TR/Vundo.gen nicht löschbar

#1 Kann mir einer der Profis helfen


Logfile of HijackThis v1.99.1
Scan saved at 17:00:24, on 17.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Program Files\Arcade\PCMService.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\explorer.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\PHILIP~1\LOKALE~1\Temp\Rar$EX00.282\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [CleanUp XP] C:\Programme\CleanUp XP\CleanUp.exe -h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Hier ist das Logfile

#2 Phikott

Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)


combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
http://virus-protect.org/artikel/tools/combofix.html


Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere je Logfile nur die letzten 3 Monate ab !)
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi Sabina
Habe das gleiche Problem mit dem TR/Vundo.Gen
Kann sein, dass noch mehr Maleware drauf ist.
Hoffe kannst mir rasch helfen.

Hier das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 13:11:05, on 22.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5450.0004)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Canon\MultiPASS4\MPTBox.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MPTBox] C:\Programme\Canon\MultiPASS4\MPTBox.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: MpService - Canon Inc. - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Liebe Grüsse
spacee

#4 spacee

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 hi sabina
tut mir leid wegen der Wartedauer, ist leider nicht mein Pc, muss immer zur Freundin fahren und dies erledigen... ^^
Freu mich auf deine Antwort, hoffe dur kannst helfen!

gruss

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 18CD-3CE2

Verzeichnis von C:\WINDOWS\system32

24.10.2006 18:06 655'380 cbeeg.ini2
24.10.2006 18:05 13'646 wpa.dbl
21.10.2006 15:57 143 mcrh.tmp
21.10.2006 09:23 726'031 cbeeg.bak2
19.10.2006 15:56 3'103 qtplugin.log
04.10.2006 13:03 9'639'336 MRT.exe
02.10.2006 15:56 670'695 cbeeg.bak1
29.09.2006 12:07 73'748 awgfcolq.dll
26.09.2006 18:47 654'293 cbeeg.tmp
26.09.2006 18:46 654'293 cbeeg.ini
23.09.2006 13:07 648 ikhcore.log
17.09.2006 15:51 577'588 geebc.dll
17.09.2006 15:30 760'474 ijkmp.ini
17.09.2006 13:50 754'951 ijkmp.bak1
13.09.2006 07:02 1'084'416 msxml3.dll
07.09.2006 12:54 57'384 avsda.dll
04.09.2006 08:13 1'497'088 shdocvw.dll
25.08.2006 17:46 617'472 comctl32.dll
21.08.2006 14:26 16'896 fltlib.dll
21.08.2006 11:14 23'040 fltmc.exe
16.08.2006 13:58 100'352 6to4svc.dll
07.08.2006 09:50 1'484'592 LegitCheckControl.DLL
02.08.2006 19:07 314'644 perfh009.dat
02.08.2006 19:07 40'972 perfc009.dat
02.08.2006 19:07 320'424 perfh007.dat
02.08.2006 19:07 49'372 perfc007.dat
02.08.2006 19:07 725'674 PerfStringBackup.INI
29.07.2006 19:32 48'936 sirenacm.dll
29.07.2006 17:02 139'264 hpzjrd01.dll
27.07.2006 15:25 679'424 inetcomm.dll
21.07.2006 10:29 72'704 hlink.dll
14.07.2006 17:38 332'288 netapi32.dll
14.07.2006 17:25 546'304 hhctrl.ocx
13.07.2006 15:34 8'494'592 shell32.dll
05.07.2006 12:55 1'057'792 kernel32.dll

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 18CD-3CE2

Verzeichnis von C:\DOKUME~1\User1\LOKALE~1\Temp

24.10.2006 18:07 106'516 vvdmqoii.dll
24.10.2006 18:06 106'516 uefhkeyj.dll
24.10.2006 18:05 106'516 qdknvlcg.dll
24.10.2006 18:05 47'122 DIO16.tmp
24.10.2006 18:05 47'122 DIO14.tmp
24.10.2006 18:05 110 STS13.tmp
24.10.2006 18:05 47'122 DIO11.tmp
24.10.2006 18:05 1'285 MAR10.tmp
24.10.2006 18:05 1'342 MARF.tmp
24.10.2006 18:03 31'150 hpodvd09.log
24.10.2006 18:01 106'516 depxabym.dll
24.10.2006 18:00 106'516 hefhaypv.dll
24.10.2006 17:59 106'516 utmqmkkc.dll
24.10.2006 17:59 106'516 micbsphn.dll
24.10.2006 17:58 47'122 DIO15.tmp
24.10.2006 17:58 110 STS14.tmp
24.10.2006 17:58 47'122 DIO13.tmp
24.10.2006 17:58 47'122 DIOF.tmp
24.10.2006 17:58 1'285 MARE.tmp
24.10.2006 17:58 1'342 MARD.tmp
24.10.2006 15:52 1'230 jusched.log
24.10.2006 15:51 106'516 jvxmlqsi.dll
24.10.2006 15:50 106'516 uvlqehxq.dll
24.10.2006 15:50 106'516 dhsbdker.dll
24.10.2006 15:43 47'122 DIO12.tmp
24.10.2006 15:42 110 STS10.tmp
24.10.2006 15:42 47'122 DIOD.tmp
24.10.2006 15:42 1'285 MARC.tmp
24.10.2006 15:42 1'342 MARB.tmp
23.10.2006 20:44 53'728 6c2c_appcompat.txt
23.10.2006 19:51 47'122 DIO10.tmp
23.10.2006 19:51 110 STSE.tmp
23.10.2006 19:50 47'122 DIOC.tmp
23.10.2006 19:50 1'285 MARA.tmp
23.10.2006 19:50 1'342 MAR9.tmp
23.10.2006 19:05 56'540 LJFU2AJY.emf
23.10.2006 18:48 106'516 fcstrjrk.dll
23.10.2006 18:47 106'516 jeaaopgo.dll
23.10.2006 18:47 106'516 koymiscp.dll
23.10.2006 18:46 47'122 DIOE.tmp
23.10.2006 18:46 110 STSC.tmp
23.10.2006 18:45 47'122 DIOA.tmp
23.10.2006 18:45 1'285 MAR8.tmp
23.10.2006 18:45 1'342 MAR7.tmp
22.10.2006 20:34 106'516 umhxvlxm.dll
22.10.2006 20:33 106'516 bdkilkyi.dll
22.10.2006 20:32 106'516 xgrgammg.dll
22.10.2006 20:31 47'122 DIOB.tmp
22.10.2006 20:31 110 STS9.tmp
22.10.2006 20:31 47'122 DIO8.tmp
22.10.2006 20:31 1'285 MAR6.tmp
22.10.2006 20:31 1'342 MAR5.tmp
22.10.2006 16:05 110 STS11.tmp
22.10.2006 14:29 106'516 fpinkgsf.dll
22.10.2006 14:28 106'516 qxyrlcdb.dll
22.10.2006 14:27 47'122 DIO9.tmp
22.10.2006 14:27 47'122 DIO5.tmp
22.10.2006 14:27 1'285 MAR4.tmp
22.10.2006 14:27 1'342 MAR3.tmp
22.10.2006 14:23 16'384 ~DF3327.tmp
22.10.2006 14:18 106'516 kduwqmev.dll
22.10.2006 14:17 106'516 yeisnchk.dll
22.10.2006 14:16 106'516 oyuwbamt.dll
22.10.2006 14:12 47'122 DIO7.tmp
22.10.2006 14:12 110 STS5.tmp
22.10.2006 14:12 47'122 DIO3.tmp
22.10.2006 14:12 1'285 MAR2.tmp
22.10.2006 14:12 1'342 MAR1.tmp
22.10.2006 14:06 16'384 ~DFA891.tmp
04.10.2006 09:23 668 datFind.bat
08.02.2006 03:02 73'728 KillBox.exe
05.11.2002 15:16 647 Skin.ini
72 Datei(en) 3'357'387 Bytes

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 18CD-3CE2

Verzeichnis von C:\WINDOWS

24.10.2006 18:05 0 0.log
24.10.2006 18:05 159 wiadebug.log
24.10.2006 18:05 1'981'625 WindowsUpdate.log
24.10.2006 18:05 50 wiaservc.log
24.10.2006 18:04 2'048 bootstat.dat
24.10.2006 18:03 32'506 SchedLgU.Txt
22.10.2006 13:39 953'379 setupapi.log
19.10.2006 15:55 54'156 QTFont.qfn
15.10.2006 16:54 202 NeroDigital.ini
15.10.2006 16:22 1'409 QTFont.for
14.10.2006 10:10 87'744 iis6.log
14.10.2006 10:10 193'255 comsetup.log
14.10.2006 10:10 115'567 ntdtcsetup.log
14.10.2006 10:10 1'393 imsins.log
14.10.2006 10:10 215'918 tsoc.log
14.10.2006 10:10 30'639 ocmsn.log
14.10.2006 10:10 15'812 KB924191.log
14.10.2006 10:10 28'063 msgsocm.log
14.10.2006 10:10 271'293 ocgen.log
14.10.2006 10:10 555'599 FaxSetup.log
14.10.2006 10:10 63'250 updspapi.log
14.10.2006 10:09 1'393 imsins.BAK
14.10.2006 10:09 15'458 KB922819.log
14.10.2006 10:09 13'660 KB923414.log
14.10.2006 10:09 15'114 KB924496.log
14.10.2006 10:09 10'958 KB923191.log
09.10.2006 15:54 169 RtlRack.ini
01.10.2006 12:02 389 LUINSTALL.LOG
24.09.2006 17:55 829'314 ntbtlog.txt
24.09.2006 16:52 196'488 setupact.log
14.09.2006 20:04 13'078 KB920685.log
14.09.2006 20:04 15'005 KB920872.log
14.09.2006 20:03 13'243 KB919007.log
14.09.2006 20:03 9'183 KB922582.log
02.09.2006 10:41 6'740 spupdsvc.log
02.09.2006 10:39 19'980 ie7beta3_main.log
02.09.2006 10:39 64'555 ie7beta3.log
02.09.2006 10:37 10'787 KB915865.log
02.09.2006 10:36 5'776 KB914440.log
02.09.2006 10:36 34'325 KB918899.log
02.09.2006 10:35 11'081 KB904942.log
30.08.2006 21:03 47'274 wmsetup.log
13.08.2006 13:31 18'620 KB920214.log
13.08.2006 13:31 18'928 KB922616.log
13.08.2006 13:31 18'600 KB921398.log
13.08.2006 13:30 11'900 KB920670.log
13.08.2006 13:30 12'060 KB917422.log
13.08.2006 13:30 12'319 KB920683.log
12.08.2006 15:34 672 win.ini
08.08.2006 20:14 11'093 KB921883.log
03.08.2006 10:12 8'813 WgaNotify.log
29.07.2006 17:14 221 NCLogConfig.ini
29.07.2006 17:08 227 HP_CounterReport_Update_HPSU.ini
29.07.2006 17:08 214 HP_48BitScanUpdatePatch.ini
29.07.2006 17:06 206 HPGdiPlus.ini
29.07.2006 17:04 221 HP_RedboxHprblog_HPSU.ini
29.07.2006 16:45 113'592 hpoins07.dat
12.07.2006 20:48 11'834 KB917159.log
12.07.2006 20:48 12'346 KB914388.log
12.07.2006 20:48 10'453 KB916595.log

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 18CD-3CE2

Verzeichnis von C:\WINDOWS\Temp

24.10.2006 18:05 409 WGANotify.settings
24.10.2006 18:04 255 WGAErrLog.txt
24.10.2006 16:02 619 MpCmdRun.log
3 Datei(en) 1'283 Bytes
0 Verzeichnis(se), 23'417'425'920 Bytes frei

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 18CD-3CE2

Verzeichnis von C:\WINDOWS\Downloaded Program Files

24.09.2006 17:31 65 desktop.ini
27.07.2006 13:52 367 LegitCheckControl.inf
2 Datei(en) 432 Bytes
0 Verzeichnis(se), 23'417'475'072 Bytes frei

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 18CD-3CE2

Verzeichnis von C:\

24.10.2006 18:10 0 sys.txt
24.10.2006 18:09 348 down.txt
24.10.2006 18:09 377 tmp.txt
24.10.2006 18:08 10'090 system.txt
24.10.2006 18:08 3'677 systemtemp.txt
24.10.2006 18:08 101'625 system32.txt
24.10.2006 18:04 527'814'656 hiberfil.sys
24.10.2006 18:04 792'723'456 pagefile.sys
12.08.2006 07:59 10'970 jassclient.log
14.05.2006 12:53 211 boot.ini

#6 spacee

1.poste das log von combofix
http://virus-protect.org/artikel/tools/combofix.html

2.
avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\geebc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pmkji

Files to delete:
C:\WINDOWS\system32\cbeeg.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\cbeeg.bak2
C:\WINDOWS\system32\cbeeg.bak1
C:\WINDOWS\system32\awgfcolq.dll
C:\WINDOWS\system32\cbeeg.tmp
C:\WINDOWS\system32\cbeeg.ini
C:\WINDOWS\system32\geebc.dll
C:\WINDOWS\system32\ijkmp.ini
C:\WINDOWS\system32\ijkmp.bak1
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\vvdmqoii.dll
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\uefhkeyj.dll
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\qdknvlcg.dll
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIO16.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIO14.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\STS13.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIO11.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\MAR10.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\MARF.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\hpodvd09.log
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\depxabym.dll
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\hefhaypv.dll
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\utmqmkkc.dll
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\micbsphn.dll
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIO15.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\STS14.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIO13.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIOF.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\MARE.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\MARD.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\jvxmlqsi.dll
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\uvlqehxq.dll
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\dhsbdker.dll
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIO12.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\STS10.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIOD.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\MARC.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\MARB.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIO10.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\STSE.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIOC.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\MARA.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\MAR9.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\LJFU2AJY.emf
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\fcstrjrk.dll
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\jeaaopgo.dll
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\koymiscp.dll
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIOE.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\STSC.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIOA.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\MAR8.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\MAR7.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\umhxvlxm.dll
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\bdkilkyi.dll
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\xgrgammg.dll
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIOB.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\STS9.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIO8.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\MAR6.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\MAR5.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\STS11.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\fpinkgsf.dll
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\qxyrlcdb.dll
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIO9.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIO5.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\MAR4.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\MAR3.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\~DF3327.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\kduwqmev.dll
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\yeisnchk.dll
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\oyuwbamt.dll
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIO7.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\STS5.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIO3.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\MAR2.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\MAR1.tmp
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\~DFA891.tmp

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste hier das log von avenger, was nach neustart erscheint

**
wende an:
http://virus-protect.org/reinigungstoolsregistry.html
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hi Sabina, bin mir nicht sicher, aber ich glaube, das Avenger Script hat nicht geklappt, oder? :-/

Hier mal das Combofix Log:

User1 - 06-10-29 10:22:25.65 Service Pack 2
ComboFix 06.10.19 - Running from: "C:\Dokumente und Einstellungen\User1\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\components


((((((((((((((((((((((((((((((( Files Created from 2006-09-29 to 2006-10-29 ))))))))))))))))))))))))))))))))))


2006-10-01 11:07 57,384 --a------ C:\WINDOWS\system32\avsda.dll
2006-10-01 11:07 32,768 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-10-01 11:07 14,848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys
2006-09-29 11:07 73,748 --a------ C:\WINDOWS\system32\awgfcolq.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-29 10:23 654624 ---hs---- C:\WINDOWS\system32\cbeeg.ini2
2006-10-27 15:44 -------- d-------- C:\Programme\Google
2006-10-24 17:01 -------- d-------- C:\Programme\CleanUp!
2006-10-22 13:03 -------- d-------- C:\Programme\ClearProg
2006-10-22 12:45 -------- d-------- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Skype
2006-10-22 12:41 -------- d-------- C:\Programme\Windows Defender
2006-10-22 12:28 -------- d-------- C:\Programme\Hijackthis
2006-10-21 08:23 726031 ---hs---- C:\WINDOWS\system32\cbeeg.bak2
2006-10-18 13:43 -------- d-------- C:\Programme\Skype
2006-10-18 13:29 -------- d-------- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Image Zone Express
2006-10-02 14:56 670695 ---hs---- C:\WINDOWS\system32\cbeeg.bak1
2006-10-02 14:52 -------- d-------- C:\Programme\Canon
2006-10-02 14:50 -------- d-------- C:\Programme\Gemeinsame Dateien\Canon
2006-10-02 14:50 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-01 11:36 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-10-01 11:02 -------- d-------- C:\Programme\Symantec
2006-10-01 11:02 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-10-01 10:54 -------- d-------- C:\Programme\Norton AntiVirus
2006-09-24 16:35 -------- d-------- C:\Programme\Lavasoft
2006-09-24 16:35 -------- d-------- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Lavasoft
2006-09-23 11:07 -------- d-------- C:\Programme\Macrogaming
2006-09-17 14:54 -------- d-------- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Google
2006-09-17 14:51 577588 --------- C:\WINDOWS\system32\geebc.dll
2006-09-17 14:05 -------- d-------- C:\Programme\MSN Messenger
2006-09-17 12:50 754951 ---hs---- C:\WINDOWS\system32\ijkmp.bak1
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-09-12 13:36 -------- d---s---- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Microsoft
2006-09-02 09:41 -------- d-------- C:\Programme\Internet Explorer
2006-08-25 16:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-16 12:58 100352 --a------ C:\WINDOWS\system32\6to4svc.dll
2006-08-16 12:27 1341 --a------ C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Hewlett-PackardHP PSC 1400 series1154184278_PROTOCOL.log
2006-07-29 18:32 48936 --a------ C:\WINDOWS\system32\sirenacm.dll
2006-07-29 16:14 372 --a------ C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Hewlett-PackardHP PSC 1400 series1154184278_UI.log
2006-07-29 16:14 0 --a--c--- C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Hewlett-PackardHP PSC 1400 series1154184278_API.log
2006-07-29 16:08 38273 --a------ C:\Dokumente und Einstellungen\User1\Anwendungsdaten\PatchUpdate_HP_CounterReport_Update_HPSU.log
2006-07-29 16:08 2065 --a------ C:\Dokumente und Einstellungen\User1\Anwendungsdaten\HPSU_48BitScanUpdate.log
2006-07-29 16:06 6654 --a------ C:\Dokumente und Einstellungen\User1\Anwendungsdaten\GdiplusUpgrade_MSIApproach_Wrapper.log
2006-07-29 16:05 405576 --a------ C:\Dokumente und Einstellungen\User1\Anwendungsdaten\Update_HP_RedboxHprblog_HPSU.log
2006-07-29 16:02 139264 --a------ C:\WINDOWS\system32\hpzjrd01.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"zBrowser Launcher"="C:\\Programme\\Logitech\\iTouch\\iTouch.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"MPTBox"="C:\\Programme\\Canon\\MultiPASS4\\MPTBox.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"HP Software Update"="C:\\Programme\\HP\\HP Software Update\\HPWuSchd2.exe"
"Windows Defender"="\"C:\\Programme\\Windows Defender\\MSASCui.exe\" -hide"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{553858A7-4922-4e7e-B1C1-97140C1C16EF}"="IE Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=""
"{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"="Microsoft AntiMalware ShellExecuteHook"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="avgnt"
"hkey"="HKLM"
"command"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MPTBox]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MPTBox"
"hkey"="HKLM"
"command"="C:\\Programme\\Canon\\MultiPASS4\\MPTBox.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MsnMsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SOUNDMAN"
"hkey"="HKLM"
"command"="SOUNDMAN.EXE"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geebc
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SASWinLogon
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winkve32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"



~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

backup-20060923-153036-790
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
backup-20060923-133935-222
O16 - DPF: {6F1AF9D5-68BB-4A81-93F1-481CB8AB0D0B} (PhotocolorUploader Control) - http://web1.photocolor.net/webupload/ActiveX/PhotocolorUploader.cab
backup-20060923-133935-764
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
backup-20060923-133935-984
O4 - HKLM\..\Run: [PVModule] C:\PROGRA~2\PRINTV~1\pvmodule.exe
backup-20060923-131627-942
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\MP Scheduled Scan.job
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 06-10-29 10:24:00.62
C:\ComboFix.txt ... 06-10-29 10:24

Hier das Avenger Logfile:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\lmpbjcbk

*******************

Script file located at: eefhucnp

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!



Muss ich das Avenger nochmals versuchen?

Gruss und danke im Voraus.

#8 ja, versuche den avenger noch mal, dann poste noch mal die 6 logs von datfindbat zur ueberpruefung
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Ok, Avenger hat jetzt mehr gebracht:


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mhmvapfs

*******************

Script file located at: \??\C:\WINDOWS\system32\nmsuyicx.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\cbeeg.ini2 deleted successfully.
File C:\WINDOWS\system32\mcrh.tmp deleted successfully.
File C:\WINDOWS\system32\cbeeg.bak2 deleted successfully.
File C:\WINDOWS\system32\cbeeg.bak1 deleted successfully.
File C:\WINDOWS\system32\awgfcolq.dll deleted successfully.
File C:\WINDOWS\system32\cbeeg.tmp deleted successfully.
File C:\WINDOWS\system32\cbeeg.ini deleted successfully.
File C:\WINDOWS\system32\geebc.dll deleted successfully.
File C:\WINDOWS\system32\ijkmp.ini deleted successfully.
File C:\WINDOWS\system32\ijkmp.bak1 deleted successfully.



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\geebc deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pmkji not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pmkji failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.




Hier jetzt nochmal das datafindbat dings:

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 18CD-3CE2

Verzeichnis von C:\WINDOWS\system32

29.10.2006 10:45 13'646 wpa.dbl
29.10.2006 10:21 40'972 perfc009.dat
29.10.2006 10:21 314'644 perfh009.dat
29.10.2006 10:21 320'424 perfh007.dat
29.10.2006 10:21 49'372 perfc007.dat
29.10.2006 10:21 732'342 PerfStringBackup.INI
19.10.2006 14:56 3'103 qtplugin.log
04.10.2006 12:03 9'639'336 MRT.exe
02.10.2006 16:24 24'072 uxtuneup.dll
23.09.2006 12:07 648 ikhcore.log
13.09.2006 06:02 1'084'416 msxml3.dll
07.09.2006 11:54 57'384 avsda.dll
04.09.2006 07:13 1'497'088 shdocvw.dll
25.08.2006 16:46 617'472 comctl32.dll
21.08.2006 13:26 16'896 fltlib.dll
21.08.2006 10:14 23'040 fltmc.exe
16.08.2006 12:58 100'352 6to4svc.dll
07.08.2006 08:50 1'484'592 LegitCheckControl.DLL

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 18CD-3CE2

Verzeichnis von C:\DOKUME~1\User1\LOKALE~1\Temp

29.10.2006 10:46 47'122 DIO9.tmp
29.10.2006 10:45 47'122 DIO8.tmp
29.10.2006 10:45 110 STS7.tmp
29.10.2006 10:45 47'122 DIO6.tmp
29.10.2006 10:45 1'285 MAR4.tmp
29.10.2006 10:45 1'342 MAR3.tmp
29.10.2006 10:44 82'509 hpodvd09.log
29.10.2006 10:39 408 jusched.log
29.10.2006 10:32 118'804 btruuonr.dll
29.10.2006 10:30 118'804 kdhiefxm.dll
29.10.2006 10:30 118'804 majegwda.dll
29.10.2006 10:29 47'122 DIO7.tmp
29.10.2006 10:29 110 STS6.tmp
29.10.2006 10:29 47'122 DIO3.tmp
29.10.2006 10:29 1'285 MAR2.tmp
29.10.2006 10:29 1'342 MAR1.tmp
04.10.2006 09:23 668 datFind.bat
25.02.2006 23:28 130'048 avenger.exe

15.10.2006 15:22 1'409 QTFont.for
14.10.2006 09:10 115'567 ntdtcsetup.log
14.10.2006 09:10 30'639 ocmsn.log
14.10.2006 09:10 215'918 tsoc.log
14.10.2006 09:10 193'255 comsetup.log
14.10.2006 09:10 87'744 iis6.log
14.10.2006 09:10 1'393 imsins.log
14.10.2006 09:10 15'812 KB924191.log
14.10.2006 09:10 271'293 ocgen.log
14.10.2006 09:10 28'063 msgsocm.log
14.10.2006 09:10 555'599 FaxSetup.log
14.10.2006 09:10 63'250 updspapi.log
14.10.2006 09:09 1'393 imsins.BAK
14.10.2006 09:09 15'458 KB922819.log
14.10.2006 09:09 13'660 KB923414.log
14.10.2006 09:09 15'114 KB924496.log
14.10.2006 09:09 10'958 KB923191.log
09.10.2006 14:54 169 RtlRack.ini
01.10.2006 11:02 389 LUINSTALL.LOG
24.09.2006 15:52 196'488 setupact.log
14.09.2006 19:04 13'078 KB920685.log
14.09.2006 19:04 15'005 KB920872.log
14.09.2006 19:03 13'243 KB919007.log
14.09.2006 19:03 9'183 KB922582.log
02.09.2006 09:41 6'740 spupdsvc.log
02.09.2006 09:39 19'980 ie7beta3_main.log
02.09.2006 09:39 64'555 ie7beta3.log
02.09.2006 09:37 10'787 KB915865.log
02.09.2006 09:36 5'776 KB914440.log
02.09.2006 09:36 34'325 KB918899.log
02.09.2006 09:35 11'081 KB904942.log
30.08.2006 20:03 47'274 wmsetup.log
13.08.2006 12:31 18'620 KB920214.log
13.08.2006 12:31 18'928 KB922616.log
13.08.2006 12:31 18'600 KB921398.log
13.08.2006 12:30 11'900 KB920670.log
13.08.2006 12:30 12'060 KB917422.log
13.08.2006 12:30 12'319 KB920683.log
08.08.2006 19:14 11'093 KB921883.log
03.08.2006 09:12 8'813 WgaNotify.log
29.07.2006 16:14 221 NCLogConfig.ini
29.07.2006 16:08 227 HP_CounterReport_Update_HPSU.ini
29.07.2006 16:08 214 HP_48BitScanUpdatePatch.ini
29.07.2006 16:06 206 HPGdiPlus.ini
29.07.2006 16:04 221 HP_RedboxHprblog_HPSU.ini

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 18CD-3CE2

Verzeichnis von C:\WINDOWS\Temp

29.10.2006 10:45 409 WGANotify.settings
29.10.2006 10:45 255 WGAErrLog.txt
2 Datei(en) 664 Bytes
0 Verzeichnis(se), 23'031'435'264 Bytes frei

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 18CD-3CE2

Verzeichnis von C:\WINDOWS\Downloaded Program Files

24.09.2006 16:31 65 desktop.ini
27.07.2006 12:52 367 LegitCheckControl.inf
2 Datei(en) 432 Bytes
0 Verzeichnis(se), 23'031'435'264 Bytes frei

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 18CD-3CE2

Verzeichnis von C:\

29.10.2006 10:50 0 sys.txt
29.10.2006 10:50 348 down.txt
29.10.2006 10:49 327 tmp.txt
29.10.2006 10:49 9'903 system.txt
29.10.2006 10:49 1'135 systemtemp.txt
29.10.2006 10:49 101'199 system32.txt
29.10.2006 10:45 47'784 avenger.txt
29.10.2006 10:45 527'814'656 hiberfil.sys
29.10.2006 10:45 792'723'456 pagefile.sys
29.10.2006 10:24 10'739 ComboFix.txt
25.10.2006 08:15 211 boot.ini
12.08.2006 06:59 10'970 jassclient.log
30.04.2006 12:22 0 itouch_config_crash_info.txt
14.12.2005 19:04 1'120 INSTALL.LOG
02.12.2005 11:42 756 PctvMobileChannelScan.log
23.11.2005 16:44 0 itouch_crash_info.txt
23.11.2005 15:38 0 IO.SYS
23.11.2005 15:38 0 CONFIG.SYS
23.11.2005 15:38 0 MSDOS.SYS
23.11.2005 15:38 0 AUTOEXEC.BAT
31.10.2005 16:56 700'416 StubInstaller.exe
04.08.2004 13:00 47'564 NTDETECT.COM
04.08.2004 13:00 4'952 bootfont.bin
04.08.2004 13:00 251'184 ntldr
24.05.2001 12:59 162'304 UNWISE.EXE





Bin jetzt leider weg, morgen Abend wieder hier.
Noch einen schönen Sonntag... Gruss

#10 Avenger

Zitat

Files to delete:
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO9.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO8.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\STS7.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO6.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR4.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR3.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\btruuonr.dll
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\kdhiefxm.dll
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\majegwda.dll
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO7.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\STS6.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO3.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR2.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR1.tmp

««
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

««
poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hi Sabina

Beim Avenger hat während dem Prozess einen "Avenger Trojaner" (im System32/drivers) beim AntiVir angezeigt. Komisch?

Hier das Avenger Logfile:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dyejdwwi

*******************

Script file located at: \??\C:\tthskgwo.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIO9.tmp for deletion
Deletion of file C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIO9.tmp failed!

Could not process line:
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIO9.tmp
Status: 0xc000003a



Could not open file C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIO8.tmp for deletion
Deletion of file C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIO8.tmp failed!

Could not process line:
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIO8.tmp
Status: 0xc000003a



Could not open file C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\STS7.tmp for deletion
Deletion of file C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\STS7.tmp failed!

Could not process line:
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\STS7.tmp
Status: 0xc000003a



Could not open file C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIO6.tmp for deletion
Deletion of file C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIO6.tmp failed!

Could not process line:
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIO6.tmp
Status: 0xc000003a



Could not open file C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\MAR4.tmp for deletion
Deletion of file C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\MAR4.tmp failed!

Could not process line:
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\MAR4.tmp
Status: 0xc000003a



Could not open file C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\MAR3.tmp for deletion
Deletion of file C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\MAR3.tmp failed!

Could not process line:
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\MAR3.tmp
Status: 0xc000003a



Could not open file C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\btruuonr.dll for deletion
Deletion of file C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\btruuonr.dll failed!

Could not process line:
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\btruuonr.dll
Status: 0xc000003a



Could not open file C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\kdhiefxm.dll for deletion
Deletion of file C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\kdhiefxm.dll failed!

Could not process line:
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\kdhiefxm.dll
Status: 0xc000003a



Could not open file C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\majegwda.dll for deletion
Deletion of file C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\majegwda.dll failed!

Could not process line:
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\majegwda.dll
Status: 0xc000003a



Could not open file C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIO7.tmp for deletion
Deletion of file C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIO7.tmp failed!

Could not process line:
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIO7.tmp
Status: 0xc000003a



Could not open file C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\STS6.tmp for deletion
Deletion of file C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\STS6.tmp failed!

Could not process line:
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\STS6.tmp
Status: 0xc000003a



Could not open file C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIO3.tmp for deletion
Deletion of file C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIO3.tmp failed!

Could not process line:
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\DIO3.tmp
Status: 0xc000003a



Could not open file C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\MAR2.tmp for deletion
Deletion of file C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\MAR2.tmp failed!

Could not process line:
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\MAR2.tmp
Status: 0xc000003a



Could not open file C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\MAR1.tmp for deletion
Deletion of file C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\MAR1.tmp failed!

Could not process line:
C:\Dokumente und EinstellungenUser1\Lokale Einstellungen\Temp\MAR1.tmp
Status: 0xc000003a


Completed script processing.

*******************

Finished! Terminate.


Hier das Datfindbat vom 1.11.06:

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 18CD-3CE2

Verzeichnis von C:\WINDOWS\system32

01.11.2006 20:16 13'646 wpa.dbl
29.10.2006 10:21 40'972 perfc009.dat
29.10.2006 10:21 314'644 perfh009.dat
29.10.2006 10:21 320'424 perfh007.dat
29.10.2006 10:21 49'372 perfc007.dat
29.10.2006 10:21 732'342 PerfStringBackup.INI
19.10.2006 14:56 3'103 qtplugin.log
04.10.2006 12:03 9'639'336 MRT.exe
02.10.2006 16:24 24'072 uxtuneup.dll
23.09.2006 12:07 648 ikhcore.log
13.09.2006 06:02 1'084'416 msxml3.dll
07.09.2006 11:54 57'384 avsda.dll
04.09.2006 07:13 1'497'088 shdocvw.dll
25.08.2006 16:46 617'472 comctl32.dll
21.08.2006 13:26 16'896 fltlib.dll
21.08.2006 10:14 23'040 fltmc.exe
16.08.2006 12:58 100'352 6to4svc.dll
07.08.2006 08:50 1'484'592 LegitCheckControl.DLL
29.07.2006 18:32 48'936 sirenacm.dll
29.07.2006 16:02 139'264 hpzjrd01.dll
27.07.2006 14:25 679'424 inetcomm.dll
21.07.2006 09:29 72'704 hlink.dll
14.07.2006 16:38 332'288 netapi32.dll
14.07.2006 16:25 546'304 hhctrl.ocx
13.07.2006 14:34 8'494'592 shell32.dll
05.07.2006 11:55 1'057'792 kernel32.dll

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 18CD-3CE2

Verzeichnis von C:\DOKUME~1\User1\LOKALE~1\Temp

01.11.2006 20:15 47'122 DIO1E.tmp
01.11.2006 20:15 47'122 DIO1D.tmp
01.11.2006 20:15 110 STS1C.tmp
01.11.2006 20:15 47'122 DIO19.tmp
01.11.2006 20:15 1'285 MAR16.tmp
01.11.2006 20:15 1'342 MAR15.tmp
01.11.2006 20:14 115'990 hpodvd09.log
01.11.2006 20:12 47'122 DIO1C.tmp
01.11.2006 20:12 47'122 DIO1B.tmp
01.11.2006 20:12 110 STS1A.tmp
01.11.2006 20:11 47'122 DIO18.tmp
01.11.2006 20:11 1'285 MAR14.tmp
01.11.2006 20:11 1'342 MAR13.tmp
01.11.2006 19:05 2'036 jusched.log
01.11.2006 18:56 47'122 DIO1A.tmp
01.11.2006 18:56 110 STS18.tmp
01.11.2006 18:56 47'122 DIO16.tmp
01.11.2006 18:56 1'285 MAR12.tmp
01.11.2006 18:56 1'342 MAR11.tmp
01.11.2006 09:52 832 java_install_reg.log
01.11.2006 09:29 47'122 DIO17.tmp
01.11.2006 09:29 110 STS15.tmp
01.11.2006 09:29 47'122 DIO14.tmp
01.11.2006 09:28 1'342 MARF.tmp
01.11.2006 09:28 1'285 MAR10.tmp
31.10.2006 19:06 47'122 DIO15.tmp
31.10.2006 19:05 110 STS13.tmp
31.10.2006 19:05 47'122 DIO12.tmp
31.10.2006 19:05 1'285 MARE.tmp
31.10.2006 19:05 1'342 MARD.tmp
31.10.2006 09:20 47'122 DIO13.tmp
31.10.2006 09:20 110 STS11.tmp
31.10.2006 09:20 47'122 DIO10.tmp
31.10.2006 09:20 1'285 MARC.tmp
31.10.2006 09:20 1'342 MARB.tmp
30.10.2006 13:16 12'312 Z@R19.tmp
30.10.2006 13:16 19'516 Z@R14.tmp
30.10.2006 13:01 47'122 DIO11.tmp
30.10.2006 13:01 110 STSF.tmp
30.10.2006 13:01 47'122 DIOE.tmp
30.10.2006 13:00 1'285 MARA.tmp
30.10.2006 13:00 1'342 MAR9.tmp
30.10.2006 10:20 47'122 DIOF.tmp
30.10.2006 10:20 110 STSC.tmp
30.10.2006 10:20 47'122 DIOB.tmp
30.10.2006 10:19 1'285 MAR8.tmp
30.10.2006 10:19 1'342 MAR7.tmp
29.10.2006 15:50 47'122 DIOD.tmp
29.10.2006 15:50 110 STSB.tmp
29.10.2006 15:50 47'122 DIOA.tmp
29.10.2006 15:50 1'285 MAR6.tmp
29.10.2006 15:50 1'342 MAR5.tmp
29.10.2006 13:33 53'728 d959_appcompat.txt
29.10.2006 10:46 47'122 DIO9.tmp
29.10.2006 10:45 110 STS7.tmp
29.10.2006 10:45 47'122 DIO6.tmp
29.10.2006 10:45 1'285 MAR4.tmp
29.10.2006 10:45 1'342 MAR3.tmp
29.10.2006 10:32 118'804 btruuonr.dll
29.10.2006 10:30 118'804 kdhiefxm.dll
29.10.2006 10:30 118'804 majegwda.dll
29.10.2006 10:29 47'122 DIO7.tmp
29.10.2006 10:29 110 STS6.tmp
29.10.2006 10:29 47'122 DIO3.tmp
29.10.2006 10:29 1'285 MAR2.tmp
29.10.2006 10:29 1'342 MAR1.tmp
04.10.2006 09:23 668 datFind.bat

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 18CD-3CE2

Verzeichnis von C:\WINDOWS

01.11.2006 20:17 196'548 setupact.log
01.11.2006 20:15 0 0.log
01.11.2006 20:15 1'117'027 WindowsUpdate.log
01.11.2006 20:15 159 wiadebug.log
01.11.2006 20:15 50 wiaservc.log
01.11.2006 20:15 2'048 bootstat.dat
01.11.2006 20:14 32'580 SchedLgU.Txt
01.11.2006 20:09 2'076 qdqulqqf.txt
01.11.2006 16:10 169 RtlRack.ini
25.10.2006 08:15 227 system.ini
25.10.2006 08:15 672 win.ini
22.10.2006 12:39 953'379 setupapi.log
19.10.2006 14:55 54'156 QTFont.qfn
15.10.2006 15:54 202 NeroDigital.ini
15.10.2006 15:22 1'409 QTFont.for
14.10.2006 09:10 215'918 tsoc.log
14.10.2006 09:10 87'744 iis6.log
14.10.2006 09:10 1'393 imsins.log
14.10.2006 09:10 30'639 ocmsn.log
14.10.2006 09:10 115'567 ntdtcsetup.log
14.10.2006 09:10 193'255 comsetup.log
14.10.2006 09:10 15'812 KB924191.log
14.10.2006 09:10 271'293 ocgen.log
14.10.2006 09:10 28'063 msgsocm.log
14.10.2006 09:10 555'599 FaxSetup.log
14.10.2006 09:10 63'250 updspapi.log
14.10.2006 09:09 1'393 imsins.BAK
14.10.2006 09:09 15'458 KB922819.log
14.10.2006 09:09 13'660 KB923414.log
14.10.2006 09:09 15'114 KB924496.log
14.10.2006 09:09 10'958 KB923191.log
01.10.2006 11:02 389 LUINSTALL.LOG
14.09.2006 19:04 13'078 KB920685.log
14.09.2006 19:04 15'005 KB920872.log
14.09.2006 19:03 13'243 KB919007.log
14.09.2006 19:03 9'183 KB922582.log
02.09.2006 09:41 6'740 spupdsvc.log
02.09.2006 09:39 19'980 ie7beta3_main.log
02.09.2006 09:39 64'555 ie7beta3.log
02.09.2006 09:37 10'787 KB915865.log
02.09.2006 09:36 5'776 KB914440.log
02.09.2006 09:36 34'325 KB918899.log
02.09.2006 09:35 11'081 KB904942.log
30.08.2006 20:03 47'274 wmsetup.log
13.08.2006 12:31 18'620 KB920214.log
13.08.2006 12:31 18'928 KB922616.log
13.08.2006 12:31 18'600 KB921398.log
13.08.2006 12:30 11'900 KB920670.log
13.08.2006 12:30 12'060 KB917422.log
13.08.2006 12:30 12'319 KB920683.log
08.08.2006 19:14 11'093 KB921883.log
03.08.2006 09:12 8'813 WgaNotify.log
29.07.2006 16:14 221 NCLogConfig.ini
29.07.2006 16:08 227 HP_CounterReport_Update_HPSU.ini
29.07.2006 16:08 214 HP_48BitScanUpdatePatch.ini
29.07.2006 16:06 206 HPGdiPlus.ini
29.07.2006 16:04 221 HP_RedboxHprblog_HPSU.ini
29.07.2006 15:45 113'592 hpoins07.dat
12.07.2006 19:48 11'834 KB917159.log
12.07.2006 19:48 12'346 KB914388.log
12.07.2006 19:48 10'453 KB916595.log

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 18CD-3CE2

Verzeichnis von C:\WINDOWS\Temp

01.11.2006 20:16 409 WGANotify.settings
01.11.2006 20:15 255 WGAErrLog.txt
01.11.2006 13:31 4'158 MpSigStub.log
31.10.2006 19:25 1'277 MpCmdRun.log
4 Datei(en) 6'099 Bytes
0 Verzeichnis(se), 22'812'884'992 Bytes frei

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 18CD-3CE2

Verzeichnis von C:\WINDOWS\Downloaded Program Files

24.09.2006 16:31 65 desktop.ini
27.07.2006 12:52 367 LegitCheckControl.inf
2 Datei(en) 432 Bytes
0 Verzeichnis(se), 22'812'884'992 Bytes frei

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 18CD-3CE2

Verzeichnis von C:\

01.11.2006 20:20 0 sys.txt
01.11.2006 20:20 348 down.txt
01.11.2006 20:20 428 tmp.txt
01.11.2006 20:20 9'953 system.txt
01.11.2006 20:19 3'441 systemtemp.txt
01.11.2006 20:19 101'199 system32.txt
01.11.2006 20:15 527'814'656 hiberfil.sys
01.11.2006 20:15 792'723'456 pagefile.sys
01.11.2006 20:15 10'168 avenger.txt
29.10.2006 10:24 10'739 ComboFix.txt
25.10.2006 08:15 211 boot.ini
12.08.2006 06:59 10'970 jassclient.log
30.04.2006 12:22 0 itouch_config_crash_info.txt


Gruss Reto
Hoff das kommt gut

#12 avenger

Zitat

Files to delete:
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO1E.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO1D.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\STS1C.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO19.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR16.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR15.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO1C.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO1B.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\STS1A.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO18.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR14.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR13.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO1A.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\STS18.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO16.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR12.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR11.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO17.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\STS15.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO14.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MARF.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR10.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO15.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\STS13.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO12.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MARE.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MARD.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO13.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\STS11.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO10.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MARC.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MARB.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\Z@R19.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\Z@R14.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO11.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\STSF.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIOE.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MARA.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR9.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIOF.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\STSC.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIOB.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR8.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR7.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIOD.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\STSB.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIOA.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR6.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR5.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO9.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\STS7.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO6.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR4.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR3.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\btruuonr.dll
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\kdhiefxm.dll
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\majegwda.dll
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO7.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\STS6.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO3.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR2.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR1.tmp

**
wende cleanup an
http://virus-protect.org/cleanup.html

++
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hi

Sieht glaube nicht so toll aus, mist! letzten Sonntag hatte es diese Dinger noch nicht auf dem PC.
Antivir hat noch eine TR/Winfixer und TR/Drop.Avenger.A.1 gefunden, diese werden vermutlich unten im SuperAntiSpyware Logfile angezeigt!?

SUPERAntiSpyware Scan Log
Generated 11/01/2006 at 09:23 PM

Application Version : 3.3.1020

Core Rules Database Version : 3118
Trace Rules Database Version: 1141

Scan type : Complete Scan
Total Scan Time : 00:27:32

Memory items scanned : 419
Memory Thread detected : 0
Registry items scanned : 5342
Registry Thread detected : 3
File items scanned : 28288
File Thread detected : 45

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\User1\Cookies\user1@partners.webmasterplan[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@indextools[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@imrworldwide[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@tribalfusion[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@ad.zanox[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@de.winantivirus[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@www.winantivirus[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@findwhat[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@amaena[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@adserver.71i[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@ehg-bskyb.hitbox[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@cpvfeed[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@fastclick[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@tradedoubler[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@mediaplex[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@atdmt[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@adtech[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@www.googleadservices[3].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@stats1.reliablestats[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@ads.planetactive[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@webadvertising[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@www.winantispyware[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@statse.webtrendslive[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@ehg-twi.hitbox[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@doubleclick[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@winantivirus[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@de.sitestat[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@advertising[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@www.googleadservices[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@euros4click[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@winantispyware[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@as1.falkag[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@ads.tilllate[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@indexstats[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@questionmarket[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@hitbox[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@www.amaena[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@www.winantiviruspro[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@serving-sys[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@ehg-swisscom.hitbox[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@www.googleadservices[1].txt

Unclassified.Unknown Origin
HKCR\CLSID\{B7672BAF-E9A3-49B6-86B2-C81719A18A4C}
HKCR\CLSID\{B7672BAF-E9A3-49B6-86B2-C81719A18A4C}\InprocServer32
HKCR\CLSID\{B7672BAF-E9A3-49B6-86B2-C81719A18A4C}\InprocServer32#ThreadingModel

Adware.VSToolbar
C:\SYSTEM VOLUME INFORMATION\_RESTORE{EDA3381C-79E1-410D-AAC8-B53CDFB52871}\RP26\A0005122.DLL

Trojan.Downloader-VSToolbar
C:\SYSTEM VOLUME INFORMATION\_RESTORE{EDA3381C-79E1-410D-AAC8-B53CDFB52871}\RP5\A0002168.EXE

Trojan.Virtumonde
C:\SYSTEM VOLUME INFORMATION\_RESTORE{EDA3381C-79E1-410D-AAC8-B53CDFB52871}\RP51\A0005971.DLL





mache nochmals einen Scan, warte noch kurz!!

Hier das 2. Log, aber da stimmt doch was nicht, diesmal zeigts nichts mehr an, jedoch antivir ruft immer aus.

SUPERAntiSpyware Scan Log
Generated 11/01/2006 at 09:58 PM

Application Version : 3.3.1020

Core Rules Database Version : 3118
Trace Rules Database Version: 1141

Scan type : Complete Scan
Total Scan Time : 00:20:50

Memory items scanned : 420
Memory threats detected : 0
Registry items scanned : 5338
Registry threats detected : 0
File items scanned : 28314
File threats detected : 42

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\User1\Cookies\user1@partners.webmasterplan[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@indextools[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@imrworldwide[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@tribalfusion[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@ad.zanox[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@de.winantivirus[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@www.winantivirus[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@findwhat[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@amaena[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@adserver.71i[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@ehg-bskyb.hitbox[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@cpvfeed[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@fastclick[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@tradedoubler[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@mediaplex[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@atdmt[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@adtech[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@www.googleadservices[3].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@stats1.reliablestats[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@ads.planetactive[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@webadvertising[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@www.winantispyware[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@statse.webtrendslive[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@ehg-twi.hitbox[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@doubleclick[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@winantivirus[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@de.sitestat[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@advertising[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@www.googleadservices[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@euros4click[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@winantispyware[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@as1.falkag[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@ads.tilllate[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@indexstats[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@questionmarket[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@hitbox[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@www.amaena[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@www.winantiviruspro[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@serving-sys[2].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@ehg-swisscom.hitbox[1].txt
C:\Dokumente und Einstellungen\User1\Cookies\user1@www.googleadservices[1].txt

#14 1.
du musst den avenger noch mal anwenden (siehe oben) - im anderen, ersten script hatte ich einen fehler gemacht

2.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Meinst du das?

Zitat:
Files to delete:
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO1E.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO1D.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\STS1C.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO19.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR16.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR15.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO1C.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO1B.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\STS1A.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO18.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR14.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR13.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO1A.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\STS18.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO16.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR12.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR11.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO17.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\STS15.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO14.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MARF.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR10.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO15.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\STS13.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO12.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MARE.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MARD.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO13.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\STS11.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO10.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MARC.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MARB.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\Z@R19.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\Z@R14.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO11.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\STSF.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIOE.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MARA.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR9.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIOF.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\STSC.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIOB.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR8.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR7.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIOD.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\STSB.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIOA.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR6.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR5.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO9.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\STS7.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO6.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR4.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR3.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\btruuonr.dll
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\kdhiefxm.dll
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\majegwda.dll
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO7.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\STS6.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\DIO3.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR2.tmp
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\MAR1.tmp