Ich habe auch den virus Burster

#1 also hier mein hijack this log ich hab kp wie ich das alleine hinkriegen soll bítte helft mir

Logfile of HijackThis v1.99.1
Scan saved at 22:00:44, on 25.10.2006
Platform: Windows 2003 SP1 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP1 (6.00.3790.1830)

Running processes:
F:\Program Files (x86)\VideoKeyCodec\isamonitor.exe
F:\Program Files (x86)\VideoKeyCodec\pmsngr.exe
e:\steam\steam.exe
F:\WINDOWS\SysWOW64\ctfmon.exe
F:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
F:\Program Files (x86)\Analog Devices\SoundMAX\Smax4.exe
E:\Stevens Programme\Cyberlink\PDVDServ.exe
F:\Program Files (x86)\VideoKeyCodec\isamini.exe
F:\Program Files (x86)\Java\jre1.5.0_06\bin\jusched.exe
F:\Program Files (x86)\VideoKeyCodec\pmmon.exe
E:\Xfire\Xfire.exe
E:\Stevens Programme\adobe\3.0\Apps\apdproxy.exe
E:\Stevens Programme\Teamspeak2_RC2\TeamSpeak.exe
F:\Program Files (x86)\Mozilla Firefox\firefox.exe
E:\Stevens Programme\WinRAR.exe
F:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.093\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
F2 - REG:system.ini: UserInit=userinit
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Stevens Programme\adobe reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files (x86)\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7b4d79df-9ef0-429d-a0e9-d9b138c6a53b} - F:\Program Files (x86)\VideoKeyCodec\isaddon.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files (x86)\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Protection Bar - {1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} - F:\Program Files (x86)\VideoKeyCodec\iesplugin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] F:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "F:\Program Files (x86)\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [RemoteControl] "E:\Stevens Programme\Cyberlink\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Program Files (x86)\Java\jre1.5.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "E:\Stevens Programme\adobe\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [Steam] "e:\steam\steam.exe" -silent
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent] "F:\Program Files (x86)\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - Startup: Ubisoft register.lnk = F:\Program Files (x86)\Ubisoft\Register\schedule.exe
O4 - Startup: Xfire.lnk = E:\Xfire\Xfire.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Stevens Programme\adobe reader\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Program Files (x86)\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files (x86)\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files (x86)\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Program Files (x86)\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9}

SmitFraudFix v2.113

Scan done at 22:38:48,53, 25.10.2006
Run from E:\smitfraudfix\SmitfraudFix
OS: Microsoft Windows [Version 5.2.3790] - Windows_NT
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» F:\


»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» F:\Documents and Settings\Administrator


»»»»»»»»»»»»»»»»»»»»»»»» F:\Documents and Settings\Administrator\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

F:\DOCUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND !
F:\DOCUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» F:\DOCUME~1\ADMINI~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» F:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{dfa61db1-388e-4c87-8d56-540fa229bcb4}"="contrabandists"

[HKEY_CLASSES_ROOT\CLSID\{dfa61db1-388e-4c87-8d56-540fa229bcb4}\InProcServer32]
@="F:\WINDOWS\SysWow64\dpfwu.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{dfa61db1-388e-4c87-8d56-540fa229bcb4}\InProcServer32]
@="F:\WINDOWS\SysWow64\dpfwu.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

#2 1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "F:\Program Files (x86)\VideoKeyCodec" >>files.txt
notepad files.txt

2.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

VideoKeyCodec

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo allerseits!
Ich dachte mir ich antworte einfach auf diesen Thread anstatt einen neuen aufzumachen... habe schon ein wenig im Forum gelesen und mir die combofix.exe und avenger.exe runtergeladen/ extrahiert...
combofix liefert folgende Logfile:
================================================

Administrator - 06-11-20 22:13:54,80 Service Pack 2
ComboFix 06.11.19 - Running from: "F:\"

((((((((((((((((((((((((((((((( Files Created from 2006-10-20 to 2006-11-20 ))))))))))))))))))))))))))))))))))


No new files created in this timespan


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-20 22:10 -------- d-------- C:\Programme\Mozilla Firefox
2006-11-20 19:41 -------- d-------- C:\Programme\Trillian
2006-11-15 23:03 83 ---hs---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\.zreglib
2006-11-15 16:02 65472 --a------ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-11-13 21:45 -------- d---s---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft
2006-11-05 14:16 -------- d-------- C:\Programme\NetAnts
2006-10-30 22:47 -------- d-------- C:\Programme\FlashFXP
2006-10-29 10:51 -------- d-------- C:\Programme\Winamp
2006-10-23 17:47 -------- d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AdobeUM
2006-10-22 19:21 -------- d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Adobe
2006-10-18 14:42 -------- d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\FlashFXP
2006-10-15 21:55 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-10-15 18:30 -------- d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ulead Systems
2006-10-15 18:09 -------- d-------- C:\Programme\Windows Media-Komponenten
2006-10-15 18:06 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-15 18:06 -------- d-------- C:\Programme\Ulead Systems
2006-10-15 18:06 -------- d-------- C:\Programme\Gemeinsame Dateien\Ulead Systems
2006-10-15 18:06 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-15 17:12 -------- d-------- C:\Programme\V-Stream
2006-10-13 19:53 -------- d-------- C:\Programme\rapup
2006-10-04 19:32 -------- d-------- C:\Programme\DF CrcSfv
2006-09-28 17:21 -------- d-------- C:\Programme\QuickSFV
2006-09-24 10:30 -------- d-------- C:\Programme\TerraTec
2006-09-24 10:30 -------- d-------- C:\Programme\Gemeinsame Dateien\TerraTec
2006-09-23 19:27 -------- d-------- C:\Programme\WordToPDF
2006-09-22 15:32 -------- d-------- C:\Programme\gs
2006-09-21 22:56 -------- d-------- C:\Programme\Gamesload Spiele
2006-09-03 21:49 14848 --a------ C:\WINDOWS\system32\BASSMOD.dll
2006-09-03 15:44 3082 --a------ C:\WINDOWS\system32\affv9869p2now.sys
2006-09-02 00:13 37584 --a------ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft Excel.ADR
2006-09-01 23:21 62 --ahs---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\desktop.ini
2006-09-01 22:34 0 -rahs---- C:\MSDOS.SYS
2006-09-01 22:34 0 -rahs---- C:\IO.SYS
2006-09-01 22:34 0 --a------ C:\CONFIG.SYS
2006-09-01 22:34 0 --a------ C:\AUTOEXEC.BAT
2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"AnyDVD"="C:\\Programme\\SlySoft\\AnyDVD\\AnyDVD.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"PCTVOICE"="pctspk.exe"
"STDSB"="C:\\WINDOWS\\system32\\STDSB.EXE"
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"LanguageShortcut"="C:\\Programme\\CyberLink\\PowerDVD\\Language\\Language.exe"
"VirtualCloneDrive"="\"C:\\Programme\\Elaborate Bytes\\VirtualCloneDrive\\VCDDaemon.exe\" /s"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"EPSON Stylus D68 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIAAE.EXE /P23 \"EPSON Stylus D68 Series\" /O6 \"USB001\" /M \"Stylus D68\""
"Acrobat Assistant 7.0"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Distillr\\Acrotray.exe\""
@=""
"Virus-Bursters"="C:\\Programme\\Virus-Bursters\\virus-bursters.exe /h"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,80,00,00,00,00,00,00,00,80,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,80,00,00,00,00,00,00,00,80,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{40dcff6e-af8d-4183-8ebe-a82270ac449e}"="gimmicks"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"gimmicks"="{40dcff6e-af8d-4183-8ebe-a82270ac449e}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-11-20 22:15:30.32
C:\ComboFix.txt ... 06-11-20 22:15
================================================

... hoffe das Problem lässt sich so einfach lösen, wie bei vielen Nutzern vor mir!
Scheint ja ziemlich stark um sich zu greifen zur Zeit.

Vielen Dank schon mal im Voraus!

Gruß, Infizierter!

#4 Infizierter

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinkopieren)

Virus-Bursters

in edit und klicke "Ok".
Notepad wird sich oeffnen - posten den text
-------------------------------------------------

ich warte noch mit dem Avengerscript, bis ich alle Daten zusammen habe

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|gimmicks
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{40dcff6e-af8d-4183-8ebe-a82270ac449e}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Virus-Bursters

registry keys to delete:
HKLM\SOFTWARE\Classes\CLSID\{40dcff6e-af8d-4183-8ebe-a82270ac449e}

Files to delete:
C:\WINDOWS\system32\dcvwaah.dll

Folders to delete:
C:\Programme\Virus-Bursters

__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo!
Das ging ja flott... vielen Dank!

also Regsearch hat folgende 5 Treffer geliefert:

******************************************
REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 21.11.2006 10:27:08 for strings:
; 'virus-bursters'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F83E8F99-AE49-45D6-92B4-59854BF0A759}\1.0\0\win32]
@="C:\\Programme\\Virus-Bursters\\virus-bursters.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F83E8F99-AE49-45D6-92B4-59854BF0A759}\1.0\HELPDIR]
@="C:\\Programme\\Virus-Bursters\\"

[HKEY_USERS\S-1-5-21-1614895754-507921405-1343024091-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Virus-Bursters]

[HKEY_USERS\S-1-5-21-1614895754-507921405-1343024091-500\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\Virus-Bursters\\virus-bursters.exe"="Anti- spyware and adware"
"C:\\Programme\\Virus-Bursters\\uninst.exe"="VirusBurster Install"

; End Of The Log...
************************************
Das Avengerscript, was du schon gepostet hast habe ich vorerst nicht beachtet, da du ja selbst noch damit warten wolltest.

Besten Dank im Voraus, bei weiteren Infos versuch ich die so schnell wie möglich zu posten!

Gruß, Infizierter

#6 http://virus-protect.org/artikel/tools/agentransack.html
kopiere in Suche: Virus-Bursters
poste laut Anleitung, was gefunden wird
__________
MfG Sabina

rund um die PC-Sicherheit

#7 So, Suche ist beendet, die drei Sachen hat er noch gefunden:

*******************************
C:\Programme\Virus-Bursters (21.11.2006 10:17:20)
C:\Programme\Virus-Bursters\Virus-Bursters.exe (1340 KB, 20.11.2006 01:10:30)
C:\WINDOWS\Prefetch\VIRUS-BURSTERS.EXE-1BB478CF.pf (45 KB, 20.11.2006 21:51:20)
*******************************

MfG Infizierter

#edit
ich muss jetzt leider erst mal los, freue mich schon auf die "Läuterung" meines PCs....

Gruß, Infizierter

#8 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|gimmicks
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{40dcff6e-af8d-4183-8ebe-a82270ac449e}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Virus-Bursters

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F83E8F99-AE49-45D6-92B4-59854BF0A759}
HKLM\SOFTWARE\Classes\CLSID\{40dcff6e-af8d-4183-8ebe-a82270ac449e}

Files to delete:
C:\WINDOWS\system32\dcvwaah.dll
C:\WINDOWS\Prefetch\VIRUS-BURSTERS.EXE-1BB478CF.pf

Folders to delete:
C:\Programme\Virus-Bursters

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hey, ich glaube es hat funktioniert... *SteinvomHerzfall*
Riesengroßes Dankeschön....!!!!!!!!!

Ist echt super, dass es Genies gibt, die dem 0815-PC-Nutzer (wie mir :-) ) bei solchen Problemen rasch und effektiv zur Hand gehen!

Eins evtl. noch... SmitFraudFix hat im Dosfenster folgendes ausgespuckt:
"Deleting infected Files!
Das System kann den angegebenen Pfad nicht finden."

die rapport.txt lautet wie folgt:
******************************
SmitFraudFix v2.123

Scan done at 15:29:08,41, 21.11.2006
Run from F:\Problem\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\Programme\Perfect Codec\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
******************************

Ist jetzt alles in Ordnung, oder muss der Aussage, dass der Pfad nicht gefunden worde Beachtung geschenkt werden?

Nochmal ein riesengroßes Dankeschön für die Hilfe!

Gruß, (der nicht mehr ) Infizierte

#10 Infizierter

du hast smitfraudfix von F:\ aus angewendet, der Virencodec war allerdings auf: C:\
gefunden wurde es dennoch...
vielleicht wendest du smitfraudfix noch mal von C:\ aus an

Zitat

Run from F:\Problem\SmitfraudFix

__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hi... hab's nochmal durchlaufen lassen und das Protokoll sieht etwas "besser" aus (war also scheinbar nix mehr da zum Löschen)
**********************************
SmitFraudFix v2.123

Scan done at 16:12:30,85, 21.11.2006
Run from C:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
********************************

Dann nehm ich mal an, dass jetzt alles wieder einwandfrei funktioniert :-) :-) :-)
...man das tut gut, war nämlich ganz schön lästig der Virus Burster!
Also Danke zum zig-sten male!

MfG, Infizierter (<-- dank euch nicht mehr *freu*)