"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Ahead\Nero\neroshx.dll" ["ahead software gmbh im stoeckmaedle 6 76307 karlsbad, germany Fax: ++49-7248-911-888 e-mail: info@ahead.de"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\Desktop\Antivir\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\Desktop\Antivir\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]


System Policies [Description]:
------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "NoBandCustomize"=dword:00000001
[disables toolbar status changes in Internet Explorer|View|Toolbars]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\Anwendungsdaten\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp"


WIN.INI & SYSTEM.INI launch points:
-----------------------------------

SYSTEM.INI
[boot]
"scrnsave.exe=C:\WINDOWS\SYSTEM\EIGENE~1.SCR" (Eigene Bilder Bildschirmschoner.scr) [MS]


Startup items in "Startup" & "All Users...Startup" folders:
-----------------------------------------------------------

C:\WINDOWS\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]


Enabled Scheduled Tasks:
------------------------

"Programmstart beschleunigen" -> launches: "walign" [MS]
"PCHealth-Planer für die Zusammenstellung der Daten" -> launches: "C:\WINDOWS\PCHEALTH\SUPPORT\PCHSCHD.EXE -c" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "C:\WINDOWS\SYSTEM\rnr20.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range:
C:\WINDOWS\SYSTEM\mswsosp.dll [MS], 1
C:\WINDOWS\SYSTEM\msafd.dll [MS], 2 - 4
C:\WINDOWS\SYSTEM\rsvpsp.dll [MS], 5 - 6


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "MSN Messenger Service"
"Exec" = "C:\PROGRA~1\MESSEN~1\MSMSGS.EXE" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.acer.com/
[Strings]: SAFESITE_VALUE="ie.search.msn.de"

Missing lines (compared with English-language version):
[Strings]: 2 lines

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
HIJACK WARNING! "blank" = "http://205.134.182.164/1/" [file not found]


HOSTS file
----------

C:\WINDOWS\HOSTS

maps: 1 domain name to an IP address,
1 of the IP addresses is *not* localhost!


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 26 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 198 seconds.
---------- (total run time: 252 seconds)

#4 Gehe in die Registry

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoBandCustomize"=dword:00000001 <--aendere den Wert in 0

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
"blank" = "http://205.134.182.164/1/ <--loeschen

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"winlogon" = "c:\windows\winlogon.exe" [file not found] <--loeschen
"WareOut" = ""C:\Programme\WareOut\WareOut.exe <--loeschen
------------------------------------------------------------------------------------
KillBox
http://www.bleepingcomputer.com/files/killbox.php

Anleitung: (bebildert)
http://virus-protect.org/killbox.html

Delete File on Reboot (anhaken)

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? " ---- klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

c:\windows\winlogon.exe
C:\WINDOWS\SYSTEM\hookdll.dll

PC neustarten

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

Onlinescan (panda und McAfee FreeScan) --> poste, was gefunden wurde
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hi@Sabina!

Erstmal vielen Dank für deine Hinweise.

Die Veränderungen in der Registry habe ich vorgenommen. Ich vermute aber, dass irgend etwas mit Killbox nicht funktioniert. Denn wenn ich meinen Rechner hochfahre, erscheint stets ein kleines Fenster mit dem Wortlaut: "KeyMap error message. Can't load the hookdll.dll". Das liegt vielleicht daran, dass das Programm bei mir etwas anders verfährt, als du erläutert hast: Wenn ich auf das rote Kreuz klicke, erscheint zunächst die Meldung "File will be deleted on next reboot". Wenn ich dort auf OK klicke, erscheint die Nachricht "You will need to reboot the computer to complete the replace". Wenn ich auch dort auf OK klicke, erscheint wieder das Killbox-Eingabe-Fenster, allerdings mit leerer Eingabezeile. Ich werde also gar nicht vom Programm gefragt, ob ich rebooten will. Auch scheint das Programm die zu löschenden Dateien nicht zu speichern. Dennoch habe ich - mehrmals - die beiden Dateien hintereinander in die Eingabezeile kopiert und danach den Rechner neu gestartet - mal mit Kaltstart, mal mit Warmstart.

Danach habe ich noch den Scan mit Panda durchgeführt, den mit McAfee begonnen, aber abgebrochen, nachdem mir AntiVir zwischendrin schon wieder einen Trojaner gemeldet hatte. Unten ist das Ergebnis von Panda.

Any comments? Jedenfalls schon mal vielen Dank im Voraus!

Gruß
Falcon


Incident Status Location

Spyware:spyware/wareout No disinfected C:\WINDOWS\Anwendungsdaten\wo.tmp
Spyware:spyware/adclicker No disinfected C:\WINDOWS\help_dcc.dll
Adware:adware/sbsoft No disinfected C:\WINDOWS\rdt.ini

#6 Schritt 1 :
Erstelle eine neue Datei C:\bad

ich hoffe, das Win Me das Kommando cmd hat.....

Schritt 2 :
Start - Ausführen - cmd (reinschreiben)

kopiere in das DOS-Fenster:

move C:\WINDOWS\help_dcc.dll C:\bad
move C:\WINDOWS\rdt.ini C:\bad
move c:\windows\winlogon.exe C:\bad
move C:\WINDOWS\SYSTEM\hookdll.dll C:\bad
move C:\WINDOWS\Anwendungsdaten\wo.tmp C:\bad


-- und klicke jedes Mal -- [enter]

Schritt 3 :
loesche: C:\bad
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Da WinME auf der Win9x-Kernel aufgebaut ist und auf DOS aufsetzt, dürfte es statt "cmd" das Kommando "command" sein.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#8 Dank an euch beide.

Ich war mir nicht sicher, ob ich einen Ordner oder tatsächlich, wie du (@Sabina) geschrieben hast, eine "Datei" mit dem Namen "bad" erstellen sollte. Habe mich für den Ordner entschieden, erstellt mit Hilfe des Windows Explorer.

Ob WinMe "cmd" kennt, weiß ich nicht, jedenfalls hat es mit "command" geklappt.

Bei den beiden Dateien "c:\windows\winlogon.exe" und "C:\WINDOWS\SYSTEM\hookdll.dll" habe ich vom DOS folgende Meldung erhalten: "[Dateiname] kann nicht verschoben werden - Datei oder Verzeichnis nicht vorhanden". Die anderen drei Dateien sind brav in den Ordner "bad" gewandert, den ich anschließend gelöscht habe. Auch den Papierkorb habe ich dann entleert und noch einmal mit CCleaner alle temp-Dateien gelöscht.

Beim Hochfahren des Rechners erscheint allerdings immer noch die Meldung „KeyMap error message. Can’t load the hookdll.dll“.

Interessant erscheint mir im Übrigen, dass das Programm SpyBlocs mir seit Kurzem ungefragt unter der Rubrik „Alerts“ die drei folgenden „recently modified system files“ angibt:
HCLEAN32.EXE
dmdrk.exe
cseom.exe
Sie sollen sich im „startup menu“ befinden.

Habt ihr noch Ideen?

Gruß
Falcon

#9 evtl. sind die beiden Dateien versteckt. Mache folgendes unter "command" und dann erneut Sabinas Schritte.

attrib c:\windows\winlogon.exe -h -s
attrib c:\windows\system\hookdll.dll -h -s
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#10 Mein Rechner findet die Dateien immer noch nicht. Hier das Protokoll meiner DOS-Eingaben und der jeweiligen Reaktion des Rechners:

C:\>attrib c:\windows\winlogon.exe -h -s
Datei nicht gefunden - c:\windows\winlogon.exe

C:\>attrib c:\windows\system\hookdll.dll -h -s
Datei nicht gefunden - c:\windows\system\hookdll.dll

Die Suche mit dem Suchwort „hookdll“ in der Suchfunktion des Windows Explorer ergab zunächst keine Treffer. Dann habe ich unter Extras/Ordneroptionen/Ansicht „Alle Systemsteuerungsoptionen und Ordnerinhalte anzeigen“ aktiviert und „Geschützte Systemdateien ausblenden (empfohlen)“ deaktiviert. Daraufhin zeigt mir der Explorer nach Eingabe des Suchwortes „hookdll“ eine Datei „HOOKDLL.0“, die sich im Ordner „C:\_RESTORE\TEMP“ befinden soll.

Das Suchwort „winlogon“ ergibt einen Treffer, nämlich die Datei „WinLogon.ebl“, die sich angeblich in dem Ordner C:\Programme\eBlocs\SpyBlocs\{1369718B-6DC5-411A-9F52-9E65856E088D}\Shield befindet.

Ergeben sich daraus neue Lösungsansätze?

Gruß
Falcon

#11 Deaktiviere die Systemwiederherstellung.
Start -> Systemsteuerung -> System -> Systemwiederherstellung (sollte bei WinME dort auch zu finden sein, bin mir aber nicht ganz sicher, da ich mit der MüllEdition nur sehr sehr kurz mal gearbeitet habe)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#12 Übrigens ist mir gerade aufgefallen, dass mein Rechner offensichtlich noch eine ganze Reihe von temporären Dateien hat, die das Programm CCleaner nicht gefunden oder ignoriert hat. Jedenfalls zeigt der Windows Explorer, seitdem ich die Ordneroptionen geändert habe, sehr viele Dateien des Formats .tmp mit dem Attribut "versteckt" an. Es handelt sich allerdings offenbar ausschließlich um temporäre Word-Dateien.

Wie kann ich diese - wohl überflüssigen(?) - Dateien löschen? Oder ist das schon off-topic?

Gruß
Falcon

#13 Ich denke, das geht schon ins OT, aber: markieren und Entf. drücken
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#14 Die Systemwiederherstellung ist schon seit zwei Tagen durchgehend deaktiviert.

#15

Zitat

Troj/AdClick-AE versucht, sich mit einer Website mit pornografischem Inhalt zu verbinden und dann Werbeanzeigen anzuzeigen.
Wenn er erstmals ausgeführt wird, kopiert er sich mit dem Dateinamen winlogon.exe in den Windows-Ordner.
Damit er automatisch beim Start von Windows aktiviert wird, erstellt Troj/AdClick-AE den folgenden Registrierungseintrag:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
winlogon = winlogon.exe.
Troj/AdClick-AE versucht außerdem, mehrere Bilddateien von ://66/250.131.242 herunterzuladen. Die Bilder werden als help_dcc.dll und help_ecc.dll im Windows-Ordner gespeichert.
Sobald der Trojaner auf dem System installiert ist, registriert er sich über die HTTP CGI Methode auf der Website.

Löschen der temp-Dateien
Im abgesicherten Modus:

öffne das Notepad (Texteditor) und kopiere folgendes rein:


del c:\*.tmp
del %temp%\*.tmp /f
del %windir%\temp\*.* /f
del C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\*.* /f


Speichere es ab als clean.bat. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Doppelklick auf das Icon und mit "yes" oder "ja" bestaetigen

------------------------------------------------------------------------

um den anderen Hijacker zu loeschen, sind einige Schritte notwendig.
http://virus-protect.org/Artikel/spyware/hclean32.html

FindIt.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/FindIt.zip

Lade, entpacke und klicke auf: "find.bat" [ignoriere : File not found messages]
DOS öffnet sich -- warte den Scan ab -- es öffnet sich der Texteditor -- und poste den Text von output.txt.

bitte abarbeiten:
http://virus-protect.org/datfindbat.html

WinPFind
http://www.bleepingcomputer.com/files/winpfind.php
Anleitung: http://virus-protect.org/winpfind.html

HijackThis
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit