Ok, ich habe alle die angegebenen Dateien gefunden!
Es handelt sich einmal um "C:\Windows\Oracle", die die versteckte Datei "Scanregw.exe" enthält, zu der übrigens auch eine Prefetch-datei, nämlich "c:\windows\pf\scanregw.exe-2100f0eb.pf" gehört. Ich habe die Datei Scanen lassen und Karl hatte recht, es handelt sich scheinbar tatsächlich um ein PurityScan-Variante. Hier der Analysebericht:

Code: Alles auswählenAufklappen

ATTFilter

Ergebnis: 10/32 (31.25%)
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2007.9.8.0	2007.09.10	    -
AntiVir	            7.6.0.5	2007.09.10	-
Authentium	4.93.8	2007.09.09	-
Avast	          4.7.1043.0	2007.09.10	Win32:PurityScan-AF
AVG	         7.5.0.485	2007.09.10	Adware Generic2.PCS
BitDefender	7.2	2007.09.10	-
CAT-QuickHeal	9.00	2007.09.10	(Suspicious) - DNAScan
ClamAV    	0.91.2	2007.09.10	-
DrWeb	    4.33	2007.09.10	-
eSafe	      7.0.15.0	2007.09.04	Suspicious Trojan/Worm
eTrust-Ve   31.1.5119	2007.09.08	-
Ewido	      4.0	2007.09.10	-
FileAdvisor	1	2007.09.10	-
Fortinet	3.11.0.0	2007.09.10	-
F-Prot	4.3.2.48	2007.09.09	-
F-Secure	6.70.13030.0	2007.09.10	-
Ikarus	T3.1.1.12	2007.09.10	not-a-virus:AdWare.Win32.PurityScan.fn
Kaspersky	4.0.2.24	2007.09.10	-
McAfee	5115	2007.09.07	-
Microsoft	1.2803	2007.09.10	Adware:Win32/ClickSpring.PuritySCAN
NOD32v2	2518	2007.09.10	probably a variant of Win32/Adware.PurityScan
Norman	5.80.02	2007.09.07	-
Panda	9.0.0.4	2007.09.09	Suspicious file
Prevx1	V2	2007.09.10	Trojan.NDrv
Rising	19.40.02.00	2007.09.10	-
Sophos	4.21.0	2007.09.10	-
Sunbelt	2.2.907.0	2007.09.07	VIPRE.Suspicious
Symantec	10	2007.09.10	-
TheHacker	6.1.10.183	2007.09.10	-
VBA32	3.12.2.4	2007.09.09	-
VirusBuster	4.3.26:9	2007.09.09	-
Webwasher-Gateway	6.0.1	2007.09.10	-
weitere Informationen
File size: 230912 bytes
MD5: abccb849e6e2763cdea6200e4d1fdf3a
SHA1: 3a87fda17d7ffb75c10df32cb0edc899c1cc3ff8
packers: PECompact
packers: PECOMPACT
packers: PecBundle, PECompact
         

Der Pfad "C:\DOKUME~1\ANWEND~1\SEMBLY~1\" existiert nicht mehr

Ich schätz ich sollte diese schädliche Datei nicht einfach löschen...


So mir ist gerade was neues aufgefallen: Jedesmal wenn sich der InetExplorer öffnent, warnt mich antivir vor dieser Datei "C:\Dokumente und Einstellung\...\!update.exe". Jedoch kann ich diese Datei nicht finden. Alle ähnlich lautenden sind :

"C:\Dokumente und Einstellungen\All Users\Startmenü\Windows Update"(verknüpfung)
"C:\Dokumente und Einstellungen\Michael\Userdata\MJUV4TE7\oWindowsUpdate_1_.xml"
"C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\DivX\Nach DivX Updates suchen"(verknüpfung)

Lösch mal den gefundenen Ordner mit der altbewährten Avenger-Methode, kopier aber diesmal ins Script das hier rein:

Zitat:

Folders to delete:
C:\Windows\Oracle

Mach mal danach ein etwas ausführlicheres Filelist mit diesem cmd-script - nach dem Vorgang öffnet sich der Editor mit dem ausführlicheren Filelist, du findest die Textdatei auch auch auf dem Desktop unter listing.txt. Lad die mal z.B. bei Fileupload hoch und verlink es hier, denn sie wird wohl zu groß sein, um sie hier im TB direkt zu posten.

Zitat:

C:\Dokumente und Einstellung\...\!update.exe

Wie lautet denn der der Zwischenpfad? Nur mit Punktn kann man leider wenig anfangen.

Zitat:

"C:\Dokumente und Einstellungen\All Users\Startmenü\Windows Update"(verknüpfung)
"C:\Dokumente und Einstellungen\Michael\Userdata\MJUV4TE7\oWindowsUp date_1_.xml"
"C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\DivX\Nach DivX Updates suchen"(verknüpfung)

Die Dateien sehen eher harmlos aus.

Also diese Avengermethode funktioniert nicht. Wenn das Skript so kopiere, wie Du es mir geschrieben hast, kommt nach dem Neustart, die Fehlermeldung, dass der Ordner nicht existieren würde, obwohl er das aber tut. Ändere ich das Skrip, so das es die Datei "scanregw.exe" selbst gelöscht werden soll, steht nach reboot im Log, dass es Avenger nicht möglich war die Datei zu löschen.
Bei weiteren Versuchen kamen auch Fehlermeldungen von "kann Script nicht finen" bis "avenger.txt kann nicht geschriebenn werde". Keine Ahnug was los ist.

Zu "!update.exe" existiert keine genauere Pfadangabe AntiVir gibt mir den Pfad genauso an, wie wie ich ihn gepostet habe und, wie gesagt, mit der WindowsSuche finde ich nichts.

Noch jemand Ideen?

Hier ist noch die Liste, die von deinem Script erstellt wurde
Filelist

Schade, hab ich mir schon fast gedacht, dass das nicht klappt mit dem "oracle" Ordner. Das scheint wohl kein normales "O" sondern irgendein Sonderzeichen zu sein, dass dem Buchstaben "O" wohl ähnelt.

Das listing hat jedenfalls aufgedeckt, dass diese Ordner noch zumindest vorhanden sind:

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\??sembly
C:\Programme\Outerinfo
C:\Windows\?racle
         

Versuch die Ordner mal manuell zu löschen wenns mit dem Avenger schon nicht klappt - stell sicher, dass du dir alle Dateien anzeigen lässt.

Hab noch weitere merkwürdige Dateien entdeckt, die sich aber nur im Prefetchordner bemerkbar machen:

Code: Alles auswählenAufklappen

ATTFilter

Verzeichnis von C:\WINDOWS\Prefetch
...
09.09.2007  13:50            11.858 YQVGGGFM.EXE-2A7C5668.pf
08.09.2007  22:46            11.924 GUTHSPDB.EXE-0BA0AD52.pf
08.09.2007  22:30            12.324 GVMMKYPQ.EXE-015F320D.pf
...
         

D.h. du könntest diesen Ordner auch mal leeren und später beobachten wir, welche Dateien sich nach ner Zeit reingeschrieben haben.