Die Datei winflyer32.dll war ein Trojan.Downloader, diese haben wir schon gelöscht.

Der Eintrag steht aber noch irgendwo in der Registrierung, daher folgendes Tool:


Registrierung durchsuchen:

-Erstell dir einen neuen Ordner in -> C.\Programme\Regsrch
-lade dir Regserch.zip in den vorher erstellten Ordner herunter
-entpacke das Programm auch in diesem Ordner
-starte das Tool -> Doppelklick auf „regsrch.vbs“ und suche nun nach folgendem Namen:

Zitat:

winflyer

-wenn etwas gefunden wurde, wird am Ende ein Editorfenster geöffnet,
poste den Inhalt des Textfiles ab und füge ihn in einen Beitrag ein.
(wurde nichts gefunden, bitte auch erwähnen!)

Gruß
Sunny

ok ...
hier das ergebnis:


REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "winflyer" 17.04.2007 19:10:43

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\WinFlyer32.dll]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinFlyer32.dll"="\"rundll32.exe\" C:\\WINDOWS\\system32\\WinFlyer32.dll,Run"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinFlyer32.dll]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinFlyer32.dll]
"DisplayName"="WinFlyer"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinFlyer32.dll]
"UninstallString"="\"rundll32.exe\" C:\\WINDOWS\\system32\\WinFlyer32.dll,UnInstall"

Gut nun mach nochmal folgendes:


Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:


2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\App Management\ARPCache

Registry keyes to delete::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\App Management\ARPCache\WinFlyer32.dll]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"WinFlyer32.dll"="\"rundll32.exe\" C:\\WINDOWS\\system32\\WinFlyer32.dll,Run"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\WinFlyer32.dll]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\WinFlyer32.dll]
"DisplayName"="WinFlyer"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\WinFlyer32.dll]
"UninstallString"="\"rundll32.exe\" C:\\WINDOWS\\system32\\WinFlyer32.dll,UnInstall"

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen
5.) Lass HijackThis nochmal laufen, erstelle und poste ein neues HijackThis Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

Ich hoffe das es funktioniert!

Gruß
Sunny

... ok ... hab ich gemacht ...

avenger bringt aber, wenn ich auf die lupe klicke eine error-meldung:

syntax error in line --- no registry value to delete found. Line will be ignored
does not appear to be a valid registry path ...

usw ...


??

...................
???

Es würde mich nicht wundern, wenn Avenger in dem Skript den Zwischenraum zwischen "Curr" und "ent" nicht verarbeiten kann:

Zitat:

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\App Management\ARPCache
...

(offenbar ein Darstellungsfehler)
Wenn du in jeder Zeile, in der er auftritt, den Zwischenraum zwischen "Curr" und "ent" herausnimmst, sollte es klappen. Eine Garantie für Operationen an der Registry übernehme ich aber nicht, zumal ich nicht beurteilen kann, ob das Skript ansonsten inhaltlich korrekt ist.
Aber Sunny wird das schon wissen.

Achte darauf, dass du sonst NICHTS an dem von Sunny vorgegebenen Skript veränderst, und arbeite seine Anleitung genau ab!

danke für den tipp!

hab ich versucht ... kommt die selbe fehlermeldung !?