Trojaner-Board - HiJackThis-Log eines Verzweifelten

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - HiJackThis-Log eines Verzweifelten (https://www.trojaner-board.de/27198-hijackthis-log-verzweifelten.html)

HiJackThis-Log eines Verzweifelten

Hallo,

ich habe schon seit Tagen leichte Probleme mit meinem Rechner gehabt, weil er ständig irgendwelche .zip-Dateien aus dem Internet geladen hat. Gestern habe ich dann mal versucht mit panda und hijackthis was daran zu machen, aber das hat eigentlich nichts gebracht, im Gegenteil, jetzt läuft mein Rechner so langsam, dass es mich etwa zwanzig Minuten gekostet hat, ihn hochzufahren und diese Seite aufzurufen.
Ich poste hier einfach mal meinen HiJackThis-Log und würde mich sehr darüber freuen, wenn mir jemand weiterhelfen könnte.

Danke im Voraus

Ulf

Logfile of HijackThis v1.98.2
Scan saved at 04:00:13, on 28.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Vba32\Vba32Ldr.exe
C:\Programme\Oleco\_Oleco.exe
C:\DOKUME~1\Ulf\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [] p2pnetworking.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [] p2pnetworking.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Popup Ad Filter] C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe
O4 - HKCU\..\Run: [services32] C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000228.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\dllhook.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dllhook.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

Poste bitte ein neues Logfile was mit der neuen Version von HJT erstellt wurde.

Servus@all:
Ergänzung zu JayP: Entpacke die aktuelle Version von HJT (1.99.1) in ein eigenes Verzeichnis, nicht - so wie bisher die alte - in den Temporärordner. Da funktioniert die mitunter wichtige Backup Funktion nicht!

stupormundi

Ja, pardon, hier ist die aktuelle Version:

Logfile of HijackThis v1.99.1
Scan saved at 15:24:20, on 28.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Apoint2K\Apntex.exe
C:\DOKUME~1\Ulf\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [] p2pnetworking.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [] p2pnetworking.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Popup Ad Filter] C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe
O4 - HKCU\..\Run: [services32] C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000228.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\dllhook.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dllhook.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Vba32ECM - VirusBlokAda Ltd. - C:\Programme\Vba32\Vba32ldr.exe
O23 - Service: Vba32ifs - VirusBlokAda Ltd. - C:\Programme\Vba32\Vba32ldr.exe
O23 - Service: Vba32 Loader Service (Vba32Ldr) - VirusBlokAda Ltd. - C:\Programme\Vba32\Vba32Ldr.exe
O23 - Service: Vba32PP3 - VirusBlokAda Ltd. - C:\Programme\Vba32\Vba32ldr.exe

milanrichcrow

Maxifiles(Information)
http://virus-protect.org/artikel/spyware/maxifiles.html

1.)
Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten--> poste den Text
http://www.virustotal.com/flash/index_en.html

c:\windows\system32\dllhook.dll

---------------------------------------------------------------------
2.)
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [] p2pnetworking.exe
O4 - HKLM\..\RunServices: [] p2pnetworking.exe
O4 - HKCU\..\Run: [services32] C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000228.exe

PC neustarten

3.)
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat:

cd\
cd c:\programme\gemein~1\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt

4.)
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

5.)
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

So, hier kommt das Ergebnis von virus-protect, allerdings gibt´s bei mir den Ordner windows/system32 nicht, ich hab deswegen die Datei c:/programme/vba32/dllhook.dll genommen, ich hoffe mal, das ist kein Problem. Die anderen Schritte führe ich gleich durch, mein Rechner ist halt grad saulangsam. Also:

This is a report processed by VirusTotal on 02/28/2006 at 17:04:44 (CET) after scanning the file "dllhook.dll" file.
Antivirus Version Update Result
AntiVir 6.33.1.50 02.28.2006 no virus found
Avast 4.6.695.0 02.27.2006 no virus found
AVG 718 02.28.2006 no virus found
Avira 6.33.1.50 02.28.2006 no virus found
BitDefender 7.2 02.28.2006 no virus found
CAT-QuickHeal 8.00 02.27.2006 no virus found
ClamAV devel-20060126 02.28.2006 no virus found
DrWeb 4.33 02.28.2006 no virus found
eTrust-InoculateIT 23.71.89 02.27.2006 no virus found
eTrust-Vet 12.4.2098 02.28.2006 no virus found
Ewido 3.5 02.28.2006 no virus found
Fortinet 2.71.0.0 02.28.2006 no virus found
F-Prot 3.16c 02.27.2006 no virus found
Ikarus 0.2.59.0 02.28.2006 no virus found
Kaspersky 4.0.2.24 02.28.2006 no virus found
McAfee 4706 02.27.2006 no virus found
NOD32v2 1.1420 02.27.2006 no virus found
Norman 5.70.10 02.28.2006 no virus found
Panda 9.0.0.4 02.28.2006 Suspicious file
Sophos 4.03.0 02.28.2006 no virus found
Symantec 8.0 02.28.2006 no virus found
TheHacker 5.9.4.103 02.28.2006 no virus found
UNA 1.83 02.27.2006 no virus found
VBA32 3.10.5 02.28.2006 no virus found

So, ich hab jetzt versucht all das zu machen, was mir aufgetragen wurde, ich hoffe mal, es hat geklappt.
Ich poste jetzt mal die letzten drei Monate aus der datfindbat-Geschichte:

28.02.2006 17:30 10 M02
27.02.2006 17:50 0 asfiles.txt
27.02.2006 17:45 2.550 Uninstall.ico
27.02.2006 17:45 1.406 Help.ico
27.02.2006 17:45 30.590 pavas.ico
25.02.2006 00:18 1.158 wpa.dbl
08.02.2006 06:23 4.513.120 MRT.exe
07.02.2006 12:41 3.120 HSeNJ.ocx
04.02.2006 16:25 190.592 FNTCACHE.DAT
03.02.2006 13:29 62.464 bszip.dll
03.02.2006 13:28 2 regedit.com
03.02.2006 13:28 2 tasklist.com
03.02.2006 13:28 2 netstat.com
03.02.2006 13:28 2 cmd.com
03.02.2006 13:28 2 ping.com
03.02.2006 13:28 2 taskkill.com
03.02.2006 13:28 2 tracert.com
18.01.2006 13:05 57.344 avsda.dll
04.01.2006 04:35 68.096 webclnt.dll
29.12.2005 03:54 280.064 gdi32.dll
06.12.2005 06:02 5.533.696 wmp.dll
01.12.2005 04:31 1.492.480 shdocvw.dll

Ich warte dann mal auf weitere Anweisungen...

milanrichcrow

*du hast die Haelfte, um die ich gebeten hatte, nicht gepostet...die 4 Logs nicht (sondern nur eins davon...) und nicht die list.bat ...also muss ich meine Glaskugel hervorholen ;)

*
arbeite die bfu (und alles andere ab):
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html
von ewido poste dann bitte den Scanreport

*
loeschen:...falls du es noch findest, nach dem Scan mit Ewido....

C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000228.exe
C:\Programme\Gemeinsame Dateien\services.exe
C:\Programme\Gemeinsame Dateien\system32.dll
C:\Programme\Gemeinsame Dateien\Windows\ack.html
C:\Programme\Gemeinsame Dateien\Windows\AutoIt3.exe
C:\Programme\Gemeinsame Dateien\Windows\request.html
C:\Programme\Gemeinsame Dateien\Windows\services32.exe
C:\Programme\Gemeinsame Dateien\Windows

C:\Programme\Freeprod Toolbar
C:\Programme\Network
C:\Programme\DNS
C:\Programme\InetGet
C:\Programme\InetGet2

Ähm, ich hab da nochmal ne Frage: Ich lass gerade dieses ewido-Ding laufen, aber das geht kaum voran. Bei dem Tempo müsste es noch etwa drei Tage laufen. Mach ich irgendwas falsch? Oder kann man das irgendwie schneller machen?

Zitat:

Oder kann man das irgendwie schneller machen?

beende alle anderen Anwendungen, die du eventuell am Laufen hast und schliesse alle Internetverbindungen.
Zur Not poste den Scanreport morgen ;)

Ja, das hat schon mal viel gebracht. Danke. Hätte man fast auch selber drauf kommen können...

So, nach dem ebenso simplen wie wertvollen letzten Tipp ist der Scan dann dochmal fertig geworden, hier das Ergebnis:

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 21:05:48, 28.02.2006
+ Report-Checksumme: 25D0EF87

+ Scanergebnis:

C:\WINDOWS\system32\SWRT01.dll -> Adware.VirtualBouncer : Gesäubert mit Backup
C:\WINDOWS\winsysupd7.exe -> Downloader.VB.wg : Gesäubert mit Backup
C:\WINDOWS\myupdates.exe -> Downloader.Adload.l : Gesäubert mit Backup
C:\WINDOWS\winsysupd8.exe -> Hijacker.StartPage.ahg : Gesäubert mit Backup
C:\WINDOWS\winsysban8.exe -> Hijacker.VB.lg : Gesäubert mit Backup
C:\Programme\Gemeinsame Dateien\InetGet\mc-110-12-0000137.exe -> Dropper.Agent.aac : Gesäubert mit Backup
C:\Programme\Gemeinsame Dateien\InetGet\mc-110-12-0000228.exe -> Dropper.Agent.aac : Gesäubert mit Backup
C:\Programme\Gemeinsame Dateien\Windows\services32.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000137.exe -> Dropper.Agent.aac : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\b_shopping.bmp -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\dictionary.bmp -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\finance.bmp -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\games.bmp -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\highlighter.bmp -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\logo.bmp -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\megaseartb0300.cfg -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\news.bmp -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\popupblocker_off.bmp -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\popupblocker_on.bmp -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\popupblocker_ona.bmp -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\progression.gif -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\related_links.bmp -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\search.bmp -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\siteInfo.bmp -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\travel.bmp -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\NewCfg -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\Sinfo.txt -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\TheSearchAccelerator -> Adware.UCmore : Gesäubert mit Backup
C:\Programme\TheSearchAccelerator\INSTALL.LOG -> Adware.UCmore : Gesäubert mit Backup
C:\Programme\TheSearchAccelerator\UNWISE.EXE -> Adware.UCmore : Gesäubert mit Backup
C:\Programme\TheSearchAccelerator\toolbar.cfg -> Adware.UCmore : Gesäubert mit Backup
C:\Programme\TheSearchAccelerator\logo.ico -> Adware.UCmore : Gesäubert mit Backup
C:\Programme\TheSearchAccelerator\UCMTSAIE.dll -> Adware.UCmore : Gesäubert mit Backup
C:\Programme\TheSearchAccelerator\IUCmore.dll -> Adware.UCmore : Gesäubert mit Backup
C:\Programme\TheSearchAccelerator\TBlogin.users.ucmore.com.4.5.40.0 -> Adware.UCmore : Gesäubert mit Backup
C:\Programme\Toolbar888\ToolBar888.dll -> Adware.Softomate : Gesäubert mit Backup
C:\Programme\Network\ipnetwork.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012439.exe -> Adware.Altnet : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012441.dll -> Adware.BrilliantDigital : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012443.EXE -> Adware.Altnet : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012448.DLL -> Adware.Altnet : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012449.dll -> Adware.Altnet : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012453.dll -> Adware.Altnet : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012454.dll -> Adware.Altnet : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012455.exe -> Adware.Altnet : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012457.dll -> Adware.Altnet : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012459.dll -> Adware.Altnet : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012461.exe -> Adware.Altnet : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012466.dll -> Adware.Altnet : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012478.DLL -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012479.exe -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012480.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012481.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012483.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012484.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012485.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012486.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012487.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012488.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012489.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012490.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012526.EXE -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012527.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012528.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012529.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012530.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012531.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012532.exe -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012533.exe -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012534.exe -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012535.exe -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP31\A0013255.dll -> Dropper.Small.abe : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP31\A0013256.exe -> Downloader.Agent.a : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP31\A0013257.dll -> Dropper.Noname.a : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP37\A0016939.exe -> Dropper.WinAD.h : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017067.EXE -> Backdoor.Rbot.afu : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017458.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017471.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017483.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017503.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017515.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017539.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017554.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017566.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017579.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017591.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017608.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017622.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017638.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017651.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP39\A0017739.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP39\A0017837.exe -> Downloader.VB.wd : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP39\A0017838.exe -> Downloader.VB.wj : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP39\A0017839.exe -> Dropper.Agent.mf : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP39\A0017855.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP39\A0017868.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP39\A0017881.exe -> Downloader.VB.wd : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP39\A0017889.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP39\A0017930.exe -> Dropper.Agent.aac : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP39\A0018064.exe -> Downloader.VB.wr : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP43\A0018188.dll -> Adware.BargainBuddy : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP43\A0018196.dll -> Hijacker.Small.jf : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP43\A0018197.exe -> Hijacker.VB.le : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP43\A0018199.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP43\A0018202.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\ucmoreiex.exe/UCMTSAIE.DLL -> Adware.Ucmore : Gesäubert mit Backup
C:\ucmoreiex.exe/IUCMORE.DLL -> Adware.Ucmore : Gesäubert mit Backup

::Report Ende

Vom Gefühl ist der Rechner auch wieder ok, er läuft auf jeden Fall wieder mit gewohnter Geschwindigkeit. Soll ich trotzdem noch irgendwas machen?

milanrichcrow

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (nach der Saeuberung wieder aktivieren)

2.
mache bitte einen Onlinescan mit Panda und poste den Scanreport
http://virus-protect.org/onlinescan.html

3.
dann moechte ich die 4 Textdateien von datfindbat sehen, du hattest nur den ersten gepostet !!!!
http://virus-protect.org/datfindbat.html

Zitat:

1.Log Verzeichnis von C:\WINDOWS\system32
2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
3.Log Verzeichnis von C:\WINDOWS
4.Log Verzeichnis von C:\

So, hier schon mal der Scan mit Panda:

Incident Status Location

Spyware:spyware/betterinet Not disinfected C:\WINDOWS\SYSTEM32\in10b6s.dll
Adware:adware/virtualbouncer Not disinfected C:\WINDOWS\SYSTEM32\INNERADINSTALL.LOG
Adware:adware/wupd Not disinfected C:\WINDOWS\SYSTEM32\ide21201.vxd
Adware:adware/favoriteman Not disinfected C:\WINDOWS\DOWNLOADED PROGRAM FILES\ATPartners.inf
Adware:adware/localnrd Not disinfected C:\WINDOWS\INF\localNrd.inf
Adware:adware/ipinsight Not disinfected C:\WINDOWS\INF\conscorr.inf
Adware:adware/gator Not disinfected C:\WINDOWS\GatorUninstaller_cme.log
Spyware:application/bestoffer Not disinfected C:\WINDOWS\smdat32m.sys
Adware:adware/dollarrevenue Not disinfected C:\WINDOWS\teller2.chk
Adware:adware/addestroyer Not disinfected C:\Dokumente und Einstellungen\Ulf\Startmen\Programme\AdDestroyer
Adware:adware/ucmore Not disinfected C:\Dokumente und Einstellungen\Ulf\Startmen\Programme\UCmore - The Search Accelerator
Adware:adware/maxifiles Not disinfected C:\PROGRAMME\GEMEINSAME DATEIEN\InetGet
Potentially unwanted tool:application/myway Not disinfected C:\PROGRAMME\MyWay
Adware:adware/mediatickets Not disinfected Windows Registry
Adware:Adware/BroadcastPC Not disinfected C:\DR21206.exe
Spyware:Spyware/BetterInet Not disinfected C:\WINDOWS\system32\in10b6s.dll
Adware:Adware/LocalNRD Not disinfected C:\WINDOWS\inf\localNrd.inf
Adware:Adware/IPInsight Not disinfected C:\WINDOWS\inf\conscorr.inf
Adware:Adware/NetPals Not disinfected C:\WINDOWS\Downloaded Program Files\ATPartners.inf
Adware:Adware/DollarRevenue Not disinfected C:\WINDOWS\winsysupd9.exe
Adware:Adware/DollarRevenue Not disinfected C:\WINDOWS\gimmygames11.exe
Adware:Adware/Ucmore Not disinfected C:\Dokumente und Einstellungen\Ulf\Startmenü\Programme\UCmore - The Search Accelerator\UCmore Tour.lnk
Adware:Adware/Ucmore Not disinfected C:\Dokumente und Einstellungen\Ulf\Startmenü\Programme\UCmore - The Search Accelerator\How To Uninstall.lnk
Adware:Adware/Maxifiles Not disinfected C:\Programme\Gemeinsame Dateien\InetGet\freeprodtb.exe
Adware:Adware/VirtualBouncer Not disinfected C:\Programme\VBouncer\VirtualBouncerUninstaller.EXE
Potentially unwanted tool:Application/MyWay Not disinfected C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE
Potentially unwanted tool:Application/MyWay Not disinfected C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
Potentially unwanted tool:Application/MyWay Not disinfected C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL
Adware:Adware/Maxifiles Not disinfected C:\Recycled\Dc4\gimmysmileysB.exe
Adware:Adware/DollarRevenue Not disinfected C:\gimmygames11.exe
Adware:Adware/ClkOptimizer Not disinfected C:\installerwebnex.exe
Sorry, dass das so komisch angeordnet ist.

nun werde ich erst mal garnichts mehr anweisen, solange du mir nicht die 4 Textdateien von datfindbat postest...sonst werden wir nie fertig....
du hattest nur den ersten gepostet !!!!

http://virus-protect.org/datfindbat.html

Zitat:

1.Log Verzeichnis von C:\WINDOWS\system32
2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
3.Log Verzeichnis von C:\WINDOWS
4.Log Verzeichnis von C:\

So, jetzt, diese datfind.bat-Sachen:

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\WINDOWS\system32

01.03.2006 14:49 10 M02
01.03.2006 14:41 2.550 Uninstall.ico
01.03.2006 14:41 1.406 Help.ico
01.03.2006 14:41 30.590 pavas.ico
27.02.2006 17:50 0 asfiles.txt
25.02.2006 00:18 1.158 wpa.dbl
08.02.2006 06:23 4.513.120 MRT.exe
07.02.2006 12:41 3.120 HSeNJ.ocx
04.02.2006 16:25 190.592 FNTCACHE.DAT
18.01.2006 13:05 57.344 avsda.dll
04.01.2006 04:35 68.096 webclnt.dll
29.12.2005 03:54 280.064 gdi32.dll
06.12.2005 06:02 5.533.696 wmp.dll
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 3.013.632 mshtml.dll

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\DOKUME~1\Ulf\LOKALE~1\Temp

01.03.2006 14:10 612 jusched.log
1 Datei(en) 612 Bytes
0 Verzeichnis(se), 13.887.815.680 Bytes frei

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\WINDOWS

01.03.2006 14:43 32 pavsig.txt
01.03.2006 14:17 1.551.353 WindowsUpdate.log
01.03.2006 14:10 4.236 ModemLog_Agere Systems AC'97 Modem.txt
01.03.2006 14:10 159 wiadebug.log
01.03.2006 14:10 0 0.log
01.03.2006 14:10 2.048 bootstat.dat
01.03.2006 00:30 32.618 SchedLgU.Txt
01.03.2006 00:30 50 wiaservc.log
28.02.2006 21:10 568.597 setupapi.log
28.02.2006 18:50 745.476 ntbtlog.txt
28.02.2006 15:25 536 oleco.ini
27.02.2006 17:49 642 win.ini
27.02.2006 13:27 0 winsysupd111.dat
25.02.2006 15:48 45.638 wmsetup.log
25.02.2006 15:41 61.440 gimmygames11.exe
25.02.2006 15:41 0 gimmygames.dat
25.02.2006 15:41 0 winsysupd101.dat
20.02.2006 21:33 0 gimmygames101.dat
20.02.2006 21:33 0 winsysupd91.dat
16.02.2006 15:40 30.333 spupdsvc.log
16.02.2006 15:37 1.374 imsins.log
16.02.2006 15:37 24.106 updspapi.log
16.02.2006 15:37 20.921 ocmsn.log
16.02.2006 15:37 19.478 msgsocm.log
16.02.2006 15:37 153.148 tsoc.log
16.02.2006 15:37 11.157 KB911927.log
16.02.2006 15:37 82.329 ntdtcsetup.log
16.02.2006 15:37 136.732 comsetup.log
16.02.2006 15:37 59.906 iis6.log
16.02.2006 15:37 199.752 ocgen.log
16.02.2006 15:37 397.161 FaxSetup.log
16.02.2006 15:37 1.374 imsins.BAK
16.02.2006 15:37 8.981 KB911564.log
16.02.2006 15:37 9.655 KB911565.log
16.02.2006 15:36 6.595 KB913446.log
16.02.2006 15:32 0 gimmygames91.dat
16.02.2006 15:32 0 winsysupd81.dat
16.02.2006 15:32 40.960 winsysupd9.exe
13.02.2006 19:22 0 winsysupd71.dat
12.02.2006 18:35 43 drsmartload2.dat
12.02.2006 18:28 0 gimmygames1.dat
12.02.2006 18:28 0 myupdates1.dat
12.02.2006 18:26 40 teller2.chk
15.01.2006 19:12 10.150 KB908519.log
10.01.2006 17:04 10.977 KB912919.log
08.01.2006 22:27 9.374 KB910437.log
08.01.2006 22:27 15.442 KB905915.log
11.11.2005 22:04 11.794 KB896424.log

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\

01.03.2006 15:49 0 sys.txt
01.03.2006 15:48 10.244 system.txt
01.03.2006 15:48 281 systemtemp.txt
01.03.2006 15:45 99.532 system32.txt
01.03.2006 14:10 519.622.656 hiberfil.sys
01.03.2006 14:10 792.723.456 pagefile.sys
27.02.2006 13:46 270.655 installerwebnex.exe
27.02.2006 13:29 38.042 DR21206.exe
27.02.2006 13:27 61.440 gimmygames11.exe
27.02.2006 13:27 90.112 winsysban12.exe

nun brauche ich noch folgendes:

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei (txt) auf dem Desktop

1.
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

2.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren:

C:\WINDOWS\winsysupd111.dat
C:\WINDOWS\wmsetup.log
C:\WINDOWS\gimmygames11.exe
C:\WINDOWS\gimmygames.dat
C:\WINDOWS\winsysupd101.dat
C:\WINDOWS\gimmygames101.dat
C:\WINDOWS\winsysupd91.dat
C:\WINDOWS\gimmygames91.dat
C:\WINDOWS\winsysupd81.dat
C:\WINDOWS\winsysupd9.exe
C:\WINDOWS\winsysupd71.dat
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\gimmygames1.dat
C:\WINDOWS\myupdates1.dat
C:\WINDOWS\teller2.chk
C:\installerwebnex.exe
C:\DR21206.exe
C:\gimmygames11.exe
C:\winsysban12.exe
C:\Programme\Gemeinsame Dateien\InetGet\freeprodtb.exe
C:\PROGRAMME\GEMEINSAME DATEIEN\InetGet
C:\WINDOWS\SYSTEM32\in10b6s.dll
C:\WINDOWS\SYSTEM32\INNERADINSTALL.LOG
C:\WINDOWS\SYSTEM32\ide21201.vxd
C:\WINDOWS\DOWNLOADED PROGRAM FILES\ATPartners.inf
C:\Programme\VBouncer\VirtualBouncerUninstaller.EXE
C:\WINDOWS\INF\localNrd.inf
C:\WINDOWS\INF\conscorr.inf
C:\Dokumente und Einstellungen\Ulf\Startmen\Programme\AdDestroyer
C:\Dokumente und Einstellungen\Ulf\Startmen\Programme\UCmore - The Search Accelerator
C:\WINDOWS\GatorUninstaller_cme.log
C:\WINDOWS\smdat32m.sys

PC neustarten

3.
nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

4.
lade --> Look2Me-Destroyer V1.0.5
http://virus-protect.org/l2mfix.html
nach dem Scan poste den scanreport !!!

5.
deinstalliere:
MyWay
AdDestroyer
The Search Accelerator
VBouncer

6.
loesche manuell:
C:\Dokumente und Einstellungen\Ulf\Startmen\Programme\AdDestroyer
C:\Dokumente und Einstellungen\Ulf\Startmen\Programme\UCmore - The Search Accelerator
C:\PROGRAMME\GEMEINSAME DATEIEN\InetGet
C:\PROGRAMME\MyWay
C:\Programme\VBouncer
C:\WINDOWS\INF

7.
dann scanne noch einmal mit Panda und berichte

Ich hab das Programm gerade durchlaufen lassen, es hat nichts gefunden und wahrscheinlich auch deswegen keine Datei auf meinem Desktop platziert.
Unter "Show All Processes" werden mir 32 Dateien aufgelistet, die könnte ich sonst abtippen, kopieren kann man die leider nicht, wenns was bringt.

Zitat:

Zitat von milanrichcrow

es wird immer eine scandatei erstellt... aber du kanst ja mal grob abtippen, einen Teil, nur damit ich sehen kann, ob der Apropos auf der Platte ist oder nicht....

Mein letzter Beitrag bezog sich auf dieses f-secure Blacklight-Programm.
Hier jetzt der Report von lm2fix:

L2MFIX find log 010406
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
@=""
"DLLName"="igfxsrvc.dll"
"Asynchronous"=dword:00000001
"Impersonate"=dword:00000001
"Unlock"="WinlogonUnlockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Eigenschaften fr Multimediadatei"
"{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite fr Dokumente"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shellerweiterungen fr Freigaben"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Grafikkarten"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Bildschirme"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Anzeigeverschiebung"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Kompatibilit„tsseite"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung fr Datentr„gerkopien"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shellerweiterungen fr Microsoft Windows-Netzwerkobjekte"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shellerweiterungen fr die Dateikomprimierung"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung fr Webdrucker"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen fr die Verschlsselung"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung fr HyperTerminal-Icons"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shellerweiterungen fr Freigaben"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerkverbindungen"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Netzwerkverbindungen"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanner und Kameras"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanner und Kameras"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanner und Kameras"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanner und Kameras"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanner und Kameras"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shellerweiterungen fr Windows Script Host"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Datenverknpfung"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Taskleiste und Startmen"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Suchen"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ausfhren..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-Mail"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Schriftarten"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Verwaltung"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Shell Folder 2"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Search Band"
"{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Custom MRU AutoCompleted List"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Track Popup Bar"
"{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Syntaxanalyse der Adressleiste"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begráungsbildschirm"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer-Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Cacheordner"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ Dateiminiaturansicht-Extrahierungsprogramm"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Zusammenfassungs-Miniaturansichthandler (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML-Extrahierungsprogramm"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Webpublishing-Assistent"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Bestellung von Abzgen ber das Internet"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Shellobjekt des Webpublishing-Assistenten"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Passport-Assistent"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Benutzerkonten"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channelverknpfung"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channelhandlerobjekt"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Ordner 'Offlinedateien'"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Nach Personen..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Webordner"
"{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler"
"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"
"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"
"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Previous Versions Property Page"
"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Previous Versions"
"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"
"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"
"{21569614-B795-46b1-85F4-E737A8DC09AD}"="Shell Search Band"
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"="Shell Extension for Malware scanning"

**********************************************************************************
HKEY ROOT CLASSIDS:
**********************************************************************************
Files Found are not all bad files:
Locate .tmp files:
**********************************************************************************
Directory Listing of system files:
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\WINDOWS\System32

23.06.2003 18:47 <DIR> Microsoft
23.06.2003 18:29 <DIR> dllcache
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 13.885.374.464 Bytes frei

Ähm, in der Erklärung zu lm2fix wird noch ein zweiter Schritt erwähnt, nach dem ein Neustart erfolgen soll. Bei mir kommt dann aber eine Fehlermeldung und wenn ich dann auf Ignorieren klicke, wird von mir ein Passwort verlangt, das ich nicht habe. Ist das egal? Oder muss ich das irgendwie anders machen?

Zitat:

lade --> Look2Me-Destroyer V1.0.5

!!!!!!!!!!!!!!!!!!!!! nicht L2MFIX

Fuehre Look2Me-Destroyer V1.0.5 aus !..ist weiter unten auf der Seite
http://virus-protect.org/l2mfix.html (orange) ;)

Ich hab look2me-destroyer runtergeladen, aber das Programm lässt sich nicht ausführen. Es wird angezeigt:

Component mswinsck.ocx or one of its dependencies not correctly registered: a file is missing or invalid

kommst du mit Englisch zurecht?
Dann fuehre das aus, starte den PC neu und versuche es noch mal.
http://www.ascentive.com/support/new...e=MSCOMCTL.OCX
Du musst die MSCOMCTL.OCX in --> c:\windows\system32 --> einkopieren
oder:

du kannst die Datei auch hier direkt laden
http://www.ascentive.com/support/new...b/MSWINSCK.OCX

So, also ich hab den look2me-destroyer benutzt, hat geklappt, aber es gab keinerlei Scan-Report. Soll ich nochmal irgendeinen Scan posten?

So, jetzt hier einfach nochmal der aktuelle panda-scan:

Incident Status Location

Spyware:application/bestoffer Not disinfected C:\WINDOWS\smdat32a.sys
Adware:adware/gator Not disinfected C:\WINDOWS\GatorPdpSetup.log
Adware:adware/maxifiles Not disinfected C:\PROGRAMME\Toolbar888
Adware:adware/mediatickets Not disinfected Windows Registry
Potentially unwanted tool:application/myway Not disinfected HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\MY WAY SPEEDBAR UNINSTALL
Adware:adware/ezula Not disinfected Windows Registry
Potentially unwanted tool:Application/Processor Not disinfected C:\WINDOWS\system32\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Ulf\Lokale Einstellungen\Temporary Internet Files\Content.IE5\92PEOLKR\l2mfix[1].exe[Process.exe]
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Ulf\Desktop\l2mfix\Process.exe

1.
Gehe in die Registry
Start-->Ausfuehren--> regedit

bearbeiten--> suchen--> MY WAY / UCmore

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\MY WAY SPEEDBAR UNINSTALL<--loeschen

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UCmore<--loeschen

2.
loesche manuell:
C:\WINDOWS\smdat32a.sys
C:\WINDOWS\GatorPdpSetup.log
C:\PROGRAMME\Toolbar888

l2mfix kannst du auch wieder loeschen:
C:\Dokumente und Einstellungen\Ulf\Desktop\l2mfix
C:\WINDOWS\system32\Process.exe

3.
PC neustarten

4.
spysweeper (trial) --> scanne und poste den scanreport
http://virus-protect.org/spysweeper.html

**

So, der SpySweeper-Report:

Adware Detected: 14

Adware:

gain - common components
purityscan
virtualbouncer
altnet
topsearch
addestroyer
findthewebsiteyouneed hijack
tibs dialer
tubby toolbar
megasear toolbar
effective-i toolbar
maxifiles
dollarrevenue
ipinsight

Ah, das hier auch noch:

Trojan Horses:

2nd-thought

1.
und ...hast du alles geloescht ? Es gibt eine Funktion dafuer, nur detected reicht nicht....

2.
TuneUp 2006 (30 Tage free) Shareware
http://virus-protect.org/reinigungstoolsregistry.html
wende an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner

3.
dann scanne noch mal mit panda ...uff ... ;)
http://virus-protect.org/onlinescan.html

Ähm, ne, sorry, ich hab das so gelöscht, wie ich jede beliebige Datei gelöscht hätte...:heulen:

Der Panda-Scan kommt gleich.

So, der Panda-Scan:

Incident Status Location

Adware:adware/gator Not disinfected C:\WINDOWS\GatorPatch.log
Adware:adware/mediatickets Not disinfected Windows Registry
Potentially unwanted tool:application/myway Not disinfected HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\MYWAYTOOLBAR.NETSCAPESHUTDOWN
Adware:adware/p2pnetworking Not disinfected Windows Registry

1.
aus der Registry rausloeschen:
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\MYWAYTOOLBAR

2.
manuell loeschen:
C:\WINDOWS\GatorPatch.log

3.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

4.
deinstalliere den SpySweeper wieder (ist nicht free..oder du kaufst das Tool))

5.
Windows Defender (free)
http://virus-protect.org/ms.html

tief aufatmen :party: ..und in Zukunft klicke nicht mehr auf alles, was da so blinkt im Net und meide dubiose Tools, die dir den PC zerstoeren.

Also, Sabina, vielen Dank schonmal, ich weiß echt nicht, was ich ohne deine Hilfe gemacht hätte. Ich werd die letzten Schritte gleich mal machen und hoffen, dass dann alles ok ist.

Ähm, tja, ich dachte mein Problem wäre gelöst...
Leider ist der Rechner wieder sehr langsam und ich hab mit Panda was gefunden, hier der Bericht:

Incident Status Location

Adware:adware/mediatickets Not disinfected Windows Registry
Potentially unwanted tool:application/myway Not disinfected HKEY_LOCAL_MACHINE\SOFTWARE\MYWAY
Adware:adware/dollarrevenue Not disinfected Windows Registry
Spyware:Cookie/Microsofte Not disinfected C:\Dokumente und Einstellungen\Ulf\Cookies\ulf@microsofteup.112.2o7[1].txt
Spyware:Cookie/2o7.net Not disinfected C:\Dokumente und Einstellungen\Ulf\Cookies\ulf@2o7[2].txt
Spyware:Cookie/Microsofte Not disinfected C:\Dokumente und Einstellungen\Ulf\Cookies\ulf@microsofteup.112.2o7[1].txt
Spyware:Cookie/2o7.net Not disinfected C:\Dokumente und Einstellungen\Ulf\Cookies\ulf@2o7[2].txt

Hallo milanrichcrow,
du mußt schon tun was Sabrina dir sagt.
aus der Registry rausloeschen:
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\MYWAYTOOLBAR
Der ist offentsichtlich nicht gelöscht.
Hast du die "TuneUp"-Trialversion installiert ?Mit dem Proggi kannst du das.Über "verwalten und kontrollieren>Registry Editor>HKEY LOCAL MACHINE den Eintrag suchen und entfernen.Aber auch nur genau den !
Irrlicht

Ich hab grad geschaut, die Datei ist nicht da. Ich benutz gerade TuneUp.

Also mir ist schon klar, dass ich diese Datei löschen muss. Aber TuneUp zeigt sie mir einfach nicht an. Was soll ich machen, ein anderes Programm benutzen?

Ähm, ich will hier echt niemanden nerven, aber darf ich euer Schweigen so deuten, dass ihr mir nicht mehr weiterhelfen könnt? Wenn dem so ist, werde ich meinen Rechner wohl formatieren müssen, auch wenn das ziemlich blöd wär. Ich warte einfach noch etwas ab, ob jemand von euch doch noch nen guten Tipp für mich hat. Falls nicht, danke für die Hilfe bis hierher.

milanrichcrow

ich schau noch mal nach ;)
(und wegen dem: "euer Schweigen" ... ich bin nicht Tag und Nacht Online... zumal das hier ein freiwilliger Job ist...nicht wahr? )

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

MYWAYTOOLBAR

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

MYWAY

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

ansonsten musst du dir wegen diesem Eintrag keine so grossen Sorgen zu machen... die Viren sind weg und C:\Programme\MyWay geloescht.

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 04.03.2006 12:21:08 for strings:
; 'mywaytoolbar'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0494D0D5-F8E0-41ad-92A3-14154ECE70AC}\ProgID]
@="MyWayToolBar.NetscapeShutdown.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0494D0D5-F8E0-41ad-92A3-14154ECE70AC}\VersionIndependentProgID]
@="MyWayToolBar.NetscapeShutdown"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0494D0D7-F8E0-41ad-92A3-14154ECE70AC}\ProgID]
@="MyWayToolBar.NetscapeStartup.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0494D0D7-F8E0-41ad-92A3-14154ECE70AC}\VersionIndependentProgID]
@="MyWayToolBar.NetscapeStartup"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0494D0DB-F8E0-41ad-92A3-14154ECE70AC}\ProgID]
@="MyWayToolBar.SettingsPlugin.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0494D0DB-F8E0-41ad-92A3-14154ECE70AC}\VersionIndependentProgID]
@="MyWayToolBar.SettingsPlugin"

[HKEY_USERS\S-1-5-21-2317538923-2690133624-1694720459-1005\Software\Netscape\Netscape Navigator\Automation Shutdown]
"MyWayToolBar.NetscapeShutdown.1"="MyWayToolBar.NetscapeShutdown.1"

[HKEY_USERS\S-1-5-21-2317538923-2690133624-1694720459-1005\Software\Netscape\Netscape Navigator\Automation Startup]
"MyWayToolBar.NetscapeStartup.1"="MyWayToolBar.NetscapeStartup.1"

; End Of The Log...

und...

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 04.03.2006 12:23:33 for strings:
; 'mywaytoolbar'
; 'myway'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0494D0D5-F8E0-41ad-92A3-14154ECE70AC}\ProgID]
@="MyWayToolBar.NetscapeShutdown.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0494D0D5-F8E0-41ad-92A3-14154ECE70AC}\VersionIndependentProgID]
@="MyWayToolBar.NetscapeShutdown"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0494D0D7-F8E0-41ad-92A3-14154ECE70AC}\ProgID]
@="MyWayToolBar.NetscapeStartup.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0494D0D7-F8E0-41ad-92A3-14154ECE70AC}\VersionIndependentProgID]
@="MyWayToolBar.NetscapeStartup"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0494D0DB-F8E0-41ad-92A3-14154ECE70AC}\ProgID]
@="MyWayToolBar.SettingsPlugin.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0494D0DB-F8E0-41ad-92A3-14154ECE70AC}\VersionIndependentProgID]
@="MyWayToolBar.SettingsPlugin"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0494D0DE-F8E0-41ad-92A3-14154ECE70AC}\Instance\InitPropertyBag]
"Url"="res://C:\\PROGRA~1\\MyWay\\myBar\\1.bin\\MYBAR.DLL/105"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{0494D0D4-F8E0-41AD-92A3-14154ECE70AC}]
@="IMyWayBarNetscapeShutdown"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{0494D0D6-F8E0-41AD-92A3-14154ECE70AC}]
@="IMyWayBarNetscapeStartup"

[HKEY_LOCAL_MACHINE\SOFTWARE\MyWay]

[HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar]

[HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar]
"Dir"="C:\\Programme\\MyWay\\myBar\\"
"CacheDir"="C:\\Programme\\MyWay\\myBar\\Cache\\"
"HistoryDir"="C:\\Programme\\MyWay\\myBar\\History\\"
"SettingsDir"="C:\\Programme\\MyWay\\myBar\\Settings\\"
"ConfigRevisionURL"="http://kg.barcfg.myway.com/speedbar/mySpeedbarCfg2.jsp?s=al2&p=KG"

[HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar\partner]

[HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar\partner]
"bitmap"="C:\\Programme\\MyWay\\myBar\\1.bin\\partner.bmp"

[HKEY_USERS\S-1-5-21-2317538923-2690133624-1694720459-1005\Software\Microsoft\Search Assistant\ACMru\5603]
"003"="myway"

[HKEY_USERS\S-1-5-21-2317538923-2690133624-1694720459-1005\Software\Netscape\Netscape Navigator\Automation Shutdown]
"MyWayToolBar.NetscapeShutdown.1"="MyWayToolBar.NetscapeShutdown.1"

[HKEY_USERS\S-1-5-21-2317538923-2690133624-1694720459-1005\Software\Netscape\Netscape Navigator\Automation Startup]
"MyWayToolBar.NetscapeStartup.1"="MyWayToolBar.NetscapeStartup.1"

; End Of The Log...

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0494D0DE-F8E0-41ad-92A3-14154ECE70AC}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{0494D0D4-F8E0-41AD-92A3-14154ECE70AC}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\MyWay]

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken
dann scanne noch mal mit Registry Search 2.0.... und ueberpruefe, ob alles geloescht ist, falls nicht, loesche manuell ueber start --> Ausfuehren --> regedit ;)