Frage zum Forum/HJackThis etc.| SpywareQuake

#1 hallo!

Ich bin neu hier und ich habe auch diesen einen Spyware-Quake-Trojaner und bin so auf dieses Forum gestoßen. Dass es Anleitungen gibt finde ich gut, nur kapiere ich diese ganzen Listen mit Dateien nicht (z.B. von datfinder oder HJackThis). Muss ich das oder kann ich ganz dumm mein Zeugs hier reinkopieren und ihr schaut es durch? Oder gibt es irgendwo eine Liste mit allen "bösen" Dateien, sodass ich schon einmal durchschauen kann? Weil alleine irgendsowas zu löschen traue ich mich nicht, da mir sonst die Familie an die Gurgel springt wenn nichtsmehr geht...

Ich finde es super, dass ihr eure Zeit für solche Unwissenden wie mich aufwendet!!
Riesen Lob von mir!

Grüße, Pas

#2 es gibt auch automatische auswertungsprogs die net so schlecht sind aber ein paar sachen werden einfach nicht gefunden
da kann man dir wehr gut helfen

#3 Die Listen und Logs dienen denen hier als Hilfe, die Dir bei deinem Problem behilflich sein wollen.
Für eine Auswertung des Hijackthis-Logs gibt es die Seite www.hijackthis.de.

Das hat schon mal einen großen Nutzen, zumal mittlerweile auch Userkommetare zu Unbekannten Anwendungen/Einträgen abgegeben werden können und man kann sich selbst ein Bild machen, wie es so grob um den eigenen Rechner in Hinsicht Malware bestellt ist.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#4 du solltest die Logs hier posten, ich schaue es durch und suche die Viren raus .
oder du machst es allein ..wenn du es dir zutraust.....siehe:
http://virus-protect.org/artikel/spyware/spywarequake.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 ok, das sollte dann in dieses Forum...

Find ich klasse, dass ihr sowas macht, ich kapiere das nämlich glaub nicht, was da jetz gut und was schlecht ist. Also ich mach das mal und poste es hier:

Logfile of HijackThis v1.99.1
Scan saved at 20:05:36, on 05.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\WARNER~1\w0svc.exe ---> da bringt er ne Warnung, weil im falschen Verzeichnis
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\WARNER~1\WARN0190.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\notepad.exe
D:\Pascal\Programme\andre progs_install\drweb-cureit.exe
C:\DOKUME~1\PASCAL~1.PCN\LOKALE~1\Temp\RarSFX0\_start.exe
C:\DOKUME~1\PASCAL~1.PCN\LOKALE~1\Temp\RarSFX0\cureit.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CleanUp!\Cleanup.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Pascal\Programme\andre progs_install\HijackThis.exe
C:\WINDOWS\system32\notepad.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\system32\hp100.tmp (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\WARNER~1\WARN0190.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\WARNER~1\w0svc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


die fett markierten sind schlecht oder unbekannt der rest als gut bei der automatischen auswertung.

Bitte helft mir!

Edit: nochwas: wohin muss ich das datFind.bat extrahieren?

Edit: ok, ich habe neue infos:
als ich den Rechner neu gestartet habe, ist nichts mehr rechts unten gekommen, außerdem war der verdächtige Prozess auch weg laut Taskmanager. Ist dann der Trojaner schon weg oder braucht der PC eine Internetverbindung um den zu starten (ich gehe jetzt gerade nur mit dem Notebook ins Internet)

#6

Zitat

Edit: nochwas: wohin muss ich das datFind.bat extrahieren?

Hier hin, damit ich die Malware raussuchen kann....

du wendest die datfindbat an und erhaelst 4 logs. Die will ich hier sehen (3 Monate, vom Datum her (von jedem log) genuegen. )
__________
MfG Sabina

rund um die PC-Sicherheit

#7 meine Frage war diese: Wenn ich es einfach so anklick krieg ich 4mal nur Verzeichnis von D:\
Ich probiers jetzt einfach mal, indem ich die bat-Datei nach C kopiere.

sys.txt

Code

Datentr„ger in Laufwerk C: ist BOOT
 Volumeseriennummer: 882C-5933

 Verzeichnis von C:\

06.06.2006  12:55                 0 sys.txt
06.06.2006  12:55            14.013 system.txt
06.06.2006  12:55               290 systemtemp.txt
06.06.2006  12:55           106.687 system32.txt
06.06.2006  12:51       805.306.368 pagefile.sys
02.03.2006  11:53               211 boot.ini
23.01.2006  15:36               429 datFind.bat


              22 Datei(en)  1.342.300.287 Bytes
               0 Verzeichnis(se), 25.090.998.272 Bytes frei

system32.txt

Code

Datentr„ger in Laufwerk C: ist BOOT
 Volumeseriennummer: 882C-5933

 Verzeichnis von C:\WINDOWS\system32

06.06.2006  12:52             5.076 stdole3.tlb
06.06.2006  12:52             7.680 simpole.tlb
06.06.2006  12:52            38.400 hp100.tmp
03.06.2006  22:33            61.440 dcomcfg.exe
03.06.2006  22:33             4.286 ot.ico
03.06.2006  22:33            11.716 atmclk.exe
03.06.2006  22:33             4.286 ts.ico
03.06.2006  18:17             2.206 wpa.dbl
04.05.2006  06:26         5.818.784 MRT.exe
17.04.2006  16:57           392.296 perfh009.dat
17.04.2006  16:57           405.118 perfh007.dat
17.04.2006  16:57            58.596 perfc009.dat
17.04.2006  16:57            70.580 perfc007.dat
17.04.2006  16:57           938.224 PerfStringBackup.INI
30.03.2006  11:26         1.492.480 shdocvw.dll
30.03.2006  03:16            18.944 xpsp3res.dll
23.03.2006  22:34         3.074.560 mshtml.dll
18.03.2006  13:09           615.424 urlmon.dll
17.03.2006  11:11           679.424 inetcomm.dll
17.03.2006  06:03         8.493.056 shell32.dll
17.03.2006  02:38            28.672 verclsid.exe
04.03.2006  05:34           664.064 wininet.dll
04.03.2006  05:34           474.624 shlwapi.dll
04.03.2006  05:34            39.424 pngfilt.dll
04.03.2006  05:34           532.480 mstime.dll
04.03.2006  05:34           146.432 msrating.dll
04.03.2006  05:34           448.512 mshtmled.dll
04.03.2006  05:34           205.312 dxtrans.dll
04.03.2006  05:34         1.056.256 danim.dll
04.03.2006  05:34            96.768 inseng.dll
04.03.2006  05:34            55.808 extmgr.dll
04.03.2006  05:34           251.392 iepeers.dll
04.03.2006  05:34           152.064 cdfview.dll
04.03.2006  05:34         1.022.976 browseui.dll
02.03.2006  11:51           325.112 FNTCACHE.DAT
01.03.2006  21:43           161.280 msdtcuiu.dll
01.03.2006  21:43           956.416 msdtctm.dll
01.03.2006  21:43            91.136 mtxoci.dll
01.03.2006  21:43           426.496 msdtcprx.dll
01.03.2006  21:43            66.560 mtxclu.dll
01.03.2006  21:43            11.776 xolehlp.dll
18.01.2006  14:05            57.344 avsda.dll
04.01.2006  05:35            68.096 webclnt.dll


            2182 Datei(en)    424.198.325 Bytes
               0 Verzeichnis(se), 25.090.998.272 Bytes frei

system.txt

Code

Datentr„ger in Laufwerk C: ist BOOT
 Volumeseriennummer: 882C-5933

 Verzeichnis von C:\WINDOWS

06.06.2006  12:52                 0 0.log
06.06.2006  12:52         1.837.133 WindowsUpdate.log
06.06.2006  12:51             2.048 bootstat.dat
05.06.2006  22:17            32.622 SchedLgU.Txt
05.06.2006  15:47               116 NeroDigital.ini
04.06.2006  18:47                50 wiaservc.log
04.06.2006  18:47               216 wiadebug.log
28.05.2006  21:20             1.302 MNG3.INI
28.05.2006  21:20               406 SA4_WKSP.INI
28.05.2006  20:13                70 winhelp.ini
12.05.2006  20:16           305.635 wmsetup.log
10.05.2006  16:17           119.223 iis6.log
10.05.2006  16:17           325.099 tsoc.log
10.05.2006  16:17             1.374 imsins.log
10.05.2006  16:17            40.693 ocmsn.log
10.05.2006  16:17           177.450 ntdtcsetup.log
10.05.2006  16:17           280.435 comsetup.log
10.05.2006  16:17            11.701 KB913580.log
10.05.2006  16:17           501.616 ocgen.log
10.05.2006  16:17            42.119 msgsocm.log
10.05.2006  16:17           787.287 FaxSetup.log
10.05.2006  16:17           746.755 setupapi.log
10.05.2006  16:17            30.849 updspapi.log
25.04.2006  21:17             1.374 imsins.BAK
25.04.2006  21:17            11.121 KB900485.log
14.04.2006  15:00            16.156 KB908531.log
14.04.2006  15:00            15.337 KB911562.log
14.04.2006  14:59            17.562 KB912812.log
14.04.2006  14:59            10.640 KB911567.log
06.03.2006  20:21               107 tb96.ini
02.03.2006  12:31           169.462 setupact.log
02.03.2006  11:53               688 win.ini
02.03.2006  11:53               271 system.ini
24.02.2006  19:17             1.617 musi.ini
23.02.2006  17:29         2.701.876 xobglu32.dll
23.02.2006  17:29            63.488 xobglu16.dll
20.02.2006  19:20            20.002 mozver.dat
20.02.2006  15:14           107.132 UninstallThunderbird.exe
16.02.2006  18:41            29.797 spupdsvc.log
16.02.2006  17:58            11.466 KB911927.log
16.02.2006  17:58             7.615 KB911564.log
16.02.2006  17:57            10.729 KB901190.log
16.02.2006  17:57             7.854 KB911565.log
16.02.2006  17:56             7.598 KB913446.log
14.02.2006  19:29                 0 MSDraw.ini
06.02.2006  12:59           796.672 GPInstall.exe
28.01.2006  19:58           203.546 DirectX.log
11.01.2006  13:40            10.143 KB908519.log
06.01.2006  19:17            11.161 KB912919.log


             276 Datei(en)     39.935.962 Bytes
               0 Verzeichnis(se), 25.091.002.368 Bytes frei

systemtemp.txt

Code

Datentr„ger in Laufwerk C: ist BOOT
 Volumeseriennummer: 882C-5933

 Verzeichnis von C:\DOKUME~1\PASCAL~1.PCN\LOKALE~1\Temp

05.06.2006  20:03            16.384 ~DF44EC.tmp
               1 Datei(en)         16.384 Bytes
               0 Verzeichnis(se), 25.091.018.752 Bytes frei

das ist es, sieht vernünftiger aus als 4mal nur D:\

und mit dem HjackThis, was muss ich da machen? Soll ich irgendwelche Dateien löschen?

Vielen Dank für die Hilfe!

#8 Pas

1.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg -> doppeltklicken und der Registry beifuegen

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url
C:\WINNT\system32\stdole3.tlb
C:\WINNT\system32\simpole.tlb
C:\WINNT\system32\atmclk.exe
C:\WINNT\system32\dcomcfg.exe
C:\WINNT\system32\ot.ico
C:\WINNT\system32\ts.ico
C:\WINNT\system32\regperf.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint

*
SmitfraudFix
download von http://siri.urz.free.fr/Fix/SmitfraudFix.zip
http://virus-protect.org/artikel/tools/smitfrautfix.html
1. doppelklick smitfraudfix.cmd
2. schreibe: 1 (es wird ein Report von den infizierten Dateien erstellt)
3. doppelklick smitfraudfix.cmd
4. schreibe: 2
5. auf die Frage: "Voulez-vous nettoyer le registre ?" antworte mit: o [o/n] , falls festgestellt wird, dass die Datei wininet.dll infiziert ist, antworte auf die Frage: " Corriger le fichier infecté ?" mit o [o/n]

**
die Taskleiste verschwindet + Bildschirm..alles wird blau werden...warte...
wenn der Scan beeendet ist, kopiere die Logfile ab

**
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)
__________
MfG Sabina

rund um die PC-Sicherheit

#9 also nachdem der Avenger neugestartet hat kommt eine Meldung

Zitat

Windows - Kein Datenträger

Es befindet sich kein Datenträger im Laufwerk. Legen Sie einen Datenträger in Laufwerk ein.
Abbrechen | Wiederholen | Weiter

Dahinter ist so ein schwarzes Fenster mit Titel "C:\WINDOWS\system32\cmd.exe"
und das sagt:

Zitat

Das System kann die angegebene Datei nicht finden.
C:\avenger\*.reg konnte nicht gefunden werden
1 Datei(en) kopiert.
zip warning: C:/backup.zip not found or empty
adding: avenger/avenger.txt (188 bytes security) (deflated 86%)
adding: avenger/backup.reg (188 bytes security) (stored 0%)

#10 als Ersatz fuer den Avenger:

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ..........

C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url
C:\WINNT\system32\stdole3.tlb
C:\WINNT\system32\simpole.tlb
C:\WINNT\system32\atmclk.exe
C:\WINNT\system32\dcomcfg.exe
C:\WINNT\system32\ot.ico
C:\WINNT\system32\ts.ico
C:\WINNT\system32\regperf.exe

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Kommt auch eine Fehlermeldung, ich probiers nochmal...

Zitat

PendingFileRenameOperations

PendingFileRenameOperations Registry Data has been Removed by External Process!

|OK|

#12 dann starte du den Rechner neu, wenn du alle Dateien eingegeben hast.
(ich vermute, der avenger hat doch funktioniert....)
__________
MfG Sabina

rund um die PC-Sicherheit

#13 also der Avenger hat nichts ausgegeben, beim Killbox habe ich unter c:\!KillBox\Logs eine Datei gefunden.
Soll ich jetzt mit dem SmitFraudFix weitermachen?

Zitat

Pocket Killbox version 2.0.0.648
Running on Windows XP as Pascal(Administrator)
was started @ Dienstag, Juni 06, 2006, 2:35 PM

# 1 [Delete on Reboot]
Path = C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url


# 2 [Delete on Reboot]
Path = C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url


# 3 [Delete on Reboot]
Path = C:\WINNT\system32\stdole3.tlb


# 4 [Delete on Reboot]
Path = C:\WINNT\system32\simpole.tlb


# 5 [Delete on Reboot]
Path = C:\WINNT\system32\atmclk.exe


# 6 [Delete on Reboot]
Path = C:\WINNT\system32\dcomcfg.exe


# 7 [Delete on Reboot]
Path = C:\WINNT\system32\ot.ico


# 8 [Delete on Reboot]
Path = C:\WINNT\system32\ts.ico


# 9 [Delete on Reboot]
Path = C:\WINNT\system32\regperf.exe


PendingFileRenameOperations Registry Data has been Removed by External Process! @ 2:38:33 PM
Killbox Closed(Exit) @ 2:38:51 PM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as Pascal(Administrator)
was started @ Dienstag, Juni 06, 2006, 2:39 PM

# 1 [Delete on Reboot]
Path = C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url


# 2 [Delete on Reboot]
Path = C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url


# 3 [Delete on Reboot]
Path = C:\WINNT\system32\stdole3.tlb


# 4 [Delete on Reboot]
Path = C:\WINNT\system32\simpole.tlb


# 5 [Delete on Reboot]
Path = C:\WINNT\system32\atmclk.exe


# 6 [Delete on Reboot]
Path = C:\WINNT\system32\dcomcfg.exe


# 7 [Delete on Reboot]
Path = C:\WINNT\system32\ot.ico


# 8 [Delete on Reboot]
Path = C:\WINNT\system32\ts.ico


# 9 [Delete on Reboot]
Path = C:\WINNT\system32\regperf.exe

Edit: beim Avenger habe ich doch noch etwas gefunden...
einmal backup.reg und einmal folgendes:

avenger.txt

Zitat

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\olcxruac

*******************

Script file located at: \??\C:\cqrunaal.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at c:\Avenger

*******************

Beginning to process script file:



File C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url not found!
Deletion of file C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
Status: 0xc0000034



File C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url not found!
Deletion of file C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url
Status: 0xc0000034



Could not open file C:\WINNT\system32\stdole3.tlb for deletion
Deletion of file C:\WINNT\system32\stdole3.tlb failed!

Could not process line:
C:\WINNT\system32\stdole3.tlb
Status: 0xc000003a



Could not open file C:\WINNT\system32\simpole.tlb for deletion
Deletion of file C:\WINNT\system32\simpole.tlb failed!

Could not process line:
C:\WINNT\system32\simpole.tlb
Status: 0xc000003a



Could not open file C:\WINNT\system32\atmclk.exe for deletion
Deletion of file C:\WINNT\system32\atmclk.exe failed!

Could not process line:
C:\WINNT\system32\atmclk.exe
Status: 0xc000003a



Could not open file C:\WINNT\system32\dcomcfg.exe for deletion
Deletion of file C:\WINNT\system32\dcomcfg.exe failed!

Could not process line:
C:\WINNT\system32\dcomcfg.exe
Status: 0xc000003a



Could not open file C:\WINNT\system32\ot.ico for deletion
Deletion of file C:\WINNT\system32\ot.ico failed!

Could not process line:
C:\WINNT\system32\ot.ico
Status: 0xc000003a



Could not open file C:\WINNT\system32\ts.ico for deletion
Deletion of file C:\WINNT\system32\ts.ico failed!

Could not process line:
C:\WINNT\system32\ts.ico
Status: 0xc000003a



Could not open file C:\WINNT\system32\regperf.exe for deletion
Deletion of file C:\WINNT\system32\regperf.exe failed!

Could not process line:
C:\WINNT\system32\regperf.exe
Status: 0xc000003a


Completed script processing.

*******************

Finished! Terminate.

#14 ja, arbeite alles ab, was ich geschrieben hatte
__________
MfG Sabina

rund um die PC-Sicherheit

#15 wenn ich bei dem SmitFraudFix in den abgesicherten Modus gegangen bin und 2 eingegeben habe kommt so ein Fenster mit Datenträger bereinigen, das sagt, dass berechnet wird, wieviel Speicherplatz er freigibt, ist das richtig? Das dauert jetzt schon 10Minuten und der Balken ist immernoch ganz klein...

Edit: Ok, ist fertig das Fenster, ich mach jetzt weiter und drücke y.

Muss ich die Systemwiederherstellung deaktivieren? (ich hab Angst...)

OK, ich habs gewagt^^

Im Anhang die Datei von dem SmitFraudFix

Was kommt jetzt?