VirusBuster Critical System Errors

#0
06.12.2006, 02:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 Silverbubi

arbeite das avengerscript und smitfraudfix ab
http://virus-protect.org/artikel/spyware/videoactivexobject.html

die Meldung wird verschwunden sein, aber ich sehe noch andere viren auf dem Rechner - deshalb:
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.12.2006, 10:57
Member

Beiträge: 17
#17 hallo sabina

hast du meine pn gelesen?


ich hoffe das ich das so richtig gemacht habe.

gruss
jürgen

Logfile of HijackThis v1.99.1
Scan saved at 11:45:29, on 06.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\JRGEN~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: (no name) - {96ebbe6a-2864-4345-b32b-26ee9be524b5} - (no file)
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [Network Access] winssh.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {33331111-1111-1111-1111-611111193429} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -

O16 - DPF: {4C0942C1-C405-4805-B3B6-EA16F2DDD1BD} (innova-Panorama-Viewer Object) - http://www.webplaner-innoplus.de/innova/pano/prog/rundum.7.0.2.0.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120342323249
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8E3327A-BFDB-45C9-85B8-7D0E96D05730}: NameServer = 217.237.150.188 217.237.151.142
O21 - SSODL: flammei - {9d635a36-6b3c-4146-8625-f3aaf507bbf8} - C:\WINDOWS\system32\vcehaeb.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
Dieser Beitrag wurde am 06.12.2006 um 11:40 Uhr von jürgen1972 editiert.
Seitenanfang Seitenende
06.12.2006, 12:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
Seitenanfang Seitenende
06.12.2006, 12:47
Member

Beiträge: 17
#19 hi,

das funktioniert nicht. die exe geht kurz auf wird dann blau und verschwindet wieder.

gruss
jürgen
Seitenanfang Seitenende
06.12.2006, 12:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 jürgen1972

1.
Cleanup anwenden
http://virus-protect.org/cleanup.html

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\%Username%\Startmenü\Programme" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.12.2006, 23:54
Member

Beiträge: 17
#21 Hallo,
soll ich den kompletten text der nun in dem listen.bat ordner steht hier rein stellen? der is ja ellenlang!

Gruss
jürgen
Seitenanfang Seitenende
07.12.2006, 00:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 ja, ich will alles sehen - wenn der platz nicht reicht, erstelle eine txt-Datei und poste es als Anhang (siehe unten)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.12.2006, 00:18
Member

Beiträge: 17
#23 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8FE-E7A3

Verzeichnis von C:\WINDOWS\system32

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8FE-E7A3

Verzeichnis von C:\WINDOWS\Downloaded Program Files

14.10.1997 17:52 697 DirectAnimation Java Classes.osd
22.05.2006 15:37 1.793 erma.inf
20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd
21.07.2006 17:31 128 proto.inf
09.10.2006 09:25 148 startbf2.inf
08.12.2003 12:58 3.759 swflash.inf
11.08.2004 01:22 3.036 wmv9dmo.inf
26.05.2005 03:19 291 wuweb.inf
07.09.2006 21:12 138 _ipsec_.inf
9 Datei(en) 11.152 Bytes
0 Verzeichnis(se), 295.198.720 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8FE-E7A3

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8FE-E7A3

Verzeichnis von C:\Dokumente und Einstellungen\Jrgen

27.07.2006 10:20 <DIR> .
27.07.2006 10:20 <DIR> ..
23.08.2005 21:48 <DIR> Application Data
06.12.2006 23:55 <DIR> Desktop
06.12.2006 00:04 <DIR> Eigene Dateien
05.12.2006 11:58 <DIR> Favoriten
27.07.2006 10:20 324 FTinfo.pts
06.12.2006 23:51 4.718.592 ntuser.dat
18.06.2006 22:17 15.428 RefEdit.exd
06.12.2006 00:05 <DIR> Startmen
04.07.2006 12:15 26.036 Startmen.rar
30.06.2005 22:06 <DIR> WINDOWS
4 Datei(en) 4.760.380 Bytes
8 Verzeichnis(se), 295.198.720 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8FE-E7A3

Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8FE-E7A3

Verzeichnis von C:\Dokumente und Einstellungen\Jrgen\Lokale Einstellungen\Temporary Internet Files\Content.IE5

06.12.2006 23:50 2.850.816 index.dat
1 Datei(en) 2.850.816 Bytes
0 Verzeichnis(se), 295.194.624 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8FE-E7A3

Verzeichnis von C:\Dokumente und Einstellungen\Jrgen\Lokale Einstellungen\Temp

06.12.2006 23:49 <DIR> .
06.12.2006 23:49 <DIR> ..
26.10.2005 15:33 316 0002.idx
23.07.2006 04:04 933 003.idx
17.08.2005 11:32 4.325 01.idx
19.07.2005 09:27 1.101 02.idx
07.07.2006 00:43 973 060622150022.idx
14.11.2006 15:35 169 1.idx
10.08.2005 15:39 1.629 132.idx
21.07.2006 21:29 0 17ED9A.dmp
25.01.2006 00:42 0 1ABA896.dmp
09.07.2006 23:24 788 2.idx
27.08.2006 17:22 1.832 270506.idx
03.12.2006 04:07 117 2F49CE31.TMP
16.10.2005 21:38 306 3.idx
02.08.2006 12:26 0 3ca6_appcompat.txt
23.07.2006 11:37 0 40876.dmp
03.01.2006 01:56 396.288 539f50.mst
17.09.2006 12:08 5.182 53c5_appcompat.txt
05.09.2006 17:06 16.294 53ef_appcompat.txt
03.01.2006 01:57 450.048 54c861.mst
23.07.2006 11:38 0 54EAC.dmp
20.07.2006 19:40 75 5711EF65.TMP
24.07.2006 09:38 5.182 5bed_appcompat.txt
24.07.2006 09:35 0 5cb4_appcompat.txt
23.07.2006 11:36 6.818 5e6a_appcompat.txt
27.07.2006 11:09 16.294 5f88_appcompat.txt
30.06.2005 22:13 294.912 5f9a.rra
09.07.2005 22:59 301 6.idx
30.06.2005 21:24 41.472 645e9.mst
24.07.2006 09:39 0 7BADC.dmp
28.07.2006 15:48 14.818 8681_appcompat.txt
05.11.2006 16:14 5.182 97f5_appcompat.txt
29.07.2006 22:10 421 a080.idx
06.12.2006 23:49 <DIR> a2temp
06.08.2006 15:29 5.182 a39d_appcompat.txt
02.07.2005 17:50 143.872 a86c6.mst
25.06.2002 13:50 4.879.820 aabef.msi
30.06.2005 21:28 27.780 AAX9C.tmp
12.10.2005 02:03 2.048.000 Acr1.tmp
26.04.2006 01:59 4.096.000 Acr11.tmp
04.10.2006 00:01 2.048.000 Acr124.tmp
29.01.2006 19:03 2.048.000 Acr14.tmp
16.04.2006 11:06 0 Acr18.tmp
01.08.2006 15:09 2.048.000 Acr19.tmp
19.11.2006 20:30 2.048.000 Acr2.tmp
24.08.2005 16:15 2.048.000 Acr28.tmp
06.04.2006 22:38 2.048.000 Acr2D.tmp
23.11.2006 02:42 2.048.000 Acr3.tmp
04.12.2005 12:35 2.048.000 Acr40.tmp
24.11.2005 13:29 2.048.000 Acr6.tmp
24.11.2006 11:04 2.048.000 AcrB.tmp
21.07.2006 21:26 6.818 ad67_appcompat.txt
02.09.2005 12:19 24.645 apocalypse_now_redux.idx
22.11.2005 17:06 341 auto-0012.idx
30.06.2005 21:24 41.472 b301.mst
08.07.2005 15:01 224 black_0003_5.idx
31.12.2005 18:58 606.208 blizzard.ax
17.08.2005 11:36 337 brittneyblue_06.idx
30.06.2005 21:47 24.700 BWInstall.log
30.06.2005 21:31 28.160 ce28a.mst
27.07.2005 23:35 1.239 christina_trailer.idx
09.08.2005 01:43 1.248 clip6.idx
31.05.2006 19:41 36.864 CmdLineExt02.dll
22.11.2005 17:59 353 commercial-0008.idx
22.11.2005 18:00 353 commercial-0011.idx
22.11.2005 18:02 353 commercial-0012.idx
22.11.2005 17:58 353 commercial-0013.idx
22.11.2005 17:57 353 commercial-0014.idx
22.11.2005 17:56 353 commercial-0016.idx
22.11.2005 17:55 353 commercial-0017.idx
22.11.2005 17:55 353 commercial-0019.idx
22.11.2005 17:51 353 commercial-0022.idx
22.11.2005 17:51 353 commercial-0023.idx
22.11.2005 17:50 353 commercial-0024.idx
22.11.2005 17:49 353 commercial-0030.idx
22.11.2005 17:48 353 commercial-0036.idx
22.11.2005 17:46 353 commercial-0042.idx
22.11.2005 17:45 353 commercial-0048.idx
22.11.2005 17:44 353 commercial-0049.idx
22.11.2005 17:43 353 commercial-0056.idx
22.11.2005 17:42 353 commercial-0058.idx
22.11.2005 17:41 353 commercial-0068.idx
22.11.2005 17:39 353 commercial-0070.idx
22.11.2005 17:37 353 commercial-0078.idx
22.11.2005 17:37 353 commercial-0083.idx
22.11.2005 17:34 353 commercial-0087.idx
22.11.2005 17:33 353 commercial-0089.idx
22.11.2005 17:32 353 commercial-0090.idx
22.11.2005 17:32 353 commercial-0091.idx
22.11.2005 17:36 353 commercial-0093.idx
22.11.2005 17:31 353 commercial-0096.idx
22.11.2005 17:30 353 commercial-0098.idx
29.11.2006 22:14 717 control.xml
30.06.2005 21:51 2.772 convert.dat
23.07.2006 11:34 220 d148_appcompat.txt
30.07.2006 19:21 5.182 dc55_appcompat.txt
23.07.2006 02:12 313 dream2.idx
27.07.2006 10:23 5.182 ebb2_appcompat.txt
21.07.2006 21:29 16.294 ee2f_appcompat.txt
01.06.2006 20:38 <DIR> Excel8.0
05.09.2006 16:36 5.182 f787_appcompat.txt
26.07.2006 15:08 1.904 fcd7_appcompat.txt
16.11.2006 01:02 0 fla1.tmp
16.11.2006 01:02 0 fla2.tmp
14.11.2006 15:37 0 fla28.tmp
16.11.2006 01:07 0 fla3.tmp
04.12.2006 01:45 0 fla39.tmp
16.11.2006 01:07 0 fla4.tmp
04.11.2006 23:45 0 fla41.tmp
19.11.2006 19:15 0 fla4A.tmp
16.11.2006 01:08 0 fla5.tmp
16.11.2006 01:09 0 fla6.tmp
16.11.2006 01:10 0 fla7.tmp
16.11.2006 01:11 0 fla8.tmp
16.11.2006 20:32 0 fla9.tmp
16.11.2006 20:32 0 flaA.tmp
16.11.2006 20:34 0 flaB.tmp
16.11.2006 20:35 0 flaC.tmp
06.11.2006 01:03 0 flaC2.tmp
23.11.2006 13:09 0 flaD.tmp
20.11.2006 00:27 0 flaD9.tmp
23.11.2006 13:10 0 flaE.tmp
31.10.2005 16:18 819.912 FlashPlayerUpdate.exe
22.11.2005 17:15 339 fun-0045.idx
22.11.2005 17:17 339 fun-0046.idx
22.11.2005 17:27 339 fun-0048.idx
22.11.2005 17:23 339 fun-0049.idx
22.11.2005 17:20 339 fun-0050.idx
22.11.2005 17:14 339 fun-0051.idx
22.11.2005 17:21 339 fun-0052.idx
22.11.2005 17:18 339 fun-0053.idx
22.11.2005 17:11 339 fun-0057.idx
31.05.2006 21:28 1.896 gangland45_x1.idx
13.06.2006 15:22 304 GLF10.VBS
30.06.2006 07:19 585.216 GoogleInstall.dll
26.09.2005 09:37 242.421 GRD$LOGFILE.LOG
25.06.2006 18:14 45.056 gtapi.dll
29.10.2006 20:30 0 h2r5C.tmp
05.07.2005 10:03 0 h2r7C.tmp
11.08.2005 15:21 614 Hooters.idx
25.07.2002 03:07 346.602 IEC9.tmp
01.02.2002 17:23 344.923 IECC9.tmp
05.12.2006 23:39 2.036 IMT1.xml
05.07.2005 08:19 2.036 IMT1B.xml
05.07.2005 08:19 426 IMT1C.xml
05.07.2005 08:19 798.234 IMT1D.xml
05.12.2006 23:39 426 IMT2.xml
05.12.2006 23:41 2.036 IMT21.xml
05.12.2006 23:41 426 IMT22.xml
05.12.2006 23:41 798.234 IMT23.xml
05.12.2006 23:42 2.036 IMT24.xml
05.12.2006 23:42 426 IMT25.xml
05.12.2006 23:42 798.234 IMT26.xml
05.12.2006 23:39 798.234 IMT3.xml
31.07.2005 18:51 12.537 IMT9.csv
31.07.2005 18:51 12.537 IMTA.csv
16.07.2005 22:27 2.036 IMTD.xml
16.07.2005 22:27 426 IMTE.xml
16.07.2005 22:27 798.234 IMTF.xml
31.07.2005 18:28 1.248 ines1.idx
31.07.2005 18:37 1.248 ineskorytarz3.idx
30.06.2005 21:47 <DIR> ins1.tmp
02.09.2004 16:40 57.344 InstHelp.dll
31.05.2006 20:20 <DIR> isp17.tmp
31.05.2006 20:25 <DIR> isp26.tmp
31.05.2006 20:08 <DIR> isp8.tmp
22.11.2005 18:17 343 japan-0002.idx
22.11.2005 18:13 343 japan-0005.idx
22.11.2005 18:14 343 japan-0006.idx
22.11.2005 18:16 343 japan-0013.idx
22.11.2005 17:09 343 japan-0015.idx
02.07.2005 17:51 23.928 java_install.log
05.07.2005 08:08 3.762 jusched.log
06.07.2005 16:09 843 kmdb.html
05.12.2006 11:58 29.216 laf3D.tmp
05.10.2005 13:52 9 LastWork.txt
20.10.2006 14:07 291 lexi.idx
23.07.2006 02:15 336 magic1.idx
22.02.2006 15:09 0 mka22.tmp
22.11.2005 17:07 355 motorraeder-0007.idx
10.10.2006 11:09 300 MOV05175.idx
01.07.2005 19:12 196.654 ms1235.tmp
01.07.2005 19:16 4.944 ms1630.tmp
01.07.2005 19:16 4.944 ms1635.tmp
01.07.2005 19:16 12.839 ms1646.tmp
01.07.2005 19:16 12.839 ms1655.tmp
05.07.2005 11:51 3.734 msiutil(1).log
01.10.2006 01:46 68.096 msoCC7C4.doc
14.11.2006 00:32 25 myst0720.idx
10.08.2005 15:22 54.397 nyomi_clip10.idx
05.07.2005 09:53 45.886 offcln10.log
05.07.2005 09:57 3.523 Office XP Professional mit FrontPage Setup(0001).txt
05.07.2005 09:57 13.188.478 Office XP Professional mit FrontPage Setup(0001)_Task(0001).txt
06.06.2006 09:52 220 OUCH.idx
02.08.2006 11:28 661 party267.idx
19.08.2005 13:28 472.345 pf3425931982.tmp
04.07.2005 12:29 <DIR> pft1~tmp
30.06.2005 22:07 <DIR> pftEE~tmp
10.09.2006 20:24 812 PrePict.htm
03.01.2006 01:57 852 QTInstallCode.log
03.01.2006 01:57 1.014 qtplugin.log
29.10.2006 20:30 139 r2h5B.tmp
08.03.2006 19:48 2.118 Rising_sun.idx
30.06.2005 21:48 11.139 rnlog.txt
05.09.2001 06:03 168.448 Set1.tmp
01.10.2004 01:40 118.736 Set13.tmp
05.09.2001 06:03 168.448 Set2.tmp
01.10.2004 01:40 118.736 Set22.tmp
05.09.2001 06:03 168.448 Set3.tmp
01.10.2004 01:40 118.736 Set4.tmp
11.04.2001 16:28 54.784 Set5.tmp
05.09.2001 06:03 168.448 SetAC.tmp
04.08.2004 08:58 299.520 setb0.tmp
04.08.2004 08:57 230.400 setb1.tmp
04.08.2004 08:57 151.552 setb2.tmp
04.08.2004 08:58 2.105.344 setb3.tmp
04.08.2004 08:57 102.400 setb4.tmp
04.08.2004 08:58 778.240 setup_wm.exe
30.06.2005 21:40 2.356 SigmaTel MSCN Audio Player.log
31.05.2006 19:42 12.067 SIntf16.dll
31.05.2006 19:42 19.924 SIntf32.dll
31.05.2006 19:42 4.592 SIntfIcn.ani
31.05.2006 19:42 24.516 SIntfNT.dll
22.11.2005 18:11 343 sport-0008.idx
22.11.2005 18:10 343 sport-0011.idx
22.11.2005 18:10 343 sport-0012.idx
05.07.2006 10:23 151 swtmp.htm
16.10.2005 17:22 306 SYDARTA1.idx
17.03.2006 16:23 1.435.652 teletubbies.idx
17.03.2006 16:25 1.334.272 teletubbies.sub
22.11.2005 18:08 339 tierisch-0017.idx
22.11.2005 18:05 339 tierisch-0025.idx
22.11.2005 18:04 339 tierisch-0027.idx
20.10.2006 14:08 293 tiffany.idx
27.05.2006 15:08 2.179 TWAIN.LOG
27.05.2006 14:24 3 Twain001.Mtx
27.05.2006 14:24 156 Twunk001.MTX
09.03.2006 22:33 0 Twunk002.MTX
08.10.2006 11:30 3.930 U3Launcher.log
16.10.2005 16:58 627 up1.idx
23.08.2005 21:48 <DIR> VBE
22.10.2005 14:57 634 video04.idx
18.06.2002 01:27 299.008 war3_Install.exe
01.07.2005 16:56 <DIR> WER1.tmp.dir00
02.07.2005 17:34 <DIR> WER2.tmp.dir00
02.07.2005 17:34 <DIR> WER3.tmp.dir00
02.07.2005 17:35 <DIR> WER4.tmp.dir00
02.07.2005 17:34 0 WER5.tmp
02.07.2005 17:35 <DIR> WER5.tmp.dir00
11.10.2006 04:39 310 Wifey-7-KnuckleBust-2.idx
30.06.2005 21:24 <DIR> ws
08.07.2006 13:07 0 _in44.tmp
08.07.2006 13:07 0 _in45.tmp
31.05.2006 20:34 1.082 _isdelet.ini
30.06.2005 21:29 <DIR> _ISTMP1.DIR
30.06.2005 21:37 <DIR> _ISTMP2.DIR
30.06.2005 21:49 <DIR> _ISTMP3.DIR
19.10.2005 15:48 45.096 _VWUPSRV.EXE
31.01.2006 12:20 512 ~DF1B1.tmp
31.01.2006 11:57 512 ~DFD0E4.tmp
09.06.2006 14:46 98.304 ~DFD823.tmp
250 Datei(en) 71.196.855 Bytes
20 Verzeichnis(se), 295.178.240 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8FE-E7A3

Verzeichnis von C:\WINDOWS\Temp

06.12.2006 23:43 <DIR> .
06.12.2006 23:43 <DIR> ..
30.06.2005 21:30 <DIR> FUJIUSBDRV
30.06.2005 21:46 <DIR> InstHelper
30.06.2005 21:46 53.248 InstHelper.dll
30.06.2005 21:46 432 launcher.log
30.06.2005 21:53 4.986 Lqdsw.log
29.04.2002 00:52 32.023 OLD7.tmp
4 Datei(en) 90.689 Bytes
4 Verzeichnis(se), 295.182.336 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8FE-E7A3

Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8FE-E7A3

Verzeichnis von C:\Programme

06.12.2006 23:46 <DIR> .
06.12.2006 23:46 <DIR> ..
06.12.2006 01:18 <DIR> a-squared Free
30.06.2005 21:28 <DIR> Adobe
19.08.2005 12:07 <DIR> Ahead
05.05.2006 23:02 <DIR> AntiVir PersonalEdition Classic
20.07.2005 23:00 <DIR> AT-AR215
06.12.2006 23:46 <DIR> CleanUp!
30.06.2005 21:06 <DIR> ComPlus Applications
30.06.2005 22:00 <DIR> CyberLink
30.06.2005 22:05 <DIR> DFš-Speed
30.06.2005 21:48 <DIR> directx
05.07.2005 09:54 <DIR> Gemeinsame Dateien
04.08.2005 10:33 <DIR> Globus
10.08.2005 15:41 <DIR> Internet Explorer
03.01.2006 01:56 <DIR> iPod
03.01.2006 01:56 <DIR> iTunes
02.07.2005 17:51 <DIR> Java
01.06.2006 21:56 <DIR> JoinSaw
06.07.2005 16:10 <DIR> Kazaa Lite
09.07.2005 20:12 <DIR> Kazaa Lite K++
30.06.2005 22:08 <DIR> Lavasoft
30.06.2005 21:48 <DIR> Logitech
03.07.2005 23:26 <DIR> messenger
30.06.2005 21:11 <DIR> microsoft frontpage
05.07.2005 09:54 <DIR> Microsoft Visual Studio
03.07.2005 11:49 <DIR> Movie Maker
30.06.2005 21:05 <DIR> MSN
26.03.2006 10:37 <DIR> MSN Games
30.06.2005 21:05 <DIR> MSN Gaming Zone
03.07.2005 11:39 <DIR> NetMeeting
30.06.2005 21:05 <DIR> Online Services
30.06.2005 21:08 <DIR> Online-Dienste
06.12.2006 23:49 <DIR> Opera75
03.07.2005 11:38 <DIR> Outlook Express
03.01.2006 01:57 <DIR> QuickTime
30.06.2005 21:30 <DIR> REGSHAVE
26.10.2006 23:04 <DIR> Rundum-Betrachter-innoPlus
30.06.2005 21:24 <DIR> Siemens Data Suite
30.06.2005 21:40 <DIR> SigmaTel
02.07.2005 17:43 <DIR> Tsunami-Filter-Pack
30.06.2005 22:03 <DIR> VideoLAN
30.06.2005 21:48 <DIR> Windows Media Components
13.07.2005 16:18 <DIR> Windows Media Player
03.07.2005 11:38 <DIR> Windows NT
06.07.2005 15:58 <DIR> WinMX
30.06.2005 21:11 <DIR> xerox
12.06.2006 23:19 <DIR> Yahoo!
0 Datei(en) 0 Bytes
48 Verzeichnis(se), 295.178.240 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8FE-E7A3

Verzeichnis von C:\Dokumente und Einstellungen\Jrgen\Lokale Einstellungen\Anwendungsdaten

03.01.2006 01:57 <DIR> Apple Computer
29.11.2006 21:57 79.360 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
05.07.2005 11:16 20.336 GDIPFONTCACHEV1.DAT
30.12.2005 03:14 <DIR> Help
30.06.2005 22:26 <DIR> Identities
24.10.2006 12:09 <DIR> Microsoft
02.07.2005 17:50 <DIR> {7148F0A6-6813-11D6-A77B-00B0D0142010}
2 Datei(en) 99.696 Bytes
5 Verzeichnis(se), 295.178.240 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8FE-E7A3

Verzeichnis von C:\Dokumente und Einstellungen\Jrgen\Anwendungsdaten

30.06.2005 21:28 <DIR> Adobe
19.08.2005 12:21 <DIR> Ahead
03.01.2006 02:06 <DIR> Apple Computer
30.06.2005 21:48 <DIR> FotoWire
30.06.2005 21:54 <DIR> FUJIFILM
05.07.2005 10:00 20.336 GDIPFONTCACHEV1.DAT
09.03.2006 22:36 <DIR> Help
30.06.2005 21:18 <DIR> Identities
30.06.2005 21:28 <DIR> InterTrust
06.07.2005 16:19 <DIR> Kazaa Lite
02.07.2005 22:57 <DIR> Lavasoft
05.07.2006 10:23 <DIR> Macromedia
30.06.2005 22:28 <DIR> MSN6
02.07.2005 17:51 <DIR> Opera
02.07.2005 17:51 <DIR> Sun
08.10.2006 11:31 <DIR> U3
01.07.2005 21:20 <DIR> vlc
1 Datei(en) 20.336 Bytes
16 Verzeichnis(se), 295.178.240 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8FE-E7A3

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

16.02.2006 01:07 305 addr_file.html
05.12.2006 00:09 <DIR> AntiVir PersonalEdition Classic
03.01.2006 01:55 <DIR> Apple Computer
30.06.2005 22:00 <DIR> CyberLink
30.06.2005 22:28 <DIR> MSN6
30.06.2005 21:31 <DIR> QuickTime
1 Datei(en) 305 Bytes
5 Verzeichnis(se), 295.174.144 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8FE-E7A3

Verzeichnis von C:\Programme\Gemeinsame Dateien

05.07.2005 09:54 <DIR> .
05.07.2005 09:54 <DIR> ..
30.06.2005 21:37 <DIR> Adobe
19.08.2005 12:05 <DIR> Ahead
05.07.2005 09:54 <DIR> Designer
30.06.2005 21:07 <DIR> Dienste
30.06.2005 21:48 <DIR> FotoWire
31.05.2006 20:08 <DIR> InstallShield
02.07.2005 17:50 <DIR> Java
30.06.2005 21:49 <DIR> Logitech
05.07.2005 09:55 <DIR> Microsoft Shared
30.06.2005 21:07 <DIR> MSSoap
30.06.2005 21:45 <DIR> ODBC
30.06.2005 21:53 <DIR> Real
30.06.2005 21:24 <DIR> Siemens AG Shared
30.06.2005 21:45 <DIR> SpeechEngines
09.06.2006 14:46 <DIR> SWF Studio
05.07.2005 09:54 <DIR> System
0 Datei(en) 0 Bytes
18 Verzeichnis(se), 295.174.144 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8FE-E7A3

Verzeichnis von C:\Windows\tasks

29.12.2005 15:21 426 hochzeit.job
1 Datei(en) 426 Bytes
0 Verzeichnis(se), 295.174.144 Bytes frei
Seitenanfang Seitenende
07.12.2006, 00:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 jürgen1972

ich will dir erklaeren, was ich mache: den verseuchten Codec bekommt man mit einem mausklick geloescht - aber auf dem rechner ist auch ein backdoor - den suche ich

Download Registry Search by Bobbi Flekman

http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Network Access

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

winssh

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

Hardware Clock Driver

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

hwclock

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.12.2006, 00:50
Member

Beiträge: 17
#25 REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 07.12.2006 00:52:46 for strings:
; 'network access'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{6BC098A0-0CE6-11D1-BAAE-00C04FC2E20D}\1.0]
@="IAS Network Access Policy 1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Network Access]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Network Access"="winssh.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\OLE]
"Network Access"="winssh.exe"

[HKEY_USERS\S-1-5-21-842925246-1708537768-1060284298-1003\Software\Microsoft\OLE]
"Network Access"="winssh.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\OLE]
"Network Access"="winssh.exe"

; End Of The Log...




REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 07.12.2006 00:54:58 for strings:
; 'winssh'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Network Access]
"item"="winssh"
"command"="winssh.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Network Access"="winssh.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\winssh.exe"="C:\\WINDOWS\\system32\\winssh.exe:*:Enabled:winssh"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\winssh.exe"="C:\\WINDOWS\\system32\\winssh.exe:*:Enabled:winssh"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\winssh.exe"="C:\\WINDOWS\\system32\\winssh.exe:*:Enabled:winssh"

[HKEY_USERS\.DEFAULT\Software\Microsoft\OLE]
"Network Access"="winssh.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\system32\\winssh.exe"="winssh"

[HKEY_USERS\S-1-5-21-842925246-1708537768-1060284298-1003\Software\Microsoft\OLE]
"Network Access"="winssh.exe"

[HKEY_USERS\S-1-5-21-842925246-1708537768-1060284298-1003\Software\Microsoft\Search Assistant\ACMru\5603]
"019"="winssh"

[HKEY_USERS\S-1-5-18\Software\Microsoft\OLE]
"Network Access"="winssh.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\system32\\winssh.exe"="winssh"

; End Of The Log...




REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 07.12.2006 00:57:12 for strings:
; 'hardware clock driver'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HWCLOCK\0000]
"DeviceDesc"="Hardware Clock Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwclock]
"DisplayName"="Hardware Clock Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_HWCLOCK\0000]
"DeviceDesc"="Hardware Clock Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hwclock]
"DisplayName"="Hardware Clock Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HWCLOCK\0000]
"DeviceDesc"="Hardware Clock Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock]
"DisplayName"="Hardware Clock Driver"

; End Of The Log...




REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 07.12.2006 00:58:39 for strings:
; 'hwclock'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HWCLOCK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HWCLOCK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HWCLOCK\0000]
"Service"="hwclock"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwclock]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwclock]
; Contents of value:
; c:\windows\system32\hwclock.exe
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,6d,33,32,5c,\
68,77,63,6c,6f,63,6b,2e,65,78,65,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwclock\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwclock\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwclock\Enum]
"0"="Root\\LEGACY_HWCLOCK\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_HWCLOCK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_HWCLOCK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_HWCLOCK\0000]
"Service"="hwclock"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hwclock]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hwclock]
; Contents of value:
; c:\windows\system32\hwclock.exe
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,6d,33,32,5c,\
68,77,63,6c,6f,63,6b,2e,65,78,65,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hwclock\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HWCLOCK]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HWCLOCK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HWCLOCK\0000]
"Service"="hwclock"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock]
; Contents of value:
; c:\windows\system32\hwclock.exe
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,6d,33,32,5c,\
68,77,63,6c,6f,63,6b,2e,65,78,65,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock\Enum]
"0"="Root\\LEGACY_HWCLOCK\\0000"

; End Of The Log...


ich hoffe das war richtig so ;)

gruss
jürgen
Seitenanfang Seitenende
07.12.2006, 01:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Network Access]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Network Access"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\OLE]
"Network Access"=-

[HKEY_USERS\S-1-5-21-842925246-1708537768-1060284298-1003\Software\Microsoft\OLE]
"Network Access"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\OLE]
"Network Access"=-
______________________________________________________________

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{96ebbe6a-2864-4345-b32b-26ee9be524b5}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamini.exe
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|flammei
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{9d635a36-6b3c-4146-8625-f3aaf507bbf8}

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HWCLOCK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwclock
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_HWCLOCK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hwclock
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HWCLOCK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock
HKLM\SOFTWARE\Classes\CLSID\{9d635a36-6b3c-4146-8625-f3aaf507bbf8}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Virus-Bursters
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virus-bursters.exe
HKLM\SOFTWARE\Virus-Bursters
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Virus-Bursters
HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Virus-Bursters
HKLM\SOFTWARE\Classes\TypeLib\{F83E8F99-AE49-45D6-92B4-59854BF0A759}
HKLM\SOFTWARE\Classes\TypeLib\{C97C3B7C-E022-4FA8-B1A7-1C28270FFAFF}
HKLM\SOFTWARE\Classes\TypeLib\{02A40EA7-B5B4-4F41-B2FF-2A8A0AEC50CF}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Video ActiveX Object
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Video ActiveX Object
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03

Files to delete:
C:\WINDOWS\system32\winssh.exe
C:\WINDOWS\System32\hwclock.exe
C:\WINDOWS\system32\vcehaeb.dll
C:\Dokumente und Einstellungen\%Username%\Favoriten\Antivirus Test Online.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url
C:\Dokumente und Einstellungen\%UserName%\Desktop\Virus-Bursters.lnk
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\VBLanguage.ini
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\bt2733.bat
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Virus-Bursters 6.3.lnk

Folders to delete:
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~nsu.tmp
C:\Dokumente und Einstellungen\%Username%\Startmenü\Programme\Virus-Bursters
C:\Programme\Video ActiveX Object
C:\Programme\Virus-Bursters
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html

_________________________________________________________

»»
wende Cleanup an
http://virus-protect.org/cleanup.html

»»
scanne und poste den scanreport
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.12.2006, 01:29
Member

Beiträge: 17
#27 Sabina postete
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen


Hi,

wenn ich das gemacht habe und ja eingegeben habe kann ich dann wieder in den normalen modus wechsln? wär besser sonst muss ich vorher alles kopieren was ich machen muss...

gruss
jürgen
Seitenanfang Seitenende
07.12.2006, 02:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 ja, danach kannst /musst du wieder in den normalmodus wechseln, um den avenger anzuwenden
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.12.2006, 12:16
Member

Beiträge: 17
#29 Hi,

so, das dreieck is weg! nun wollte ich SmitfraudFix ausführen und habe die exe SmitfraudFix.cmd ausführen wollen aber der editor der auf geht is rot und schreibt was von cscriptfehler und auf diesem pc wäre windows script host deaktiviert und der befehl "SetPaths.bat ist falsch geschrieben oder konnte nicht gefunden werden.


habe das backup auch bereits gelöscht.

Gruss
jürgen
Seitenanfang Seitenende
07.12.2006, 12:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 Variante 1: falls xpantispy installiert ist, dort den Windows Script Host freischalten

Hosts freischalten - mit dem xp-antispy
Starten ==> unter "Diverse Einstellungen"
[ ] Windows Scripting Host deaktivieren
Davor den Haken wegnehmen und unten auf "Einstellungen Uebernehmen" klicken.

Variante 2: Schau mal, ob es in der Registry (Start -> Ausführen -> regedit) bei dir unter: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings einen Eintrag mit dem Namen Enabled gibt. Wenn ja, dann weise diesem den Wert 1 zu, dann ist der Scripting Host wieder aktiviert. (dann den PC neustarten)

_________
scanne mit Smitfraudfix und Dr.web und poste beide scanreporte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende