virus/popup das den internet explorer angreift?

[dominik-deluxe]

hallo
seit dem ich gestern abend einen film codec (von einer im nachhinein offensicht nicht vertrauenswürdigenseite) heruntergeladen habe, startet mein internet explorer nicht mehr mit google als startseite sonder, mit der:
http://iesecurepage.com/
zusätlich kommt noch so ein bescheuertes fenser, das ein virus in der registry gefunden wurde. ich soll das programm runterladen. hab ich natürlich nicht gemacht. und der acrobat reader (aud dem iexplorer gestartet) funkt. nicht mehr, das fenster wird einfach gleich wieder geschlossen, genauso wie das auf dem der betreffende link war. habe mich sofort auf die such nach dem ursprung gemacht. auch ein paar sachen gefunden und gelöscht. hab auch regcleaner, antivirus, adaware drüberlaufen lassen, aht aber nichts gebracht, danach habe ich noch ein paar sachen von hand gelöscht, was aber auch ncihts geholfen hatt.
hb schon gegoogelt, ohne erfolg
jetzt hoffe ich auch eure hilfe.
mfg
dominik

 

[dominik-deluxe]

hab gerade ausprobiert, mit mozilla geht alles ganz norm. falls es was hilft.
mfg
dominik

 

[theLastTemplar]

bittere Wahrheit: solltest du dir echt nen trojaner / virus / worm / irgendwas mit deinem codec installiert haben, hilft nur system plätten und neu aufspielen um das System wieder 100% vertrauenswürdig zu machen.
prüf doch mal nach, was du dir da raufgemacht hast, vielleicht, ist es ja doch "nur" ne adware, die deine IE einstellung verhunzt hat.

 

[horstj]

du solltest formatieren, möglichst schnell. das ist eine derzeit recht verbreitete backdoor, die innert kürzester Zeit alles mögliches nachruft. Wenn diese auch noch mit admin rechten installiert wurde, kann kein einzelner Scanner diese entfernen. hier findest du ein paar tips:
http://www.mtb-news.de/forum/showthread.php?t=245994

 

[mightyEx]

Ich nehm mal an, dass Du bereits versucht hast die Startseite zurückzusetzen. Ansonsten spricht einiges dafür, dass evtl. Dein Browser gehijackt wurde. Lade Dir mal das Programm "Hijackthis" von folgender Seite:

http://www.spywareinfo.com/~merijn/programs.php

Mach nen Scan und kopiere mal die Logdatei hier rein. Dann kann man evtl. dem Täter auf die Schliche kommen. Es gibt auch ne Seite, wo Du Deine Log-Datei hinschicken kannst. Dort wird dann quasi die Logdatei automatisch nach Schädlingen untersucht:

http://www.hijackthis.de/

Noch was: bitte nicht wahllos irgendwas löschen. Hijackthis ist ein sehr mächtiges Tool, mit dem man auch schnell seinen Browser oder Windows zerschießen kann.

 

[dominik-deluxe]

so mal danke für die antwort
hier ist die log datei:
Logfile of HijackThis v1.99.1
Scan saved at 11:34:36, on 05.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\Java\jre1.5.0_06\bin\jusched.exe
F:\PROGRA~1\HARDWA~1\Keyboard\Ikeymain.exe
F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
F:\WINDOWS\Mixer.exe
F:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
F:\Programme\Logitech\MouseWare\system\em_exec.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Programme\AntiVir PersonalEdition Classic\sched.exe
F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
F:\WINDOWS\system32\inetsrv\inetinfo.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\ZoneLabs\vsmon.exe
F:\Programme\ASCOMP Software\Synchredible\Synchredible.exe
F:\Programme\Trillian\trillian.exe
F:\Programme\eMule\emule.exe
F:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
F:\Programme\Sony\SonicStage\Omgjbox.exe
F:\Programme\Internet Explorer\iexplore.exe
F:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
F:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
F:\incoming\programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F3 - REG:win.ini: run=
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d} - F:\Programme\iVideoCodec\isaddon.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - f:\programme\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - f:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [iKeyWorks] F:\PROGRA~1\HARDWA~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [avgnt] "F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "F:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Synchredible.lnk = F:\Programme\ASCOMP Software\Synchredible\Synchredible.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1159743578390
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/mail/activex/fa_os_mms/upload_1132.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB287350-2F37-40F7-ACED-7DEFBA80F70D}: NameServer = 192.168.2.1
O21 - SSODL: bonspells - {11853d5f-f894-4cc7-bbc3-fc7a9dcfd896} - F:\WINDOWS\system32\okkmtv.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - F:\Programme\iPod\bin\iPodService.exe
O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - F:\Programme\Sony\MD Simple Burner\NetMDSB.exe
O23 - Service: Pml Driver HPZ12 - HP - F:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe

was nun?
könnt ihr was erkennen?
mfg
dominik

 

[mightyEx]

F:\WINDOWS\system32\inetsrv\inetinfo.exe ? (Server ??)

O2 - BHO: (no name) - {8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d} - F:\Programme\iVideoCodec\isaddon.dll -> Troj. eCodec !!

O21 - SSODL: bonspells - {11853d5f-f894-4cc7-bbc3-fc7a9dcfd896} - F:\WINDOWS\system32\okkmtv.dll (file missing) -> Teil von Troj. eCodec !!

Da haben wir den Drömel .

http://virus-protect.org/artikel/spyware/ivideocodec_remove.html

Hast Du bereits die aktuellste Version von Spybot getestet ?!

 

[dominik-deluxe]

hey danke
spybot hatte ich mal, aber ich fand das prog ******* habe wieder gelöscht, porbiere es nochmal.
die anweiseungen von ersten link raffe ich nicht, kannst du mir das bitte vielleicht näher erleutern was ich da machen muss?
danke

 

[horstj]

vergiss es es. das ist eine aktiver troj, der dir mittlerweile vermutlich schon ein dutzend anderer doors/trojs in alle möglichen dateien eingelegt hat->nur von extern sicher zu reinigen, aufwand hoch. format c:

 

[trekkinger]

vergiss es es. das ist eine aktiver troj, der dir mittlerweile vermutlich schon ein dutzend anderer doors/trojs in alle möglichen dateien eingelegt hat->nur von extern sicher zu reinigen, aufwand hoch. format c:

Sind die denn nicht zu identifizieren?
Ich habe/hatte (?) ein ähnliches Problem: Trojan Horse BackDoor.Generic3.DHS. Leider ist darüber nicht wirklich etwas im Netz zu finden. Zwar hat der Scanner diesen erkannt, bin aber trotzdem nicht sicher, ob das system wieder sauber ist. Sobald ich im Netz bin, kommen manchmal ständig nervende Remote-Anfragen, die meine FW dann anzeigt. Teilweise kann ich kaum in Ruhe ein Wort zuende schreiben. Wenn ich dann Off- und dann wider Online gehe, ist es dann besser.

 

[mightyEx]

Also auf der Seite gibt es ein Script, was diese Teil entfernen soll. Ob's funzt - keine Ahnung. Ich versteh das momentan so:

Der erste Teil der Webseite sind mögliche Einträge bei Hijackthis. Der zweite Teil sind Einträge in der Windows-Registrierung. Der dritte und entscheidende Teil ist das Entfernungsscript, was mit dem Programm Avenger ausgeführt werden muss. Dazu muß man zunächst Avenger laden und dann das Script von der Seite:

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|ferrateen
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|clamoring
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|bonspells
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{0d9eb558-0666-479e-868a-21b1d1a53bd1}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{27321538-5739-4aa1-b84c-7d18e4383f1f}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|VirusBursters

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ACF3DAB0-D308-4B7A-BFE3-E6C0FAFEB1E7}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iVideoCodec
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CodecsSoftwarePackage.chl
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AVZipEnchancer.Chl
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusBursters
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virusbursters.exe
HKEY_LOCAL_MACHINE\SOFTWARE\VirusBursters

Files to delete:
C:\WINDOWS\system32\rrtcany.dll
C:\WINDOWS\system32\veklo.dll
C:\WINDOWS\system32\okkmtv.dll
C:\Dokumente und Einstellungen\[COLOR="Red"]Username[/COLOR]\Desktop\ivideocodec.1135.exe
C:\Dokumente und Einstellungen\[COLOR="Red"]Username[/COLOR]\Desktop\ivideocodec.799.exe

Folders to delete:
C:\Programme\VirusBursters
C:\Programme\iVideoCodec

in Avenger kopieren und das Script ausführen lassen.

Ich würd erstmal Spybot und falls das nichts hilft das Script ausprobieren, bevor ich das System neu aufsetze.

Du musst das Script aber noch anpassen, da Dein Systemlaufwerk nicht C: sondern F: ist. Weiterhin muss bei Username der Name des entsprechenden Computernutzers hin. Das bekommst Du z.B. mit dem Windows Explorer raus.

 

[dominik-deluxe]

hab eigntlich kein bock meine festplatte zu formatieren, kann auch nicht feststellen das er sich ausbreitet

 

[dominik-deluxe]

so habe das programm drüber laufen lassen, neu gestartet, nun die log datei:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\tnaseuel

*******************

Script file located at: \??\F:\WINDOWS\fhovlscu.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at F:\Avenger

*******************

Beginning to process script file:



Could not open file C:\WINDOWS\system32\rrtcany.dll for deletion
Deletion of file C:\WINDOWS\system32\rrtcany.dll failed!
Status: 0xc000003a


Could not open file C:\WINDOWS\system32\veklo.dll for deletion
Deletion of file C:\WINDOWS\system32\veklo.dll failed!
Status: 0xc000003a



Could not open file C:\WINDOWS\system32\okkmtv.dll for deletion
Deletion of file C:\WINDOWS\system32\okkmtv.dll failed!
Status: 0xc000003a



Could not open file C:\WINDOWS\system32\sacskza.dll for deletion
Deletion of file C:\WINDOWS\system32\sacskza.dll failed!
Status: 0xc000003a



Could not open file C:\Dokumente und Einstellungen\Username\Desktop\ivideocodec.1135.exe for deletion
Deletion of file C:\Dokumente und Einstellungen\Username\Desktop\ivideocodec.1135.exe failed!
Status: 0xc000003a



Could not open file C:\Dokumente und Einstellungen\Username\Desktop\ivideocodec.799.exe for deletion
Deletion of file C:\Dokumente und Einstellungen\Username\Desktop\ivideocodec.799.exe failed!
Status: 0xc000003a



Could not open folder C:\Programme\VirusBursters for deletion
Deletion of folder C:\Programme\VirusBursters failed!
Status: 0xc000003a



Could not open folder C:\Programme\iVideoCodec for deletion
Deletion of folder C:\Programme\iVideoCodec failed!
Status: 0xc000003a



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|ferrateen
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|ferrateen failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|clamoring
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|clamoring failed!
Status: 0xc0000034

Registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|bonspells deleted successfully.


Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|detachments
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|detachments failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{0d9eb558-0666-479e-868a-21b1d1a53bd1}
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{0d9eb558-0666-479e-868a-21b1d1a53bd1} failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{27321538-5739-4aa1-b84c-7d18e4383f1f}
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{27321538-5739-4aa1-b84c-7d18e4383f1f} failed!
Status: 0xc0000034

Registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896} deleted successfully.


Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{01d8d081-0f76-4ab5-b5e4-9b23a709670e}
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{01d8d081-0f76-4ab5-b5e4-9b23a709670e} failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe
Deletion of registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe
Deletion of registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|wininet.dll
Deletion of registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|wininet.dll failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|VirusBursters
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|VirusBursters failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ACF3DAB0-D308-4B7A-BFE3-E6C0FAFEB1E7} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ACF3DAB0-D308-4B7A-BFE3-E6C0FAFEB1E7} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iVideoCodec not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iVideoCodec failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03 failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006 failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d} deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CodecsSoftwarePackage.chl not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CodecsSoftwarePackage.chl failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AVZipEnchancer.Chl not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AVZipEnchancer.Chl failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusBursters not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusBursters failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virusbursters.exe not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virusbursters.exe failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\VirusBursters not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\VirusBursters failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

 

[dominik-deluxe]

zumindestens habe ich wieder google als startseite, also hat in diesem fall schonmal geholfen. wegen den anderen sachen probiere ich es nochmal. sage dann bescheid.
schonmal danke an alle
mfg
domink
p.s gib niemals auf ^^

 

[dominik-deluxe]

acrobat reader funkt. auch wieder

 

[mightyEx]

Wie ich ergänzt hatte - Du musst im Script das Systemlaufwerk von C: in F: ändern:

Files to delete:
F:\WINDOWS\system32\rrtcany.dll
F:\WINDOWS\system32\veklo.dll
F:\WINDOWS\system32\okkmtv.dll
F:\Dokumente und Einstellungen\Username\Desktop\ivideocodec.1135.exe
F:\Dokumente und Einstellungen\Username\Desktop\ivideocodec.799.exe

Folders to delete:
F:\Programme\VirusBursters
F:\Programme\iVideoCodec


und den Username anpassen. Den hast Du damals festgelegt, als Du Windows installiert hast. Auf Deinem Systemlaufwerk solltest Du folgendes finden:

F:\Dokumente und Einstellungen\All Users
F:\Dokumente und Einstellungen\Default User (versteckt)
F:\Dokumente und Einstellungen\LocalService
F:\Dokumente und Einstellungen\NetworkService

und noch ein Verzeichnis

F:\Dokumente und Einstellungen\<Dein Username>

 

[mightyEx]

So ich hab das Script mal mit Variablen ausgestattet, so dass es laufen sollte, egal auf welchem Systemlaufwerk. Ich habe übrigends gesehen, dass bei der Ausführung das Script wohl vorher nicht ganz korrekt kopiert wurde. Jedenfalls ist an der Stelle "currentversion" fast immer ne Lücke gewesen "current version" (Zeilenumbruch ?). Das muss korrigiert werden, weil das Script sonst nicht einwandfrei arbeitet.

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|ferrateen
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|clamoring
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|bonspells
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{0d9eb558-0666-479e-868a-21b1d1a53bd1}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{27321538-5739-4aa1-b84c-7d18e4383f1f}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|VirusBursters

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ACF3DAB0-D308-4B7A-BFE3-E6C0FAFEB1E7}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iVideoCodec
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CodecsSoftwarePackage.chl
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AVZipEnchancer.Chl
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusBursters
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virusbursters.exe
HKEY_LOCAL_MACHINE\SOFTWARE\VirusBursters

Files to delete:
%windir%\system32\rrtcany.dll
%windir%\system32\veklo.dll
%windir%\system32\okkmtv.dll
%USERPROFILE%\Desktop\ivideocodec.1135.exe
%USERPROFILE%\Desktop\ivideocodec.799.exe

Folders to delete:
%SystemDrive%\Programme\VirusBursters
%SystemDrive%\Programme\iVideoCodec

 

[dominik-deluxe]

also so langsam raffe ich nichts mehr, habe die abgeänderte version laufen lassen, hat einige errors ausgespuckt, mit denen ich nichts anfangen kann. und es dann doch gemacht, nach dem neustrt kam das:
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 0


Error: could not initiate system shutdown.
Error code: 0


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\eaxccwds

*******************

Script file located at: \??\F:\WINDOWS\rjlwyhgi.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at F:\Avenger

*******************

Beginning to process script file:



File F:\WINDOWS\system32\rrtcany.dll not found!
Deletion of file F:\WINDOWS\system32\rrtcany.dll failed!

Could not process line:
F:\WINDOWS\system32\rrtcany.dll
Status: 0xc0000034



File F:\WINDOWS\system32\veklo.dll not found!
Deletion of file F:\WINDOWS\system32\veklo.dll failed!

Could not process line:
F:\WINDOWS\system32\veklo.dll
Status: 0xc0000034



File F:\WINDOWS\system32\okkmtv.dll not found!
Deletion of file F:\WINDOWS\system32\okkmtv.dll failed!

Could not process line:
F:\WINDOWS\system32\okkmtv.dll
Status: 0xc0000034



File F:\Dokumente und Einstellungen\feininger\Desktop\ivideocodec.1135.exe not found!
Deletion of file F:\Dokumente und Einstellungen\feininger\Desktop\ivideocodec.1135.exe failed!

Could not process line:
F:\Dokumente und Einstellungen\feininger\Desktop\ivideocodec.1135.exe
Status: 0xc0000034



File F:\Dokumente und Einstellungen\feininger\Desktop\ivideocodec.799.exe not found!
Deletion of file F:\Dokumente und Einstellungen\feininger\Desktop\ivideocodec.799.exe failed!

Could not process line:
F:\Dokumente und Einstellungen\feininger\Desktop\ivideocodec.799.exe
Status: 0xc0000034



Folder F:\Programme\VirusBursters not found!
Deletion of folder F:\Programme\VirusBursters failed!

Could not process line:
F:\Programme\VirusBursters
Status: 0xc0000034

Folder F:\Programme\iVideoCodec deleted successfully.

Completed script processing.

*******************

Finished! Terminate.//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\oqoqqktp

*******************

Script file located at: \??\F:\WINDOWS\uqapegbj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at F:\Avenger

*******************

Beginning to process script file:



File F:\WINDOWS\system32\rrtcany.dll not found!
Deletion of file F:\WINDOWS\system32\rrtcany.dll failed!

Could not process line:
F:\WINDOWS\system32\rrtcany.dll
Status: 0xc0000034



File F:\WINDOWS\system32\veklo.dll not found!
Deletion of file F:\WINDOWS\system32\veklo.dll failed!

Could not process line:
F:\WINDOWS\system32\veklo.dll
Status: 0xc0000034



File F:\WINDOWS\system32\okkmtv.dll not found!
Deletion of file F:\WINDOWS\system32\okkmtv.dll failed!

Could not process line:
F:\WINDOWS\system32\okkmtv.dll
Status: 0xc0000034



File F:\WINDOWS\system32\sacskza.dll not found!
Deletion of file F:\WINDOWS\system32\sacskza.dll failed!

Could not process line:
F:\WINDOWS\system32\sacskza.dll
Status: 0xc0000034



File F:\Dokumente und Einstellungen\feininger\Desktop\ivideocodec.1135.exe not found!
Deletion of file F:\Dokumente und Einstellungen\feininger\Desktop\ivideocodec.1135.exe failed!

Could not process line:
F:\Dokumente und Einstellungen\feininger\Desktop\ivideocodec.1135.exe
Status: 0xc0000034



File F:\Dokumente und Einstellungen\feininger\Desktop\ivideocodec.799.exe not found!
Deletion of file F:\Dokumente und Einstellungen\feininger\Desktop\ivideocodec.799.exe failed!

Could not process line:
F:\Dokumente und Einstellungen\feininger\Desktop\ivideocodec.799.exe
Status: 0xc0000034



Folder F:\Programme\VirusBursters not found!
Deletion of folder F:\Programme\VirusBursters failed!

Could not process line:
F:\Programme\VirusBursters
Status: 0xc0000034



Folder F:\Programme\iVideoCodec not found!
Deletion of folder F:\Programme\iVideoCodec failed!

Could not process line:
F:\Programme\iVideoCodec
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|ferrateen
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|ferrateen failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|clamoring
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|clamoring failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|bonspells
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|bonspells failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|detachments
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|detachments failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{0d9eb558-0666-479e-868a-21b1d1a53bd1}
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{0d9eb558-0666-479e-868a-21b1d1a53bd1} failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{27321538-5739-4aa1-b84c-7d18e4383f1f}
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{27321538-5739-4aa1-b84c-7d18e4383f1f} failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896} failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{01d8d081-0f76-4ab5-b5e4-9b23a709670e}
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{01d8d081-0f76-4ab5-b5e4-9b23a709670e} failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe
Deletion of registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe
Deletion of registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|wininet.dll
Deletion of registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|wininet.dll failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|VirusBursters
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|VirusBursters failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ACF3DAB0-D308-4B7A-BFE3-E6C0FAFEB1E7} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ACF3DAB0-D308-4B7A-BFE3-E6C0FAFEB1E7} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iVideoCodec not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iVideoCodec failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03 failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006 failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CodecsSoftwarePackage.chl not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CodecsSoftwarePackage.chl failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AVZipEnchancer.Chl not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AVZipEnchancer.Chl failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusBursters not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusBursters failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virusbursters.exe not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virusbursters.exe failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\VirusBursters not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\VirusBursters failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ytsufhbq

*******************

Script file located at: \??\F:\cbfvdmmd.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at F:\Avenger

*******************

Beginning to process script file:



File F:\WINDOWS\system32\rrtcany.dll not found!
Deletion of file F:\WINDOWS\system32\rrtcany.dll failed!

Could not process line:
F:\WINDOWS\system32\rrtcany.dll
Status: 0xc0000034



File F:\WINDOWS\system32\veklo.dll not found!
Deletion of file F:\WINDOWS\system32\veklo.dll failed!

Could not process line:
F:\WINDOWS\system32\veklo.dll
Status: 0xc0000034



File F:\WINDOWS\system32\okkmtv.dll not found!
Deletion of file F:\WINDOWS\system32\okkmtv.dll failed!

Could not process line:
F:\WINDOWS\system32\okkmtv.dll
Status: 0xc0000034



File F:\WINDOWS\system32\sacskza.dll not found!
Deletion of file F:\WINDOWS\system32\sacskza.dll failed!

Could not process line:
F:\WINDOWS\system32\sacskza.dll
Status: 0xc0000034



File F:\Dokumente und Einstellungen\feininger\Desktop\ivideocodec.1135.exe not found!
Deletion of file F:\Dokumente und Einstellungen\feininger\Desktop\ivideocodec.1135.exe failed!

Could not process line:
F:\Dokumente und Einstellungen\feininger\Desktop\ivideocodec.1135.exe
Status: 0xc0000034



File F:\Dokumente und Einstellungen\feininger\Desktop\ivideocodec.799.exe not found!
Deletion of file F:\Dokumente und Einstellungen\feininger\Desktop\ivideocodec.799.exe failed!

Could not process line:
F:\Dokumente und Einstellungen\feininger\Desktop\ivideocodec.799.exe
Status: 0xc0000034



Folder F:\Programme\VirusBursters not found!
Deletion of folder F:\Programme\VirusBursters failed!

Could not process line:
F:\Programme\VirusBursters
Status: 0xc0000034



Folder F:\Programme\iVideoCodec not found!
Deletion of folder F:\Programme\iVideoCodec failed!

Could not process line:
F:\Programme\iVideoCodec
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|ferrateen
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|ferrateen failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|clamoring
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|clamoring failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|bonspells
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|bonspells failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|detachments
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|detachments failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{0d9eb558-0666-479e-868a-21b1d1a53bd1}
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{0d9eb558-0666-479e-868a-21b1d1a53bd1} failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{27321538-5739-4aa1-b84c-7d18e4383f1f}
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{27321538-5739-4aa1-b84c-7d18e4383f1f} failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896} failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{01d8d081-0f76-4ab5-b5e4-9b23a709670e}
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{01d8d081-0f76-4ab5-b5e4-9b23a709670e} failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe
Deletion of registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe
Deletion of registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|wininet.dll
Deletion of registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|wininet.dll failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|VirusBursters
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|VirusBursters failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ACF3DAB0-D308-4B7A-BFE3-E6C0FAFEB1E7} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ACF3DAB0-D308-4B7A-BFE3-E6C0FAFEB1E7} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iVideoCodec not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iVideoCodec failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03 failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006 failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CodecsSoftwarePackage.chl not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CodecsSoftwarePackage.chl failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AVZipEnchancer.Chl not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AVZipEnchancer.Chl failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusBursters not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusBursters failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virusbursters.exe not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virusbursters.exe failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\VirusBursters not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\VirusBursters failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

 

[dominik-deluxe]

was ich mit dem letzten machen soll das du gepostet hasst hab ich keine ahnung, kann ich das einfach so reinkopieren?
danke

 

[mightyEx]

Ja, im Prinzip das gleiche Script, aber eben mit Variablen, so dass es quasi auf jedem System ohne weitere Anpassung funzen sollte. Deine Fehlermeldungen sind hauptsächlich, dass Dateien (v. Trojaner) bzw. Registrierungswerte (ebenfalls v. Trojaner) nicht gefunden wurden. Dieses Lückenproblem taucht da zwar immer noch auf, aber es kann auch nen Ausgabefehler von Avenger sein. Wie dem auch sei - letztlich sollte Dein Problem bereits behoben sein. Du kannst ja mal nach nem Neustart nochmal hijackthis scannen lassen und das Logfile nochmal posten.

 

[dominik-deluxe]

so hier nochmals das hijackthis logfile:

Logfile of HijackThis v1.99.1
Scan saved at 17:01:32, on 05.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\Java\jre1.5.0_06\bin\jusched.exe
F:\PROGRA~1\HARDWA~1\Keyboard\Ikeymain.exe
F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
F:\WINDOWS\Mixer.exe
F:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
F:\Programme\Logitech\MouseWare\system\em_exec.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Programme\AntiVir PersonalEdition Classic\sched.exe
F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
F:\WINDOWS\system32\inetsrv\inetinfo.exe
F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\ZoneLabs\vsmon.exe
F:\Programme\ASCOMP Software\Synchredible\Synchredible.exe
F:\Programme\Trillian\trillian.exe
F:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
F:\Programme\eMule\emule.exe
F:\Programme\Sony\SonicStage\Omgjbox.exe
F:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
F:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
F:\WINDOWS\system32\taskmgr.exe
F:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
F:\Programme\Internet Explorer\iexplore.exe
F:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F3 - REG:win.ini: run=
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - f:\programme\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - f:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [iKeyWorks] F:\PROGRA~1\HARDWA~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [avgnt] "F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "F:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Synchredible.lnk = F:\Programme\ASCOMP Software\Synchredible\Synchredible.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1159743578390
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/mail/activex/fa_os_mms/upload_1132.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB287350-2F37-40F7-ACED-7DEFBA80F70D}: NameServer = 192.168.2.1
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - F:\Programme\iPod\bin\iPodService.exe
O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - F:\Programme\Sony\MD Simple Burner\NetMDSB.exe
O23 - Service: Pml Driver HPZ12 - HP - F:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

[dominik-deluxe]

was meint ihr wars das(bitte bitte)
und danke an alle, besonderst an mightyEx

 

[mightyEx]

Sieht erst mal positiv aus. Der Zweig

O2 - BHO: (no name) - {8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d} - (no file)

Ist zwar noch da, aber keinem Wert mehr zugeordnet, also ohne Funktion. Zuvor stand da noch:

O2 - BHO: (no name) - {8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d} - F:\Programme\iVideoCodec\isaddon.dll

Also der Trojaner sollte nicht mehr aktiv sein.

Dieser Trojaner gehört zu einer ganzen Familie die irgendwas mit "codec" im Name haben. Habe noch was zum scannen und entfernen gefunden: http://siri.urz.free.fr/Fix/SmitfraudFix_De.php . Dann solltest Du auf der sicheren Seite sein.