Virus Alert und Urgent System Message: Virus + WinAntiVirus Pro 2006

#1 Habe seit gestern diese Meldungen. Habe bereits mit AntiVir PE Classic den Rechner durchsucht. Keine Viren vorhanden. Bitte um Eure Hilfe



Logfile of HijackThis v1.99.1
Scan saved at 21:34:19, on 18.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\isnotify.exe
C:\WINDOWS\System32\issearch.exe
C:\Programme\Browser mouse\1.3\mouse32a.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Multimedia keyboard utility\1.3\KbdAp32A.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Dokumente und Einstellungen\userohnepasswort\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\Programme\IncrediMail\bin\IncMail.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
c:\programme\t-online\t-online_software_6\browser\browser.exe
C:\Dokumente und Einstellungen\userohnepasswort\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.vr-web.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = VR-Web Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - C:\WINDOWS\System32\ixt0.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {C7D3CC57-07C0-4981-A485-6F1AE5E30FFC} - C:\WINDOWS\System32\usbmon32.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\Safety Bar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Multimedia keyboard utility\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O4 - HKCU\..\Run: [WinAntiVirusPro2006] C:\Programme\WinAntiVirus Pro 2006\winav.exe /min
O4 - Startup: GENO lite ZV Fälligkeiten.lnk = C:\WINLITE\ZAWF.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.vr-web.de
O16 - DPF: RaptisoftGameLoader - http://real.gamehouse.com/games/raptisoft/raptisoftgameloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC15F113-ECFC-4CB9-866F-58FC8EC6AC97}: NameServer = 217.237.150.188 217.237.150.97
O21 - SSODL: coursings - {f8d02387-789a-4c0f-a1d8-8a93f33ee4df} - C:\WINDOWS\System32\yephk.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Cleanup habe ich bereits durchgeführt.



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C47-2743

Verzeichnis von C:\WINDOWS\system32

18.07.2006 20:51 35.869 vsconfig.xml
18.07.2006 20:51 24.064 ixt0.dll
18.07.2006 20:13 6.144 ismon.exe
17.07.2006 20:53 2 stera.job
16.07.2006 20:55 380.350 perfh009.dat
16.07.2006 20:55 52.764 perfc009.dat
16.07.2006 20:55 391.000 perfh007.dat
16.07.2006 20:55 63.580 perfc007.dat
16.07.2006 20:55 895.600 PerfStringBackup.INI
16.07.2006 13:55 2 stera.log
16.07.2006 13:45 4.556 ModemLog_ISDN Custom Config.txt
16.07.2006 13:39 4.286 ot.ico
16.07.2006 13:39 4.286 ts.ico
16.07.2006 12:38 35.328 issearch.exe
16.07.2006 12:38 8.424 isnotify.exe
05.07.2006 13:02 2.262 wpa.dbl
04.07.2006 11:56 208.896 FNTCACHE.DAT
01.07.2006 14:59 25.941 NULL
01.07.2006 14:58 16.832 amcompat.tlb
01.07.2006 14:58 23.392 nscompat.tlb
20.06.2006 13:20 1.788 ModemLog_ISDN BTX.txt
20.06.2006 13:20 1.826 ModemLog_ISDN Analog Modem (V.32bis).txt
20.06.2006 13:20 1.798 ModemLog_ISDN FAX (G3).txt
20.06.2006 13:20 1.808 ModemLog_ISDN - ISDN (X.75).txt
20.06.2006 13:20 1.810 ModemLog_ISDN Mailbox (X.75).txt
20.06.2006 13:20 1.838 ModemLog_ISDN SoftCompression X.75-V.42bis.txt
20.06.2006 13:20 1.820 ModemLog_ISDN RAS (PPP over ISDN).txt
20.06.2006 13:20 1.830 ModemLog_ISDN Internet (PPP over ISDN).txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C47-2743

Verzeichnis von C:\DOKUME~1\USEROH~1\LOKALE~1\Temp

18.07.2006 21:34 16.384 ~DFE382.tmp
18.07.2006 21:22 917.504 MFPL7014.DLL
18.07.2006 21:07 16.384 ~DFB27A.tmp
18.07.2006 20:57 16.384 Perflib_Perfdata_284.dat
18.07.2006 20:51 16.384 ~DF4AA0.tmp
18.07.2006 20:14 16.384 ~DF728F.tmp
12.07.2006 03:21 104 F65C8971.TMP
04.07.2006 09:32 689 TWAIN.LOG
04.07.2006 09:32 156 Twunk001.MTX
04.07.2006 09:32 3 Twain001.Mtx
02.07.2006 12:48 9.750 smupdate.ini
01.07.2006 15:28 0 endok.txt
01.07.2006 15:27 0 strtfile.txt
01.07.2006 15:27 0 start.txt
01.07.2006 15:26 878 dslmupdate.ini
01.07.2006 15:00 3.608 netfxupdate.log
01.07.2006 14:59 189 tosup.log
01.07.2006 14:55 1.169 langpackSetup.log
01.07.2006 14:55 388.924 langpackMsi.log
01.07.2006 14:55 11.037 netfxsl.log
01.07.2006 14:54 7.734 ASPNETSetup.log
01.07.2006 14:51 2.265 dotNetFx.log
01.07.2006 14:51 4.409.078 netfx.log
01.07.2006 14:33 799 spacer.gif
01.07.2006 14:33 912 logo_t_com_81x190.gif
01.07.2006 14:33 2.154 test.gif
01.07.2006 14:33 20.300 header_t_dsl4.jpg
01.07.2006 14:33 75 up.gif
01.07.2006 14:33 170 bg_linie.gif
01.07.2006 14:33 10.327 index.htm
30.06.2006 12:07 0 is10.tmp
30.06.2006 12:07 0 is8.tmp
30.06.2006 12:04 0 isC.tmp
30.06.2006 12:04 110.950 MSI8.tmp
30.06.2006 12:04 3.741.184 3b704.msi
30.06.2006 12:04 4.990.255 TDSLSpeedManager.exe
20.04.2006 09:26 0 JVM6.tmp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C47-2743

Verzeichnis von C:\WINDOWS

18.07.2006 20:57 1.156 win.ini
18.07.2006 20:56 175.064 setupact.log
18.07.2006 20:51 0 0.log
18.07.2006 20:51 2.048 bootstat.dat
18.07.2006 20:49 32.630 SchedLgU.Txt
18.07.2006 20:49 58.025 comsetup.log
18.07.2006 20:49 306.908 iis6.log
18.07.2006 20:49 40.510 ntdtcsetup.log
18.07.2006 20:49 88.467 tsoc.log
18.07.2006 20:49 4.315 tabletoc.log
18.07.2006 20:49 1.917 imsins.log
18.07.2006 20:49 24.027 netfxocm.log
18.07.2006 20:49 8.588 ocmsn.log
18.07.2006 20:49 136.567 ocgen.log
18.07.2006 20:49 8.723 msgsocm.log
18.07.2006 20:49 126.524 FaxSetup.log
18.07.2006 20:48 72.462 msmqinst.log
17.07.2006 19:17 488.334 setupapi.log
16.07.2006 20:56 4.566 imsins.BAK
14.07.2006 10:17 211 uno.ini
11.07.2006 12:24 40.706 wmsetup.log
11.07.2006 11:52 69 NeroDigital.ini
04.07.2006 09:38 788 wiaservc.log
04.07.2006 09:38 642 wiadebug.log
01.07.2006 15:35 378 wmsetup10.log
01.07.2006 14:57 316.640 WMSysPr9.prx
26.06.2006 20:52 748 nsw.log
08.04.2006 20:40 165 GENOLITE.INI
07.04.2006 19:46 3.876 Windows Update.log
04.04.2006 22:10 220.710 PLAKAT.BMP
04.04.2006 22:01 144.802 PLAKATMA.BMP
04.04.2006 22:01 144.802 TANZMAI.BMP
04.04.2006 21:38 747.374 KIRCHEKO.BMP
22.03.2006 21:08 207.746 MAIKRANZ.BMP
22.03.2006 20:54 121.478 TANZPA~1.BMP
22.03.2006 20:47 130.734 MAITANZ.BMP

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C47-2743

Verzeichnis von C:\

18.07.2006 21:37 0 sys.txt
18.07.2006 21:37 7.617 system.txt
18.07.2006 21:36 4.332 systemtemp.txt
18.07.2006 21:36 97.492 system32.txt
18.07.2006 20:51 804.470.784 pagefile.sys
17.07.2006 20:53 513.315 unaerror.log
01.07.2006 15:28 5.091 TDSLCheck.txt
01.07.2006 14:59 596 TO_InstallLog.txt
30.06.2006 12:05 151 DelUS.bat

#2 Kraus

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinAntiVirus Pro 2006" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten\WinAntiVirus Pro 2006" >>files.txt
dir "C:\Programme\Common Files\Companion Wizard" >>files.txt
dir "C:\Programme\WinAntiVirus Pro 2006" >>files.txt
dir "C:\Programme\Safety Bar" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#3 Anbei den Inhalt der Datei:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C47-2743

Verzeichnis von C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006

16.07.2006 13:38 <DIR> .
16.07.2006 13:38 <DIR> ..
01.06.2006 16:17 78.040 wa6pinst.exe
19.12.2005 11:37 48.128 WapCHK.dll
13.10.2005 18:27 33.792 WAPPChk.dll
3 Datei(en) 159.960 Bytes
2 Verzeichnis(se), 5.219.201.024 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C47-2743

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinAntiVirus Pro 2006

16.07.2006 13:59 <DIR> .
16.07.2006 13:59 <DIR> ..
16.07.2006 13:59 1.540 AVScheduler.dat
1 Datei(en) 1.540 Bytes
2 Verzeichnis(se), 5.219.196.928 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C47-2743

Verzeichnis von C:\Dokumente und Einstellungen\userohnepasswort\Anwendungsdaten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C47-2743

Verzeichnis von C:\Programme\Common Files

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C47-2743

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C47-2743

Verzeichnis von C:\Programme\Safety Bar

16.07.2006 12:39 <DIR> .
16.07.2006 12:39 <DIR> ..
16.07.2006 12:39 24.064 Safety Bar.dll
16.07.2006 12:39 312 Uninstall.bat
2 Datei(en) 24.376 Bytes
2 Verzeichnis(se), 5.219.196.928 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C47-2743

Verzeichnis von C:\WINDOWS\system32\components

17.07.2006 19:19 <DIR> .
17.07.2006 19:19 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 5.219.196.928 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C47-2743

Verzeichnis von C:\WINDOWS\Downloaded Program Files

28.03.2002 17:05 1.268 erma.inf
20.01.2000 16:25 1.162 Microsoft XML Parser for Java.osd
26.10.2004 19:02 599 OSD1243.OSD
26.10.2004 19:02 151.552 RSGameLoader.dll
27.08.2005 14:30 5.065 swflash.inf
5 Datei(en) 159.646 Bytes
0 Verzeichnis(se), 5.219.196.928 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C47-2743

Verzeichnis von C:\Dokumente und Einstellungen\userohnepasswort\Lokale Einstellungen\Temp

19.07.2006 19:46 <DIR> .
19.07.2006 19:46 <DIR> ..
30.06.2006 12:04 3.741.184 3b704.msi
01.07.2006 14:54 7.734 ASPNETSetup.log
17.07.2006 19:38 <DIR> AVSETUP_44bbcb1b
01.07.2006 14:33 170 bg_linie.gif
01.07.2006 14:51 2.265 dotNetFx.log
01.07.2006 15:26 878 dslmupdate.ini
01.07.2006 15:28 0 endok.txt
12.07.2006 03:21 104 F65C8971.TMP
28.03.2006 21:22 0 gtb27.tmp
28.03.2006 21:27 604.311 gtb27.tmp.cab
02.03.2006 21:09 0 h2r2F.tmp
02.03.2006 21:09 0 h2r30.tmp
01.07.2006 14:33 20.300 header_t_dsl4.jpg
25.07.2002 16:07 346.602 IEC4.tmp
18.07.2006 22:03 <DIR> IncrediMail
01.07.2006 14:33 10.327 index.htm
30.06.2006 12:07 0 is10.tmp
30.06.2006 12:07 0 is8.tmp
30.06.2006 12:04 0 isC.tmp
24.12.2005 16:42 0 JVM5.tmp
20.04.2006 09:26 0 JVM6.tmp
01.07.2006 14:55 388.924 langpackMsi.log
01.07.2006 14:55 1.169 langpackSetup.log
01.07.2006 14:33 912 logo_t_com_81x190.gif
18.07.2006 21:22 917.504 MFPL7014.DLL
30.06.2006 12:04 110.950 MSI8.tmp
01.03.2006 22:03 66.748 mso10827.emf
01.03.2006 21:58 76.540 mso1F06C.emf
01.03.2006 22:12 46.632 mso25C2A.emf
01.03.2006 22:00 76.532 mso3089D.emf
01.03.2006 21:44 11.864 mso30B21.emf
01.03.2006 20:02 9.304 mso372E5.emf
01.03.2006 20:02 17.220 mso3DC99.emf
01.03.2006 20:02 1.290 mso4DEDE.wmf
01.03.2006 22:12 67.184 mso5A80.emf
01.03.2006 20:02 10.908 mso608DA.emf
01.03.2006 20:02 11.340 mso60F03.emf
01.03.2006 21:53 6.834 mso6C5D1.wmf
01.03.2006 22:00 76.532 mso6D188.emf
01.03.2006 21:45 11.672 mso73E02.emf
01.03.2006 22:03 66.780 mso740E4.emf
01.03.2006 22:03 67.184 mso833F5.emf
01.03.2006 21:53 66.484 mso87EF7.emf
01.03.2006 21:48 10.852 mso8ABCB.emf
10.01.2005 20:47 13.416 mso8C23A.wmf
01.03.2006 22:01 66.772 mso93EA9.emf
01.03.2006 21:43 10.424 mso98CA0.emf
01.03.2006 21:53 9.324 msoA3F63.emf
01.03.2006 22:02 66.772 msoB372E.emf
01.03.2006 21:45 10.424 msoB4E86.emf
01.03.2006 21:39 10.820 msoBCB4A.emf
01.03.2006 20:02 2.886 msoBE897.wmf
01.03.2006 21:45 10.424 msoCD9DF.emf
01.03.2006 21:53 11.384 msoCEA45.emf
01.03.2006 21:54 56.972 msoD190F.emf
01.03.2006 22:00 76.532 msoD77FB.emf
01.03.2006 21:53 61.424 msoD91BA.emf
01.03.2006 21:49 46.512 msoF4A98.emf
01.07.2006 14:51 4.409.078 netfx.log
01.07.2006 14:55 11.037 netfxsl.log
01.07.2006 15:00 3.608 netfxupdate.log
19.07.2006 19:46 16.384 Perflib_Perfdata_348.dat
09.03.2006 19:54 <DIR> PPT11.0
22.08.2000 17:05 43 sc6_ivw_hits.htm
02.07.2006 12:48 9.750 smupdate.ini
01.07.2006 14:33 799 spacer.gif
01.07.2006 15:27 0 start.txt
01.07.2006 15:27 0 strtfile.txt
28.03.2006 21:38 101 swtmp.htm
30.06.2006 12:04 4.990.255 TDSLSpeedManager.exe
01.07.2006 14:33 2.154 test.gif
29.03.2006 22:26 18.425 theLogFile.txt
01.07.2006 14:59 189 tosup.log
04.07.2006 09:32 689 TWAIN.LOG
04.07.2006 09:32 3 Twain001.Mtx
04.07.2006 09:32 156 Twunk001.MTX
22.03.2006 20:20 0 Twunk002.MTX
01.07.2006 14:33 75 up.gif
09.01.2005 19:42 <DIR> VBE
23.11.2005 17:53 128 wecerr.txt
24.01.2006 20:21 887 zugang_vorlagen.txt
30.06.2006 12:04 <DIR> _is4
19.07.2006 19:45 16.384 ~DF2DB8.tmp
18.07.2006 21:55 16.384 ~DF3D0B.tmp
18.07.2006 20:51 16.384 ~DF4AA0.tmp
18.07.2006 20:14 16.384 ~DF728F.tmp
19.07.2006 11:22 16.384 ~DF8209.tmp
19.07.2006 11:35 16.384 ~DF8DEF.tmp
83 Datei(en) 16.871.385 Bytes
7 Verzeichnis(se), 5.219.192.832 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C47-2743

Verzeichnis von C:\WINDOWS\Temp

19.07.2006 19:45 <DIR> .
19.07.2006 19:45 <DIR> ..
29.06.2006 23:45 16.384 Perflib_Perfdata_218.dat
26.06.2006 20:55 16.384 Perflib_Perfdata_250.dat
27.06.2006 21:46 16.384 Perflib_Perfdata_264.dat
29.06.2006 11:26 16.384 Perflib_Perfdata_2d4.dat
30.06.2006 11:40 16.384 Perflib_Perfdata_2e8.dat
28.06.2006 22:23 16.384 Perflib_Perfdata_2ec.dat
27.06.2006 12:25 16.384 Perflib_Perfdata_3b8.dat
27.06.2006 21:57 16.384 Perflib_Perfdata_3f8.dat
26.06.2006 20:41 16.384 Perflib_Perfdata_42c.dat
26.06.2006 20:32 16.384 Perflib_Perfdata_46c.dat
22.03.2006 20:26 1.334 TWAIN.LOG
22.03.2006 20:26 2 Twain001.Mtx
22.06.2006 12:15 256 ZLT000c1.TMP
26.05.2006 13:41 256 ZLT00558.TMP
26.06.2006 13:55 256 ZLT005e6.TMP
02.05.2006 15:50 256 ZLT01470.TMP
19.07.2006 19:45 256 ZLT0167e.TMP
17.01.2006 16:10 256 ZLT01787.TMP
07.07.2006 12:35 256 ZLT02460.TMP
26.04.2006 12:29 256 ZLT02642.TMP
02.06.2006 16:47 256 ZLT03640.TMP
27.04.2006 13:58 256 ZLT0387f.TMP
30.05.2006 16:31 256 ZLT03fdf.TMP
05.07.2006 19:27 256 ZLT042cb.TMP
08.07.2006 19:55 256 ZLT0430b.TMP
27.02.2006 17:23 256 ZLT05307.TMP
11.07.2006 20:54 256 ZLT05a37.TMP
28.04.2006 16:00 256 ZLT0634e.TMP
31.03.2006 16:18 256 ZLT06586.TMP
03.05.2006 13:08 256 ZLT0665d.TMP
02.06.2006 12:34 256 ZLT07455.TMP
17.07.2006 19:38 256 ZLT07534.TMP
17.07.2006 19:48 256 ZLT07caa.TMP
33 Datei(en) 170.552 Bytes
2 Verzeichnis(se), 5.219.188.736 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C47-2743

Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C47-2743

Verzeichnis von C:\Programme

18.07.2006 21:10 <DIR> .
18.07.2006 21:10 <DIR> ..
03.11.2002 20:39 <DIR> Adobe
17.07.2006 19:39 <DIR> AntiVir PersonalEdition Classic
28.08.2004 21:26 <DIR> Browser mouse
26.11.2002 22:07 <DIR> Cheating-Death
18.07.2006 21:10 <DIR> CleanUp!
17.07.2006 20:22 <DIR> Common files
01.11.2002 08:36 <DIR> ComPlus Applications
15.11.2002 16:18 <DIR> Diablo II
01.11.2002 09:10 <DIR> directx
14.02.2006 22:12 <DIR> eMule
16.07.2006 12:51 <DIR> Gemeinsame Dateien
28.03.2006 21:27 <DIR> Google
11.05.2006 14:40 <DIR> IncrediMail
01.07.2006 14:53 <DIR> Internet Explorer
18.08.2004 20:22 <DIR> JavaSoft
22.02.2004 22:25 <DIR> klickTel
04.04.2006 21:42 <DIR> LivePix 2.0
01.11.2002 09:03 <DIR> Messenger
04.07.2006 09:27 <DIR> MGI
01.11.2002 08:41 <DIR> microsoft frontpage
08.12.2003 22:22 <DIR> Microsoft Office
08.12.2003 22:25 <DIR> Microsoft Visual Studio
01.11.2002 08:59 <DIR> Movie Maker
01.11.2002 08:35 <DIR> MSN Gaming Zone
08.02.2004 18:54 <DIR> Multimedia keyboard utility
01.11.2002 08:59 <DIR> NetMeeting
01.11.2002 08:39 <DIR> Online-Dienste
01.11.2002 08:59 <DIR> Outlook Express
29.03.2006 22:26 <DIR> Real
28.03.2006 21:16 774.144 RngInterstitial.dll
16.07.2006 12:39 <DIR> Safety Bar
11.05.2006 13:08 <DIR> Security Task Manager
16.07.2006 17:22 <DIR> Sierra On-Line
13.12.2003 18:45 <DIR> Symantec
30.06.2006 12:07 <DIR> T-DSL SpeedManager
01.07.2006 15:23 <DIR> T-Online
16.07.2006 18:40 <DIR> Teledat
16.07.2006 17:17 <DIR> Teledat X120
11.07.2006 22:10 <DIR> Windows Media Player
08.12.2003 22:22 <DIR> Windows Messaging
01.11.2002 08:35 <DIR> Windows NT
01.11.2002 08:41 <DIR> xerox
15.11.2004 23:19 <DIR> Zone Labs
1 Datei(en) 774.144 Bytes
44 Verzeichnis(se), 5.219.188.736 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C47-2743

Verzeichnis von C:\Dokumente und Einstellungen\userohnepasswort\Lokale Einstellungen\Anwendungsdaten

07.11.2002 13:16 <DIR> Adobe
14.07.2006 10:17 <DIR> ApplicationHistory
16.07.2006 12:27 <DIR> AutoSave
07.10.2005 19:10 5.632 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
01.07.2006 14:51 149 fusioncache.dat
04.07.2006 09:34 57.632 GDIPFONTCACHEV1.DAT
08.12.2003 22:33 <DIR> Help
27.11.2002 21:19 <DIR> Identities
14.12.2004 00:33 <DIR> IM
01.07.2006 14:58 <DIR> Microsoft
16.11.2002 17:53 <DIR> Teledat
3 Datei(en) 63.413 Bytes
8 Verzeichnis(se), 5.219.184.640 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C47-2743

Verzeichnis von C:\Dokumente und Einstellungen\userohnepasswort\Anwendungsdaten

03.11.2002 20:40 <DIR> Adobe
07.11.2002 13:16 <DIR> AdobeUM
02.07.2006 20:40 42.256 GDIPFONTCACHEV1.DAT
07.04.2004 21:42 <DIR> Help
01.11.2002 08:49 <DIR> Identities
23.02.2004 21:23 <DIR> klickTel
28.03.2006 21:35 <DIR> Macromedia
04.07.2006 09:27 <DIR> MGI
14.11.2002 21:39 <DIR> MSN6
28.03.2006 22:36 <DIR> Raptisoft
01.11.2002 09:15 <DIR> Symantec
26.06.2006 20:31 <DIR> T-DSL SpeedManager
01.07.2006 14:41 <DIR> T-Online
16.07.2006 17:20 <DIR> Teledat
1 Datei(en) 42.256 Bytes
13 Verzeichnis(se), 5.219.184.640 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C47-2743

Verzeichnis von C:\Programme\Gemeinsame Dateien

16.07.2006 12:51 <DIR> .
16.07.2006 12:51 <DIR> ..
14.11.2002 22:22 <DIR> Adobe
08.12.2003 22:25 <DIR> Designer
01.11.2002 08:37 <DIR> Dienste
30.06.2006 12:04 <DIR> InstallShield
04.07.2006 09:27 <DIR> MGI Shared
07.04.2004 22:15 <DIR> Microsoft Shared
01.11.2002 08:37 <DIR> MSSoap
01.11.2002 08:29 <DIR> ODBC
31.03.2006 20:20 <DIR> Real
01.11.2002 08:29 <DIR> SpeechEngines
07.11.2002 23:59 <DIR> Symantec Shared
08.12.2003 22:39 <DIR> System
16.07.2006 13:38 <DIR> WinAntiVirus Pro 2006
0 Datei(en) 0 Bytes
15 Verzeichnis(se), 5.219.184.640 Bytes frei

#4 1.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\Downloaded Program Files\RSGameLoader.dll
C:\Dokumente und Einstellungen\userohnepasswort\Lokale Einstellungen\Temp\spacer.gif
C:\Dokumente und Einstellungen\userohnepasswort\Lokale Einstellungen\Temp\logo_t_com_81x190.gif
C:\Dokumente und Einstellungen\userohnepasswort\Lokale Einstellungen\Temp\test.gif
C:\Dokumente und Einstellungen\userohnepasswort\Lokale Einstellungen\Temp\header_t_dsl4.jpg
C:\Dokumente und Einstellungen\userohnepasswort\Lokale Einstellungen\Temp\up.gif
C:\Dokumente und Einstellungen\userohnepasswort\Lokale Einstellungen\Temp\bg_linie.gif
C:\Dokumente und Einstellungen\userohnepasswort\Lokale Einstellungen\Temp\index.htm
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinAntiVirus Pro 2006\AVScheduler.dat
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\wa6pinst.exe
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\WapCHK.dll
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\WAPPChk.dll
C:\Programme\WinAntiVirus Pro 2006\winav.exe
C:\Programme\Safety Bar\Safety Bar.dll
C:\Programme\Safety Bar\Uninstall.bat
C:\WINDOWS\System32\yephk.dll
C:\WINDOWS\system32\vsconfig.xml
C:\WINDOWS\system32\ixt0.dll
C:\WINDOWS\system32\ismon.exe
C:\WINDOWS\system32\stera.job
C:\WINDOWS\system32\stera.log
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\isnotify.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom Avenger, was nach neustart erscheint

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - C:\WINDOWS\System32\ixt0.dll
O2 - BHO: (no name) - {C7D3CC57-07C0-4981-A485-6F1AE5E30FFC} - C:\WINDOWS\System32\usbmon32.dll (file missing)
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\Safety Bar.dll
O4 - HKCU\..\Run: [WinAntiVirusPro2006] C:\Programme\WinAntiVirus Pro 2006\winav.exe /min
O16 - DPF: RaptisoftGameLoader - http://real.gamehouse.com/games/raptisoft/raptisoftgameloader.cab
O21 - SSODL: coursings - {f8d02387-789a-4c0f-a1d8-8a93f33ee4df} - C:\WINDOWS\System32\yephk.dll

PC neustarten

**
arbeite smitfraud.fix ab (Option 1 und 2 ) -> lasse auch die registry mitreinigen, poste beide scanreporte
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
scanne mit Counterspy, nach dem scan stelle, was gefunden wurde auf "remove" und poste den scanreport
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\xcjffchj

*******************

Script file located at: \??\C:\Program Files\orlphxlg.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at c:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\Downloaded Program Files\RSGameLoader.dll deleted successfully.
File C:\Dokumente und Einstellungen\userohnepasswort\Lokale Einstellungen\Temp\spacer.gif deleted successfully.
File C:\Dokumente und Einstellungen\userohnepasswort\Lokale Einstellungen\Temp\logo_t_com_81x190.gif deleted successfully.
File C:\Dokumente und Einstellungen\userohnepasswort\Lokale Einstellungen\Temp\test.gif deleted successfully.
File C:\Dokumente und Einstellungen\userohnepasswort\Lokale Einstellungen\Temp\header_t_dsl4.jpg deleted successfully.
File C:\Dokumente und Einstellungen\userohnepasswort\Lokale Einstellungen\Temp\up.gif deleted successfully.
File C:\Dokumente und Einstellungen\userohnepasswort\Lokale Einstellungen\Temp\bg_linie.gif deleted successfully.
File C:\Dokumente und Einstellungen\userohnepasswort\Lokale Einstellungen\Temp\index.htm deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinAntiVirus Pro 2006\AVScheduler.dat deleted successfully.
File C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\wa6pinst.exe deleted successfully.
File C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\WapCHK.dll deleted successfully.
File C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\WAPPChk.dll deleted successfully.


Could not open file C:\Programme\WinAntiVirus Pro 2006\winav.exe for deletion
Deletion of file C:\Programme\WinAntiVirus Pro 2006\winav.exe failed!

Could not process line:
C:\Programme\WinAntiVirus Pro 2006\winav.exe
Status: 0xc000003a

File C:\Programme\Safety Bar\Safety Bar.dll deleted successfully.
File C:\Programme\Safety Bar\Uninstall.bat deleted successfully.
File C:\WINDOWS\System32\yephk.dll deleted successfully.
File C:\WINDOWS\system32\vsconfig.xml deleted successfully.
File C:\WINDOWS\system32\ixt0.dll deleted successfully.
File C:\WINDOWS\system32\ismon.exe deleted successfully.
File C:\WINDOWS\system32\stera.job deleted successfully.
File C:\WINDOWS\system32\stera.log deleted successfully.
File C:\WINDOWS\system32\ot.ico deleted successfully.
File C:\WINDOWS\system32\ts.ico deleted successfully.
File C:\WINDOWS\system32\issearch.exe deleted successfully.
File C:\WINDOWS\system32\isnotify.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Konnte smitfraud.fix nicht abarbeiten. Meldung siehe angehängte Datei.

#6 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

WinAntiVirus Pro 2006

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

gleiches mit:

Safety Bar
FOPN
FWSVC

-----------------------------------------------------------------------------------

2.
scanne mit Counterspy, stelle nach dem Scan alles gefundene auf "remove" und poste den report
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 20.07.2006 19:17:02 for strings:
; 'winantivirus pro 2006'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0903FECD-7F7A-4790-A819-A3CE08416732}\LocalServer32]
@="C:\\Programme\\WinAntiVirus Pro 2006\\Autoplay.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85C99188-BEFD-4c61-A54B-5D7CB0204C1E}\InprocServer32]
@="C:\\Programme\\Gemeinsame Dateien\\WinAntiVirus Pro 2006\\WAPPChk.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B32FE740-8B67-409A-BCA8-3297263C354E}\1.0\0\win32]
@="C:\\Programme\\Gemeinsame Dateien\\WinAntiVirus Pro 2006\\WAPPChk.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B32FE740-8B67-409A-BCA8-3297263C354E}\1.0\HELPDIR]
@="C:\\Programme\\Gemeinsame Dateien\\WinAntiVirus Pro 2006\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\WAVAutoPlay]
"Provider"="WinAntiVirus Pro 2006"
"DefaultIcon"="C:\\Programme\\WinAntiVirus Pro 2006\\WinAV.exe,0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Purchased Products\WinAntiVirus Pro 2006]

[HKEY_LOCAL_MACHINE\SOFTWARE\SupportUninstall\WinAntiVirus Pro 2006]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FOPN\blocked]
"\\DEVICE\\HARDDISKVOLUME1\\WINANTIVIRUS PRO 2006"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FOPN\log]
; Contents of value:
; h8éÒ©Æ

"\\DEVICE\\HARDDISKVOLUME1\\DOKUMENTE UND EINSTELLUNGEN\\USEROHNEPASSWORT\\ANWENDUNGSDATEN\\WINANTIVIRUS PRO 2006\\LOGS"=hex:a0,\
68,38,e9,d2,a9,c6,01
; Contents of value:
; @`‘òÒ©Æ

"\\DEVICE\\HARDDISKVOLUME1\\PROGRAMME\\WINANTIVIRUS PRO 2006"=hex:40,60,91,f2,\
d2,a9,c6,01

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FOPN\blocked]
"\\DEVICE\\HARDDISKVOLUME1\\WINANTIVIRUS PRO 2006"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FOPN\log]
; Contents of value:
; h8éÒ©Æ

"\\DEVICE\\HARDDISKVOLUME1\\DOKUMENTE UND EINSTELLUNGEN\\USEROHNEPASSWORT\\ANWENDUNGSDATEN\\WINANTIVIRUS PRO 2006\\LOGS"=hex:a0,\
68,38,e9,d2,a9,c6,01
; Contents of value:
; @`‘òÒ©Æ

"\\DEVICE\\HARDDISKVOLUME1\\PROGRAMME\\WINANTIVIRUS PRO 2006"=hex:40,60,91,f2,\
d2,a9,c6,01

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN\blocked]
"\\DEVICE\\HARDDISKVOLUME1\\WINANTIVIRUS PRO 2006"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN\log]
; Contents of value:
; h8éÒ©Æ

"\\DEVICE\\HARDDISKVOLUME1\\DOKUMENTE UND EINSTELLUNGEN\\USEROHNEPASSWORT\\ANWENDUNGSDATEN\\WINANTIVIRUS PRO 2006\\LOGS"=hex:a0,\
68,38,e9,d2,a9,c6,01
; Contents of value:
; @`‘òÒ©Æ

"\\DEVICE\\HARDDISKVOLUME1\\PROGRAMME\\WINANTIVIRUS PRO 2006"=hex:40,60,91,f2,\
d2,a9,c6,01

[HKEY_USERS\S-1-5-21-796845957-1343024091-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\WinAntiVirus Pro 2006]

[HKEY_USERS\S-1-5-21-796845957-1343024091-1060284298-1003\Software\TOnline\T-Online_Software_6\Basis-Software\ToADial\100\AppReg\c:/programme/winantivirus pro 2006/insthelp.exe]

[HKEY_USERS\S-1-5-21-796845957-1343024091-1060284298-1003\Software\TOnline\T-Online_Software_6\Basis-Software\ToADial\100\AppReg\c:/programme/winantivirus pro 2006/insthelp.exe]
"AppPath"="C:\\Programme\\WinAntiVirus Pro 2006\\"

[HKEY_USERS\S-1-5-21-796845957-1343024091-1060284298-1003\Software\TOnline\T-Online_Software_6\Basis-Software\ToADial\100\AppReg\c:/programme/winantivirus pro 2006/support.exe]

[HKEY_USERS\S-1-5-21-796845957-1343024091-1060284298-1003\Software\TOnline\T-Online_Software_6\Basis-Software\ToADial\100\AppReg\c:/programme/winantivirus pro 2006/support.exe]
"AppPath"="C:\\Programme\\WinAntiVirus Pro 2006\\"

[HKEY_USERS\S-1-5-21-796845957-1343024091-1060284298-1003\Software\TOnline\T-Online_Software_6\Basis-Software\ToADial\100\AppReg\c:/programme/winantivirus pro 2006/unwizard.exe]

[HKEY_USERS\S-1-5-21-796845957-1343024091-1060284298-1003\Software\TOnline\T-Online_Software_6\Basis-Software\ToADial\100\AppReg\c:/programme/winantivirus pro 2006/unwizard.exe]
"AppPath"="C:\\Programme\\WinAntiVirus Pro 2006\\"

[HKEY_USERS\S-1-5-21-796845957-1343024091-1060284298-1003\Software\TOnline\T-Online_Software_6\Basis-Software\ToADial\100\AppReg\c:/programme/winantivirus pro 2006/updater.exe]

[HKEY_USERS\S-1-5-21-796845957-1343024091-1060284298-1003\Software\TOnline\T-Online_Software_6\Basis-Software\ToADial\100\AppReg\c:/programme/winantivirus pro 2006/updater.exe]
"AppPath"="C:\\Programme\\WinAntiVirus Pro 2006\\"

[HKEY_USERS\S-1-5-21-796845957-1343024091-1060284298-1003\Software\TOnline\T-Online_Software_6\Basis-Software\ToADial\100\AppReg\c:/programme/winantivirus pro 2006/winav.exe]

[HKEY_USERS\S-1-5-21-796845957-1343024091-1060284298-1003\Software\TOnline\T-Online_Software_6\Basis-Software\ToADial\100\AppReg\c:/programme/winantivirus pro 2006/winav.exe]
"AppPath"="C:\\Programme\\WinAntiVirus Pro 2006\\"
"Fileinfo"="WinAntiVirus Pro 2006"

[HKEY_USERS\S-1-5-21-796845957-1343024091-1060284298-1003\Software\WinAntiVirus Pro 2006]

[HKEY_USERS\S-1-5-21-796845957-1343024091-1060284298-1003\Software\WinAntiVirus Pro 2006\DefaultSettings]

[HKEY_USERS\S-1-5-21-796845957-1343024091-1060284298-1003\Software\WinAntiVirus Pro 2006\Settings]

[HKEY_USERS\S-1-5-21-796845957-1343024091-1060284298-1003\Software\WinAntiVirus Pro 2006\Settings2]

; End Of The Log...

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 20.07.2006 19:26:17 for strings:
; 'safety bar'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}]
@="Safety Bar"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}\InprocServer32]
@="C:\\Programme\\Safety Bar\\Safety Bar.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Safety Bar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Bar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Bar]
"DisplayName"="Safety Bar"
"UninstallString"="\"C:\\Programme\\Safety Bar\\Uninstall.bat\" \"C:\\Programme\\Safety Bar\""

; End Of The Log...

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 20.07.2006 19:28:45 for strings:
; 'fopn'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FOPN]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FOPN\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FOPN\0000]
"Service"="FOPN"
"DeviceDesc"="FOPN"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FOPN]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FOPN]
; Contents of value:
; system32\drivers\fopn.sys
"ImagePath"=hex(2):53,79,73,74,65,6d,33,32,5c,44,72,69,76,65,72,73,5c,46,4f,50,\
4e,2e,73,79,73,00
"DisplayName"="FOPN"
"Group"="FOPN Activity Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FOPN\blocked]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FOPN\log]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FOPN\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FOPN\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FOPN\Enum]
"0"="Root\\LEGACY_FOPN\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FOPN]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FOPN\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FOPN\0000]
"Service"="FOPN"
"DeviceDesc"="FOPN"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FOPN]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FOPN]
; Contents of value:
; system32\drivers\fopn.sys
"ImagePath"=hex(2):53,79,73,74,65,6d,33,32,5c,44,72,69,76,65,72,73,5c,46,4f,50,\
4e,2e,73,79,73,00
"DisplayName"="FOPN"
"Group"="FOPN Activity Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FOPN\blocked]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FOPN\log]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FOPN\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FOPN]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FOPN\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FOPN\0000]
"Service"="FOPN"
"DeviceDesc"="FOPN"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN]
; Contents of value:
; system32\drivers\fopn.sys
"ImagePath"=hex(2):53,79,73,74,65,6d,33,32,5c,44,72,69,76,65,72,73,5c,46,4f,50,\
4e,2e,73,79,73,00
"DisplayName"="FOPN"
"Group"="FOPN Activity Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN\blocked]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN\log]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN\Enum]
"0"="Root\\LEGACY_FOPN\\0000"

; End Of The Log...

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 20.07.2006 19:31:24 for strings:
; 'fwsvc'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

Spyware Scan Details
Start Date: 20.07.2006 19:47:19
End Date: 20.07.2006 20:29:29
Total Time: 42 mins 10 secs

Detected spyware

Safety Bar Toolbar more information...
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}
HKEY_CLASSES_ROOT\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}\InprocServer32 C:\Programme\Safety Bar\Safety Bar.dll
HKEY_CLASSES_ROOT\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}\InprocServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\CLSID\{052b12f7-86fa-4921-8482-26c42316b522} Safety Bar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Bar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Bar DisplayName Safety Bar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Bar UninstallString "C:\Programme\Safety Bar\Uninstall.bat" "C:\Programme\Safety Bar"


IST.ISTbar Hijacker more information...
Details: ISTbar is an Internet Explorer Hijacker, which modifies your homepages and searches without a user’s consent using an Internet Explorer toolbar.
Status: Deleted

Infected files detected
c:\delus.bat


DesktopScam Trojan Downloader more information...
Details: DesktopScam is a trojan that is downloaded with rogue security applicatons in order to frighten the affected user into purchasing the rogue program.
Status: Deleted

Infected files detected
c:\dokumente und einstellungen\userohnepasswort\favoriten\antivirus test online.url

Infected registry entries detected
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run kernel32.dll


Hacker Spider Porn Dialer more information...
Details: Hacker Spider changes your modem's dial-up settings and attempts to connect to a premium or international phone number.
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\clsid\{00000000-cddc-0704-0b53-2c8830e9faec}
HKEY_CLASSES_ROOT\clsid\{00000000-cddc-0704-0b53-2c8830e9faec}\InprocServer32 C:\WINDOWS\DOWNLO~1\ieloader.dll
HKEY_CLASSES_ROOT\clsid\{00000000-cddc-0704-0b53-2c8830e9faec}\InprocServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\clsid\{00000000-cddc-0704-0b53-2c8830e9faec}\MiscStatus\1 131473
HKEY_CLASSES_ROOT\clsid\{00000000-cddc-0704-0b53-2c8830e9faec}\MiscStatus 0
HKEY_CLASSES_ROOT\clsid\{00000000-cddc-0704-0b53-2c8830e9faec}\ProgID IELoaderCtl.IELoaderCtl.1
HKEY_CLASSES_ROOT\clsid\{00000000-cddc-0704-0b53-2c8830e9faec}\ToolboxBitmap32 C:\WINDOWS\DOWNLO~1\ieloader.dll, 1
HKEY_CLASSES_ROOT\clsid\{00000000-cddc-0704-0b53-2c8830e9faec}\TypeLib {000000AA-CDDC-0704-0B53-2C8830E9FAEC}
HKEY_CLASSES_ROOT\clsid\{00000000-cddc-0704-0b53-2c8830e9faec}\Version 1.0
HKEY_CLASSES_ROOT\clsid\{00000000-cddc-0704-0b53-2c8830e9faec}\VersionIndependentProgID IELoaderCtl.IELoaderCtl
HKEY_CLASSES_ROOT\clsid\{00000000-cddc-0704-0b53-2c8830e9faec} IELoaderCtl Class


Central24 Porn Dialer more information...
Details: Central24 is a dialer program that can be used to access various Web sites by dialing a high-cost phone number using the modem.
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\interface\{c60bc918-abba-0704-0b53-2c8830e9faec}
HKEY_CLASSES_ROOT\interface\{c60bc918-abba-0704-0b53-2c8830e9faec}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{c60bc918-abba-0704-0b53-2c8830e9faec}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{c60bc918-abba-0704-0b53-2c8830e9faec}\TypeLib {000000AA-ABBA-0704-0B53-2C8830E9FAEC}
HKEY_CLASSES_ROOT\interface\{c60bc918-abba-0704-0b53-2c8830e9faec}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\interface\{c60bc918-abba-0704-0b53-2c8830e9faec} IIELoaderCtl
HKEY_CLASSES_ROOT\typelib\{000000aa-abba-0704-0b53-2c8830e9faec}
HKEY_CLASSES_ROOT\typelib\{000000aa-abba-0704-0b53-2c8830e9faec}\1.0\0\win32 C:\WINDOWS\Downloaded Program Files\ieloader.dll
HKEY_CLASSES_ROOT\typelib\{000000aa-abba-0704-0b53-2c8830e9faec}\1.0\FLAGS 0
HKEY_CLASSES_ROOT\typelib\{000000aa-abba-0704-0b53-2c8830e9faec}\1.0\HELPDIR C:\WINDOWS\Downloaded Program Files\
HKEY_CLASSES_ROOT\typelib\{000000aa-abba-0704-0b53-2c8830e9faec}\1.0 IELoader 1.0 Type Library


GmbH Porn Dialer more information...
Details: GmbH is a dialer that dials high-cost international phone calls using a modem.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shareddlls c:\windows\downloaded program files\ieloader.dll


SpySheriff Rogue Security Program more information...
Details: SpySheriff is a purported anti-spyware application to scan for and remove spyware from users' computers.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\SNO2


MalwareWipe Rogue Security Program more information...
Details: MalwareWipe is an anti-spyware program that claims to remove malicious malware found on your computer.
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\AppID\MalwareWipe.EXE AppID {70F17C8C-1744-41B6-9D07-575DB448DCC5}


WinAntiVirus Pro Rogue Security Program more information...
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\TypeLib\{1234890A-5E6E-4867-8136-CA6F1456B235}
HKEY_CLASSES_ROOT\TypeLib\{1234890A-5E6E-4867-8136-CA6F1456B235}\1.0\0\win32 C:\Programme\Common Files\Companion Wizard\WapCHK.dll
HKEY_CLASSES_ROOT\TypeLib\{1234890A-5E6E-4867-8136-CA6F1456B235}\1.0\FLAGS 0
HKEY_CLASSES_ROOT\TypeLib\{1234890A-5E6E-4867-8136-CA6F1456B235}\1.0\HELPDIR C:\Programme\Common Files\Companion Wizard\
HKEY_CLASSES_ROOT\TypeLib\{1234890A-5E6E-4867-8136-CA6F1456B235}\1.0 CheckProduct2Lib
HKEY_CURRENT_USER\Software\WinAntiVirus Pro 2006 StoreHistory 0
HKEY_CURRENT_USER\Software\WinAntiVirus Pro 2006 AllowPopupClickType 1
HKEY_CURRENT_USER\Software\WinAntiVirus Pro 2006 NormalizeOpenedPopups 1
HKEY_CURRENT_USER\Software\WinAntiVirus Pro 2006 NormalizeAddBorders 1
HKEY_CURRENT_USER\Software\WinAntiVirus Pro 2006 NormalizeFitToDesktop 1
HKEY_CURRENT_USER\Software\WinAntiVirus Pro 2006 NormalizeAddMenuAndToolbar 1
HKEY_CURRENT_USER\Software\WinAntiVirus Pro 2006 TimedPopupLimit 2
HKEY_CURRENT_USER\Software\WinAntiVirus Pro 2006 StartBlockOnTimedPopups 0
HKEY_CURRENT_USER\Software\WinAntiVirus Pro 2006 BlockDomainPopupLimit 2
HKEY_CURRENT_USER\Software\WinAntiVirus Pro 2006 BlockDomainOnPopups 0
HKEY_CURRENT_USER\Software\WinAntiVirus Pro 2006 Active 1
HKEY_CURRENT_USER\Software\WinAntiVirus Pro 2006 DefaultAction 1
HKEY_CURRENT_USER\Software\WinAntiVirus Pro 2006\Settings VSScan 0
HKEY_CURRENT_USER\Software\WinAntiVirus Pro 2006\Settings VirusShield 1
HKEY_CURRENT_USER\Software\WinAntiVirus Pro 2006\Settings MailProtect 1

Alles ausgeführt. Übrigens die Meldung Virus Alert erscheint nicht mehr.

#8 avenger

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0903FECD-7F7A-4790-A819-A3CE08416732}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85C99188-BEFD-4c61-A54B-5D7CB0204C1E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B32FE740-8B67-409A-BCA8-3297263C354E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\WAVAutoPlay
HKEY_LOCAL_MACHINE\SOFTWARE\Purchased Products\WinAntiVirus Pro 2006
HKEY_LOCAL_MACHINE\SOFTWARE\SupportUninstall\WinAntiVirus Pro 2006
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FOPN\blocked
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FOPN\log
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FOPN
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FOPN\blocked
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FOPN\log
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FOPN
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN\blocked
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN\log
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FOPN
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FOPN
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FOPN
HKEY_USERS\S-1-5-21-796845957-1343024091-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\WinAntiVirus Pro 2006
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Safety Bar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Bar
HKEY_USERS\S-1-5-21-796845957-1343024091-1060284298-1003\Software\WinAntiVirus Pro 2006

poste den report

**
gehe in die Registry
Start - Ausfuehren - regedit
bearbeiten - suchen - WinAntiVirus Pro 2006

prinzipell das hier ausloeschen:

[HKEY_USERS\S-1-5-21-796845957-1343024091-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\WinAntiVirus Pro 2006]




loesche alles, was du findest, dann starte den Rechner neu
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\wfugvrcf

*******************

Script file located at: \??\C:\qlkicqge.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FOPN\blocked deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FOPN\log deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FOPN deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FOPN\blocked deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FOPN\log deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FOPN deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN\blocked not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN\blocked failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN\blocked
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN\log not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN\log failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN\log
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FOPN deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FOPN deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FOPN not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FOPN failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FOPN
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0903FECD-7F7A-4790-A819-A3CE08416732} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85C99188-BEFD-4c61-A54B-5D7CB0204C1E} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B32FE740-8B67-409A-BCA8-3297263C354E} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\WAVAutoPlay deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Purchased Products\WinAntiVirus Pro 2006 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\SupportUninstall\WinAntiVirus Pro 2006 deleted successfully.


Registry key HKEY_USERS\S-1-5-21-796845957-1343024091-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\WinAntiVirus Pro 2006 not found!
Deletion of registry key HKEY_USERS\S-1-5-21-796845957-1343024091-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\WinAntiVirus Pro 2006 failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522} failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Safety Bar deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Bar not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Bar failed!
Status: 0xc0000034



Registry key HKEY_USERS\S-1-5-21-796845957-1343024091-1060284298-1003\Software\WinAntiVirus Pro 2006 not found!
Deletion of registry key HKEY_USERS\S-1-5-21-796845957-1343024091-1060284298-1003\Software\WinAntiVirus Pro 2006 failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Alles von WinAntiVirus Pro 2006 habe ich gelöscht.

#10 poste das log von winpfind
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 1 Current Build Number: 2600
Internet Explorer Version: 6.0.2800.1106

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
PEC2 18.08.2001 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
Umonitor 29.08.2002 04:43:28 660480 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 18.08.2001 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
20.07.2006 23:12:52 S 2048 C:\WINDOWS\bootstat.dat
01.07.2006 14:46:52 RHS 227 C:\WINDOWS\assembly\Desktop.ini
20.07.2006 23:34:06 H 1024 C:\WINDOWS\system32\config\default.LOG
20.07.2006 23:12:54 H 1024 C:\WINDOWS\system32\config\SAM.LOG
20.07.2006 23:14:48 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
20.07.2006 23:29:24 H 1024 C:\WINDOWS\system32\config\software.LOG
20.07.2006 23:14:34 H 1024 C:\WINDOWS\system32\config\system.LOG
01.07.2006 14:40:00 H 0 C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG
01.07.2006 15:25:32 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\16b5b7ea-ad43-4be5-b045-9f0896b142e1
01.07.2006 15:25:32 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\Preferred
30.05.2006 12:52:00 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\30964e6d-2c8f-4ed8-a36e-af3853e60ade
30.05.2006 12:52:00 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred
20.07.2006 23:12:56 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 18.08.2001 14:00:00 68096 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 29.08.2002 04:43:42 583680 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 29.08.2002 04:43:42 132096 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 18.08.2001 14:00:00 152064 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 29.08.2002 04:43:42 293376 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 29.08.2002 04:43:42 125440 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 29.08.2002 04:43:42 66560 C:\WINDOWS\SYSTEM32\joy.cpl
Microsoft Corporation 18.08.2001 14:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 18.08.2001 14:00:00 566272 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 18.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 18.08.2001 14:00:00 259072 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
NVIDIA Corporation 28.07.2003 16:19:00 143360 C:\WINDOWS\SYSTEM32\nvtuicpl.cpl
Microsoft Corporation 18.08.2001 14:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl
Microsoft Corporation 18.08.2001 14:00:00 36864 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 18.08.2001 14:00:00 111616 C:\WINDOWS\SYSTEM32\powercfg.cpl
Microsoft Corporation 29.08.2002 04:43:42 272896 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 18.08.2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 18.08.2001 14:00:00 90112 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 18.08.2001 14:00:00 68096 C:\WINDOWS\SYSTEM32\dllcache\access.cpl
Microsoft Corporation 18.08.2001 14:00:00 152064 C:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl
Microsoft Corporation 18.08.2001 14:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 18.08.2001 14:00:00 566272 C:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl
Microsoft Corporation 18.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 18.08.2001 14:00:00 259072 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl
Microsoft Corporation 18.08.2001 14:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 18.08.2001 14:00:00 36864 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl
Microsoft Corporation 18.08.2001 14:00:00 111616 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl
Microsoft Corporation 18.08.2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
Microsoft Corporation 18.08.2001 14:00:00 90112 C:\WINDOWS\SYSTEM32\dllcache\timedate.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
01.11.2002 08:41:10 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
08.04.2004 14:51:36 1602 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...
17.07.2006 22:30:32 305 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
01.11.2002 08:28:44 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini

Checking files in %USERPROFILE%\Startup folder...
01.11.2002 08:41:10 HS 84 C:\Dokumente und Einstellungen\userohnepasswort\Startmenü\Programme\Autostart\desktop.ini
27.03.2004 18:29:02 1329 C:\Dokumente und Einstellungen\userohnepasswort\Startmenü\Programme\Autostart\GENO lite ZV Fälligkeiten.lnk

Checking files in %USERPROFILE%\Application Data folder...
01.11.2002 08:28:44 HS 62 C:\Dokumente und Einstellungen\userohnepasswort\Anwendungsdaten\desktop.ini
02.07.2006 20:40:56 42256 C:\Dokumente und Einstellungen\userohnepasswort\Anwendungsdaten\GDIPFONTCACHEV1.DAT

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Shell Extension for Malware scanning
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programme\AntiVir PersonalEdition Classic\shlext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{321CF1F6-A729-4033-91B6-50D51737BC1C}
= C:\Programme\T-Online\T-Online_Software_6\Banking\HbDokMan.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\Shell Extension for Malware scanning
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programme\AntiVir PersonalEdition Classic\shlext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
=
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}
Google Toolbar Helper = c:\programme\google\googletoolbar2.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar2.dll
{8E718888-423F-11D2-876E-00A0C9082467} = &Radio : C:\WINDOWS\System32\msdxm.ocx

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
ButtonText = @shdoclc.dll,-866 :

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
Media Band = %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
File Search Explorer Band = %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} = :
{2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar2.dll
{052B12F7-86FA-4921-8482-26C42316B522} = :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
NvCplDaemon RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
nwiz nwiz.exe /install
FLMK08KB C:\Programme\Multimedia keyboard utility\1.3\MMKEYBD.EXE
FLMMEDIONMOUSE C:\Programme\Browser mouse\1.3\mouse32a.exe
Zone Labs Client C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
T-DSL SpeedMgr "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
ToADiMon.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
T-Online DSL-Manager "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
avgnt "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
SunServer C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE C:\WINDOWS\System32\ctfmon.exe
InfoCockpit C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
issearch.exe issearch.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 20.07.2006 23:34:13

#12 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""

PC neustarten

**

*öffne das HijackThis
*Do a system scan only
*Config
*Misc Tools
*Open Hosts file Manager

kopiere ab, oder schreibe, was du findest

**
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo Sabina,
Im Hosts file Manager steht folgendes:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
127.0.0.1 localhost

Scanreport Panda:

Incident Status Location

Potentially unwanted tool:application/winantivirus2006 Not disinfected c:\dokumente und einstellungen\all users\anwendungsdaten\WinAntiVirus Pro 2006
Potentially unwanted tool:application/malwarewipe Not disinfected hkey_classes_root\appid\MalwareWipe.EXE
Adware:Adware/SpywareQuake Not disinfected C:\avenger\backup-20.07.2006-21.42.01,66.zip[avenger/ismon.exe]
Adware:Adware/SystemDoctor Not disinfected C:\avenger\backup-20.07.2006-21.42.01,66.zip[avenger/isnotify.exe]
Adware:Adware/SystemDoctor Not disinfected C:\avenger\backup-20.07.2006-21.42.01,66.zip[avenger/ixt0.dll]
Adware:Adware/SafetyBar Not disinfected C:\avenger\backup-20.07.2006-21.42.01,66.zip[avenger/Safety Bar.dll]
Adware:Adware/SafetyBar Not disinfected C:\avenger\backup-20.07.2006-21.42.01,66.zip[avenger/Uninstall.bat]
Potentially unwanted tool:Application/Winfixer2005 Not disinfected C:\avenger\backup-20.07.2006-21.42.01,66.zip[avenger/WAPPChk.dll]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\userohnepasswort\Cookies\userohnepasswort@as-eu.falkag[2].txt
Spyware:Cookie/Reliablestats Not disinfected C:\Dokumente und Einstellungen\userohnepasswort\Cookies\userohnepasswort@stats1.reliablestats[1].txt
Potentially unwanted tool:Application/Adwareremover Not disinfected C:\WINDOWS\system32\fk.dll Habe zusätzlich den Scanreport von Panda als Datei angehängt.
Gruß K.Kraus

#14 Kraus

1.
loesche manuell:

c:\dokumente und einstellungen\all users\anwendungsdaten\WinAntiVirus Pro 2006

C:\avenger\backup-20.07.2006-21.42.01,66.zip
C:\WINDOWS\system32\fk.dll

2.
gehe in die registry
Start -Ausfuehren - regedit
bearbeiten - suchen - MalwareWipe

loesche alles, was du findest.

hkey_classes_root\appid\MalwareWipe.EXE

--------------------------------------------------

3.
PC neustarten

4.
scanne mit McAfee FreeScan (Online) + Ewido und poste die reporte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hallo Sabina,

1. Habe die Dateien manuell gelöscht
2. MalwareWipe aus Registrierung entfernt
4. McAfee FreeScan detected NO viruses
Scan Report von Ewido:
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Falkag
Path: C:\Dokumente und Einstellungen\userohnepasswort\Cookies\userohnepasswort@as-eu.falkag[2].txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: C:\Dokumente und Einstellungen\userohnepasswort\Cookies\userohnepasswort@as1.falkag[2].txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: C:\Dokumente und Einstellungen\userohnepasswort\Cookies\userohnepasswort@ivwbox[2].txt
Risk: Medium

Name: TrackingCookie.Reliablestats
Path: C:\Dokumente und Einstellungen\userohnepasswort\Cookies\userohnepasswort@stats1.reliablestats[1].txt
Risk: Medium

Name: TrackingCookie.Tribalfusion
Path: C:\Dokumente und Einstellungen\userohnepasswort\Cookies\userohnepasswort@tribalfusion[1].txt
Risk: Medium

Name: Dialer.Generic
Path: HKLM\SOFTWARE\Classes\ACTIVEXDOWNLOAD.ActiveXDownloadCtrl.1
Risk: High

Name: Downloader.Zlob.zd
Path: C:\avenger\backup-20.07.2006-21.42.01,66.zip/avenger/isnotify.exe
Risk: High

Name: Downloader.Zlob.zd
Path: C:\avenger\backup-20.07.2006-21.42.01,66.zip/avenger/issearch.exe
Risk: High

Name: Not-A-Virus.Downloader.Win32.WinFixer.j
Path: C:\avenger\backup-20.07.2006-21.42.01,66.zip/avenger/wa6pinst.exe
Risk: Low

Name: Not-A-Virus.Hoax.Win32.Renos.dw
Path: C:\avenger\backup-20.07.2006-21.42.01,66.zip/avenger/yephk.dll
Risk: Low