System Alert-AntiVermins

#0
08.01.2007, 20:39
Member

Beiträge: 14
#1 Ich habe folgendes Problem. Seit Monaten läuft mein Computer wesentlich langsamer beim Booten und alles andere hat auch geschwindigkeit eingebüst und etwa seit einer Woche erscheint in meiner Taskleiste immer wieder das PopUp

System Alert!

System detected Virus activities...


und wenn ich es anklicke werde ich auf eine Seite verwiesen auf der man AntiVermins dowloaden soll.
Nach dem Download lief mein Pc noch mal um einiges langsamer.
Inzwischen haben wir über Sky-Bot und Ad-Aware ein Reihe von infizierten Dateien (inklusive AntiVermins und andere) entfernen lassen haben aber keine Besserung erzielt. (Geschwindigkeit hat sich nicht verbessert)


Ich wurde von einem freund auf folgende Page(http://board.protecus.de/t23187.htm)
verwiesen und folge nun den Anweisungen. Werde also Schritt für Schritt durch editieren des Beitrags alle Log Files in das Forum kopieren. :



Logfile of HijackThis v1.99.1
Scan saved at 20:26:31, on 08.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\NovaStor\NovaBACKUP\NMSAccess.exe
C:\Programme\NovaStor\NovaBACKUP\NSENGINE.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\NewSoft\Smart Start UP\PnPDetect.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\aon\AONMES~1\aonMessageCenter.exe
C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Lexmark X6100 Series\lxbfbmon.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\aon\aonUpdate\aonUpdate.exe
C:\Programme\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\explorer.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Manuel\Eigene Dateien\Anwendungen\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.aon.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Telekom Austria
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local>
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [TOSHIBA Accessibility] C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [Smart Start UP] C:\Programme\NewSoft\Smart Start UP\PnPDetect.exe /Automation
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [1aonmessagecenter] C:\PROGRA~1\aon\AONMES~1\aonMessageCenter.exe
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [aonUpdate] C:\Programme\aon\aonUpdate\aonUpdate.exe /tray
O4 - HKCU\..\Run: [toscdspd] TOSCDSPD.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {670C5F66-0866-4DD7-8A3F-1EDE62C2E8BB} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.3/g_bin/eng/poker_2_0_0_43.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C2} (GameDesire Pool 9) - http://67.15.101.3/g_bin/eng/billard9_2_0_0_28.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C3} (GameDesire Pool 14) - http://67.15.101.3/g_bin/eng/billard14_2_0_0_28.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/eng/snooker_2_0_0_28.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C6351C85-2624-441D-A80D-005BAB0A0455}: NameServer = 195.3.96.67 195.3.96.68
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: buprestidae - {b59f3ba4-98da-4b5f-8a2d-7b56fb11140b} - C:\WINDOWS\system32\cthkpcv.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NMSAccess - Unknown owner - C:\Programme\NovaStor\NovaBACKUP\NMSAccess.exe
O23 - Service: NsEngine - NovaStor Corporation - C:\Programme\NovaStor\NovaBACKUP\NSENGINE.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe



Hier der Scan Report von Combofix:


manuel - 07-01-08 21:52:59.73 Service Pack 2
ComboFix 06.11.27 - Running from: "E:\Manuel\Eigene Dateien\System Alert\Combofix"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\IntCodec


((((((((((((((((((((((((((((((( Files Created from 2006-12-08 to 2007-01-08 ))))))))))))))))))))))))))))))))))


2007-01-08 20:43 <DIR> d-------- C:\Programme\CleanUp!
2007-01-05 18:02 <DIR> d-------- C:\Programme\Lavasoft
2007-01-05 12:20 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2007-01-05 12:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-01-04 21:28 <DIR> d-------- C:\Programme\Common Files
2007-01-04 21:23 <DIR> d--hs---- C:\WA6P
2007-01-04 21:22 8,704 --a------ C:\WINDOWS\system32\SpOrder.dll
2007-01-04 21:22 6,144 --a------ C:\WINDOWS\system32\stera.exe
2007-01-04 19:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Klick
2007-01-04 13:24 <DIR> d-------- C:\Programme\Windows Defender
2007-01-04 12:30 <DIR> d-------- C:\Programme\Browser Mouse
2007-01-02 16:43 <DIR> d-------- C:\Programme\Electronic Arts
2007-01-02 16:34 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2006-12-28 23:17 20,992 --a------ C:\WINDOWS\system32\cthkpcv.dll
2006-12-25 18:53 <DIR> d-------- C:\Dokumente und Einstellungen\manuel\Anwendungsdaten\Panasonic
2006-12-25 17:04 <DIR> d-------- C:\Programme\Windows Media Connect 2
2006-12-25 17:00 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2006-12-25 16:58 <DIR> d-------- C:\My Copy
2006-12-25 16:56 <DIR> d-------- C:\Programme\NovaStor
2006-12-25 11:03 11,776 --a------ C:\WINDOWS\system32\drivers\afc.sys
2006-12-25 11:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ArcSoft
2006-12-25 11:00 21,248 --a------ C:\WINDOWS\system32\drivers\pfc.sys
2006-12-25 10:59 212,480 --a------ C:\WINDOWS\PCDLIB32.DLL
2006-12-25 10:59 143,360 --a------ C:\WINDOWS\system32\PhotoBase Screen Saver.scr
2006-12-25 10:59 1,645,320 --a------ C:\WINDOWS\system32\gdiplus.dll
2006-12-25 10:59 <DIR> d-------- C:\Programme\ArcSoft
2006-12-25 10:52 45,056 --a------ C:\WINDOWS\system32\PhDi2.sys
2006-12-25 10:50 77,824 --a------ C:\WINDOWS\system32\PICEntry.dll
2006-12-25 10:50 73,728 --a------ C:\WINDOWS\system32\PICSDK.dll
2006-12-25 10:50 65,536 --a------ C:\WINDOWS\system32\EPPicMgr.dll
2006-12-25 10:50 495,616 --a------ C:\WINDOWS\system32\PICSDK2.dll
2006-12-25 10:50 114,688 --a------ C:\WINDOWS\system32\EpPicPrt.dll
2006-12-25 10:49 <DIR> d-------- C:\Programme\Panasonic
2006-12-17 16:51 <DIR> d-------- C:\Programme\Duden
2006-12-13 14:56 223,128 --a------ C:\WINDOWS\system32\drivers\vaxscsi.sys
2006-12-08 11:20 96,256 --a------ C:\WINDOWS\system32\drivers\sptd1085.sys
2006-12-08 11:20 642,560 --a------ C:\WINDOWS\system32\drivers\sptd.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-01-05 12:49 -------- d-------- C:\Programme\Gemeinsame Dateien
2007-01-04 21:28 702 --a------ C:\Dokumente und Einstellungen\manuel\Anwendungsdaten\update.log
2007-01-02 16:43 -------- d--h----- C:\Programme\InstallShield Installation Information
2007-01-01 23:36 -------- d-------- C:\Programme\Morpheus
2006-12-28 22:57 -------- d-------- C:\Programme\PartyGaming.Net
2006-12-25 23:52 -------- d-------- C:\Dokumente und Einstellungen\manuel\Anwendungsdaten\Adobe
2006-12-25 17:05 -------- d-------- C:\Programme\Windows Media Player
2006-12-22 20:20 -------- d-------- C:\Programme\IrfanView
2006-12-22 18:58 -------- d-------- C:\Programme\Outlook Express
2006-12-22 18:58 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-12-19 23:59 -------- d-------- C:\Dokumente und Einstellungen\manuel\Anwendungsdaten\AdobeUM
2006-12-05 18:15 -------- d-------- C:\Programme\Internet Explorer
2006-12-02 14:52 -------- d-------- C:\Programme\GanymedeNet
2006-11-23 19:36 -------- d-------- C:\Programme\EA GAMES
2006-11-18 17:15 -------- d-------- C:\Programme\MSXML 4.0
2006-11-11 13:33 -------- d-------- C:\Programme\Langenscheidt-Longman
2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-11-07 21:03 6049280 --------- C:\WINDOWS\system32\ieframe.dll
2006-11-07 21:03 50688 --------- C:\WINDOWS\system32\msfeedsbs.dll
2006-11-07 21:03 458752 --------- C:\WINDOWS\system32\msfeeds.dll
2006-11-07 21:03 413696 --a------ C:\WINDOWS\system32\vbscript.dll
2006-11-07 21:03 231424 --a------ C:\WINDOWS\system32\webcheck.dll
2006-11-07 21:03 180736 --------- C:\WINDOWS\system32\ieui.dll
2006-11-07 21:03 156160 --a------ C:\WINDOWS\system32\msls31.dll
2006-11-07 03:27 382976 --a------ C:\WINDOWS\system32\iedkcs32.dll
2006-11-07 03:27 229376 --a------ C:\WINDOWS\system32\ieaksie.dll
2006-11-07 03:26 71680 --a------ C:\WINDOWS\system32\admparse.dll
2006-11-07 03:26 55296 --a------ C:\WINDOWS\system32\iesetup.dll
2006-11-07 03:26 54784 --a------ C:\WINDOWS\system32\ie4uinit.exe
2006-11-07 03:26 43008 --a------ C:\WINDOWS\system32\iernonce.dll
2006-11-07 03:26 152064 --a------ C:\WINDOWS\system32\ieakeng.dll
2006-11-07 03:26 13312 --a------ C:\WINDOWS\system32\ieudinit.exe
2006-11-07 03:26 123904 --a------ C:\WINDOWS\system32\advpack.dll
2006-11-07 03:25 161792 --a------ C:\WINDOWS\system32\ieakui.dll
2006-11-04 17:08 39808 --a------ C:\Dokumente und Einstellungen\manuel\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll
2006-11-03 10:02 8282112 --a------ C:\WINDOWS\system32\wmploc.dll
2006-11-03 09:56 99840 --a------ C:\WINDOWS\system32\wmpshell.dll
2006-11-03 09:55 275968 --a------ C:\WINDOWS\system32\wmerror.dll
2006-11-03 09:54 8192 --a------ C:\WINDOWS\system32\asferror.dll
2006-11-02 11:51 43008 --------- C:\WINDOWS\system32\wpdshextres.dll
2006-10-20 02:38 715776 --a------ C:\WINDOWS\system32\sxs.dll
2006-10-18 21:58 8704 --a------ C:\WINDOWS\system32\wdfmgr.exe
2006-10-18 21:58 8704 --a------ C:\WINDOWS\system32\uwdf.exe
2006-10-18 21:47 991744 --a------ C:\WINDOWS\system32\drmv2clt.dll
2006-10-18 21:47 937984 --a------ C:\WINDOWS\system32\WMNetMgr.dll
2006-10-18 21:47 767488 --------- C:\WINDOWS\system32\WMVSENCD.dll
2006-10-18 21:47 757248 --a------ C:\WINDOWS\system32\WMADMOD.dll
2006-10-18 21:47 656896 --------- C:\WINDOWS\system32\WMVXENCD.dll
2006-10-18 21:47 63488 --a------ C:\WINDOWS\system32\wpdmtpus.dll
2006-10-18 21:47 629760 --a------ C:\WINDOWS\system32\wpd_ci.dll
2006-10-18 21:47 613376 --------- C:\WINDOWS\system32\wmpmde.dll
2006-10-18 21:47 603648 --a------ C:\WINDOWS\system32\WMSPDMOD.dll
2006-10-18 21:47 542720 --a------ C:\WINDOWS\system32\blackbox.dll
2006-10-18 21:47 535040 --------- C:\WINDOWS\system32\wmdrmsdk.dll
2006-10-18 21:47 429056 --a------ C:\WINDOWS\system32\wmdrmdev.dll
2006-10-18 21:47 414208 --a------ C:\WINDOWS\system32\msscp.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\wmvdmoe2.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\wmvdmod.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\WMVADVE.DLL
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\WMVADVD.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\wmsdmoe2.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\wmsdmod.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\wdfapi.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\MPG4DMOD.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\MP4SDMOD.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\MP43DMOD.dll
2006-10-18 21:47 37376 --a------ C:\WINDOWS\system32\wmdmps.dll
2006-10-18 21:47 35840 --a------ C:\WINDOWS\system32\wpdconns.dll
2006-10-18 21:47 356352 --a------ C:\WINDOWS\system32\wpdsp.dll
2006-10-18 21:47 348672 --a------ C:\WINDOWS\system32\wmdrmnet.dll
2006-10-18 21:47 33792 --a------ C:\WINDOWS\system32\wmdmlog.dll
2006-10-18 21:47 321536 --a------ C:\WINDOWS\system32\mswmdm.dll
2006-10-18 21:47 317440 --------- C:\WINDOWS\system32\MP4SDECD.dll
2006-10-18 21:47 314880 --a------ C:\WINDOWS\system32\wmpdxm.dll
2006-10-18 21:47 295936 --------- C:\WINDOWS\system32\wmpeffects.dll
2006-10-18 21:47 284160 --------- C:\WINDOWS\system32\PortableDeviceApi.dll
2006-10-18 21:47 276992 --a------ C:\WINDOWS\system32\audiodev.dll
2006-10-18 21:47 27136 --a------ C:\WINDOWS\system32\mspmsnsv.dll
2006-10-18 21:47 2603008 --------- C:\WINDOWS\system32\WpdShext.dll
2006-10-18 21:47 259072 --------- C:\WINDOWS\system32\MPG4DECD.dll
2006-10-18 21:47 259072 --------- C:\WINDOWS\system32\MP43DECD.dll
2006-10-18 21:47 2450944 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-10-18 21:47 242688 --a------ C:\WINDOWS\system32\wmpasf.dll
2006-10-18 21:47 229376 --a------ C:\WINDOWS\system32\cewmdm.dll
2006-10-18 21:47 222208 --a------ C:\WINDOWS\system32\WMASF.dll
2006-10-18 21:47 212992 --------- C:\WINDOWS\system32\MFPLAT.dll
2006-10-18 21:47 211456 --a------ C:\WINDOWS\system32\qasf.dll
2006-10-18 21:47 204288 --a------ C:\WINDOWS\system32\wmpsrcwp.dll
2006-10-18 21:47 199168 --------- C:\WINDOWS\system32\PortableDeviceWMDRM.dll
2006-10-18 21:47 179712 --a------ C:\WINDOWS\system32\msnetobj.dll
2006-10-18 21:47 175616 --a------ C:\WINDOWS\system32\mspmsp.dll
2006-10-18 21:47 166912 --------- C:\WINDOWS\system32\PortableDeviceTypes.dll
2006-10-18 21:47 1661440 --a------ C:\WINDOWS\system32\wmpencen.dll
2006-10-18 21:47 1574912 --------- C:\WINDOWS\system32\WMVENCOD.dll
2006-10-18 21:47 157184 --a------ C:\WINDOWS\system32\wmidx.dll
2006-10-18 21:47 154624 --a------ C:\WINDOWS\system32\wpdmtp.dll
2006-10-18 21:47 1543680 --------- C:\WINDOWS\system32\WMVDECOD.dll
2006-10-18 21:47 1382912 --------- C:\WINDOWS\system32\WMVSDECD.dll
2006-10-18 21:47 133632 --------- C:\WINDOWS\system32\WPDShServiceObj.dll
2006-10-18 21:47 1329152 --a------ C:\WINDOWS\system32\WMSPDMOE.dll
2006-10-18 21:47 132096 --------- C:\WINDOWS\system32\PortableDeviceWiaCompat.dll
2006-10-18 21:47 130048 --------- C:\WINDOWS\system32\wmpps.dll
2006-10-18 21:47 11264 --a------ C:\WINDOWS\system32\LAPRXY.dll
2006-10-18 21:47 1117696 --a------ C:\WINDOWS\system32\WMADMOE.dll
2006-10-18 21:47 101888 --------- C:\WINDOWS\system32\PortableDeviceClassExtension.dll
2006-10-18 20:03 100864 --a------ C:\WINDOWS\system32\logagent.exe
2006-10-18 20:00 249856 --------- C:\WINDOWS\system32\drmupgds.exe
2006-10-18 20:00 17408 --------- C:\WINDOWS\system32\wpdshextautoplay.exe
2006-10-17 12:06 78336 --a------ C:\WINDOWS\system32\ieencode.dll
2006-10-17 12:05 40960 --a------ C:\WINDOWS\system32\licmgr10.dll
2006-10-17 12:05 206336 --------- C:\WINDOWS\system32\WinFXDocObj.exe
2006-10-17 12:05 105984 --a------ C:\WINDOWS\system32\url.dll
2006-10-17 12:04 101376 --a------ C:\WINDOWS\system32\occache.dll
2006-10-17 12:03 17408 --a------ C:\WINDOWS\system32\corpol.dll
2006-10-17 11:58 61952 --------- C:\WINDOWS\system32\icardie.dll
2006-10-17 11:58 12288 --------- C:\WINDOWS\system32\msfeedssync.exe
2006-10-17 11:57 36352 --a------ C:\WINDOWS\system32\imgutil.dll
2006-10-17 11:57 266752 --------- C:\WINDOWS\system32\iertutil.dll
2006-10-17 11:56 45568 --a------ C:\WINDOWS\system32\mshta.exe
2006-10-17 11:28 48128 --a------ C:\WINDOWS\system32\mshtmler.dll
2006-10-17 11:27 380928 --------- C:\WINDOWS\system32\ieapfltr.dll
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"aonUpdate"="C:\\Programme\\aon\\aonUpdate\\aonUpdate.exe /tray"
"toscdspd"="TOSCDSPD.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Apoint"="C:\\Programme\\Apoint2K\\Apoint.exe"
"PadTouch"="C:\\Programme\\TOSHIBA\\Touch and Launch\\PadExe.exe"
"AGRSMMSG"="AGRSMMSG.exe"
"CeEKEY"="C:\\Programme\\TOSHIBA\\E-KEY\\CeEKey.exe"
"TPNF"="C:\\Programme\\TOSHIBA\\TouchPad\\TPTray.exe"
"TOSHIBA Accessibility"="C:\\Programme\\TOSHIBA\\Accessibility\\FnKeyHook.exe"
"HWSetup"="C:\\Programme\\TOSHIBA\\TOSHIBA Applet\\HWSetup.exe hwSetUP"
"SVPWUTIL"="C:\\Programme\\Toshiba\\Windows Utilities\\SVPWUTIL.exe SVPwUTIL"
"Zooming"="ZoomingHook.exe"
"TCtryIOHook"="TCtrlIOHook.exe"
"TPSMain"="TPSMain.exe"
"SmoothView"="C:\\Programme\\TOSHIBA\\TOSHIBA Zoom-Dienstprogramm\\SmoothView.exe"
"Tvs"="C:\\Programme\\TOSHIBA\\Tvs\\TvsTray.exe"
"dla"="C:\\WINDOWS\\system32\\dla\\tfswctrl.exe"
"TFncKy"="TFncKy.exe"
"Smart Start UP"="C:\\Programme\\NewSoft\\Smart Start UP\\PnPDetect.exe /Automation "
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"1aonmessagecenter"="C:\\PROGRA~1\\aon\\AONMES~1\\aonMessageCenter.exe"
"Lexmark X6100 Series"="\"C:\\Programme\\Lexmark X6100 Series\\lxbfbmgr.exe\""
"Windows Defender"="\"C:\\Programme\\Windows Defender\\MSASCui.exe\" -hide"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,02,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{b59f3ba4-98da-4b5f-8a2d-7b56fb11140b}"="buprestidae"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"="\"ShellExecuteHook\" von Microsoft AntiMalware"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoCDBurning"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
"buprestidae"="{b59f3ba4-98da-4b5f-8a2d-7b56fb11140b}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\MP Scheduled Scan.job
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 07-01-08 21:55:05.00
C:\ComboFix.txt ... 07-01-08 21:55
C:\ComboFix2.txt ... 07-01-08 21:49



Als nächstes die Textdokumente von datfind.bat:


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8454-10C9

Verzeichnis von C:\

08.01.2007 22:19 0 sys.txt
08.01.2007 22:19 1.006 down.txt
08.01.2007 22:19 289 tmp.txt
08.01.2007 22:18 8.261 system.txt
08.01.2007 22:18 134 systemtemp.txt
08.01.2007 22:17 105.367 system32.txt
08.01.2007 21:55 16.798 ComboFix.txt
08.01.2007 21:49 134 ComboFix2.txt
08.01.2007 21:29 1.072.156.672 hiberfil.sys
08.01.2007 21:29 1.610.612.736 pagefile.sys
26.12.2006 21:01 77 DVDPATH.TXT






Die Probleme mit denen mein PC derzeit zu kämpfen hat habe ich oben bereits ausführlich beschrieben. Ich hoffe dass ihr mir helfen könnt wie allen anderen die bereits von eurem Forum begeistert sind...

Danke und liebe grüße PartyGandalf
Dieser Beitrag wurde am 08.01.2007 um 22:34 Uhr von PartyGandalf editiert.
Seitenanfang Seitenende
09.01.2007, 00:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 PartyGandalf

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|buprestidae
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{b59f3ba4-98da-4b5f-8a2d-7b56fb11140b}

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b59f3ba4-98da-4b5f-8a2d-7b56fb11140b}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FWSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FWSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FWSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FWSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FWSVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_FWSVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FWSVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWSVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FOPN
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FOPN
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FOPN
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN

Files to delete:
C:\WINDOWS\system32\SpOrder.dll
C:\WINDOWS\system32\stera.exe
C:\WINDOWS\system32\cthkpcv.dll
C:\WINDOWS\system32\fwsvc.sys
C:\WINDOWS\system32\drivers\vspf5.sys
C:\WINDOWS\system32\drivers\vspf_hk5.sys
C:\WINDOWS\system32\drivers\fopn.sys

Folders to delete:
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006
C:\Programme\Common Files\Companion Wizard
C:\WA6P
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html

»»
scanne mit ewido und poste hier den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.01.2007, 15:55
Member

Themenstarter

Beiträge: 14
#3 hey vielen Dank für die schnelle und effiziente Hilfe.
Das Symbol in der Taskleiste ist verschwunden aber die Geschwindigkeit meines Computers ist immer noch sehr niedrig. Beim booten und vor allem wenn ich den Benutzer anmelde und er die Benutzereinstellungen, den Desktop und die Taskleiste laden muss, ist er noch sehr langsam...


Weiss nicht ob sie es brauchen aber trotzdem hier der Report vom Anvenger:


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qgwyyibm

*******************

Script file located at: \??\C:\WINDOWS\system32\nndabees.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FWSvc not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FWSvc failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FWSvc
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FWSvc not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FWSvc failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FWSvc
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FWSvc not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FWSvc failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FWSvc
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FWSvc not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FWSvc failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FWSvc
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FWSVC not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FWSVC failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FWSVC
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_FWSVC not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_FWSVC failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_FWSVC
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FWSVC not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FWSVC failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FWSVC
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWSVC not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWSVC failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWSVC
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FOPN not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FOPN failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FOPN
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FOPN not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FOPN failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FOPN
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FOPN not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FOPN failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FOPN
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN
Status: 0xc0000034

File C:\WINDOWS\system32\SpOrder.dll deleted successfully.
File C:\WINDOWS\system32\stera.exe deleted successfully.
File C:\WINDOWS\system32\cthkpcv.dll deleted successfully.


File C:\WINDOWS\system32\fwsvc.sys not found!
Deletion of file C:\WINDOWS\system32\fwsvc.sys failed!

Could not process line:
C:\WINDOWS\system32\fwsvc.sys
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\vspf5.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\vspf5.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\vspf5.sys
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\vspf_hk5.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\vspf_hk5.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\vspf_hk5.sys
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\fopn.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\fopn.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\fopn.sys
Status: 0xc0000034



Folder C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006 not found!
Deletion of folder C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006 failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006
Status: 0xc0000034

Folder C:\Programme\Common Files\Companion Wizard deleted successfully.
Folder C:\WA6P deleted successfully.
Registry value HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|buprestidae deleted successfully.
Registry value HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{b59f3ba4-98da-4b5f-8a2d-7b56fb11140b} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b59f3ba4-98da-4b5f-8a2d-7b56fb11140b} deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
09.01.2007, 17:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 »»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html

»»
scanne mit ewido und poste hier den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.01.2007, 18:48
Member

Themenstarter

Beiträge: 14
#5 Hi.

Hier ist der Ewido Scan Report:




__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Advertising
Path: C:\Dokumente und Einstellungen\manuel\Cookies\manuel@advertising[1].txt
Risk: Medium

Name: TrackingCookie.Sextracker
Path: C:\Dokumente und Einstellungen\manuel\Cookies\manuel@counter4.sextracker[1].txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: C:\Dokumente und Einstellungen\manuel\Cookies\manuel@ivwbox[2].txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: C:\Dokumente und Einstellungen\manuel\Cookies\manuel@mediaplex[1].txt
Risk: Medium

Name: TrackingCookie.Oewabox
Path: C:\Dokumente und Einstellungen\manuel\Cookies\manuel@oewabox[1].txt
Risk: Medium

Name: TrackingCookie.Sextracker
Path: C:\Dokumente und Einstellungen\manuel\Cookies\manuel@sextracker[2].txt
Risk: Medium

Name: Adware.Generic
Path: HKU\S-1-5-21-38626728-1054380334-2461487131-1009\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5929CD6E-2062-44A4-B2C5-2C7E78FBAB38}
Risk: Medium

Name: TrackingCookie.Adition
Path: C:\Dokumente und Einstellungen\manuel\elena\Cookies\elena@ad.adition[1].txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: C:\Dokumente und Einstellungen\manuel\elena\Cookies\elena@ivwbox[1].txt
Risk: Medium

Name: TrackingCookie.Oewabox
Path: C:\Dokumente und Einstellungen\manuel\elena\Cookies\elena@oewabox[1].txt
Risk: Medium

Name: TrackingCookie.Paypopup
Path: C:\Dokumente und Einstellungen\manuel\elena\Cookies\elena@paypopup[2].txt
Risk: Medium

Name: Downloader.IstBar.ai
Path: C:\Dokumente und Einstellungen\manuel\elena\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G4TFI1M5\popup[2].htm
Risk: High

Name: Adware.Trymedia
Path: C:\Downloads\DigitalHazardSetup-dm[1].exe
Risk: Medium

Name: Adware.BHO
Path: C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
Risk: Medium

Name: Adware.SpyMarshal
Path: C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP303\A0107475.dll
Risk: Medium

Name: Adware.SpyMarshal
Path: C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP303\A0107476.dll
Risk: Medium

Name: Adware.SpyMarshal
Path: C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP303\A0107477.dll
Risk: Medium

Name: Adware.SpyMarshal
Path: C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP303\A0107478.dll
Risk: Medium

Name: Downloader.Zlob.biu
Path: C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP307\A0107576.exe
Risk: High

Name: Downloader.Zlob.bfj
Path: C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP307\A0107577.exe
Risk: High

Name: Downloader.Zlob.biu
Path: C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP307\A0108551.dll
Risk: High

Name: Adware.WinAntiVirus
Path: C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP308\A0111562.exe
Risk: Medium

Name: Adware.WinAntiVirus
Path: C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP308\A0111568.dll
Risk: Medium

Name: Adware.WinAntiVirus
Path: C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP308\A0111569.exe
Risk: Medium

Name: Adware.WinAntiVirus
Path: C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP308\A0111622.dll
Risk: Medium

Name: Adware.WinAntiVirus
Path: C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP308\A0111623.sys
Risk: Medium

Name: Adware.WinAntiVirus
Path: C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP308\A0111624.exe
Risk: Medium

Name: Adware.WinAntiVirus
Path: C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP308\A0111625.exe
Risk: Medium

Name: Adware.WinAntiVirus
Path: C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP308\A0111629.dll
Risk: Medium

Name: Adware.WinAntiVirus
Path: C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP308\A0111630.exe
Risk: Medium

Name: Adware.WinAntiVirus
Path: C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP308\A0111634.dll
Risk: Medium

Name: Adware.WinAntiVirus
Path: C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP308\A0111639.dll
Risk: Medium

Name: Adware.WinAntiVirus
Path: C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP308\A0111644.dll
Risk: Medium

Name: Adware.WinAntiVirus
Path: C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP308\A0111645.dll
Risk: Medium

Name: Adware.WinAntiVirus
Path: C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP308\A0111647.dll
Risk: Medium

Name: Not-A-Virus.Downloader.Win32.WinFixer.o
Path: C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP309\A0111987.exe
Risk: Low

Name: Adware.WinAntiVirus
Path: C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP309\A0111988.sys
Risk: Medium

Name: Adware.WinAntiVirus
Path: C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP309\A0111989.sys
Risk: Medium

Name: Adware.WinAntiVirus
Path: C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP309\A0111990.sys
Risk: Medium

Name: Adware.Companion
Path: C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP311\A0113666.dll
Risk: Medium

Name: Adware.WorldSecurityOnline
Path: C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP311\A0113667.dll
Risk: Medium

Name: Adware.WinAntiVirus
Path: C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP311\A0113669.exe
Risk: Medium

Name: Adware.WinAntiVirus
Path: C:\WINDOWS\system32\av.cpl
Risk: Medium
Seitenanfang Seitenende
09.01.2007, 23:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 PartyGandalf

1.
Avenger
kopiere rein

Zitat

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}

registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}

Files to delete:
C:\Downloads\DigitalHazardSetup-dm[1].exe
C:\WINDOWS\system32\av.cpl

Folders to delete:
C:\Programme\Macrogaming
C:\Dokumente und Einstellungen\manuel\elena\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G4TFI1M5
2.
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

3.
Cleanup anwenden
http://virus-protect.org/cleanup.html

4.
scanne noch mal mit ewido - lasse alles noch gefundene loeschen ;)

5.
scanne mit Panda und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.01.2007, 18:55
Member

Themenstarter

Beiträge: 14
#7 Hier der neue Report vom Avenger:


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mcfjfanc

*******************

Script file located at: \??\C:\tmqvvhxk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\Downloads\DigitalHazardSetup-dm[1].exe not found!
Deletion of file C:\Downloads\DigitalHazardSetup-dm[1].exe failed!

Could not process line:
C:\Downloads\DigitalHazardSetup-dm[1].exe
Status: 0xc0000034



File C:\WINDOWS\system32\av.cpl not found!
Deletion of file C:\WINDOWS\system32\av.cpl failed!

Could not process line:
C:\WINDOWS\system32\av.cpl
Status: 0xc0000034

Folder C:\Programme\Macrogaming deleted successfully.
Folder C:\Dokumente und Einstellungen\manuel\elena\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G4TFI1M5 deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} deleted successfully.
Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
10.01.2007, 20:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 ««
scanne noch mal mit ewido - lasse alles noch gefundene loeschen

««
scanne mit Panda und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.01.2007, 16:23
Member

Themenstarter

Beiträge: 14
#9 hi als ich versucht habe mit panda zu scannen kam folgende fehlermeldung:
auußerdem hat mein virenprogram(avast) einen virus entdeckt kurz nachdem ich es probiert habe in genau dem ordner wo das programm hinkopiert wurde...:


Error on downloading ActiveScanAn

error has occurred downloading Panda ActiveScan. Please repeat the process. If the error occurs again, restart your system and try againPossible causes of this error are:

Not allowing the application's ActiveX control to be downloaded.

Problems with the Internet connection.

The error could be due to a download error or an installation error due to lack of hard disk space, privileges etc.,...
Seitenanfang Seitenende
12.01.2007, 10:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 es gibt immer mal probleme mit dem ActiveX vom panda - es ist aber kein Virus (!!)
http://virus-protect.org/panda_online.html

»»
scanne
a-squared Web Malware Scanner
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.01.2007, 16:45
Member

Themenstarter

Beiträge: 14
#11 Immer wenn ich erneut versuche mit Panda zu scannen kommt die meldung die ich vorhin bereits eingefügt habe und wenn ich auf erneut versuchen klicke kommt die gleiche meldung nochmals. ich scanne jetzt erst einmal mit a-squared web malware...
keine ahnung wie ich panda zum laufen bekomme...
Seitenanfang Seitenende
12.01.2007, 16:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 scanne mit Trend Micro Anti-Spyware for the Web
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.01.2007, 14:28
Member

Themenstarter

Beiträge: 14
#13 Hi Sabina

Habe jetz mit Trend Micro Anti-Spyware for the Web
gescannt.


Ich habe noch ein grundsätzliches Problem: nämlich die Geschwindigkeit meines Computers

Bevor ich meinen Computer mit deinen Programmen von oben bis unten durchgescannt habe, hat er schon langsam gebootet. Jetzt is zwar des Symbol in der Taskleiste weg aber er bootet noch langsamer.

Ich will dich nicht allzu sehr belasten aber es wäre echt super wenn du mir helfen könntest,...

lg PartyGandalf
Seitenanfang Seitenende
16.01.2007, 14:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Tuneup
http://virus-protect.org/reinigungstoolsregistry.html
wende NUR an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner

dann neustarten + berichte ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.01.2007, 15:42
Member

Themenstarter

Beiträge: 14
#15 Hi Sabine

Habe jetzt mit den zwei Programmen gescannt und probleme beheben lassen. Dann neu gestartet--> habe jedoch bei der Geschwindigkeit und beim booten keine wirkliche Veränderung vernehmen können.

Windows XP:

Hier noch einmal eine detailierte auflistung meiner Probleme.
Wenn ich den PC einschalte kommt als erstes der Bildschirm mit dem Windows-Logo, schwarzem Hintergrund und darunter einer Leiste in der ein blauer Balken von links nach rechts läuft. Dieser läuft nicht flüssig sondern stockend außerdem braucht es mindestens ein bis zwei minuten ( nach Gefühl) bis der nächste Bildschirm angezeigt wird.

Das ist dann der bei dem die verschiedenen Benutzer mit jeweiligem Bild aufgelistet sind. Bevor ich jedoch einen anklicken kann um mein Passwort einzugeben braucht er auch noch ein schönes stückchen zeit.

Wenn das Passwort endlich eingegeben ist dauert es lange bis der Desktop erscheint.
Und noch länger dauert es bis die Taskleiste am unteren Rand und vor allem die einzelnen Symbole geladen sind.

Ich schätze bis ich irgendeine Aktion durchführen kann dauert es vom Einschalten an son an die 5 minuten.

Ich hoffe das du da irge´ndwas rauslesen kannst und mir behilflich sein kannst,...

lg PartyGandalf
Seitenanfang Seitenende