NewDotNet/NewDotNet.dll /A.7.Virus - keine Internetverbindung mehr ?

Thema ist geschlossen!
Thema ist geschlossen!
#0
13.01.2007, 15:31
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#136 Status: Ignored - ist keine gute idee - bitte alles loeschen (oder Quarantaene) ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.01.2007, 16:10
...neu hier

Beiträge: 7
#137 und dann is der auch aus der registry draußen?
ok, alles gelöscht.
start scan now!

edit: counterspy has not detected any risks on your computer.
und jetz?
Dieser Beitrag wurde am 13.01.2007 um 16:41 Uhr von jwsd2 editiert.
Seitenanfang Seitenende
13.01.2007, 17:50
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#138 jetzt muesste dein rechner um einiges sauberer sein ;)

TuneUp
http://virus-protect.org/reinigungstoolsregistry.html
wende NUR an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner
~~~~~~~~~~~~~~~~~~~~

««
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

Cisco Systems, Inc. VPN Service (CVPND) - deaktivieren

deinstalliere:
C:\Programme\Cisco Systems\VPN Client - wenn du es nicht unbedingt brauchst.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.01.2007, 20:07
...neu hier

Beiträge: 7
#139 diskcleaner und registry cleaner angewendet.
cisco systems vpn service deaktiviert.
vpn client deinstalled.
counterspy findet nichts mehr.

icq geht wieder.
trotzdem keine mails über thunderbrid abrufbar.
kein flash fxp zugang.
kein mirc. (unable to connect server)
Seitenanfang Seitenende
14.01.2007, 00:12
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#140 hast du die XP-Firewall aktiviert ?
oder eine andere Firewall?
dort muesstest du nachhaken.

poste dieses log
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.01.2007, 05:45
...neu hier

Beiträge: 7
#141 doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung"
"DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"="Bietet allen Computern in Privat- und Kleinunternehmensnetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00000a0e

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"D:\\01-progs\\flashfxp\\FlashFXP.exe"="D:\\01-progs\\flashfxp\\FlashFXP.exe:*:Enabled:FlashFXP v3"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001
"DoNotAllowExceptions"=dword:00000000
"DisableNotifications"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"D:\\01-progs\\flashfxp\\FlashFXP.exe"="D:\\01-progs\\flashfxp\\FlashFXP.exe:*:Enabled:FlashFXP v3"
"D:\\01-progs\\mirc\\mirc.exe"="D:\\01-progs\\mirc\\mirc.exe:*:Enabled:mIRC"
"D:\\01-progs\\autotrade\\db\\bin\\pree_mysqld.exe"="D:\\01-progs\\autotrade\\db\\bin\\pree_mysqld.exe:*:Enabled:pree_mysqld"
"D:\\01-progs\\autotrade\\pree.exe"="D:\\01-progs\\autotrade\\pree.exe:*:Enabled:pree"
"E:\\games\\cs\\SteamApps\\hellkite13@gmx.de\\counter-strike\\hl.exe"="E:\\games\\cs\\SteamApps\\hellkite13@gmx.de\\counter-strike\\hl.exe:*:Enabled:Half-Life Launcher"
"D:\\01-progs\\sam2\\SAM2.exe"="D:\\01-progs\\sam2\\SAM2.exe:*:Enabled:SAM2"
"D:\\01-progs\\hlsw\\hlsw.exe"="D:\\01-progs\\hlsw\\hlsw.exe:*:Enabled:HLSW"
"D:\\01-progs\\icq\\ICQLite.exe"="D:\\01-progs\\icq\\ICQLite.exe:*:Enabled:ICQ Lite"
"D:\\01-progs\\sam3\\SAMBC.exe"="D:\\01-progs\\sam3\\SAMBC.exe:*:Enabled:SAMBC"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Programme\\Gemeinsame Dateien\\AOL\\1158174292\\ee\\aim6.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\1158174292\\ee\\aim6.exe:*:Enabled:AIM"
"C:\\Programme\\Gemeinsame Dateien\\AOL\\Loader\\aolload.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\Loader\\aolload.exe:*;)isabled:AOL Loader"
"C:\\Programme\\Gemeinsame Dateien\\AOL\\1158174292\\ee\\aolsoftware.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\1158174292\\ee\\aolsoftware.exe:*;)isabled:AOL Services"
"D:\\01-progs\\firefox\\firefox.exe"="D:\\01-progs\\firefox\\firefox.exe:*:Enabled:Firefox"
"D:\\01-progs\\raiden\\r.exe"="D:\\01-progs\\raiden\\r.exe:*:Enabled:RaidenFTPD"
"D:\\01-progs\\skype\\Skype.exe"="D:\\01-progs\\skype\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]



...ganz ehrlich: wenn ich das so anschaue; ich hab kein plan was ich da tue
Seitenanfang Seitenende
14.01.2007, 12:32
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#142 wie gehst du ins internet - Router ? Modem ? - AOL ?

aolsoftware.exe:*disabled:AOL Services"

..........

"D:\\01-progs\\flashfxp\\FlashFXP.exe"="D:\\01-progs\\flashfxp\\FlashFXP.exe:*:Enabled:FlashFXP v3"
"D:\\01-progs\\mirc\\mirc.exe"="D:\\01-progs\\mirc\\mirc.exe:*:Enabled:mIRC"

- ist in der Firewall aktiviert - muesste also funktionieren.

- du solltest in der XP-Firewall die POP3 - freischalten, damit der Thunderbird funktioniert.
http://www.rz.rwth-aachen.de/computing/windows/netzwerk_beratung/sicherheit/icf/xpfirewall.php

Allerdings hat das nun nichts mehr mit viren zu tun und ich fuerchte, dass ich nicht mehr viel weiterhelfen kann ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.01.2007, 23:26
...neu hier

Beiträge: 1
#143 Hallo,

ich hatte auch einige Tage lang Ärger mit meinem FreeAV AntiVirenscanner - oder besser gesagt durch dessen Auffinden von den new.net - Komponenten in C:\Windows:
NEWDOTNET2_98.DLL
NEWDOTNET2_98-1.DLL
NEWDOT~1.DLL

Nach Verschieben in Quarantäne ging in Sachen Internet nix mehr. Ich konnte zwar von meinen anderen XP-Rechner über den Router auf meinen befallenen PC zugreifen (und umgekehrt), ich konnte vorhandene html-Dateien öffnen, aber ins www war nicht. WIN98SE neu installiert, brachte alles nix.

Dann stieß ich auf folgenden Artikel:

http://www.schmager.de/newdotnet.shtml

So bin ich die unliebsamen Dateien wieder los geworden:

Virenscanner-Guard ausgestellt (sonst Zugriffsverweigerung)
die o.g. Dateien aus Quarantäne wiederhergestellt
über Systemsteuerung/Software new.net deinstalliert (benötigt NEWDOT~1.DLL)
System neu gestartet
die o.g. Dateien mit Taste "Entf" gelöscht
Virenscanner-Guard wieder ein

www funktioniert wieder!! 8-)

So einfach kann's manchmal sein.

Viel Erfolg bei euerem newdotnet-Problem! (sofern es denn wirklich ein Problem ist)

Gute N8!

Ralf
Dieser Beitrag wurde am 14.01.2007 um 23:30 Uhr von raschme editiert.
Seitenanfang Seitenende
15.01.2007, 14:01
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#144 new.net kann man nur deinstallieren, wenn folgender Schluessel aus der Registry geloescht ist:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\new.net

und die newdotnet...dll (nummer variiert) , die sich im Winsock befinden, sollte man mit LSPfix rausloeschen ;)
http://virus-protect.org/lspfix1.html
http://virus-protect.org/lspfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.02.2007, 21:53
Member

Beiträge: 12
#145 Hallo, liebes Forum und ganz besonders liebe Sabina,

ich bin 47, kenne mich nicht besonders gut aus, hab aber viel Zeit und aus Foren schon einiges gelernt.
Bei mir werden zwei Dateien immer wieder geladen, obwohl ich im Systemstart alles deaktiviert habe, und das sind Newdot~1,dll und dllhost.exe.
Soweit ich das nun mitbekommen habe ist die dllhost von dem Welchia-Wurm. Ich fand sie in meinem EigeneDateien-Ordner. Hab avast! Antivirus-Programm laufen lassen und alles gelöscht, was angezeigt wurde, daraufhin erschien die dllhost.exe nur noch einmal im Systemstart, aber auch weiterhin nach Deaktivierung. Ins Netz kam ich nun nur noch über Java, Firefox fand nichts. Fast alles andere total langsam, wenn überhaupt.
Hab dann Windows XP neu installiert. Nun kommme ich wieder ins Netz, aber die dllhost.exe ist immer noch da. Ob die Newdot~1.dll vorher schon da war, weiß ich nicht und auch nicht ob die beiden zusammengehören.
Nun hab ich schon viel gelesen und mir einige Dinge heruntergeladen, falls ich später nicht mehr in Netz kommen sollte. Leider bin ich mir über die Reihenfolge nicht ganz im Klaren und hab Angst, etwas falsch zu machen. Das HijackThis Protokoll hab ich und poste es gerne, wenn sich jemand (Sabina?) die Mühe machen würde, es zu überprüfen.

Vielen Dank und ich freue mich über jede Antwort!

Liebe Grüße, Sharona
Seitenanfang Seitenende
08.02.2007, 13:39
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#146 Sharona ;)

poste das log vom hijackthis ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.02.2007, 20:15
Member

Beiträge: 12
#147 Logfile of HijackThis v1.99.1
Scan saved at 20:13:49, on 08.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\dllhost.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\system32\svchosts.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\DOKUME~1\Hannah\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R3 - URLSearchHook: (no name) - {83165FEE-9627-9DA2-5526-9D1BC27110B3} - C:\WINDOWS\system32\miz.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - Global Startup: dllhost.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {63DF43C2-469A-41F3-B119-17B1ACE8BB50} (Sony SNC-CS3 Image Viewer) - http://82.127.17.206/home/SonySncCs3View.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1141811180455
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer = 194.97.173.124 194.97.173.125
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Client IP-IPX - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e mc-110-12-0000140 (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
Seitenanfang Seitenende
09.02.2007, 00:41
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#148 Sharona

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\dllhost.exe

poste den report

-----------------------------------------------------------------------

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Client IP-IPX

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

----------------------------------------------------------------------

««
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html


««
http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken

es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.02.2007, 05:32
Member

Beiträge: 12
#149 Liebe Sabina,

erstmal vielen Dank für die kurze, prägnante und verständliche Arbeitsanleitung!

Das gibt jetzt leider einen Roman hier, zumindest beim Combofix-Report.
Ich habe tatsächlich nun über 4 Stunden an diesen vier Logs gesessen, so langsam ist mein PC. Bis sich ein Fenster überhaupt nur auftut, vergehen Minuten.

virustotal


Complete scanning result of "dllhost.exe", received in VirusTotal at 02.09.2007, 01:41:40 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.34 02.08.2007 no virus found
Authentium 4.93.8 02.08.2007 no virus found
Avast 4.7.936.0 02.08.2007 no virus found
AVG 386 02.08.2007 no virus found
BitDefender 7.2 02.09.2007 no virus found
CAT-QuickHeal 9.00 02.08.2007 no virus found
ClamAV devel-20060426 02.09.2007 no virus found
DrWeb 4.33 02.08.2007 no virus found
eSafe 7.0.14.0 02.08.2007 no virus found
eTrust-InoculateIT 30.4.3378 02.08.2007 no virus found
eTrust-Vet 30.4.3378 02.08.2007 no virus found
Ewido 4.0 02.08.2007 no virus found
Fortinet 2.85.0.0 02.08.2007 W32/Vbbot
F-Prot 4.2.1.29 02.08.2007 no virus found
F-Secure 6.70.13030.0 02.09.2007 Virus.Win32.Fontra.c
Ikarus T3.1.0.31 02.08.2007 no virus found
Kaspersky 4.0.2.24 02.09.2007 Virus.Win32.Fontra.c
McAfee 4959 02.08.2007 W32/Vbbot
Microsoft 1.2101 02.08.2007 no virus found
NOD32v2 2046 02.08.2007 no virus found
Norman 5.80.02 02.08.2007 no virus found
Panda 9.0.0.4 02.08.2007 no virus found
Prevx1 V2 02.09.2007 Polynomial.Code.Exploit
Sophos 4.13.0 02.08.2007 no virus found
Sunbelt 2.2.907.0 02.02.2007 no virus found
Symantec 10 02.09.2007 no virus found
TheHacker 6.1.6.053 02.07.2007 no virus found
UNA 1.83 02.08.2007 no virus found
VBA32 3.11.2 02.08.2007 suspected of Trojan-Dropper.VB.24 (paranoid heuristics)
VirusBuster 4.3.19:9 02.08.2007 Worm.Fontra.B

Aditional Information
File size: 393216 bytes
MD5: 67a79323758501c88c33ed51cd93be02
SHA1: 1ac7d3806a5dd91da2b4e026e3a5293474f9a743
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=af3575669081

regsearch


Windows Registry Editor Version 5.00
; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0
; Results at 09.02.2007 02:03:34 for strings:
; 'client ip-ipx'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CLIENT_IP-IPX\0000]
"Service"="Client IP-IPX"
"DeviceDesc"="Client IP-IPX"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Client IP-IPX]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Client IP-IPX]
"DisplayName"="Client IP-IPX"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Client IP-IPX\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Client IP-IPX\Enum]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_CLIENT_IP-IPX\0000]
"Service"="Client IP-IPX"
"DeviceDesc"="Client IP-IPX"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Client IP-IPX]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Client IP-IPX]
"DisplayName"="Client IP-IPX"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Client IP-IPX\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CLIENT_IP-IPX\0000]
"Service"="Client IP-IPX"
"DeviceDesc"="Client IP-IPX"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Client IP-IPX]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Client IP-IPX]
"DisplayName"="Client IP-IPX"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Client IP-IPX\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Client IP-IPX\Enum]
; End Of The Log...

combofix

"Hannah" - 07-02-09 3:14:29 Service Pack 2
ComboFix 07-02-07 - Running from: "C:\Dokumente und Einstellungen\Hannah\Desktop"
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\Programme\Gemeinsame Dateien\Yazzle1122OinUninstaller.exe
C:\Programme\Gemeinsame Dateien\Yazzle1396OinUninstaller.exe
C:\WINDOWS\system32\svchosts.exe
C:\WINDOWS\system32\unsvchosts.exe
C:\WINDOWS\system32\unsvchosts.lzma
C:\Programme\Gemeinsame Dateien\{3C0E2~1
C:\Programme\Gemeinsame Dateien\{9C0E2~1
C:\Programme\InetGet2
C:\Programme\Ipwindows
C:\Programme\Outerinfo
C:\Programme\outlook
~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~
Folders Quarantined:
C:\qoobox\purity\DOKUME~1
C:\qoobox\purity\DOKUME~1\Hannah
C:\qoobox\purity\DOKUME~1\Hannah\Eigene Dateien
C:\qoobox\purity\DOKUME~1\Hannah\Eigene Dateien\DOBE~1
C:\qoobox\purity\DOKUME~1\Hannah\Eigene Dateien\from.txt
C:\qoobox\purity\DOKUME~1\Hannah\Eigene Dateien\DOBE~1\?dobe
C:\qoobox\purity\Programme\ECURIT~1
C:\qoobox\purity\Programme\SKS~1
((((((((((((((((((((((((((((((( Files Created from 2007-01-09 to 2007-02-09 ))))))))))))))))))))))))))))))))))


2007-02-09 03:03 <DIR> d-------- C:\DOKUME~1\Hannah\Anwendungsdaten\Prevx
2007-02-09 03:02 7,680 --a------ C:\WINDOWS\system32\drivers\pxinst.dll
2007-02-09 03:02 7,552 --a------ C:\WINDOWS\system32\drivers\pxcom.sys
2007-02-09 03:02 276,992 --a------ C:\WINDOWS\system32\drivers\pxfsf.sys
2007-02-09 03:02 18,560 --a------ C:\WINDOWS\system32\drivers\pxtdi.sys
2007-02-09 03:02 13,952 --a------ C:\WINDOWS\system32\drivers\pxrd.sys
2007-02-09 03:02 100,864 --a------ C:\WINDOWS\system32\drivers\PxEmu.sys
2007-02-09 03:02 <DIR> d-------- C:\Programme\Prevx1
2007-02-09 03:02 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Prevx
2007-02-09 02:20 <DIR> d-------- C:\SDFix
2007-02-08 23:25 <DIR> d-------- C:\DOKUME~1\Hannah\Anwendungsdaten\Lavasoft
2007-02-08 09:54 <DIR> d-------- C:\DOKUME~1\NETWOR~1\Anwendungsdaten\Symantec
2007-02-08 04:33 <DIR> d-------- C:\Programme\Norton AntiVirus
2007-02-08 04:31 83,664 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2007-02-08 04:31 110,352 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2007-02-08 04:31 <DIR> d-------- C:\DOKUME~1\Hannah\Anwendungsdaten\Symantec
2007-02-08 04:26 <DIR> d-------- C:\Programme\Symantec
2007-02-08 04:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-02-08 04:26 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Symantec
2007-02-08 00:49 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-02-08 00:49 <DIR> d-------- C:\Programme\Grisoft
2007-02-06 22:36 <DIR> d-------- C:\WINDOWS\ShellNew
2007-02-05 22:29 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2007-02-05 22:29 <DIR> d-------- C:\Programme\Alwil Software
2007-02-05 22:21 <DIR> d-------- C:\Programme\RegCleaner
2007-02-05 21:35 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-02-05 21:35 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-02-05 21:33 <DIR> d-------- C:\Programme\Picasa2
2007-02-05 21:22 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Google Updater
2007-02-05 20:33 393,216 --a------ C:\DOKUME~1\Axel\hhhl.exe
2007-02-05 20:33 188 --a------ C:\DOKUME~1\Axel\ggg.bat
2007-02-05 11:28 417,792 --a------ C:\Programme\Video.exe
2007-02-05 11:28 417,792 --a------ C:\Programme\Track_03.exe
2007-02-05 11:28 393,216 --a------ C:\Programme\Setup.exe
2007-02-05 11:28 393,216 --a------ C:\DOKUME~1\Hannah\hhhl.exe
2007-01-21 12:18 <DIR> d--h----- C:\WINDOWS\system32\vidmon
2007-01-21 12:18 <DIR> d--h----- C:\WINDOWS\system32\nfomon
2007-01-21 12:18 <DIR> d--h----- C:\Programme\Gemeinsame Dateien\Uninstall Information
2007-01-21 12:18 <DIR> d--h----- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\vidmon
2007-01-21 12:18 <DIR> d--h----- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\nfo
2007-01-21 00:09 <DIR> d-------- C:\Programme\PeDevice
2007-01-21 00:07 188 --a------ C:\DOKUME~1\Hannah\ggg.bat
2007-01-20 23:40 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll
2007-01-20 13:19 <DIR> d-------- C:\Programme\Bridge Builder
2007-01-15 03:41 <DIR> d-------- C:\Programme\BearShare
2007-01-15 03:41 <DIR> d-------- C:\My Downloads
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-02-09 03:13 -------- d-------- C:\Programme\mozilla firefox
2007-02-09 03:11 25214 --a------ C:\Programme\b.ico
2007-02-09 03:11 25214 --a------ C:\Programme\a.ico
2007-02-09 03:11 218607 --a------ C:\Programme\c.zip
2007-02-09 03:11 217707 --a------ C:\Programme\b.zip
2007-02-09 03:11 201628 --a------ C:\Programme\a.zip
2007-02-08 23:47 -------- d-------- C:\DOKUME~1\Hannah\Anwendungsdaten\openoffice.org2
2007-02-08 19:36 4469 --a------ C:\DOKUME~1\Hannah\Anwendungsdaten\cleanup!.log
2007-02-08 08:26 -------- d-------- C:\Programme\password-finder
2007-02-08 04:22 -------- d-------- C:\Programme\lavasoft
2007-02-05 21:23 -------- d-------- C:\Programme\google
2007-02-05 20:31 -------- d-------- C:\Programme\bsw
2007-02-05 19:10 -------- d-------- C:\Programme\trojancheck 6
2007-02-03 05:54 -------- d-------- C:\DOKUME~1\Hannah\Anwendungsdaten\skype
2007-01-27 18:35 -------- d-------- C:\Programme\zylom games
2007-01-27 18:25 -------- d-------- C:\Programme\kazaa lite
2007-01-27 18:23 -------- d-------- C:\Programme\reflexive
2007-01-15 08:12 -------- d-------- C:\Programme\winamp
2007-01-10 04:09 -------- d-------- C:\Programme\opera
2007-01-07 05:08 -------- d-------- C:\Programme\microsoft picture it! photopub
2006-12-31 01:18 -------- d---s---- C:\DOKUME~1\Hannah\Anwendungsdaten\microsoft
2006-12-16 01:41 -------- d-------- C:\Programme\7-zip
2006-12-16 01:31 512000 --------- C:\WINDOWS\system32\pauls schreibtisch-bungen.scr
2006-12-13 02:08 -------- d-------- C:\Programme\zomecad
2006-12-07 07:40 2362184 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-11-28 23:18 8464 --a------ C:\WINDOWS\system32\sporder.dll
2006-11-11 10:35 89 --a------ C:\DOKUME~1\Hannah\Anwendungsdaten\p6demopfad
2006-11-11 10:35 20 --a------ C:\DOKUME~1\Hannah\Anwendungsdaten\anzds


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"MSConfig"="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\MSConfig.exe /auto"
"!AVG Anti-Spyware"="\"C:\\Programme\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"
"PrevxOne"="\"C:\\Programme\\Prevx1\\PXConsole.exe\""
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^dllhost.exe]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\dllhost.exe"
"backup"="C:\\WINDOWS\\pss\\dllhost.exeCommon Startup"
"location"="Common Startup"
"command"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\dllhost.exe"
"item"="dllhost"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Google Updater.lnk"
"backup"="C:\\WINDOWS\\pss\\Google Updater.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Google\\GOOGLE~2\\GOOGLE~1.EXE -systray -startup"
"item"="Google Updater"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^p6_erinnerung_18_demo.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\p6_erinnerung_18_demo.lnk"
"backup"="C:\\WINDOWS\\pss\\p6_erinnerung_18_demo.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\phase6\\PHASE6~1\\WinStart\\WINSTA~1.EXE "
"item"="p6_erinnerung_18_demo"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Photo Express Calendar Checker SE.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Photo Express Calendar Checker SE.lnk"
"backup"="C:\\WINDOWS\\pss\\Photo Express Calendar Checker SE.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\ULEADS~1\\ULEADP~1\\CalCheck.exe "
"item"="Photo Express Calendar Checker SE"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PrintScreen starten.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\PrintScreen starten.lnk"
"backup"="C:\\WINDOWS\\pss\\PrintScreen starten.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\HEINZM~1\\PRINTS~1\\PRINTS~1.EXE "
"item"="PrintScreen starten"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Status Monitor.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Status Monitor.lnk"
"backup"="C:\\WINDOWS\\pss\\Status Monitor.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Brother\\Brmfcmon\\BrMfcWnd.exe Brother DCP-110C /STARTUP"
"item"="Status Monitor"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Hannah^Startmenü^Programme^Autostart^Froggy.lnk]
"path"="C:\\Dokumente und Einstellungen\\Hannah\\Startmenü\\Programme\\Autostart\\Froggy.lnk"
"backup"="C:\\WINDOWS\\pss\\Froggy.lnkStartup"
"location"="Startup"
"command"="C:\\Dokumente und Einstellungen\\Hannah\\Lokale Einstellungen\\Temp\\Rar$EX01.034\\Froggy.exe "
"item"="Froggy"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="avgas"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ashDisp"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ccApp"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Device Detector]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="DevDetect"
"hkey"="HKLM"
"command"="DevDetect.exe -autorun"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="GoogleDesktop"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Google\\Google Desktop Search\\GoogleDesktop.exe\" /startup"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HostManager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AOLSoftware"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\AOL\\1160239680\\ee\\AOLSoftware.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IpWins]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ipwins"
"hkey"="HKLM"
"command"="C:\\Programme\\Ipwindows\\ipwins.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="WkUFind"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Works Shared\\WkUFind.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\New.net Startup]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NEWDOT~1"
"hkey"="HKLM"
"command"="rundll32 C:\\PROGRA~1\\NEWDOT~1\\NEWDOT~1.DLL,ClientStartup -s"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NI.UERSU_0001_N68M1402]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ErrorSafeScannerInstall_de"
"hkey"="HKLM"
"command"="\"C:\\Dokumente und Einstellungen\\Hannah\\Desktop\\ErrorSafeScannerInstall_de.exe\" -nag "
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PE2CKFNT SE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ChkFont"
"hkey"="HKLM"
"command"="C:\\Programme\\Ulead Systems\\Ulead Photo Express 2 SE\\ChkFont.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Prro]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="spoolsv"
"hkey"="HKCU"
"command"="\"C:\\DOKUME~1\\Hannah\\EIGENE~1\\DOBE~1\\spoolsv.exe\" -vt yazb"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Qcrnlil]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="w?wexec"
"hkey"="HKCU"
"command"="C:\\Programme\\??sks\\w?wexec.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="monitor"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\Ulead Systems\\AutoDetector\\monitor.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AdobeUpdateManager"
"hkey"="HKCU"
"command"="C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\webHancer Agent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="whagent"
"hkey"="HKLM"
"command"="C:\\Programme\\webHancer\\Programs\\whagent.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{9C0E2B4B-03E5-1031-0212-011228000031}]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Update"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\{9C0E2B4B-03E5-1031-0212-011228000031}\\Update.exe\" mc-110-12-0000140"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"="C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prfen - Hannah.job
********************************************************************
********************************************************************
Completion time: 07-02-09 3:28:08

SDFix
SDFix: Version 1.63
09.02.2007 - 3:49:36,34
Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix
Safe Mode:
Checking Services:
Name:
Path:
Restoring Windows Registry Entries
Restoring Default Hosts File
Rebooting...
Normal Mode:
Checking Files:
No Trojan Files Found..
ADS Check:
C:\WINDOWS\system32
No streams found.
Final Check:
Remaining Services:
------------------
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"="C:\\WINDOWS\\system32\\usmt\\migwiz.exe:*;)isabled:Assistent zum Übertragen von Dateien und Einstellungen"
"C:\\Programme\\eMule.de\\emule.exe"="C:\\Programme\\eMule.de\\emule.exe:*;)isabled:eMule"
"C:\\Programme\\Kazaa Lite\\clean.kmd"="C:\\Programme\\Kazaa Lite\\clean.kmd:*:Enabled:clean"
"C:\\Programme\\SmartFTP\\SmartFTP.exe"="C:\\Programme\\SmartFTP\\SmartFTP.exe:*:Enabled:SmartFTP"
"C:\\Programme\\ViennaSoft\\perfect_ftp.exe"="C:\\Programme\\ViennaSoft\\perfect_ftp.exe:*:Enabled:FTP_Programm"
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="C:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*;)isabled:Yahoo! FT Server"
"C:\\Programme\\Yahoo!\\Messenger\\YPager.exe"="C:\\Programme\\Yahoo!\\Messenger\\YPager.exe:*;)isabled:Yahoo! Messenger"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"="C:\\Programme\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer"
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\Programme\\Microsoft Office\\Office\\FRONTPG.EXE"="C:\\Programme\\Microsoft Office\\Office\\FRONTPG.EXE:*;)isabled:Microsoft FrontPage"
"C:\\Program Files\\WS_FTP\\WS_FTP95.exe"="C:\\Program Files\\WS_FTP\\WS_FTP95.exe:*:Enabled:WS_FTP 95"
"C:\\Programme\\Gemeinsame Dateien\\XPressUpdate\\XPressUpdate.exe"="C:\\Programme\\Gemeinsame Dateien\\XPressUpdate\\XPressUpdate.exe:*:Enabled:XPressUpdate"
"C:\\Programme\\BearShare\\BearShare.exe"="C:\\Programme\\BearShare\\BearShare.exe:*:Enabled:BearShare"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
Remaining Files:
---------------
Backups Folder: - C:\SDFix\backups\backups.zip
Checking For Files with Hidden Attributes :
C:\Dokumente und Einstellungen\Hannah\Eigene Dateien\tinfo.dll_dateien\Thumbs.db
C:\WINDOWS\twain.dll
C:\WINDOWS\twain_32.dll
C:\WINDOWS\system32\mfc42.dll
C:\WINDOWS\system32\msvcrt.dll
C:\WINDOWS\system32\oleaut32.dll
C:\WINDOWS\system32\olepro32.dll
C:\WINDOWS\system32\wodfamoh.dll
C:\Dokumente und Einstellungen\Hannah\Eigene Dateien\PIP\launcher.exe
C:\Programme\Gemeinsame Dateien\Adobe\ESD\DLMCleanup.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Picasa2\setup.exe
C:\WINDOWS\system32\PackethSvc.exe
C:\WINDOWS\system32\regsvr32.exe
C:\hiberfil.sys
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater\cache\BIT39.tmp
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater\cache\BIT4.tmp
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater\cache\BIT5.tmp
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater\cache\BIT52.tmp
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater\cache\BIT53.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Vorlagen\~WRL1280.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Vorlagen\~WRL4022.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL0161.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL0225.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL0230.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL0580.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL0609.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL0670.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL0732.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL0896.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL0985.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL1012.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL1161.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL1241.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL1282.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL1512.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL1551.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL1555.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL1643.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL2005.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL2094.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL2157.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL2288.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL2296.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL2391.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL2445.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL2546.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL2658.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL2707.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL2730.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL2783.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL3444.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL3554.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL3609.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL3752.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL3807.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL3848.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL3853.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL3989.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL4007.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL4076.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\ScanSoft\PaperPort\9\Temp\bin21.tmp
C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\ScanSoft\PaperPort\9\Temp\bin22.tmp
C:\Dokumente und Einstellungen\Hannah\Eigene Dateien\Job\~WRL0260.tmp
C:\Dokumente und Einstellungen\Hannah\Eigene Dateien\Job\~WRL2830.tmp
C:\Programme\Google\Google Desktop Search\BIT56.tmp
C:\Programme\Google\Google Desktop Search\BIT6.tmp
C:\Wechseldatentr„ger (I)\~WRL1167.tmp
C:\Wechseldatentr„ger (I)\~WRL2603.tmp
C:\Wechseldatentr„ger (I)\~WRL4028.tmp
C:\Wechseldatentr„ger (I)\Literaturhaus\~WRL1474.tmp
C:\Wechseldatentr„ger (I)\Literaturhaus\~WRL3341.tmp
C:\Wechseldatentr„ger (I)\Literaturhaus\~WRL3973.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\bf93e03670e391310a38665326346f18\BIT7.tmp
Finished
Seitenanfang Seitenende
09.02.2007, 11:36
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#150 Sharona

««
Cleanup anwenden
http://virus-protect.org/cleanup.html

-------------------------
««
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

{83165FEE-9627-9DA2-5526-9D1BC27110B3}

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

dllhost

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

PeDevice

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

----------------------------------------------------------------------

Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein

dir /s /a "c:\dllhost*.*" > c:\find.txt & start notepad c:\find.txt

und poste alles, was im Texteditor erscheint

-------------------------------------------------------------------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\bsw" >>files.txt
dir "C:\Programme\Internet Explorer" >>files.txt
dir "C:\WINDOWS\ShellNew" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\{9C0E2B4B-03E5-1031-0212-011228000031}" >>files.txt
dir "C:\Programme\webHancer" >>files.txt
dir "C:\WINDOWS\system32\usmt" >>files.txt
dir "C:\WINDOWS\system32\vidmon" >>files.txt
dir "C:\WINDOWS\system32\nfomon" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\Uninstall Information" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vidmon" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nfo" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart" >>files.txt
dir "C:\Dokumente und Einstellungen\Hannah\Desktop" >>files.txt
dir "C:\WINDOWS\pss" >>files.txt
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\Windows\system32\config" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt
««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Qcrnlil
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\New.net Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Prro
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IpWins
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{9C0E2B4B-03E5-1031-0212-011228000031}
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NI.UERSU_0001_N68M1402
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CLIENT_IP-IPX\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CLIENT_IP-IPX
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Client IP-IPX
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_CLIENT_IP-IPX\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_CLIENT_IP-IPX
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Client IP-IPX
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CLIENT_IP-IPX\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CLIENT_IP-IPX
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Client IP-IPX

Files to delete:
C:\WINDOWS\system32\sporder.dll
C:\WINDOWS\system32\vbzip10.dll
C:\WINDOWS\Downloaded Program Files\NI.UERSU_0001_N68M1402
C:\Dokumente und Einstellungen\Hannah\Desktop\ErrorSafeScannerInstall_de.exe
C:\WINDOWS\system32\miz.dll
C:\Programme\Video.exe
C:\Programme\Track_03.exe
C:\Programme\Setup.exe
C:\Dokumente und Einstellungen\Axel\hhhl.exe
C:\Dokumente und Einstellungen\Axel\ggg.bat
C:\Dokumente und Einstellungen\Hannah\ggg.bat
C:\Programme\b.ico
C:\Programme\a.ico
C:\Programme\c.zip
C:\Programme\b.zip
C:\Programme\a.zip
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Froggy.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\dllhost.exe
C:\WINDOWS\pss\Froggy.lnk
C:\Programme\Gemeinsame Dateien\Yazzle1122OinUninstaller.exe
C:\Programme\Gemeinsame Dateien\Yazzle1396OinUninstaller.exe
C:\WINDOWS\system32\svchosts.exe
C:\WINDOWS\system32\unsvchosts.exe
C:\WINDOWS\system32\unsvchosts.lzma
C:\WINDOWS\pss\dllhost.exe

Folders to delete:
C:\Dokumente und Einstellungen\Hannah\Lokale Einstellungen\Temp\Rar$EX01.034
C:\Programme\InetGet2
C:\Programme\Ipwindows
C:\Programme\Outerinfo
C:\Programme\outlook
C:\WINDOWS\system32\vidmon
C:\WINDOWS\system32\nfomon
C:\Programme\Gemeinsame Dateien\Uninstall Information
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vidmon
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nfo
C:\Programme\PeDevice
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende