System Alert auch bei mir... suche nach Rat!

#1 Hallo!

Ich habe das selbe Problem wie viele Andere, und zwar System Alert.
Ich hoffe, ihr koennt mir helfen!!!

Hier mein HijackThis Log!

Logfile of HijackThis v1.99.1
Scan saved at 16:24:50, on 27.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Video ActiveX Object\isamonitor.exe
C:\Programme\Video ActiveX Object\pmsngr.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\Video ActiveX Object\pmmon.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\USB Disk Win98 Driver\Res.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Video ActiveX Object\isamini.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.gmx.net/home
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - C:\Programme\Video ActiveX Object\isaddon.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Protection Bar - {84938242-5C5B-4A55-B6B9-A1507543B418} - C:\Programme\Video ActiveX Object\iesplugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [UniUploader] C:\Programme\UniUploader\UniUploader.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Programme\USB Disk Win98 Driver\Res.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BLASC] "C:\Programme\World of Warcraft\BLASC\BLASC.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://go.gmx.net/home
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125645135121
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: hirtellous - {fa19bd7e-50bc-4203-80ac-c4edc81ca9a3} - C:\WINDOWS\system32\nbbrhbd.dll
O23 - Service: GMX Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Firewall service (FWSvc) - Unknown owner - C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ich hoffe, bis hier hin hab ich alles richtig gemacht...

Schoenen Gruss!

#2 SweetLou

1.
scanne option 1 und 2 mit smitfraudfix
http://virus-protect.org/artikel/tools/smitfrautfix.html

poste hier beide scanreporte + das neue log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Option 1:

SmitFraudFix v2.137

Scan done at 12:37:25,21, 28.01.2007
Run from C:\Dokumente und Einstellungen\Admin\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Admin


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Admin\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Admin\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


==================================

Option 2:

SmitFraudFix v2.137

Scan done at 12:29:29,76, 28.01.2007
Run from C:\Dokumente und Einstellungen\Admin\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

Problem while deleting C:\Programme\Video ActiveX Object\

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Reboot

C:\Programme\Video ActiveX Object Deleted


»»»»»»»»»»»»»»»»»»»»»»»» End

===========================

Neuer HijackThis-report:

Logfile of HijackThis v1.99.1
Scan saved at 12:35:40, on 28.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\NOTEPAD.EXE
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\USB Disk Win98 Driver\Res.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [UniUploader] C:\Programme\UniUploader\UniUploader.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Programme\USB Disk Win98 Driver\Res.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BLASC] "C:\Programme\World of Warcraft\BLASC\BLASC.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://go.gmx.net/home
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125645135121
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: GMX Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Firewall service (FWSvc) - Unknown owner - C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

#4 SweetLou

WinAntiVirus Pro 2006 ist noch auf dem Rechner - dass ist ein Faketool, was Trojaner und viren auf den Rechner bringt

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#5 Und da ist er:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30E8-08BD

Verzeichnis von C:\WINDOWS\Downloaded Program Files

25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
16.06.2004 05:02 323.584 isusweb.dll
03.11.2005 20:24 495 LegitCheckControl.inf
20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd
19.12.2003 16:02 126.976 popcaploader.dll
19.12.2003 14:43 241 popcaploader.inf
22.06.2006 10:41 5.032 swflash.inf
26.05.2005 03:19 291 wuweb.inf
9 Datei(en) 678.965 Bytes
0 Verzeichnis(se), 59.914.727.424 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30E8-08BD

Verzeichnis von C:\Programme\Common Files

02.10.2006 23:55 <DIR> .
02.10.2006 23:55 <DIR> ..
02.10.2006 23:55 <DIR> Companion Wizard
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 59.914.723.328 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30E8-08BD

Verzeichnis von C:\Program Files

23.08.2006 13:18 <DIR> .
23.08.2006 13:18 <DIR> ..
23.08.2006 13:18 <DIR> ICQLite
07.07.2006 15:45 <DIR> Treveris
0 Datei(en) 0 Bytes
4 Verzeichnis(se), 59.914.723.328 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30E8-08BD

Verzeichnis von C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5

28.01.2007 15:10 475.136 index.dat
1 Datei(en) 475.136 Bytes
0 Verzeichnis(se), 59.914.723.328 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30E8-08BD

Verzeichnis von C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp

28.01.2007 15:01 <DIR> .
28.01.2007 15:01 <DIR> ..
27.01.2007 16:20 <DIR> Google Toolbar
28.01.2007 12:39 173 jusched.log
28.01.2007 15:00 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}9627.html
28.01.2007 15:01 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}3539.html
28.01.2007 12:34 <DIR> WPDNSE
28.01.2007 12:30 16.384 ~DF9737.tmp
28.01.2007 12:41 16.384 ~DFDCDD.tmp
28.01.2007 12:41 512 ~DFDCEA.tmp
28.01.2007 12:41 16.384 ~DFE6EA.tmp
7 Datei(en) 51.798 Bytes
4 Verzeichnis(se), 59.914.723.328 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30E8-08BD

Verzeichnis von C:\WINDOWS\Temp

28.01.2007 15:07 <DIR> .
28.01.2007 15:07 <DIR> ..
28.01.2007 12:33 255 WGAErrLog.txt
28.01.2007 12:33 409 WGANotify.settings
2 Datei(en) 664 Bytes
2 Verzeichnis(se), 59.914.723.328 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30E8-08BD

Verzeichnis von C:\Temp

27.01.2007 08:52 <DIR> .
27.01.2007 08:52 <DIR> ..
27.01.2007 08:55 1.821.098 WMALog.txt
1 Datei(en) 1.821.098 Bytes
2 Verzeichnis(se), 59.914.723.328 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30E8-08BD

Verzeichnis von C:\Programme

28.01.2007 12:33 <DIR> .
28.01.2007 12:33 <DIR> ..
05.09.2005 16:17 <DIR> Adobe
02.09.2005 08:30 <DIR> Ahead
01.09.2005 17:00 <DIR> AMD
07.12.2006 13:56 <DIR> AVPersonal
01.09.2005 17:00 <DIR> AvRack
12.11.2005 11:50 <DIR> BearShare
22.12.2006 11:07 <DIR> Bluefish Games
27.01.2007 15:38 <DIR> CleanUp!
02.10.2006 23:55 <DIR> Common Files
01.09.2005 16:31 <DIR> ComPlus Applications
21.10.2005 15:56 <DIR> Creative
02.09.2005 08:31 <DIR> CyberLink
26.04.2006 17:05 <DIR> DNA Digital Media Group
06.09.2005 14:07 <DIR> EA GAMES
20.10.2006 23:17 <DIR> Enigma Software Group
25.12.2005 11:04 <DIR> Firaxis Games
31.12.2005 14:03 <DIR> Firefly Studios
31.12.2005 14:06 <DIR> GameSpy Arcade
12.01.2007 16:08 <DIR> Gemeinsame Dateien
11.01.2006 15:40 <DIR> GEONExT
06.10.2006 17:45 <DIR> GiPo@Utilities
28.01.2007 12:14 <DIR> Google
20.10.2006 19:20 <DIR> Gothic III
06.01.2007 00:05 <DIR> ICQLite
05.12.2005 15:29 <DIR> ICQToolbar
11.01.2007 20:01 <DIR> Internet Explorer
24.01.2007 15:30 <DIR> Java
15.01.2006 00:21 <DIR> JoWood
24.12.2005 19:22 <DIR> Lionhead Studios
27.03.2006 14:23 <DIR> Logitech
21.10.2005 13:04 <DIR> LucasArts
02.09.2005 08:41 <DIR> MadOnion.com
01.09.2005 17:21 <DIR> Messenger
01.09.2005 16:33 <DIR> microsoft frontpage
05.09.2005 16:10 <DIR> Microsoft Office
05.09.2005 16:10 <DIR> Microsoft Visual Studio
05.09.2005 16:10 <DIR> Microsoft Works
03.09.2006 19:23 <DIR> Movie Maker
01.09.2005 16:30 <DIR> MSN
01.09.2005 16:30 <DIR> MSN Gaming Zone
13.01.2007 01:41 <DIR> MSXML 4.0
13.01.2007 12:59 <DIR> NAMCO BANDAI Games
01.09.2005 16:31 <DIR> NetMeeting
01.09.2005 16:30 <DIR> Online Services
01.09.2005 16:32 <DIR> Online-Dienste
16.12.2006 11:03 <DIR> Outlook Express
30.09.2005 13:26 <DIR> PiranhaBytes
01.09.2005 17:00 <DIR> Realtek Sound Manager
27.01.2007 15:20 <DIR> Roguescanfix
18.04.2006 14:51 <DIR> SpellForce
08.12.2005 19:35 <DIR> Teamspeak2_RC2
31.10.2005 08:14 <DIR> THQ
14.01.2007 20:54 <DIR> UniUploader
25.12.2006 18:39 <DIR> USB Disk Win98 Driver
03.10.2006 02:32 <DIR> WinAntiVirus Pro 2006
03.01.2007 14:19 <DIR> Windows Media Connect 2
03.01.2007 14:46 <DIR> Windows Media Player
01.09.2005 16:30 <DIR> Windows NT
02.09.2005 08:40 <DIR> WinRAR
01.09.2005 16:33 <DIR> xerox
02.09.2005 08:08 <DIR> Zone Labs
0 Datei(en) 0 Bytes
63 Verzeichnis(se), 59.914.719.232 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30E8-08BD

Verzeichnis von C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten

26.02.2006 11:46 <DIR> Adobe
01.03.2006 16:54 <DIR> Ahead
14.01.2007 15:16 <DIR> ApplicationHistory
02.01.2007 13:03 36.352 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
13.01.2007 13:34 138 fusioncache.dat
15.01.2007 14:27 23.920 GDIPFONTCACHEV1.DAT
17.09.2006 02:08 <DIR> Google
29.09.2005 19:30 <DIR> Help
28.01.2007 12:41 <DIR> Microsoft
13.01.2007 14:18 <DIR> Warhammer Mark of Chaos
02.01.2007 13:59 <DIR> WMTools Downloaded Files
3 Datei(en) 60.410 Bytes
8 Verzeichnis(se), 59.914.719.232 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30E8-08BD

Verzeichnis von C:\Dokumente und Einstellungen\Admin\Anwendungsdaten

09.08.2006 11:03 <DIR> Adobe
12.01.2007 15:59 <DIR> AdobeUM
21.12.2005 14:03 <DIR> Ahead
25.12.2005 21:33 <DIR> CyberLink
17.09.2006 02:09 <DIR> Google
29.09.2005 19:30 <DIR> Help
11.10.2005 16:26 <DIR> ICQLite
01.09.2005 16:54 <DIR> Identities
13.01.2007 12:59 <DIR> InstallShield
27.03.2006 15:21 <DIR> Logitech
27.09.2005 18:45 <DIR> Macromedia
25.09.2005 11:58 <DIR> Meine Die Schlacht um Mittelerde-Dateien
19.01.2006 19:58 <DIR> My Games
03.12.2005 20:33 <DIR> Sun
24.01.2007 18:13 <DIR> teamspeak2
23.08.2006 14:52 <DIR> TuneUp Software
02.10.2006 23:56 <DIR> WinAntiVirus Pro 2006
02.10.2006 23:52 91.856 winantiviruspro2006freeinstall_de[1].exe
19.10.2006 18:48 <DIR> Xfire
1 Datei(en) 91.856 Bytes
18 Verzeichnis(se), 59.914.715.136 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30E8-08BD

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

12.01.2007 16:08 <DIR> Adobe
02.09.2005 08:19 <DIR> Ahead
02.09.2005 08:32 <DIR> CyberLink
11.01.2007 20:08 <DIR> GMX
16.09.2006 16:32 <DIR> Google
20.10.2006 19:21 <DIR> InstallShield
12.10.2005 16:48 <DIR> nView_Profiles
18.10.2005 15:03 <DIR> PopCap
02.01.2007 12:56 <DIR> TEMP
23.08.2006 14:56 <DIR> TuneUp Software
02.10.2006 23:54 <DIR> WinAntiVirus Pro 2006
02.09.2005 08:14 <DIR> Windows Genuine Advantage
0 Datei(en) 0 Bytes
12 Verzeichnis(se), 59.914.715.136 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30E8-08BD

Verzeichnis von C:\Programme\Gemeinsame Dateien

12.01.2007 16:08 <DIR> .
12.01.2007 16:08 <DIR> ..
12.01.2007 16:08 <DIR> Adobe
02.09.2005 08:17 <DIR> Ahead
26.01.2007 12:35 <DIR> Blizzard Entertainment
05.09.2005 16:11 <DIR> DESIGNER
01.09.2005 16:31 <DIR> Dienste
06.10.2006 17:45 <DIR> Gibinsoft Shared
20.10.2006 19:20 <DIR> InstallShield
23.11.2005 18:24 <DIR> Java
27.03.2006 14:23 <DIR> Logitech
19.10.2006 18:47 <DIR> Microsoft Shared
01.09.2005 16:31 <DIR> MSSoap
02.09.2005 08:18 <DIR> Nero
01.09.2005 17:23 <DIR> ODBC
01.09.2005 17:23 <DIR> SpeechEngines
16.12.2006 11:03 <DIR> System
02.10.2006 23:53 <DIR> WinAntiVirus Pro 2006
0 Datei(en) 0 Bytes
18 Verzeichnis(se), 59.914.715.136 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30E8-08BD

Verzeichnis von C:\Windows\tasks

19.01.2007 17:15 396 1-Klick-Wartung.job
1 Datei(en) 396 Bytes
0 Verzeichnis(se), 59.914.715.136 Bytes frei

#6 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\WinAV.exe
HKEY_LOCAL_MACHINE\SOFTWARE\WinAntiVirus Pro 2006
HKEY_LOCAL_MACHINE\SOFTWARE\WinSoftware
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WA6P_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UDC6U_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Purchased Products\WinAntiVirus Pro 2006
HKEY_LOCAL_MACHINE\SOFTWARE\SupportUninstall\WinAntiVirus Pro 2006
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{723D54C7-7483-4EB8-8EED-CE5B2AEA534D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1AC5C88A-DEA7-462b-A232-04AF5CA42E7E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2178F3FB-2560-458f-BDEE-631E2FE0DFE4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B2A3156E-3332-4b47-AF5A-5B121503514F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B646F5E2-0A48-421d-AC91-F96C92BFC17A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E69F0D6A-1C69-4A04-8709-5EAC2019D9BE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B5141620-C2B2-4d95-9F0F-134D99C87AB0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0903FECD-7F7A-4790-A819-A3CE08416732}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85C99188-BEFD-4c61-A54B-5D7CB0204C1E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B32FE740-8B67-409A-BCA8-3297263C354E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{1234890A-5E6E-4867-8136-CA6F1456B235}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{732B6533-7F78-4C47-9C01-2979BA0829B9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{FC0B8EB8-AE24-4FD6-B479-E2B464F32DA6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{367A86A5-D048-4785-86BE-4E2706AAFDD9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2BC32EF8-BB73-4099-BB2E-0F2951B3E276}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FWSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FWSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FWSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FWSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FWSVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_FWSVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FWSVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWSVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FOPN
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FOPN
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FOPN
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\WAVAutoPlay

Files to delete:
C:\WINDOWS\system32\nbbrhbd.dll
C:\WINDOWS\system32\av.cpl
C:\WINDOWS\system32\stera.log
C:\WINDOWS\system32\stera.exe
C:\WINDOWS\system32\stera.job
C:\WINDOWS\system32\atl71.dll
C:\WINDOWS\system32\SpOrder.dll
C:\WINDOWS\system32\drivers\uwasfsd.sys
C:\WINDOWS\system32\fwsvc.sys
C:\WINDOWS\system32\drivers\vspf5.sys
C:\WINDOWS\system32\drivers\vspf_hk5.sys
C:\WINDOWS\system32\drivers\fopn.sys
C:\Dokumente und Einstellungen\%Username%\fopn.sys
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\winantiviruspro2006freeinstall_de[1].exe

Folders to delete:
C:\WA6P
C:\Programme\WinAntiVirus Pro 2006
C:\Programme\Common Files\Companion Wizard
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\WinAntiVirus Pro 2006
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006
C:\Dokumente und Einstellungen\%Username%\Startmenü\Programme\WinAntiVirus Pro 2006
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WinAntiVirus Pro 2006

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
poste das log vom avenger, was nach neustart erscheint
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\aywttoeu

*******************

Script file located at: \??\C:\WINDOWS\cvmhccix.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FWSvc deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FWSvc deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FWSVC deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_FWSVC deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FOPN deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FOPN deleted successfully.

File C:\WINDOWS\system32\stera.job deleted successfully.
File C:\WINDOWS\system32\atl71.dll deleted successfully.
File C:\WINDOWS\system32\SpOrder.dll deleted successfully.

File C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\winantiviruspro2006freeinstall_de[1].exe deleted successfully.

Folder C:\Programme\WinAntiVirus Pro 2006 deleted successfully.
Folder C:\Programme\Common Files\Companion Wizard deleted successfully.
Folder C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\WinAntiVirus Pro 2006 deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B2A3156E-3332-4b47-AF5A-5B121503514F} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{1234890A-5E6E-4867-8136-CA6F1456B235} deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

#8 SweetLou

SDFix.zip entpacken
http://virus-protect.org/artikel/tools/sdfix.html
es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag
__________
MfG Sabina

rund um die PC-Sicherheit

#9 SDFix: Version 1.63

28.01.2007 - 17:23:00,45

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:

Path:


Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\WINDOWS\system32\NeroCheck.exe - Deleted



ADS Check:

C:\WINDOWS\system32
No streams found.

Final Check:

Remaining Services:
------------------


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Dokumente und Einstellungen\\Admin\\Eigene Dateien\\World of Warcraft\\Launcher.exe"="C:\\Dokumente und Einstellungen\\Admin\\Eigene Dateien\\World of Warcraft\\Launcher.exe:*:Enabled:World of Warcraft"
"C:\\Programme\\WinAntiVirus Pro 2006\\Updater.exe"="C:\\Programme\\WinAntiVirus Pro 2006\\Updater.exe:*:Enabled:updater.exe"
"C:\\Programme\\Teamspeak2_RC2\\TeamSpeak.exe"="C:\\Programme\\Teamspeak2_RC2\\TeamSpeak.exe:*:Enabled:Teamspeak RC2"
"C:\\Programme\\UniUploader\\UniUploader.exe"="C:\\Programme\\UniUploader\\UniUploader.exe:*:Enabled:UniUploader"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:Eine DLL-Datei als Anwendung ausführen"
"C:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat"="C:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat:*:Enabledie Schlacht um Mittelerde (tm)"
"C:\\Dokumente und Einstellungen\\Admin\\Eigene Dateien\\cSTRIKE\\Cstrike 1.6\\Counterstrike 1.6.exe"="C:\\Dokumente und Einstellungen\\Admin\\Eigene Dateien\\cSTRIKE\\Cstrike 1.6\\Counterstrike 1.6.exe:*:Enabled:Half-Life Launcher"
"C:\\Dokumente und Einstellungen\\Admin\\Desktop\\cSTRIKE\\Cstrike 1.6\\Counterstrike 1.6.exe"="C:\\Dokumente und Einstellungen\\Admin\\Desktop\\cSTRIKE\\Cstrike 1.6\\Counterstrike 1.6.exe:*:Enabled:Half-Life Launcher"
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\NTDETECT.COM
C:\WINDOWS\system32\cdplayer.exe.manifest
C:\WINDOWS\system32\logonui.exe.manifest
C:\IO.SYS
C:\MSDOS.SYS
C:\pagefile.sys
C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp

Finished

#10 Avenger - kopiere rein

Zitat

Registry values to delete:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\Programme\WinAntiVirus Pro 2006\Updater.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\system32\rundll32.exe

»»
scanne und poste den scanreport
http://virus-protect.org/panda_online.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\wphoucue

*******************

Script file located at: \??\C:\Program Files\exxgxjxj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry value HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\Programme\WinAntiVirus Pro 2006\Updater.exe deleted successfully.
Registry value HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\system32\rundll32.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

#12 scanne und poste den scanreport
http://virus-protect.org/panda_online.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Incident Status Location

Potentially unwanted tool:application/winantivirus2006 Not disinfected c:\dokumente und einstellungen\all users\anwendungsdaten\WinAntiVirus Pro 2006
Adware:adware/whenusearch Not disinfected Windows Registry
Adware:adware/savenow Not disinfected Windows Registry
Potentially unwanted tool:Application/Winantivirus2006 Not disinfected C:\avenger\backup-28.01.2007-20.17.17,73.zip[avenger/Companion Wizard/WapCHK.dll]
Potentially unwanted tool:Application/Winantivirus2006 Not disinfected C:\avenger\backup-28.01.2007-20.17.17,73.zip[avenger/WinAntiVirus Pro 2006/winpgi.dll]
Potentially unwanted tool:Application/Winantivirus2006 Not disinfected C:\avenger\backup-28.01.2007-20.17.17,73.zip[avenger/winantiviruspro2006freeinstall_de[1].exe]
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@2o7[2].txt
Spyware:Cookie/888 Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@888[1].txt
Spyware:Cookie/888 Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@888[2].txt
Spyware:Cookie/YieldManager Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@ad.yieldmanager[2].txt
Spyware:Cookie/PointRoll Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@ads.pointroll[2].txt
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@adtech[2].txt
Spyware:Cookie/Adverserve Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@adverserve[1].txt
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@advertising[1].txt
Spyware:Cookie/Apmebf Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@apmebf[2].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@as-eu.falkag[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@as1.falkag[1].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@atdmt[2].txt
Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@atwola[1].txt
Spyware:Cookie/Belnk Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@belnk[1].txt
Spyware:Cookie/Bfast Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@bfast[1].txt
Spyware:Cookie/Bluestreak Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@bluestreak[1].txt
Spyware:Cookie/Serving-sys Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@bs.serving-sys[1].txt
Spyware:Cookie/BurstNet Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@burstnet[1].txt
Spyware:Cookie/Casalemedia Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@casalemedia[2].txt
Spyware:Cookie/Cassava Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@cassava[1].txt
Spyware:Cookie/Ccbill Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@ccbill[1].txt
Spyware:Cookie/CentrPort Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@centrport[1].txt
Spyware:Cookie/Cgi-bin Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@cgi-bin[1].txt
Spyware:Cookie/Clickbank Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@clickbank[1].txt
Spyware:Cookie/Com.com Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@com[2].txt
Spyware:Cookie/Sextracker Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@counter1.sextracker[1].txt
Spyware:Cookie/Sextracker Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@counter14.sextracker[1].txt
Spyware:Cookie/Sextracker Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@counter2.sextracker[1].txt
Spyware:Cookie/Sextracker Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@counter3.sextracker[1].txt
Spyware:Cookie/Sextracker Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@counter8.sextracker[1].txt
Spyware:Cookie/Sextracker Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@counter9.sextracker[1].txt
Spyware:Cookie/cs.sexcounter Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@cs.sexcounter[2].txt
Spyware:Cookie/Belnk Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@dist.belnk[2].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@doubleclick[1].txt
Spyware:Cookie/DriveCleaner Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@drivecleaner[1].txt
Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@ehg-idg.hitbox[1].txt
Spyware:Cookie/ErrorSafe Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@errorsafe[2].txt
Spyware:Cookie/FastClick Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@fastclick[2].txt
Spyware:Cookie/fe.lea.lycos Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@fe.lea.lycos[1].txt
Spyware:Cookie/Go Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@go[1].txt
Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@hitbox[2].txt
Spyware:Cookie/DomainSponsor Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@landing.domainsponsor[2].txt
Spyware:Cookie/Malwarewipe Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@malwarewipe[2].txt
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@mediaplex[1].txt
Spyware:Cookie/MetriWeb Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@metriweb[1].txt
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@microsofteup.112.2o7[2].txt
Spyware:Cookie/Overture Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@overture[2].txt
Spyware:Cookie/PayCounter Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@paycounter[1].txt
Spyware:Cookie/Overture Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@perf.overture[1].txt
Spyware:Cookie/QkSrv Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@qksrv[2].txt
Spyware:Cookie/QuestionMarket Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@questionmarket[1].txt
Spyware:Cookie/RealMedia Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@realmedia[1].txt
Spyware:Cookie/Rn11 Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@rn11[2].txt
Spyware:Cookie/Server.iad.Liveperson Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@server.iad.liveperson[1].txt
Spyware:Cookie/Serving-sys Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@serving-sys[1].txt
Spyware:Cookie/Sextracker Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@sextracker[1].txt
Spyware:Cookie/Statcounter Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@statcounter[2].txt
Spyware:Cookie/Reliablestats Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@stats1.reliablestats[1].txt
Spyware:Cookie/WebtrendsLive Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@statse.webtrendslive[1].txt
Spyware:Cookie/Systemdoctor Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@systemdoctor[1].txt
Spyware:Cookie/Tickle Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@tickle[2].txt
Spyware:Cookie/Toplist Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@toplist[1].txt
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@tradedoubler[2].txt
Spyware:Cookie/Tribalfusion Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@tribalfusion[1].txt
Spyware:Cookie/Valueclick Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@valueclick[1].txt
Spyware:Cookie/Weborama Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@weborama[1].txt
Spyware:Cookie/Winantivirus Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@winantivirus[1].txt
Spyware:Cookie/BurstBeacon Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@www.burstbeacon[1].txt
Spyware:Cookie/DriveCleaner Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@www.drivecleaner[2].txt
Spyware:Cookie/ErrorSafe Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@www.errorsafe[2].txt
Spyware:Cookie/Systemdoctor Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@www.systemdoctor[1].txt
Spyware:Cookie/VirusBurst Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@www.virusburst[1].txt
Spyware:Cookie/Winantivirus Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@www.winantivirus[1].txt
Spyware:Cookie/Seeq Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@www48.seeq[1].txt
Spyware:Cookie/Xiti Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@xiti[1].txt
Spyware:Cookie/XXXCounter Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@xxxcounter[2].txt
Spyware:Cookie/Yadro Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@yadro[2].txt
Spyware:Cookie/Adserver Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@z1.adserver[1].txt
Spyware:Cookie/Zedo Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@zedo[1].txt
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Admin\Desktop\AntiVirenZeuch\SDFix.exe[SDFix\apps\Process.exe]
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Admin\Desktop\AntiVirenZeuch\SDFix.zip[SDFix.exe][SDFix\apps\Process.exe]
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Admin\Desktop\AntiVirenZeuch\SmitfraudFix\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Admin\Desktop\AntiVirenZeuch\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Potentially unwanted tool:Application/Winantivirus2006 Not disinfected C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Eigene Videos\ErrorSafeFreeInstall_de.exe
Potentially unwanted tool:Application/VirusBurst Not disinfected C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Eigene Videos\vb_distrib.exe
Adware:Adware/SecurityError Not disinfected C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Eigene Videos\vidcodec.768.exe[²ÜÇ\isecur.dll]
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Admin\Eigene Dateien\SmitfraudFix\SmitfraudFix\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Admin\Eigene Dateien\SmitfraudFix\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Admin\Eigene Dateien\smitRem\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Admin\Eigene Dateien\smitRem.exe[smitRem/Process.exe]
Potentially unwanted tool:Application/Processor Not disinfected C:\SDFix\apps\Process.exe

#14 Avenger

Zitat

Files to delete:
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Eigene Videos\vb_distrib.exe
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Eigene Videos\vidcodec.768.exe
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Eigene Videos\ErrorSafeFreeInstall_de.exe

Folders to delete:
C:\Dokumente und Einstellungen\All Users\AnwendungsdatenWinAntiVirus Pro 2006

««
loesche dieses backup und das neue, was gerade erstellt wurde. +l leere den Papierkorb
C:\avenger\backup-28.01.2007-20.17.17,73.zip

««
scanne und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#15 ---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 19:12:32 30.01.2007

+ Scan-Ergebnis:



HKLM\SOFTWARE\Classes\WUSN.1 -> Adware.SaveNow : Ignoriert.
HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WhenUSave -> Adware.SaveNow : Ignoriert.
HKU\S-1-5-21-1004336348-1844823847-682003330-1004\Software\WhenU -> Adware.SaveNow : Ignoriert.
HKU\S-1-5-21-1004336348-1844823847-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2178F3FB-2560-458F-BDEE-631E2FE0DFE4} -> Adware.WinAntiVirus : Ignoriert.
C:\WINDOWS\Downloaded Program Files\popcaploader.dll -> Not-A-Virus.Downloader.Win32.PopCap.a : Ignoriert.
C:\avenger\backup-28.01.2007-20.17.17,73.zip/avenger/winantiviruspro2006freeinstall_de[1].exe -> Not-A-Virus.Downloader.Win32.WinFixer.o : Ignoriert.
C:\avenger\backup.zip/avenger/ErrorSafeFreeInstall_de.exe -> Not-A-Virus.Downloader.Win32.WinFixer.o : Ignoriert.
C:\Dokumente und Einstellungen\Admin\Cookies\admin@2o7[2].txt -> TrackingCookie.2o7 : Ignoriert.
C:\Dokumente und Einstellungen\Admin\Cookies\admin@hasenet.122.2o7[1].txt -> TrackingCookie.2o7 : Ignoriert.
C:\Dokumente und Einstellungen\Admin\Cookies\admin@microsofteup.112.2o7[2].txt -> TrackingCookie.2o7 : Ignoriert.
C:\Dokumente und Einstellungen\Admin\Cookies\admin@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Ignoriert.


::Berichtende