VirusBursters 6.2 - Critical System Errors

#1 Hallo zusammen,

wie unschwer am Threadtitel zu erkennen ist, hat sich auch auf meinem Rechner der Schatten des Unbehagens gelegt. Bin nach eurer Anleitung vorgegangen und habe alle Logs erstellt. Hoffe ihr könnt mir helfen! Aber wie ich in anderen Threads gelesen habe, brauche ich mir da eher weniger Gedanken machen.

b.erry

Problembeschreibung / Symptome

Nach dem Start des Rechners erscheint das Programm VirusBursters 6.2 und weist mich darauf hin, dass ich Anti-Spyware installieren sollte. Schließe beide Fenster. In der Taskleiste bleibt das Icons des Programms erst einmal bestehen. Zusätzlich befinden sich zwei weitere Icons in der Taskleiste. Ein blinkendes gelbes Dreieck mit schwarzem Ausrufezeichen ("System performance monitor - Warning!") und ein blauer Kreis mit gelbem Kreuz, der sich blinkend mit einem gelben Fragezeichen abwechselt ("Critical System Errors"). Ansonsten öffnet sich gelegentlich ein PopUp mit dem IE, wobei ich mit dem Opera im Internet unterwegs bin und den IE nicht gestartet habe.


Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 16:35:08, on 04.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5450.0004)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\VidCodecs\isamonitor.exe
C:\Programme\VidCodecs\pmsngr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\VirusBursters\virusbursters.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\VidCodecs\pmmon.exe
C:\Programme\VidCodecs\isamini.exe
C:\WINDOWS\SYSTEM32\USRshutA.exe
C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Opera\Opera.exe
C:\DOKUME~1\DIETER~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d} - C:\Programme\VidCodecs\isaddon.dll
O3 - Toolbar: Protection Bar - {1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} - C:\Programme\VidCodecs\iesplugin.dll
O4 - HKLM\..\Run: [USRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [VirusBursters] C:\Programme\VirusBursters\virusbursters.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1157451758218
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: detachments - {01d8d081-0f76-4ab5-b5e4-9b23a709670e} - C:\WINDOWS\system32\sacskza.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe


ComboFix

Dieter Behrendt - 06-11-04 17:38:16,76 Service Pack 2
ComboFix 06.10.19 - Running from: "C:\Dokumente und Einstellungen\Dieter Behrendt\Desktop\combofix.exe"

((((((((((((((((((((((((((((((( Files Created from 2006-10-04 to 2006-11-04 ))))))))))))))))))))))))))))))))))


2006-11-04 12:15 106,496 --a------ C:\WINDOWS\system32\sacskza.dll
2006-10-04 17:58 36,528 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys
2006-10-04 17:58 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2006-10-04 17:58 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2006-10-04 17:58 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2006-10-04 17:58 115,880 --------- C:\WINDOWS\system32\pxinsi64.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-04 17:13 3615009 --a------ C:\Dokumente und Einstellungen\Dieter Behrendt\Anwendungsdaten\CleanUp!.log
2006-11-04 16:39 -------- d-------- C:\Programme\CleanUp!
2006-11-04 13:25 91336 --a------ C:\Dokumente und Einstellungen\Dieter Behrendt\Anwendungsdaten\errorsafegermannewreleaseinstall[1].exe
2006-11-04 12:58 -------- d-------- C:\Programme\VirusBursters
2006-11-04 12:15 -------- d-------- C:\Programme\VidCodecs
2006-10-08 20:29 -------- d-------- C:\Dokumente und Einstellungen\Dieter Behrendt\Anwendungsdaten\Image Zone Express
2006-10-07 13:50 -------- d-------- C:\Programme\HP
2006-10-07 13:50 -------- d-------- C:\Programme\Gemeinsame Dateien\HP
2006-10-07 13:50 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-07 13:43 2217 --a------ C:\Dokumente und Einstellungen\Dieter Behrendt\Anwendungsdaten\HPSU_48BitScanUpdate.log
2006-10-07 13:38 82997 --a------ C:\Dokumente und Einstellungen\Dieter Behrendt\Anwendungsdaten\Update_HP_RedboxHprblog_HPSU.log
2006-10-07 13:38 139264 --a------ C:\WINDOWS\system32\hpzjrd01.dll
2006-10-04 17:59 -------- d-------- C:\Programme\Winamp
2006-10-04 17:58 -------- d-------- C:\Programme\Windows Media Player
2006-09-24 01:05 -------- d-------- C:\Programme\Trillian
2006-09-21 20:49 -------- d-------- C:\Programme\Opera
2006-09-18 02:16 -------- d-------- C:\Programme\ICQLite
2006-09-18 01:24 -------- d-------- C:\Dokumente und Einstellungen\Dieter Behrendt\Anwendungsdaten\ICQLite
2006-09-17 21:49 -------- d---s---- C:\Dokumente und Einstellungen\Dieter Behrendt\Anwendungsdaten\Microsoft
2006-09-17 21:47 -------- d-------- C:\Programme\MSN Messenger
2006-09-15 20:30 914 --a------ C:\Dokumente und Einstellungen\Dieter Behrendt\Anwendungsdaten\Hewlett-PackardHP PSC 1500 series1157535868_UI.log
2006-09-15 20:26 318 --a------ C:\Dokumente und Einstellungen\Dieter Behrendt\Anwendungsdaten\Hewlett-PackardHP PSC 1500 series1157535868_PROTOCOL.log
2006-09-15 20:26 0 --a------ C:\Dokumente und Einstellungen\Dieter Behrendt\Anwendungsdaten\Hewlett-PackardHP PSC 1500 series1157535868_API.log
2006-09-15 20:26 -------- d-------- C:\Dokumente und Einstellungen\Dieter Behrendt\Anwendungsdaten\HP
2006-09-13 11:24 -------- d-------- C:\Dokumente und Einstellungen\Dieter Behrendt\Anwendungsdaten\Adobe
2006-09-13 10:47 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-09-13 10:47 -------- d-------- C:\Programme\Adobe
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-09-07 22:52 -------- d-------- C:\Programme\Viewpoint
2006-09-07 22:52 -------- d-------- C:\Dokumente und Einstellungen\Dieter Behrendt\Anwendungsdaten\Mozilla
2006-09-07 22:51 -------- d-------- C:\Programme\Java Web Start
2006-09-07 22:49 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-07 22:49 -------- d-------- C:\Programme\Java
2006-09-07 22:37 -------- d-------- C:\Programme\Netscape
2006-09-07 20:06 -------- d-------- C:\Dokumente und Einstellungen\Dieter Behrendt\Anwendungsdaten\Opera
2006-09-07 20:01 -------- d-------- C:\Programme\Internet Explorer
2006-09-07 14:01 -------- d-------- C:\Programme\QuickTime
2006-09-07 13:02 -------- d-------- C:\Programme\Messenger
2006-09-07 12:57 -------- d-------- C:\Programme\Outlook Express
2006-09-07 12:57 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-09-06 20:14 -------- d-------- C:\Programme\Movie Maker
2006-09-06 20:10 -------- d-------- C:\Programme\NetMeeting
2006-09-06 20:09 -------- d-------- C:\Programme\Windows NT
2006-09-06 17:23 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-09-06 17:22 -------- d-------- C:\Programme\Gemeinsame Dateien\Designer
2006-09-06 17:21 -------- d-------- C:\Programme\Microsoft Office
2006-09-06 14:04 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-09-06 13:46 -------- d-------- C:\Dokumente und Einstellungen\Dieter Behrendt\Anwendungsdaten\Macromedia
2006-09-06 10:35 -------- d-------- C:\Programme\Hewlett-Packard
2006-09-06 10:34 -------- d-------- C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2006-09-06 10:24 -------- d-------- C:\Dokumente und Einstellungen\Dieter Behrendt\Anwendungsdaten\InterTrust
2006-09-06 10:17 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-09-05 11:50 62 --ahs---- C:\Dokumente und Einstellungen\Dieter Behrendt\Anwendungsdaten\desktop.ini
2006-09-05 11:50 -------- d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines
2006-09-05 11:50 -------- d-------- C:\Programme\Gemeinsame Dateien\ODBC
2006-09-05 11:16 -------- d--h----- C:\Programme\Uninstall Information
2006-09-05 11:16 -------- d-------- C:\Dokumente und Einstellungen\Dieter Behrendt\Anwendungsdaten\Identities
2006-09-05 11:08 -------- d-------- C:\Programme\xerox
2006-09-05 11:08 -------- d-------- C:\Programme\microsoft frontpage
2006-09-05 11:07 0 -rahs---- C:\MSDOS.SYS
2006-09-05 11:07 0 -rahs---- C:\IO.SYS
2006-09-05 11:07 0 --a------ C:\CONFIG.SYS
2006-09-05 11:07 0 --a------ C:\AUTOEXEC.BAT
2006-09-05 11:04 -------- d-------- C:\Programme\Online-Dienste
2006-09-05 11:03 -------- d-------- C:\Programme\Gemeinsame Dateien\Dienste
2006-09-05 11:02 -------- d-------- C:\Programme\Gemeinsame Dateien\MSSoap
2006-09-05 11:02 -------- d-------- C:\Programme\ComPlus Applications
2006-09-05 11:00 -------- d--h----- C:\Programme\WindowsUpdate
2006-09-05 11:00 -------- d-------- C:\Programme\Online Services
2006-09-05 11:00 -------- d-------- C:\Programme\MSN Gaming Zone
2006-09-05 11:00 -------- d-------- C:\Programme\MSN
2006-08-25 16:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-16 12:58 100352 --a------ C:\WINDOWS\system32\6to4svc.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"USRpdA"="C:\\WINDOWS\\SYSTEM32\\USRmlnkA.exe RunServices \\Device\\3cpipe-USRpdA"
"HP Software Update"="C:\\Programme\\HP\\HP Software Update\\HPWuSchd2.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"VirusBursters"="C:\\Programme\\VirusBursters\\virusbursters.exe /h"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{553858A7-4922-4e7e-B1C1-97140C1C16EF}"="IE Component Categories cache daemon"
"{01d8d081-0f76-4ab5-b5e4-9b23a709670e}"="detachments"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"isamonitor.exe"="C:\\Programme\\VidCodecs\\isamonitor.exe"
"pmsngr.exe"="C:\\Programme\\VidCodecs\\pmsngr.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"detachments"="{01d8d081-0f76-4ab5-b5e4-9b23a709670e}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-11-04 17:40:43.35
C:\ComboFix.txt ... 06-11-04 17:40


Datfind

Ist als Anhang vorhanden!

#2 b.erry

1.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

iVideoCodec

in edit und klicke "Ok".
Notepad wird sich oeffnen - poste den text

in: "Enter search strings" (reinschreiben oder reinkopieren)

VirusBursters

in edit und klicke "Ok".
Notepad wird sich oeffnen - poste den text

____________________________________

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|detachments
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{01d8d081-0f76-4ab5-b5e4-9b23a709670e}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|wininet.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|VirusBursters

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ACF3DAB0-D308-4B7A-BFE3-E6C0FAFEB1E7}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iVideoCodec
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CodecsSoftwarePackage.chl
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AVZipEnchancer.Chl
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusBursters
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virusbursters.exe
HKEY_LOCAL_MACHINE\SOFTWARE\VirusBursters

Files to delete:
C:\Dokumente und Einstellungen\Dieter Behrendt\Anwendungsdaten\errorsafegermannewreleaseinstall[1].exe
C:\WINDOWS\system32\sacskza.dll
C:\Dokumente und Einstellungen\Dieter Behrendt\Desktop\ivideocodec.1135.exe
C:\Dokumente und Einstellungen\Dieter Behrendt\Desktop\ivideocodec.799.exe

Folders to delete:
C:\Programme\VirusBursters
C:\Programme\VidCodecs

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Puh, scheint alles geklappt zu haben. Zumindest gibt es derzeit keine Meldungen mehr wegen irgendwas. Vielen lieben Dank für die Zeit, die Du Dir dafür nimmst! Hier noch die Logs, die neu hinzugekommen sind (Bin mir nicht sicher, ob Du alle benötigst, aber bevor ich eins vergesse ...):

RegSearch

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 05.11.2006 14:45:24 for strings:
; 'ivideocodec'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

----------------------------------------------------------------

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 05.11.2006 14:42:55 for strings:
; 'virusbursters'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ACF3DAB0-D308-4B7A-BFE3-E6C0FAFEB1E7}\1.0\0\win32]
@="C:\\Programme\\VirusBursters\\virusbursters.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ACF3DAB0-D308-4B7A-BFE3-E6C0FAFEB1E7}\1.0\HELPDIR]
@="C:\\Programme\\VirusBursters\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VirusBursters]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virusbursters.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virusbursters.exe]
@="C:\\Programme\\VirusBursters\\virusbursters.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VirusBursters"="C:\\Programme\\VirusBursters\\virusbursters.exe /h"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusBursters]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusBursters]
"DisplayName"="VirusBursters 6.2"
"UninstallString"="C:\\Programme\\VirusBursters\\uninst.exe"
"DisplayIcon"="C:\\Programme\\VirusBursters\\virusbursters.exe"
"NSIS:StartMenuDir"="VirusBursters"

[HKEY_LOCAL_MACHINE\SOFTWARE\VirusBursters]

[HKEY_USERS\S-1-5-21-1708537768-1580818891-2146598643-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\VirusBursters\\virusbursters.exe"="Anti- spyware and adware"

; End Of The Log...


Avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\uayilyoc

*******************

Script file located at: \??\C:\Program Files\ytefiniw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Dokumente und Einstellungen\Dieter Behrendt\Anwendungsdaten\errorsafegermannewreleaseinstall[1].exe deleted successfully.
File C:\WINDOWS\system32\sacskza.dll deleted successfully.


File C:\Dokumente und Einstellungen\Dieter Behrendt\Desktop\ivideocodec.1135.exe not found!
Deletion of file C:\Dokumente und Einstellungen\Dieter Behrendt\Desktop\ivideocodec.1135.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\Dieter Behrendt\Desktop\ivideocodec.1135.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Dieter Behrendt\Desktop\ivideocodec.799.exe not found!
Deletion of file C:\Dokumente und Einstellungen\Dieter Behrendt\Desktop\ivideocodec.799.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\Dieter Behrendt\Desktop\ivideocodec.799.exe
Status: 0xc0000034

Folder C:\Programme\VirusBursters deleted successfully.


Folder C:\Programme\iVideoCodec not found!
Deletion of folder C:\Programme\iVideoCodec failed!

Could not process line:
C:\Programme\iVideoCodec
Status: 0xc0000034

Registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|detachments deleted successfully.
Registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{01d8d081-0f76-4ab5-b5e4-9b23a709670e} deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe deleted successfully.


Could not delete registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|wininet.dll
Deletion of registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|wininet.dll failed!
Status: 0xc0000034

Registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|VirusBursters deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ACF3DAB0-D308-4B7A-BFE3-E6C0FAFEB1E7} deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iVideoCodec not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iVideoCodec failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CodecsSoftwarePackage.chl not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CodecsSoftwarePackage.chl failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AVZipEnchancer.Chl not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AVZipEnchancer.Chl failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusBursters deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virusbursters.exe deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\VirusBursters deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


SmitfraudFix

SmitFraudFix v2.119

Scan done at 15:11:27,71, 05.11.2006
Run from C:\Dokumente und Einstellungen\Dieter Behrendt\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\DOKUME~1\DIETER~1\Desktop\VirusBursters.lnk Deleted
C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted
C:\DOKUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url Deleted
C:\DOKUME~1\DIETER~1\STARTM~1\VirusBursters 6.2.lnk Deleted
C:\DOKUME~1\DIETER~1\STARTM~1\PROGRA~1\VirusBursters Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Reboot

C:\Programme\VidCodecs Deleted

»»»»»»»»»»»»»»»»»»»»»»»» End

#4 in: "Enter search strings" (reinschreiben oder reinkopieren)

VidCodecs

in edit und klicke "Ok".
Notepad wird sich oeffnen - poste den text
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Findet sich wohl immer wieder etwas ... *lach* ... ok, hier der Log:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 05.11.2006 20:49:35 for strings:
; 'vidcodecs'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VidCodecs]

[HKEY_USERS\S-1-5-21-1708537768-1580818891-2146598643-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Dokumente und Einstellungen\\Dieter Behrendt\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\HNQR7NQ1\\vidcodecs[1].exe"="vidcodecs[1]"
"C:\\Programme\\VidCodecs\\isamonitor.exe"="isamonitor"
"C:\\Programme\\VidCodecs\\pmsngr.exe"="pmsngr"

; End Of The Log...

#6 avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VidCodecs

Folders to delete:
C:\Dokumente und Einstellungen\Dieter Behrendt\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HNQR7NQ1
C:\Programme\VidCodecs

dann sollte wieder alles o.k. sein
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina,

entschuldige die späte Antwort. Durch die Arbeit kam ich noch nicht früher dazu. Hier das Log (Gehe mal davon aus, dass noch nicht alles in Ordnung ist, weil er ansonsten wohl die beiden Ordner gelöscht hätte):

Avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ujexkpit

*******************

Script file located at: \??\C:\WINDOWS\system32\koccwrix.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Folder C:\Dokumente und Einstellungen\Dieter Behrendt\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HNQR7NQ1 not found!
Deletion of folder C:\Dokumente und Einstellungen\Dieter Behrendt\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HNQR7NQ1 failed!

Could not process line:
C:\Dokumente und Einstellungen\Dieter Behrendt\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HNQR7NQ1
Status: 0xc0000034



Folder C:\Programme\VidCodecs not found!
Deletion of folder C:\Programme\VidCodecs failed!

Could not process line:
C:\Programme\VidCodecs
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VidCodecs deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

#8 es ist alles wieder o.k. - einige Ordner konnten nicht geloescht werden - weil sie nicht mehr vorhanden wareN
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Ach so ... na dann sag ich nochmal vielen lieben Dank!