winload.exe - Trojaner nicht löschbar - AntiSpywareShield

#1 Hallo liebe Leute,
Ich habe mir auf meinem Windows Vista drei Trojaner eingefangen, die von meinem AntiSpywareShield erkannt, aber nicht gelöscht werden können. Alle drei sind als winload.exe getarnt. Das Security Center gibt mir sogar ziemlich genau an, wo diese liegen:

C:\Windows\System32\Boot\winload.exe
C:\Windows\System32\winload.exe
C:\Windows\winsxs\
x86_microsoft-windows-b..environment-windows_31bf3856ad364e35_6.0.6000.16386_none_6701d52e8fdf8d45\winload.exe

Manuell sind diese auch nicht zu entfernen. Ich habe viele Foren durchforstet, um eine Lösung zu finden, aber nicht gefunden. (Mittlerweile laufen schon einige Programme nicht mehr.)

KÖNNT IHR MIR WEITERHELFEN?



Ich habe bereits einen Hijack laufen lassen, habe aber keine Ahnung, wie ich fortfahren soll:

Logfile of HijackThis v1.99.1
Scan saved at 17:36:39, on 03.02.2008
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe
C:\Acer\Empowering Technology\eAudio\eAudio.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\FreePDF_XP\fpassist.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe
C:\Windows\ehome\ehtray.exe
C:\Users\VISTAU~1\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Program Files\Apoint2K\Apntex.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\AntiSpywareShield\AntiSpywareShield.exe
E:\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://search.bearshare.com/uk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://de.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://de.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker -
{EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) -
{22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program
Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection -
{53707962-6F74-2D53-2644-206D7942484F} -
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} -
C:\Windows\system32\ActiveToolBand.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper -
{AE7CD045-E861-484f-8273-0445EE161910} - C:\Program
Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO -
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program
Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Acer eDataSecurity Management -
{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} -
C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows
Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [ALaunch] C:\Acer\ALaunch\AlaunchClient.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering
Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [eAudio] "C:\Acer\Empowering Technology\eAudio\eAudio.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program
Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE
C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PLFSet] rundll32.exe C:\Windows\PLFSet.dll,PLFDefSetting
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Deluxe\Play
Movie\PMVService.exe"
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [SetPanel] C:\Acer\APanel\APanel.cmd
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common
Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program
Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG
Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe"
-atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat
8.0\Acrobat\Acrotray.exe"
O4 - HKCU\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [swg] C:\Program
Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [AntiSpywareShield] C:\Program
Files\AntiSpywareShield\AntiSpywareShield.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program
Files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Program Files\Google\Google
Updater\GoogleUpdater.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Program
Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF
konvertieren - res://C:\Program Files\Adobe\Acrobat
8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene
PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat
8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren -
res://C:\Program Files\Adobe\Acrobat
8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren -
res://C:\Program Files\Adobe\Acrobat
8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - c:\Program
Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program
Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren -
res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - c:\Program
Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren -
res://C:\Program Files\Adobe\Acrobat
8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei
konvertieren - res://C:\Program Files\Adobe\Acrobat
8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden -
{2670000A-7350-4f3c-8081-5663EE0C6C49} -
C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden -
{2670000A-7350-4f3c-8081-5663EE0C6C49} -
C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} -
C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 -
{CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program
Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 -
{CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program
Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration -
{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} -
C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -
C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} -
C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program
Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner -
C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common
Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program
Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program
Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown
owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe"
/h ccCommon (file missing)
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT -
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown
owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering
Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering
Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. -
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner -
C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program
Files\Common Files\Macrovision Shared\FLEXnet
Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program
Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation -
C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program
Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service
(LightScribeService) - Hewlett-Packard Company - C:\Program
Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility
Center\MobilityService.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown
owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner -
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer
Networking Ltd. - C:\Program Files\Spybot - Search &
Destroy\SDWinSec.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) -
Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering
Technology\ePower\ePowerSvc.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101
(WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media
Player\wmpnetwk.exe (file missing)
O23 - Service: XAudioService - Conexant Systems, Inc. -
C:\Windows\system32\DRIVERS\xaudio.exe

#2 1.
wende bitte tempfiles_bat an + poste den report
http://virus-protect.org/artikel/tools/tempfiles_bat.html

2.
wende combofix an + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#3 Hallo Pinguin,
1000 Dank für deine Antwort (Retter in der Not, seufz)

Folgende Ergebnisse bei tempfiles_bat und combofix:

tempfiles_bat

C:\Users\VISTAU~1\AppData\Local\Temp\AcDeltree.exe
C:\Users\VISTAU~1\AppData\Local\Temp\haspdinst_x64.exe
C:\Users\VISTAU~1\AppData\Local\Temp\RtkBtMnt.exe
C:\Users\VISTAU~1\AppData\Local\Temp\vxtjysdy.exe
C:\Users\VISTAU~1\AppData\Local\Temp\ycomp_setup.exe
C:\Users\VISTAU~1\AppData\Local\Temp\zu2nvq8b.exe
C:\Users\VISTAU~1\AppData\Local\Temp\IXP181.TMP\iTunesSetupAdmin.exe
C:\Users\VISTAU~1\AppData\Local\Temp\RarSFX0\basic\avadmin.exe
C:\Users\VISTAU~1\AppData\Local\Temp\RarSFX0\basic\avcenter.exe
C:\Users\VISTAU~1\AppData\Local\Temp\RarSFX0\basic\avconfig.exe
C:\Users\VISTAU~1\AppData\Local\Temp\RarSFX0\basic\avgnt.exe

Combofix


ComboFix 08-02.03.1 - VistaUser 2008-02-03 18:32:19.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1031.18.967 [GMT 1:00]
ausgeführt von:: C:\Users\VistaUser\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\DRV\TVtuner\Liteon\Resources\_desktop.ini
C:\ProgramData\Microsoft\Network\Downloader\qmgr0.dat
C:\ProgramData\Microsoft\Network\Downloader\qmgr1.dat

----- BITS: Possible infected sites -----

Code

hxxp://bublgum.net
hxxp://www.down

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-03 bis 2008-02-03 ))))))))))))))))))))))))))))))
.

2008-02-03 16:29 . 2008-02-03 16:29 107,640 --a------ C:\Windows\System32\GDIPFONTCACHEV1.DAT
2008-02-02 20:57 . 2008-02-03 16:36 <DIR> d-------- C:\Program Files\AntiSpywareShield
2008-02-02 18:54 . 2008-02-02 18:54 2 --a------ C:\942515358
2008-01-27 20:49 . 2008-01-27 20:49 <DIR> d-------- C:\Program Files\iTunes(399)
2008-01-27 20:49 . 2008-01-27 20:49 <DIR> d-------- C:\Program Files\iPod(398)
2008-01-27 20:48 . 2008-01-27 20:48 <DIR> d-------- C:\Program Files\QuickTime(409)
2008-01-27 18:41 . 2008-01-27 18:41 <DIR> d-------- C:\Program Files\Macromedia
2008-01-26 20:19 . 2008-01-26 20:19 <DIR> d-------- C:\Users\VistaUser\AppData\Roaming\LimeWire
2008-01-23 22:30 . 2008-01-23 22:30 <DIR> d-------- C:\Users\VistaUser\AppData\Roaming\vlc
2008-01-23 22:29 . 2008-01-23 22:29 <DIR> d-------- C:\Program Files\VideoLAN
2008-01-09 15:38 . 2008-01-09 15:38 802,816 --a------ C:\Windows\System32\drivers\tcpip.sys
2008-01-09 15:38 . 2008-01-09 15:38 216,760 --a------ C:\Windows\System32\drivers\netio.sys
2008-01-09 15:38 . 2008-01-09 15:38 167,424 --a------ C:\Windows\System32\tcpipcfg.dll
2008-01-09 15:38 . 2008-01-09 15:38 24,064 --a------ C:\Windows\System32\netcfg.exe
2008-01-09 15:38 . 2008-01-09 15:38 22,016 --a------ C:\Windows\System32\netiougc.exe
2008-01-09 15:37 . 2008-01-09 15:37 4,247,552 --a------ C:\Windows\System32\GameUXLegacyGDFs.dll
2008-01-09 15:37 . 2008-01-09 15:37 1,686,016 --a------ C:\Windows\System32\gameux.dll
2008-01-09 15:36 . 2008-01-09 15:36 1,060,920 --a------ C:\Windows\System32\drivers\ntfs.sys
2008-01-09 15:36 . 2008-01-09 15:36 211,000 --a------ C:\Windows\System32\drivers\volsnap.sys
2008-01-09 15:36 . 2008-01-09 15:36 154,624 --a------ C:\Windows\System32\drivers\nwifi.sys
2008-01-09 15:36 . 2008-01-09 15:36 109,624 --a------ C:\Windows\System32\drivers\ataport.sys
2008-01-09 15:36 . 2008-01-09 15:36 45,112 --a------ C:\Windows\System32\drivers\pciidex.sys
2008-01-09 15:36 . 2008-01-09 15:36 21,560 --a------ C:\Windows\System32\drivers\atapi.sys
2008-01-09 15:36 . 2008-01-09 15:36 15,928 --a------ C:\Windows\System32\drivers\pciide.sys
2008-01-09 15:36 . 2008-01-09 15:36 11,776 --a------ C:\Windows\System32\sbunattend.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-04 00:26 --------- d-----w C:\ProgramData\Spybot - Search & Destroy
2008-02-04 00:26 --------- d-----w C:\ProgramData\FLEXnet
2008-02-04 00:26 --------- d-----w C:\Program Files\QuickTime
2008-02-04 00:26 --------- d-----w C:\Program Files\iTunes
2008-02-04 00:26 --------- d-----w C:\Program Files\Flash MX
2008-02-04 00:25 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-04 00:24 --------- d-----w C:\Program Files\iPod
2008-02-03 15:43 --------- d-----w C:\ProgramData\Google Updater
2008-02-03 15:42 --------- d-----w C:\Program Files\SopCast
2008-02-03 15:42 --------- d-----w C:\Program Files\Common Files\Java
2008-02-03 14:34 --------- d-----w C:\ProgramData\FreePDF
2008-02-03 13:43 --------- d-----w C:\Users\VistaUser\AppData\Roaming\Skype
2008-02-03 12:07 --------- d-----w C:\Users\VistaUser\AppData\Roaming\OpenOffice.org2
2008-02-02 22:19 --------- d-----w C:\Program Files\SmartFTP Client
2008-02-02 22:19 --------- d-----w C:\Program Files\OpenOffice.org 2.2
2008-02-02 22:19 --------- d-----w C:\Program Files\Corel
2008-01-31 11:28 --------- d-----w C:\Users\VistaUser\AppData\Roaming\BearShare
2008-01-28 10:52 27,715 ----a-w C:\Users\VistaUser\AppData\Roaming\nvModes.dat
2008-01-27 19:49 --------- d-----w C:\ProgramData\Apple Computer
2008-01-12 15:50 --------- d-----w C:\Program Files\Launch Manager
2008-01-09 20:40 --------- d-----w C:\Program Files\Windows Mail
2008-01-09 14:37 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-01-09 14:37 449,024 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-01-09 14:37 2,143,744 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-01-09 14:37 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-01-09 14:36 --------- d-----w C:\ProgramData\Microsoft Help
2008-01-09 14:36 --------- d-----w C:\Program Files\Windows Sidebar
2007-12-31 16:15 --------- d-----w C:\Program Files\Apple Software Update
2007-12-27 19:10 --------- d-----w C:\Program Files\Relux.2007
2007-12-23 22:54 --------- d-----w C:\Program Files\Common Files\Macrovision Shared
2007-12-23 22:54 --------- d-----w C:\Program Files\Common Files\Adobe
2007-12-18 09:55 --------- d-----w C:\Program Files\Zg cd extractor
2007-12-17 20:55 --------- d-----w C:\Users\VistaUser\AppData\Roaming\Apple Computer
2007-12-17 20:48 --------- d-----w C:\Program Files\Common Files\Apple
2007-12-13 00:22 9,728 ----a-w C:\Windows\System32\LAPRXY.DLL
2007-12-13 00:22 223,232 ----a-w C:\Windows\System32\WMASF.DLL
2007-12-13 00:22 1,327,104 ----a-w C:\Windows\System32\quartz.dll
2007-12-13 00:21 84,992 ----a-w C:\Windows\system32\drivers\srvnet.sys
2007-12-13 00:21 824,832 ----a-w C:\Windows\System32\wininet.dll
2007-12-13 00:21 58,368 ----a-w C:\Windows\system32\drivers\mrxsmb20.sys
2007-12-13 00:21 56,320 ----a-w C:\Windows\System32\iesetup.dll
2007-12-13 00:21 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2007-12-13 00:21 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2007-12-13 00:21 130,048 ----a-w C:\Windows\system32\drivers\srv2.sys
2007-12-13 00:21 101,888 ----a-w C:\Windows\system32\drivers\mrxsmb.sys
2007-12-13 00:19 3,504,824 ----a-w C:\Windows\System32\ntkrnlpa.exe
2007-12-13 00:19 3,470,520 ----a-w C:\Windows\System32\ntoskrnl.exe
2007-12-07 21:06 --------- d-----w C:\ProgramData\CyberLink
2007-12-06 18:24 411,248 ----a-w C:\Program Files\FLV PlayerRCSetup.exe
2007-12-06 18:24 2,293,848 ----a-w C:\Program Files\FLV PlayerFCSetup.exe
2007-12-06 18:24 --------- d-----w C:\Users\VistaUser\AppData\Roaming\GetRightToGo
2007-12-06 18:24 --------- d-----w C:\Program Files\FLV Player
2007-11-18 10:52 1,244,672 ----a-w C:\Windows\System32\mcmde.dll
2007-11-16 06:18 704,000 ----a-w C:\Windows\System32\PhotoScreensaver.scr
2007-11-16 06:18 67,584 ----a-w C:\Windows\System32\wlanhlp.dll
2007-11-16 06:18 542,720 ----a-w C:\Windows\System32\sysmain.dll
2007-11-16 06:18 502,784 ----a-w C:\Windows\System32\wlansvc.dll
2007-11-16 06:18 47,104 ----a-w C:\Windows\System32\wlanapi.dll
2007-11-16 06:18 297,984 ----a-w C:\Windows\System32\wlansec.dll
2007-11-16 06:18 290,816 ----a-w C:\Windows\System32\wlanmsm.dll
2007-11-16 06:18 24,064 ----a-w C:\Windows\System32\wtsapi32.dll
2007-11-16 06:18 2,923,520 ----a-w C:\Windows\explorer.exe
2007-11-16 06:18 2,027,008 ----a-w C:\Windows\System32\win32k.sys
2007-11-16 06:16 8,704 ----a-w C:\Windows\System32\hcrstco.dll
2007-11-16 06:16 8,704 ----a-w C:\Windows\System32\hccoin.dll
2007-09-13 13:43 0 ----a-w C:\Users\VistaUser\AppData\Roaming\wklnhst.dat
2007-09-12 11:25 153 ----a-w C:\Users\VistaUser\BackupResult.DAT
2007-09-11 07:25 174 --sh--w C:\Program Files\desktop.ini
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Acer Tour Reminder"="C:\Acer\AcerTour\Reminder.exe" [2007-05-22 14:49 151552]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 13:35 125440]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-13 18:19 68856]
"AntiSpywareShield"="C:\Program Files\AntiSpywareShield\AntiSpywareShield.exe" [2008-02-03 16:36 441344]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-07-28 09:54 1006264]
"ALaunch"="C:\Acer\ALaunch\AlaunchClient.exe" [ ]
"RtHDVCpl"="RtHDVCpl.exe" [2007-05-18 08:24 4468736 C:\Windows\RtHDVCpl.exe]
"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-04-25 15:33 457216]
"eAudio"="C:\Acer\Empowering Technology\eAudio\eAudio.exe" [2007-06-11 13:54 1286144]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-03-08 03:38 40048]
"Acer Tour"="" []
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-06-06 09:07 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-06-06 09:07 8433664]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-06-06 09:07 81920]
"PLFSet"="C:\Windows\PLFSet.dll" [2007-04-24 10:49 45056]
"LManager"="C:\PROGRA~1\LAUNCH~1\LManager.exe" [2007-06-27 10:15 752136]
"PlayMovie"="C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe" [2007-05-24 12:38 206952]
"Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2007-06-06 09:06 159744]
"eRecoveryService"="" []
"Acer Tour Reminder"="C:\Acer\AcerTour\Reminder.exe" [2007-05-22 14:49 151552]
"WarReg_PopUp"="C:\Acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 20:48 57344]
"SetPanel"="C:\Acer\APanel\APanel.cmd" [ ]
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2007-09-17 10:56 185632]
"FreePDF Assistant"="C:\Program Files\FreePDF_XP\fpassist.exe" [2007-06-26 19:27 312320]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-10-19 20:16 286720]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-11-02 18:36 267048]
"Acrobat Assistant 8.0"="C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 23:24 620152]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Acrobat - Schnellstart.lnk - C:\Windows\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2007-12-23 23:54:23 295606]
Adobe Reader Synchronizer.lnk - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-23 00:01:50 734872]
BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-04-24 17:50:32 723760]
Empowering Technology Launcher.lnk - C:\Acer\Empowering Technology\eAPLauncher.exe [2007-07-28 10:24:58 535336]
Google Updater.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [2007-09-13 18:19:03 126136]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

R0 PSDFilter;PSDFilter;C:\Windows\system32\DRIVERS\psdfilter.sys [2007-04-25 15:34]
R0 PSDNServ;PSDNSERVER;C:\Windows\system32\drivers\PSDNServ.sys [2007-04-25 15:34]
R0 psdvdisk;psdvdisk;C:\Windows\system32\drivers\psdvdisk.sys [2007-04-25 15:34]
R1 DritekPortIO;Dritek General Port I/O;C:\PROGRA~1\LAUNCH~1\DPortIO.sys [2006-11-02 14:27]
R2 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796};{49DE1C67-83F8-4102-99E0-C16DCC7EEC796};C:\Program Files\Acer Arcade Deluxe\Play Movie\000.fcl [2006-11-02 15:51]
R2 ALaunchService;ALaunch Service;C:\Acer\ALaunch\ALaunchSvc.exe [2007-01-26 13:24]
R2 eDataSecurity Service;eDSService.exe;"C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe" [2007-04-25 15:34]
R2 eNet Service;eNet Service;C:\Acer\Empowering Technology\eNet\eNet Service.exe [2007-06-13 15:54]
R2 eSettingsService;eSettings Service;C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe [2007-06-28 17:50]
R2 int15;int15;C:\Acer\Empowering Technology\eRecovery\int15.sys [2006-12-07 17:12]
R2 MobilityService;MobilityService;C:\Acer\Mobility Center\MobilityService.exe [2006-11-24 11:57]
R2 SBSDWSCService;SBSD Security Center Service;C:\Program Files\Spybot []
R2 WMIService;ePower Service;C:\Acer\Empowering Technology\ePower\ePowerSvc.exe [2007-06-13 10:23]
R2 XAudio;XAudio;C:\Windows\system32\DRIVERS\xaudio.sys [2007-05-17 01:46]
R3 athr;Atheros Extensible Wireless LAN device driver;C:\Windows\system32\DRIVERS\athr.sys [2007-06-18 11:03]
R3 enecir;ENE CIR Receiver;C:\Windows\system32\DRIVERS\enecir.sys [2007-05-16 13:47]
R3 nvsmu;nvsmu;C:\Windows\system32\DRIVERS\nvsmu.sys [2007-05-17 02:05]
R3 SNP2UVC;USB2.0 PC Camera (SNP2UVC);C:\Windows\system32\DRIVERS\snp2uvc.sys [2007-02-07 17:35]
S3 btwaudio;Bluetooth-Audiogerät;C:\Windows\system32\drivers\btwaudio.sys [2007-05-17 01:23]
S3 btwavdt;Bluetooth AVDT;C:\Windows\system32\drivers\btwavdt.sys [2007-05-17 01:23]
S3 btwrchid;btwrchid;C:\Windows\system32\DRIVERS\btwrchid.sys [2007-05-17 01:24]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\shell\AutoRun\command - G:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
\shell\AutoRun\command - H:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{09394b59-6132-11dc-b029-001b384efd51}]
\shell\AutoRun\command - G:\setupSNK.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-03 18:34:32
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-03 18:35:25
ComboFix-quarantined-files.txt 2008-02-03 17:35:23
.
2008-02-03 15:34:27 --- E O F ---



Gruß

#4 1.
CCleaner anwenden
http://www.ccleaner.de/?protecus.de

2.
winload.exe - gehört zu Vista .....kein Virus - hast du vista geladen ? Auf einer anderen Partition ???

3.
scanne mit Bitdefender + poste den report
http://virus-protect.org/onlinescan.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#5 Also, ich habe den Cleaner angewand - hat wohl ne ganz Menge gesäubert
Soll ich mit diesem auch die Registryfehler beheben?


Zu 2. : Ich habe nur eine Partition und das ist Vista. Aber ich habe im net gelesen, dass einige Trojaner sich als winload.exe datei tarnen, weshalb das System auch das Löschen dieser verweigert. Die Trojaner heißen wohl "trojan VX downloader" und "trojan vx15".



Und das ist jetzt der Report, den Bitdefender ausgespuckt hat:








BitDefender Online Scanner - Real Time Virus Report

C:\Program Files\AntiSpywareShield\AntiSpywareShield0.dll
Detected with: Adware.SpySheriff.BS

C:\Program Files\AntiSpywareShield\AntiSpywareShield0.dll
Deleted

C:\Program Files\AntiSpywareShield\AntiSpywareShield1.dll
Infected with: Generic.Zlob.2DDDA041

C:\Program Files\AntiSpywareShield\AntiSpywareShield1.dll
Disinfection failed

C:\Program Files\AntiSpywareShield\AntiSpywareShield1.dll
Deleted

C:\Program Files\AntiSpywareShield\AntiSpywareShield3.dll
Detected with: Adware.SpySheriff.BS

C:\Program Files\AntiSpywareShield\AntiSpywareShield3.dll
Deleted




Gruß otherways

P.S. Kann es sein, dass dieses Virenprogramm AntiSpywareShield selbst der Virus ist?

#6 ««
AntiSpywareShield is a misleading application described as a spyware removal utility that may give exaggerated reports about potential risks on the computer.

new rogue anti-spyware product
http://www.prevx.com/blog/61/AntiSpywareShield-and-friends.html

-------------------------------------------------------------------

««
http://virus-protect.org/artikel/tools/agentransack.html

kopiere in Suche: AntiSpywareShield

poste, was erscheint

---
««
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

AntiSpywareShield

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#7 agentransack.html:

C:\Program Files\AntiSpywareShield (03.02.2008 19:51:28)
C:\Program Files\AntiSpywareShield\AntiSpywareShield.exe (431 KB, 03.02.2008 16:36:42)
C:\Program Files\AntiSpywareShield\AntiSpywareShield.lic (1 KB, 03.02.2008 16:36:42)
C:\Program Files\AntiSpywareShield\AntiSpywareShield0.ad (402 KB, 03.02.2008 16:36:42)
C:\Program Files\AntiSpywareShield\AntiSpywareShield1.ad (33 KB, 03.02.2008 16:36:42)
C:\Users\VistaUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AntiSpywareShield (03.02.2008 16:36:42)
C:\Users\VistaUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AntiSpywareShield\AntiSpywareShield.lnk (2 KB, 03.02.2008 16:36:42)
C:\Users\VistaUser\Desktop\AntiSpywareShield.lnk (2 KB, 03.02.2008 16:36:42)
C:\Windows\Prefetch\ANTISPYWARESHIELD.EXE-02B4CC76.pf (55 KB, 03.02.2008 19:31:59)
C:\Windows\Prefetch\ANTISPYWARESHIELDSETUP.EXE-7E31ACC1.pf (30 KB, 03.02.2008 16:36:40)
C:\Windows\Prefetch\ANTISPYWARESHIELDSETUP[1].EXE-0BFE9259.pf (33 KB, 02.02.2008 21:37:13)
C:\Windows\Prefetch\ANTISPYWARESHIELDSETUP[2].EXE-948837E3.pf (32 KB, 02.02.2008 20:57:25)
C:\Windows\Prefetch\ANTISPYWARESHIELDSETUP[3].EXE-F9FAA920.pf (32 KB, 02.02.2008 21:35:56)


regsearch.html:



Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 03.02.2008 21:00:22 for strings:
; 'c:\program files\antispywareshield (03.02.2008 19:51:28)
c:\program files\antispywareshield\antispywareshield.exe (431 kb, 03.02.2008 16:36:42)
c:\program files\antispywareshield\antispywareshield.lic (1 kb, 03.02.2008 16:36:42)
c:\program files\antispywareshield\antispywareshield0.ad (402 kb, 03.02.2008 16:36:42)
c:\program files\antispywareshield\antispywareshield1.ad (33 kb, 03.02.2008 16:36:42)
c:\users\vistauser\appdata\roaming\microsoft\windows\start menu\programs\antispywareshield (03.02.2008 16:36:42)
c:\users\vistauser\appdata\roaming\microsoft\windows\start menu\programs\antispywareshield\antispywareshield.lnk (2 kb, 03.02.2008 16:36:42)
c:\users\vistauser\desktop\antispywareshield.lnk (2 kb, 03.02.2008 16:36:42)
c:\windows\prefetch\antispywareshield.exe-02b4cc76.pf (55 kb, 03.02.2008 19:31:59)
c:\windows\prefetch\antispywareshieldsetup.exe-7e31acc1.pf (30 kb, 03.02.2008 16:36:40)
c:\windows\prefetch\antispywareshieldsetup[1].exe-0bfe9259.pf (33 kb, 02.02.2008 21:37:13)
c:\windows\prefetch\antispywareshieldsetup[2].exe-948837e3.pf (32 kb, 02.02.2008 20:57:25)
c:\windows\prefetch\antispywareshieldsetup[3].exe-f9faa920.pf (32 kb, 02.02.2008 21:35:56)
c:\program files\antispywareshield (03.02.2008 19:51:28)
c:\program files\antispywareshield\antispywareshield.exe (431 kb, 03.02.2008 16:36:42)
c:\program files\antispywareshield\antispywareshield.lic (1 kb, 03.02.2008 16:36:42)
c:\program files\antispywareshield\antispywareshield0.ad (402 kb, 03.02.2008 16:36:42)
c:\program files\antispywareshield\antispywareshield1.ad (33 kb, 03.02.2008 16:36:42)
c:\users\vistauser\appdata\roaming\microsoft\windows\start menu\programs\antispywareshield (03.02.2008 16:36:42)
c:\users\vistauser\appdata\roaming\microsoft\windows\start menu\programs\antispywareshield\antispywareshield.lnk (2 kb, 03.02.2008 16:36:42)
c:\users\vistauser\desktop\antispywareshield.lnk (2 kb, 03.02.2008 16:36:42)
c:\windows\prefetch\antispywareshield.exe-02b4cc76.pf (55 kb, 03.02.2008 19:31:59)
c:\windows\prefetch\antispywareshieldsetup.exe-7e31acc1.pf (30 kb, 03.02.2008 16:36:40)
c:\windows\prefetch\antispywareshieldsetup[1].exe-0bfe9259.pf (33 kb, 02.02.2008 21:37:13)
c:\windows\prefetch\antispywareshieldsetup[2].exe-948837e3.pf (32 kb, 02.02.2008 20:57:25)
c:\windows\prefetch\antispywareshieldsetup[3].exe-f9faa920.pf (32 kb, 02.02.2008 21:35:56)
antispywareshield'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...








Pinguin, reicht es aus, das Programm zu deinstallieren?

Und was empfiehlst du mit dem CCleaner? Soll ich die Registryfehler auch beheben lassen?

Gruß

#8 otherways

««
mit CCleaner löschst du die temporären Dateien

««

HijackThis
Schliesse alle Fenster und starte Hijack This

Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked + starte den Rechner neu.

Zitat

O4 - HKCU\..\Run: [AntiSpywareShield] C:\Program Files\AntiSpywareShield\AntiSpywareShield.exe

º~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Folder::
C:\Program Files\AntiSpywareShield
C:\Users\VistaUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AntiSpywareShield

File::
C:\Users\VistaUser\Desktop\AntiSpywareShield.lnk
C:\Windows\Prefetch\ANTISPYWARESHIELD.EXE-02B4CC76.pf
C:\Windows\Prefetch\ANTISPYWARESHIELDSETUP.EXE-7E31ACC1.pf
C:\Windows\Prefetch\ANTISPYWARESHIELDSETUP[1].EXE-0BFE9259.pf
C:\Windows\Prefetch\ANTISPYWARESHIELDSETUP[2].EXE-948837E3.pf
C:\Windows\Prefetch\ANTISPYWARESHIELDSETUP[3].EXE-F9FAA920.pf
C:\Users\VistaUser\AppData\Local\Temp\vxtjysdy.exe
C:\Users\VistaUser\AppData\Local\Temp\zu2nvq8b.exe

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.



cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
danach: Combofix noch einmal anwenden - tippe 1

---------------------------------------------------------------

dann wende nochmal an:

««
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

antispywareshield

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#9 Hallo Pinguin,

Also wenn ich den File auf Combofix ziehen, stürzt der PC ab, und rebooted.




Mit der regsearch habe ich folgendes Ergebnis:




Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 2008-02-04 11:14:04 for strings:
; 'antispywareshield'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\8.0\AVGeneral\cRecentFiles\c4]
"tDIText"="/C/Users/VistaUser/Desktop/AntiSpywareShield and friends....pdf"

[HKEY_CURRENT_USER\Software\Agent_EXE\Agent Ransack\RecentFileName]
"1"="AntiSpywareShield"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs]
"url7"="C:\\Program Files\\AntiSpywareShield"

[HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
"E:\\AntiSpywareShieldSetup.exe"="AntiSpywareShieldSetup.exe"
"C:\\Program Files\\AntiSpywareShield\\AntiSpywareShield.exe"="AntiSpywareShield.exe"
"C:\\Program Files\\AntiSpywareShield\\Uninstall.exe"="Uninstall.exe"

; End Of The Log...




Gruß, otherways

#10 1.
lösche manuell: auf E:\ --- E:\\AntiSpywareShieldSetup.exe

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

Input script manually (anhaken)
die "Lupe" rechts anklicken - View/edit script (wird sich öffnen)

Zitat

Folders to delete:
C:\Program Files\AntiSpywareShield
C:\Users\VistaUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AntiSpywareShield

Files to delete:
C:\Users\VistaUser\Desktop\AntiSpywareShield.lnk
C:\Windows\Prefetch\ANTISPYWARESHIELD.EXE-02B4CC76.pf
C:\Windows\Prefetch\ANTISPYWARESHIELDSETUP.EXE-7E31ACC1.pf
C:\Windows\Prefetch\ANTISPYWARESHIELDSETUP[1].EXE-0BFE9259.pf
C:\Windows\Prefetch\ANTISPYWARESHIELDSETUP[2].EXE-948837E3.pf
C:\Windows\Prefetch\ANTISPYWARESHIELDSETUP[3].EXE-F9FAA920.pf
C:\Users\VistaUser\AppData\Local\Temp\vxtjysdy.exe
C:\Users\VistaUser\AppData\Local\Temp\zu2nvq8b.exe

Klicke die grüne Ampel avenger
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten

»»
der Rechner wird neustarten - dann erscheint ein log vom Avenger - poste es hier
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#11 Auf E:\ ist nix mehr, aber ich habe ein problem mit dem avenger: Es läuft nicht auf Vista

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: unsupported version of Windows! This program will run only on Windows 2000 or XP.
Error code: 0
Error logged to errorlog.txt. Aborting now!


Gibt es eine Vistaversion?

Gruss

#12 versuche es damit:
http://virus-protect.org/artikel/tools/gvkiller.html

Zitat

C:\Program Files\AntiSpywareShield
C:\Users\VistaUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AntiSpywareShield
C:\Users\VistaUser\Desktop\AntiSpywareShield.lnk
C:\Windows\Prefetch\ANTISPYWARESHIELD.EXE-02B4CC76.pf
C:\Windows\Prefetch\ANTISPYWARESHIELDSETUP.EXE-7E31ACC1.pf
C:\Windows\Prefetch\ANTISPYWARESHIELDSETUP[1].EXE-0BFE9259.pf
C:\Windows\Prefetch\ANTISPYWARESHIELDSETUP[2].EXE-948837E3.pf
C:\Windows\Prefetch\ANTISPYWARESHIELDSETUP[3].EXE-F9FAA920.pf
C:\Users\VistaUser\AppData\Local\Temp\vxtjysdy.exe
C:\Users\VistaUser\AppData\Local\Temp\zu2nvq8b.exe

__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#13 So weit scheint das alles geklappt zu haben. Bitdefender findet keine Viren Trojaner oder sonstiges mehr,

ABER

Ich habe auf einmal auf D einen Ordner mit einer versteckten Datei, den ich absolut nicht zuordnen und nicht loeschen kann. Weder die Datei, noch den Ordner
Dieser heisst

HiTRUSTDrive

und wenn ich in den Ordnereinstellungen alles anzeigen lasse erscheint eine Datei mit folgendem Namen
eDS_PSD_drive.vmdf

Was ist das denn? Immer noch Maleware?

Ich krieg irgendwie das Gefuehl nicht los, dass es ne neverending story ist.
Aber Danke fuer alle Hilfe, die ich bekommen kann.

#14 Hallo,

dieses eDS_PSD_drive.vmdf ist kein Virus (gehört zu Vista)
kannst also beruhigt sein

--------

demnach müsste dein Rechner wieder sauber sein - ohne AntiSpywareShield
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#15 Hallo Pinguin
Tausend Dank für die Hilfe.
Viele herz-erlleichterte Grüße
Otherways