hallo .. ich brauche eure hilfe da ich vom computer und sowas nicht sehr viele ahnung habe...das problem ist folgendes:
vor einigen tagen wollteich ein video aus dem internet laden(nichts schlimmes und ich hab mir auch nichts bei gedacht) als ich das vermeintliche video öffnen wollte passierte nix,außer das avria seinen dienst stoppte...ich versuchte darauf hin den avira dienst wieder zu starten , das gingzunächst aber wneige sekunden später war er wieder deaktiviert...hab dann im internet nachgelesen und denke ich hab nen virus oder soetwas der des deaktiviert hat ...woltle des direktdanach nochmal neu installieren ging aber nich....hab ein bissel gelesen und bin inzwischen amüberlegen obs sinnvoll is windows einfach mit der recovery cd neu zu installieren....zum einen um sicherheit zu haben das der virus weg is(stimmt so oder?) und nja irgendwie auch mal so ...weilsich ganz schön viel msit gesammelt hat...nun nja heute habe ich dann nochmal avirageholt und wollte schauen was passiert....TATSACHE es geht...und des wundert mich...denn in den vergangenen tagen hab ich nix gemacht egtl was viren-venrichtung betrifft...aber es geht wieder derschrim is wieder auf von avira...so jeztt noch die eigentliche frage...kann es sein dasder vermeinliche virus des avira-programm manipuliert hat? danke schnomal im vorraus fürs lesen...sorry das es solang is

Von wo hast du das vermeintliche Video runtergeladen? War es tatsächlich auch ein Videofile und nicht eine Datei mit Doppelendung wie z.B. *.mpg.exe? Lässt du dir auch überhaupt alle Dateiendungen anzeigen?

Poste bitte zur ersten Grobübersicht ein Hijackthis-Logfile.

also des is folgendermaßen... ich hab diesen ordner geöffnet..und da war noch ein ordner drinne und den wollte ich öffnen...dieserordner beinhaltete aber diese anwendung denke ich denn es öffnete sich kein ordner sondern mein avira ging wie gesagt dann nich mehr..normalerweise zeigt er mir dateiendungen an
so des is das logfile
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:32:08, on 12.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {685FFADE-DA5F-3FAA-CE59-D8661C5F3901} - C:\DOKUME~1\Chrisi\ANWEND~1\CLOCKD~1\surfping.exe (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Flag owns bend dent] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\byte trans flag owns\Kind name.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Programme\Samsung\SamsungMediaStudio4.1\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [mmtask] C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [DeleteLog] C:\DOKUME~1\Chrisi\ANWEND~1\NEWAXI~1\SIXTH FLAG.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Dokumente und Einstellungen\Chrisi\Eigene Dateien\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SFS6] "C:\Programme\Steganos Secure FileSharing 6\sfs.exe" /booting
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Vlqa] C:\Programme\T?sks\chkntfs.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Ubisoft register.lnk = C:\Programme\Ubisoft\Register\schedule.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.schuelervz.net/photouploader/ImageUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 8160 bytes

ehm ich hoffe des geht so..wie gesagt leider keine ahnung von sowat
thx für die shcnelleantwort

Überprüf mal, ob diese Dateien noch existieren (vorher alle Dateien sichtbar machen!):

Code: Alles auswählenAufklappen

ATTFilter

C:\DOKUME~1\Chrisi\ANWEND~1\CLOCKD~1\surfping.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\byte trans flag owns\Kind name.exe
C:\DOKUME~1\Chrisi\ANWEND~1\NEWAXI~1\SIXTH FLAG.exe
         

Die sehen verdächtig nach dem Swizzor aus. Folge mal dazu dieser Anleitung.

Code: Alles auswählenAufklappen

ATTFilter

O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
         

Boonty Games Service ist bei dir aktiv - der kommt angeblich von T-Online (für Online-Games?) ist aber von CastleCops als böse eingestuft worden.

also folgendes...die ersten 3 dinge find ich nich gibts nich mehr...
des erste hab ich überhaupt nicht mehr...des zweite auch nicht..aber (ich kansn nich genau sagen) de shab ich malirgendwie gelöscht oder versucht...und beim dritten komm ich nich zur sixth flag .exe also die gibs nicht...

ehm noch eine frage zum boonty gezumpel..wie werd ich des los?
vielen dank...

Hallo,
hangel dich einfach immer an dem Pfad lang und du wirst früher oder später auf die exe treffen die du loschen kannst....

Zitat:

C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe

Also Start > Arbeitsplatz > lokaler Datenträger C >Programme > Gemeinsame Dateien > und so weiter...
lösche den Ordner "Boonty Shared" alles was dahinter kommt ist dann auch Geschichte...
Irrlicht

thx ;-) man ich bin froh da sich mich hie rangmeldet hab...also ich sag mal so ich bin jetzt grade mal 15..und nja nich wirklich so viel ahnung von pc war abe r die letzten tage oft auf eurer site ...bin den abend halt voll veurnsichert gewesen wiel is ja klaa wenn avira aus is zeigt er ja auch nich an wasse sis fürn virus oder so..weiß nich ob du von anfang an gelesen hast irrlicht?

Zitat:

ehm noch eine frage zum boonty gezumpel..wie werd ich des los?

Boonty selbst lässt sich angeblich nicht über Systemsteuerung => Software deinstallieren. Ein Versuch wär es aber trotzdem wert. Scheitert er, könntest du manuell den Ordner löschen lassen, und zwar mit dem Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Code: Alles auswählenAufklappen

ATTFilter

folders to delete:
C:\Programme\Gemeinsame Dateien\BOONTY Shared
         

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

Was die Sizzor-Reste bzw. andere Malware-Reste angeht:
Führ dazu bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:

- eScan
- Silentrunners

Und mach bitte ein Filelist:

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

so folgendes ich habe den ordner boonty shared gelöscht neugestarteter ist auch nich mehr da...muss vllt noch aus registry entfernen oder?

ehm jeztt deslogfilezu silentrunners

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"DeleteLog" = "C:\DOKUME~1\Chrisi\ANWEND~1\NEWAXI~1\SIXTH FLAG.exe" [file not found]
"MSMSGS" = ""C:\Dokumente und Einstellungen\Chrisi\Eigene Dateien\msmsgs.exe" /background" [file not found]
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."]
"SFS6" = ""C:\Programme\Steganos Secure FileSharing 6\sfs.exe" /booting" [file not found]
"MsnMsgr" = ""C:\Programme\MSN Messenger\MsnMsgr.Exe" /background" [file not found]
"WMPNSCFG" = "C:\Programme\Windows Media Player\WMPNSCFG.exe" [MS]

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"CM-SmWizard" = "C:\WINDOWS\System\SmWizard.exe" ["C-Media Electronics Inc."]
"Lexmark X1100 Series" = ""C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"" ["Lexmark International, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"Flag owns bend dent" = "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\byte trans flag owns\Kind name.exe" [file not found]
"DAEMON Tools" = ""C:\Programme\DAEMON Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."]
"YeppStudioAgent" = "C:\Programme\Samsung\SamsungMediaStudio4.1\SamsungMediaStudioAgent.exe" [file not found]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"mmtask" = "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe" [file not found]
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data]
"Windows Defender" = ""C:\Programme\Windows Defender\MSASCui.exe" -hide" [MS]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"ICQ Lite" = ""C:\Programme\ICQLite\ICQLite.exe" -minimize" ["ICQ Ltd."]
"UnlockerAssistant" = ""C:\Programme\Unlocker\UnlockerAssistant.exe"" [file not found]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{685FFADE-DA5F-3FAA-CE59-D8661C5F3901}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\DOKUME~1\Chrisi\ANWEND~1\CLOCKD~1\surfping.exe" [file not found]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Sign-in Helper"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Germany GmbH"]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll" ["Google Inc."]
{E5A1691B-D188-4419-AD02-90002030B8EE}\(Default) = (no title provided)
-> {HKLM...CLSID} = "FlashFXP Helper for Internet Explorer"
\InProcServer32\(Default) = "C:\Programme\FlashFXP\IEFlash.dll" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{B8323370-FF27-11D2-97B6-204C4F4F5020}" = "SmartFTP Shell Extension DLL"
-> {HKLM...CLSID} = "SmartFTP Shell Extension DLL"
\InProcServer32\(Default) = "C:\Programme\SmartFTP\smarthook.dll" [file not found]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{8903F6C9-25E3-40AC-A98F-E6D35CD0469C}" = "PSPad"
-> {HKLM...CLSID} = "PSPad"
\InProcServer32\(Default) = "C:\PROGRA~1\PSPADE~1\PSPADS~1.DLL" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}" = "Microsoft AntiMalware ShellExecuteHook"
-> {HKLM...CLSID} = "Microsoft AntiMalware ShellExecuteHook"
\InProcServer32\(Default) = "C:\PROGRA~1\WINDOW~3\MpShHook.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"OODBS" [file not found]|"lsdelete" [null data]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
moveonboot_delete\(Default) = "{12B23346-6BD8-4812-BF8C-75E7C386ACB8}"
-> {HKLM...CLSID} = "MoveOnBootBootPopupMenuShlExt Class"
\InProcServer32\(Default) = "C:\Programme\GiPo@Utilities\GiPo@MoveOnBoot\mboot.dll" [file not found]
PSPad\(Default) = "{8903F6C9-25E3-40AC-A98F-E6D35CD0469C}"
-> {HKLM...CLSID} = "PSPad"
\InProcServer32\(Default) = "C:\PROGRA~1\PSPADE~1\PSPADS~1.DLL" [null data]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoCDBurning" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

"BackupNoCDBurning" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Chrisi\Anwendungsdaten\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\scrnsave.scr" [MS]


Startup items in "Chrisi" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\Chrisi\Startmenü\Programme\Autostart
"Ubisoft register" -> shortcut to: "C:\Programme\Ubisoft\Register\schedule.exe /04.04.2007 09:46:48 /game=CSI-Miami /language=German /country=Germany /url=http://register-it.ubi.com/register.asp" [file not found]


Enabled Scheduled Tasks:
------------------------

"MP Scheduled Scan" -> launches: "C:\Programme\Windows Defender\MpCmdRun.exe Scan -RestrictPrivileges" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Germany GmbH"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Germany GmbH"]
"{F2CF5485-4E02-4F68-819C-B92DE9277049}"
-> {HKLM...CLSID} = "&Links"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ieframe.dll" [MS]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Germany GmbH"]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll" ["Sun Microsystems, Inc."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ad-Aware 2007 Service, aawservice, ""C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft AB"]
AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."]
SmartLinkService, SLService, "slserv.exe" ["Smart Link"]
Windows Defender, WinDefend, ""C:\Programme\Windows Defender\MsMpEng.exe"" [MS]
Windows Media Player-Netzwerkfreigabedienst, WMPNetworkSvc, ""C:\Programme\Windows Media Player\WMPNetwk.exe"" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


---------- (launch time: 2007-10-12 20:18:24)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 66 seconds, including 10 seconds for message boxes)

ehm die sache mit filelist hab ich nich so ganz verstnaden wa sich da hier einfügen soll...sorry ich mach mal so wie ich denke

verzeichnis von c
12.10.2007 20:13 754.974.720 pagefile.sys
08.10.2007 18:15 697.984 cddbplm.gcf
08.10.2007 18:15 308.736 cddbplm.lsf
08.10.2007 18:15 768 cddbplm.idx
08.10.2007 18:15 768 cddbplm.


Verzeichnis von C:\WINDOWS\system32

12.10.2007 20:14 1.158 wpa.dbl
10.10.2007 21:36 20.794 TG_PVTR.LOG
09.10.2007 20:29 124.688 mswinsck.ocx
06.10.2007 17:08 3.120 118290.54
03.10.2007 09:48 401.064 perfh009.dat
03.10.2007 09:48 62.344 perfc009.dat
03.10.2007 09:48 415.470 perfh007.dat
03.10.2007 09:48 74.996 perfc007.dat
03.10.2007 09:48 966.074 PerfStringBackup.INI
30.09.2007 18:00 81.984 bdod.bin
30.09.2007 17:46 0 bdss.log
30.09.2007 17:20 0 tmp.txt
30.09.2007 17:20 3.282 tmp.reg
28.09.2007 07:19 18.089.592 MRT.exe
29.08.2007 10:14 249.852 TZLog.log



Verzeichnis von C:\DOKUME~1\Chrisi\LOKALE~1\Temp

12.10.2007 20:18 126.769 filelist.txt
12.10.2007 20:16 40.960 rtdrvmon.exe
12.10.2007 20:15 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}28266.html
12.10.2007 20:15 16.384 ~DFADC2.tmp
12.10.2007 20:15 512 ~DF8187.tmp
12.10.2007 20:15 16.384 ~DF8055.tmp
12.10.2007 20:10 16.384 ~DFCE7C.tmp
12.10.2007 20:10 16.384 ~DFCE5E.tmp
12.10.2007 20:10 16.384 ~DFCE40.tmp
12.10.2007 20:10 16.384 ~DFCE0C.tmp
12.10.2007 15:55 16.384 ~DFDDB7.tmp
12.10.2007 15:55 16.384 ~DFCD14.tmp

12.10.2007 20:15 1.095.360 WindowsUpdate.log
12.10.2007 20:14 0 0.log
12.10.2007 20:14 159 wiadebug.log
12.10.2007 20:14 50 wiaservc.log
12.10.2007 20:13 2.048 bootstat.dat
12.10.2007 20:12 32.164 SchedLgU.Txt
12.10.2007 18:09 202 NeroDigital.ini
12.10.2007 17:01 225 DHCPUPG.LOG
12.10.2007 17:00 416 WINNT32.LOG
12.10.2007 17:00 309 setupact.log
11.10.2007 16:57 456.878 setupapi.log
11.10.2007 16:54 18.831 KB933729.log
11.10.2007 16:54 205.076 updspapi.log
11.10.2007 16:54 41.978 KB939653-IE7.log
10.10.2007 21:48 1.610 KB933729Uninst.log
10.10.2007 21:47 7.253 KB939653-IE7Uninst.log
10.10.2007 21:47 65.521 iis6.log
10.10.2007 21:47 350.701 tsoc.log
10.10.2007 21:47 131.915 comsetup.log
10.10.2007 21:47 81.715 ntdtcsetup.log
10.10.2007 21:47 22.611 ocmsn.log
10.10.2007 21:47 1.393 imsins.log
10.10.2007 21:47 11.991 KB941202.log
10.10.2007 21:47 200.895 ocgen.log
10.10.2007 21:47 20.508 msgsocm.log
10.10.2007 21:47 409.874 FaxSetup.log
06.10.2007 17:08 3.120 118294.78
03.10.2007 14:10 730 SpywareDoctor505Uninstall.log
03.10.2007 09:46 129 SpywareDoctor505Installation.log
04.09.2007 19:47 1.355 imsins.BAK

geht so?

Silentrunners-Log dürfte so gut wie sauber sein - man sieht zwar noch die Überreste der Schädlingseinträge (autostart eben, der Schädling will bei jedem Start gleich mitgestartet werden) aber die führen ins Leere, da die auzurufende Datei fehlt. Diese Einträge wären das (die ich gesehen habe)

Code: Alles auswählenAufklappen

ATTFilter

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\DeleteLog
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Flag owns bend dent
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{685FFADE-DA5F-3FAA-CE59-D8661C5F3901}
         

Das filelist war aber bei dir noch unvollständig. Machen wirs mal so: Führe dieses script aus (abspeichern auf Desktop, dann doppelklicken) und mail mir diese aufpoppende "listing.txt" (auch aufm desktop zu finden) oder lad es z.B. bei rapidshare hoch und verlink es hier.
Escan (MWAV) musst du auch noch nachholen.

soo hab versucht die 3 codes noch aus der registry zulöschen...is mir halbwegs gleungen glaube ich
die filelist sache hab ich per email geshcickt...und mit escan hat er keine viren geufnden

Ein paar merkwürdige Dateien seh ich da noch:

Code: Alles auswählenAufklappen

ATTFilter

c:\cddbplm.gcf
c:\cddbplm.lsf
c:\cddbplm.idx
c:\cddbplm.pdb
c:\windows\system32\118290.54
c:\windows\system32\bdod.bin
c:\windows\system32\tmp.reg
c:\windows\system32\SET4A4.tmp
c:\windows\system32\SET4A2.tmp
c:\windows\system32\SET4A5.tmp
c:\windows\system32\SET4AA.tmp
c:\windows\system32\SET4AC.tmp
c:\windows\system32\SET4AB.tmp
c:\windows\system32\SET4B2.tmp
c:\windows\system32\SET4B0.tmp
c:\windows\system32\SET4B4.tmp
c:\windows\system32\SET4B9.tmp
         

Diese kannst du höchstwahrscheinlich löschen. Dann sind da aber noch sehr merkwürdige Ordner:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\?asks
C:\WINDOWS\system32\?ppPatch
C:\WINDOWS\system32\M?crosoft
C:\WINDOWS\system32\?asks
C:\WINDOWS\system32\??mantec
C:\WINDOWS\system32\W?nSxS
C:\WINDOWS\system32\F?nts
C:\WINDOWS\system32\?ystem32
         

Schon sehr merkwürdig, dass diese Ordner nicht darstellbare Zeichen einthalten, ich befürchte du hast noch viel mehr Schädlingskomponenten im System als man anfangs glaubte. Schau erstmal nach, ob du derartige Ordner mit ähnlichen Namen und evtl. auffälligen Zeichen dort findest - wenn ja schau mal da hinein und poste deren Inhalte.

Zitat:

und mit escan hat er keine viren geufnden

Tatsächlich keine? Wie lange lief eScan bei dir durch? Hast du das im abgesicherten Modus gemacht`?

soo die ersten dateien habich allelöschen können....dann habe ich in diese ordner geschaut..waren aber alle leer...
ehm jwztt nochmalzu einer meiner erstenfragen...meinst du es wäre sinnvollwindows neu zu installieren?könntest du mir mal diene icq-nr geben bidde?

soo hab jetzt escan im abgescherten modus laufen lassen..sieht nich so jut aus glaub ich ..aber shcau mal bidde selber

Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.4.6
Sprache: German
Virus-Datenbank Datum: 10/11/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "netpumper Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "p2p networking Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unzip32.dll)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\unzip32.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\netpumper_is1 !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\p2p networking !!!
Offending Key found: HKCU\Software\magnet !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{32b58ffd-ad29-11da-8dd2-00e04cd807b7} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{58de7e03-4252-11dc-9345-00e04cd807b7} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6fc70eed-c35f-11db-91a8-00e04cd807b7} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Programme\Die Siedler IV\ReadMe\bluebyte_minigame.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 116712
Gefundene Viren: 12
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 528
Dauer des Scans bisher: 01:47:06
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 12:28:53,92
Batchende: 12:29:15,62

Das sind wieder die escam-mwav-typischen Fehlalarme - aber dennoch hast du ja diese merkwürdigen Ordner im System. Und ja, du hast recht, es ist sicherer und gründlicher das System neuaufzusetzen als es zu bereinigen. Wenn du das machen möchtest, folge dem link "neu aufsetzen" in meiner Signatur.