Dialer.generic probleme, brauche hilfe :(, Dialer.Generic nervt rum... Einstellungen

[Jannis]

Nachdem ich schon mehrere Foren nach diesem Thema abgeklappert habe, und diverses versucht habe, wende ich mich jetzt an die RS Community und hoffe Hilfe zu bekommen.

Seit heute Nachmittag gibt NIS07 bei mir immerwieder Warnungen gegen Dialer.Generic, der glücklicherweiße erfolgreich blockiert wird. In meinem NIS07 Sicherheitsverlauf steht auch, dass er erfolgreich entfernt wurde, er ist jedoch immernoch da!

Ich hab einen Panda-Online-Scan durchgeführt:


Incident Status Location

Spyware:Spyware/Virtumonde Not disinfected C:\VundoFix Backups\ijiuwcnh.dll.bad
Dialer:Dialer.ISL Not disinfected C:\WINDOWS\Temp\win7.tmp.exe
Dialer:Dialer.ISL Not disinfected C:\WINDOWS\Temp\win8.tmp.exe
Dialer:Dialer.ISL Not disinfected C:\WINDOWS\Temp\winB.tmp.exe
Dialer:Dialer.ISL Not disinfected C:\WINDOWS\Temp\winE.tmp.exe
Dialer:Dialer.ISL Not disinfected C:\WINDOWS\Temp\win19.tmp.exe
Spyware:Cookie/Tribalfusion Not disinfected C:\Dokumente und Einstellungen\Jannis Petersen\Cookies\jannis petersen@tribalfusion[1].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Jannis Petersen\Cookies\jannis petersen@doubleclick[1].txt
Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\Jannis Petersen\Cookies\jannis petersen@hitbox[2].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Jannis Petersen\Cookies\jannis petersen@as-eu.falkag[2].txt
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\Jannis Petersen\Cookies\jannis petersen@tradedoubler[1].txt
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Jannis Petersen\Cookies\jannis petersen@mediaplex[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Jannis Petersen\Cookies\jannis petersen@as1.falkag[1].txt
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Jannis Petersen\Cookies\jannis petersen@adtech[1].txt
Spyware:Cookie/FastClick Not disinfected C:\Dokumente und Einstellungen\Jannis Petersen\Cookies\jannis petersen@fastclick[2].txt
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\Jannis Petersen\Cookies\jannis petersen@advertising[2].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Jannis Petersen\Cookies\jannis petersen@atdmt[2].txt


und einen Hijack This log:


Logfile of HijackThis v1.99.1
Scan saved at 05:25:27, on 16.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ASUS\ASUS Live Update\ALU.exe
C:\Programme\Wireless Console 2\wcourier.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\WINDOWS\system32\taskswitch.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\Programme\Java\jre1.6.0\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tweak-XP Pro 4\transtask.exe
C:\Programme\Tweak-XP Pro 4\virtuald.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\ASUS\Asus ChkMail\ChkMail.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe
C:\Programme\Tweak-XP Pro 4\Tweak-XP.exe
C:\WINDOWS\system32\ASWLSVC.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trillian\trillian.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HiJack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/?id=34086
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Programme\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [-editiert-Tray] "C:\Programme\-editiert-\-editiert-\-editiert-Tray.exe" /s
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TransTask] "C:\Programme\Tweak-XP Pro 4\transtask.exe"
O4 - HKCU\..\Run: [VirtualDesktop] "C:\Programme\Tweak-XP Pro 4\virtuald.exe"
O4 - HKCU\..\Run: [Tweak-XP Pro] "C:\Programme\Tweak-XP Pro 4\autostart.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [igndlm.exe] C:\Programme\IGN\Download Manager\DLM.exe /windowsstart /startifwork
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programme\ASUS\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FLASHGET\jc_all.htm
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FLASHGET\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.3.102.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://jannisger.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe


Ich hatte außerdem den Vundo-Wurm drauf, den ich allerdings erfolgreich mit VundoFix beseitigen konnte.

Ich glaube, dass, wie bei Panda gezeigt, die Dialer im C:\WINDOWS\Temp liegen. Die vier Dateien heißen win8.tmp.exe, win9.tmp.exe, winA.tmp.exe und winF.tmp.exe mit jeweils der Beschreibung"Universa Application". Ich habe mehreremals versucht die zu löschen, doch die kommen einfach von selbst wieder bei neustart. Auch im abgesicherten Modus und mit Killbox habe ich versucht die zu zerstören. Temporary Internet Files und C:\WINDOWS\Prefetch habe ich auch geleert. Dann habe ich mit Registrar Lite diesen HKEY_LOCAL_MACHINE\software\microsoft\mssmgr übernommen und gelöscht. Außerdem sind alle meine Systemwiederherstellungspunkte verschwunden. Dazu kommt, dass mein PC langsamer hochführt als normalerweiße (doppelt so langsam) und wenn ich netz-stecker ziehe, meckert der ununterbrochen (kommt immer sofort wieder), dass ich offline-betrieb herstellen soll.

Bitte, kann mir einer weiterhelfen???

[raman]

Poste bitte zusaetzlich ein Combofix report:
http://www.virus-protect.org/artikel/tools/combofix.html

[Gast_Jens1962_*]

Ich hatte außerdem den Vundo-Wurm drauf, den ich allerdings erfolgreich mit VundoFix beseitigen konnte. Bitte, kann mir einer weiterhelfen???

Für die Zukunft vielleicht: Nicht auf alles klicken und Warnmeldungen des Virenscanners ernst nehmen. Symantec beschreibt den so:

Trojan.Vundo ist eine Komponente eines Werbeprogramms. das Popup-Werbungen herunterlädt und anzeigt. Die Bedrohung wird installiert, wenn Sie einen Website-Link besuchen, der in einer Spam-E-Mail enthalten ist.

Der Wurm ist seit 20.11.2004 als solcher in der Erkennung, noch eher hieß der so:

Hinweis: Virendefinitionen, die vor dem 20. November 2004 herausgegeben wurden, erkennen diese Bedrohung als Adware.VirtuMonde.

Gruß Jens

[Voyager]

O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe
O4 - HKCU\..\Run: [igndlm.exe] C:\Programme\IGN\Download Manager\DLM.exe /windowsstart /startifwork
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe

Die Elemente mal bitte bei Jotti und Virustotal online prüfen , ansonsten erkenne ich so direkt keine Elemente wo ich sagen könnte das ist Malware.

[Gast_rock_*]

ASWLSVC.exe könnte darauf passen:

http://www.castlecops.com/o23list-1321.html

asus....hmm...da gabs ja auch hin u. wieder was maliziöses...

[Jannis]

Danke für die schnellen Antworten.

Hier der ComboFix report:

"Jannis Petersen" - 07-01-16 13:39:50 Service Pack 2
ComboFix 07-01-15 - Running from: "C:\Downloads"

((((((((((((((((((((((((((((((( Files Created from 2006-12-16 to 2007-01-16 ))))))))))))))))))))))))))))))))))


2007-01-16 06:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-01-16 05:59 <DIR> d-------- C:\Programme\Grisoft
2007-01-16 05:07 <DIR> d-------- C:\Programme\Killbox
2007-01-16 04:22 81,684 --a------ C:\WINDOWS\system32\gjyadvbx.dll
2007-01-16 04:22 448,692 ---hs---- C:\WINDOWS\system32\adeeg.bak2
2007-01-16 04:14 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-01-16 03:48 <DIR> d-------- C:\Programme\HiJack This
2007-01-16 02:30 22,029 ---hs---- C:\WINDOWS\system32\rqrqqpq.dll
2007-01-16 01:38 <DIR> d-------- C:\Programme\Registrar Lite
2007-01-16 01:10 <DIR> d-------- C:\!KillBox
2007-01-16 01:08 277,044 ---hs---- C:\WINDOWS\system32\vtuts.dll
2007-01-16 01:08 277,044 ---hs---- C:\WINDOWS\system32\geeda.dll
2007-01-16 01:02 139,863 --a------ C:\WINDOWS\system32\pmkhe.dll
2007-01-15 15:50 22,029 --------- C:\WINDOWS\system32\fccdcyw.dll
2007-01-15 13:50 <DIR> d-------- C:\DOKUME~1\JANNIS~1\Anwendungsdaten\Help
2007-01-15 13:40 17,920 --a------ C:\WINDOWS\system32\winhoo32.dll
2007-01-15 01:37 <DIR> d-------- C:\Programme\Norton Internet Security
2007-01-15 01:36 48,776 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2007-01-15 01:36 115,000 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2007-01-14 23:41 <DIR> d-------- C:\Programme\Microsoft Plus!
2007-01-10 00:08 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2007-01-10 00:08 <DIR> d-------- C:\Programme\Windows Media Connect 2
2007-01-10 00:07 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2007-01-06 17:04 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Firefly Studios
2006-12-20 17:03 <DIR> d-------- C:\WINDOWS\Sun
2006-12-20 17:03 <DIR> d-------- C:\DOKUME~1\JANNIS~1\Anwendungsdaten\Sun
2006-12-20 16:53 <DIR> d-------- C:\Programme\Java
2006-12-20 16:49 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2006-12-19 17:09 276,792 --a------ C:\WINDOWS\system32\drivers\srtspl.sys
2006-12-19 17:09 25,400 --a------ C:\WINDOWS\system32\drivers\srtspx.sys
2006-12-19 17:09 247,096 --a------ C:\WINDOWS\system32\drivers\srtsp.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-01-16 01:06 18856 --a------ C:\DOKUME~1\JANNIS~1\Anwendungsdaten\gdipfontcachev1.dat
2006-11-23 22:10 -------- d-------- C:\Programme\polob32
2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-11-02 11:51 43008 --------- C:\WINDOWS\system32\wpdshextres.dll
2006-10-20 02:38 715776 --a------ C:\WINDOWS\system32\sxs.dll
2006-10-18 21:58 8704 --a------ C:\WINDOWS\system32\wdfmgr.exe
2006-10-18 21:58 8704 --a------ C:\WINDOWS\system32\uwdf.exe
2006-10-18 21:47 991744 --a------ C:\WINDOWS\system32\drmv2clt.dll
2006-10-18 21:47 937984 --a------ C:\WINDOWS\system32\wmnetmgr.dll
2006-10-18 21:47 767488 --------- C:\WINDOWS\system32\wmvsencd.dll
2006-10-18 21:47 757248 --a------ C:\WINDOWS\system32\wmadmod.dll
2006-10-18 21:47 656896 --------- C:\WINDOWS\system32\wmvxencd.dll
2006-10-18 21:47 63488 --a------ C:\WINDOWS\system32\wpdmtpus.dll
2006-10-18 21:47 629760 --a------ C:\WINDOWS\system32\wpd_ci.dll
2006-10-18 21:47 603648 --a------ C:\WINDOWS\system32\wmspdmod.dll
2006-10-18 21:47 542720 --a------ C:\WINDOWS\system32\blackbox.dll
2006-10-18 21:47 535040 --------- C:\WINDOWS\system32\wmdrmsdk.dll
2006-10-18 21:47 429056 --a------ C:\WINDOWS\system32\wmdrmdev.dll
2006-10-18 21:47 414208 --a------ C:\WINDOWS\system32\msscp.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\wmvdmoe2.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\wmvdmod.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\wmvadve.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\wmvadvd.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\wmsdmoe2.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\wmsdmod.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\wdfapi.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\mpg4dmod.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\mp4sdmod.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\mp43dmod.dll
2006-10-18 21:47 37376 --a------ C:\WINDOWS\system32\wmdmps.dll
2006-10-18 21:47 35840 --a------ C:\WINDOWS\system32\wpdconns.dll
2006-10-18 21:47 356352 --a------ C:\WINDOWS\system32\wpdsp.dll
2006-10-18 21:47 348672 --a------ C:\WINDOWS\system32\wmdrmnet.dll
2006-10-18 21:47 33792 --a------ C:\WINDOWS\system32\wmdmlog.dll
2006-10-18 21:47 321536 --a------ C:\WINDOWS\system32\mswmdm.dll
2006-10-18 21:47 317440 --------- C:\WINDOWS\system32\mp4sdecd.dll
2006-10-18 21:47 284160 --------- C:\WINDOWS\system32\portabledeviceapi.dll
2006-10-18 21:47 276992 --a------ C:\WINDOWS\system32\audiodev.dll
2006-10-18 21:47 27136 --a------ C:\WINDOWS\system32\mspmsnsv.dll
2006-10-18 21:47 2603008 --------- C:\WINDOWS\system32\wpdshext.dll
2006-10-18 21:47 259072 --------- C:\WINDOWS\system32\mpg4decd.dll
2006-10-18 21:47 259072 --------- C:\WINDOWS\system32\mp43decd.dll
2006-10-18 21:47 2450944 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-10-18 21:47 229376 --a------ C:\WINDOWS\system32\cewmdm.dll
2006-10-18 21:47 222208 --a------ C:\WINDOWS\system32\wmasf.dll
2006-10-18 21:47 212992 --------- C:\WINDOWS\system32\mfplat.dll
2006-10-18 21:47 211456 --a------ C:\WINDOWS\system32\qasf.dll
2006-10-18 21:47 199168 --------- C:\WINDOWS\system32\portabledevicewmdrm.dll
2006-10-18 21:47 179712 --a------ C:\WINDOWS\system32\msnetobj.dll
2006-10-18 21:47 175616 --a------ C:\WINDOWS\system32\mspmsp.dll
2006-10-18 21:47 166912 --------- C:\WINDOWS\system32\portabledevicetypes.dll
2006-10-18 21:47 1574912 --------- C:\WINDOWS\system32\wmvencod.dll
2006-10-18 21:47 157184 --a------ C:\WINDOWS\system32\wmidx.dll
2006-10-18 21:47 154624 --a------ C:\WINDOWS\system32\wpdmtp.dll
2006-10-18 21:47 1543680 --------- C:\WINDOWS\system32\wmvdecod.dll
2006-10-18 21:47 1382912 --------- C:\WINDOWS\system32\wmvsdecd.dll
2006-10-18 21:47 133632 --------- C:\WINDOWS\system32\wpdshserviceobj.dll
2006-10-18 21:47 1329152 --a------ C:\WINDOWS\system32\wmspdmoe.dll
2006-10-18 21:47 132096 --------- C:\WINDOWS\system32\portabledevicewiacompat.dll
2006-10-18 21:47 11264 --a------ C:\WINDOWS\system32\laprxy.dll
2006-10-18 21:47 1117696 --a------ C:\WINDOWS\system32\wmadmoe.dll
2006-10-18 21:47 101888 --------- C:\WINDOWS\system32\portabledeviceclassextension.dll
2006-10-18 20:03 100864 --a------ C:\WINDOWS\system32\logagent.exe
2006-10-18 20:00 249856 --------- C:\WINDOWS\system32\drmupgds.exe
2006-10-18 20:00 17408 --------- C:\WINDOWS\system32\wpdshextautoplay.exe
2006-10-16 18:43 98304 --a------ C:\WINDOWS\system32\cmdlineext.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"TransTask"="\"C:\\Programme\\Tweak-XP Pro 4\\transtask.exe\""
"VirtualDesktop"="\"C:\\Programme\\Tweak-XP Pro 4\\virtuald.exe\""
"Tweak-XP Pro"="\"C:\\Programme\\Tweak-XP Pro 4\\autostart.exe\""
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.2.908.5008\\GoogleToolbarNotifier.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"HControl"="C:\\WINDOWS\\ATK0100\\HControl.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"SMSERIAL"="sm56hlpr.exe"
"RTHDCPL"="RTHDCPL.EXE"
"ASUS Live Update"="C:\\Programme\\ASUS\\ASUS Live Update\\ALU.exe"
"Wireless Console 2"="C:\\Programme\\Wireless Console 2\\wcourier.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"Power_Gear"="C:\\Programme\\ASUS\\Power4 Gear\\BatteryLife.exe 1"
"CoolSwitch"="C:\\WINDOWS\\system32\\taskswitch.exe"
"Acrobat Assistant 7.0"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Distillr\\Acrotray.exe\""
@=""
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"-editiert-Tray"="\"C:\\Programme\\-editiert-\\-editiert-\\-editiert-Tray.exe\" /s"
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"Control Center"="C:\\Program Files\\ASUS\\WLAN Card Utilities\\Center.exe"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.6.0\\bin\\jusched.exe\""
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"osCheck"="\"C:\\Programme\\Norton Internet Security\\osCheck.exe\""
"!AVG Anti-Spyware"="\"C:\\Programme\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{664A7BBA-92C4-4086-8B63-D029A149629E}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableStatusMessages"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoDispCPL"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoCDBurning"=dword:00000001
"ClearRecentDocsOnExit"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geeda
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqrqqpq
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winhoo32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0

*newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_COMHOST


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton Internet Security - Vollst„ndige Systempr�fung ausf�hren - Jannis Petersen.job

Completion time: 07-01-16 13:42:43



Das einzige, was ich bemerken konnte, ist, dass ComboFix alle meine Internet Eintellungen zurückgesetzt hat.


Hier noch ein AVG-Scan:

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 13:11:16 16.01.2007

+ Scan-Ergebnis:



C:\System Volume Information\_restore{B1D578A7-A591-44B6-BF46-9CF884124367}\RP125\A0026711.exe -> Downloader.Agent.bdr : Keine Aktion durchgeführt.


::Berichtende


Ich habe AVF dazu veranlasst, die Datei zu löschen. Hat gewirkt, konnte dennoch keine Veränderungen feststellen.

Außerdem habe ich erstmal IGN Download Manager deinstalliert. Den hatte ich ansonsten aber selbständig raufgepackt, und der hat nie Probleme gemacht.

Und achja. Diese Seite öffnet sich bei mir immer selbständig, sobald ich ins Netz gehe http://www.winantiviruspro.com/pages/newco...5b5cb5b3c99ab23
Manchmal versucht er mich noch dazu aufzufordern diverse antivirus programme zu installieren.

O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe
O4 - HKCU\..\Run: [igndlm.exe] C:\Programme\IGN\Download Manager\DLM.exe /windowsstart /startifwork
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe

Die Elemente mal bitte bei Jotti und Virustotal online prüfen , ansonsten erkenne ich so direkt keine Elemente wo ich sagen könnte das ist Malware.

Alle mit Jotti und Virustotal gecheckt. Nichts erkannt.


EDIT:
ich habe gerade einen merkwürdigen autostart eintrag gefunden: als Anwendung zeig der nur einen Ordner an ohne Namen. zeigt auch keinen Pfad an. Speicherort: Registry\HKLM\Run --> kann ich den ohne weiteres mit AVG entfernen?

Der Beitrag wurde von Jannis bearbeitet: 16.01.2007, 14:20

[Rios]

Hallo Jannis,

Winantiviruspro.

diesen Link, bzw, das Tool das man dir hier anbietet, ist ein Mistding!! Klick dort nicht rum, oder lade da was runter. Siehe!!

WinAntiVirus 2006 winantivirus.com
winsoftware.com
softwareprofit.com aggressive advertising (1, 2, 3, 4); false positives work as goad to purchase; inappropriate collection of Personally Identifiable Information; same company as WinAntiSpy 2005, WinAntiSpyware 2006, & WinFixer [A: 5-21-05 / U: 6-13-06]

http://www.spywarewarrior.com/rogue_anti-s...re.htm#products

[Jannis]

Folgende Dinge habe ich jetzt auf eigene Faust weiter getan:

1. Internetverbindung gekappt.

2. Systemwiederherstellungs-Manager ausgeschaltet.

3. ToniArts EasyCleaner installiert --> damit alle Dateien und Registrationen, die der als überflüssig erkannt hat, permanent gelöscht. Waren meherere tausende Dateien, Ordner, Verknüpfungen und Registrationen.

4. c:\bases erstellt und mwav reingetan. Abgesicherter Modus gewechselt. Programm gestartet --> 2 Trojaner gefunden und behoben.

5. Normaler Modus. Sunbelt Software Counter Spy installiert. Internet an zum updaten. Internet aus. Abgesicherter Modus. Counter Spy gestartet. Vundo gefunden. Trojaner gefunden. Beide permanent gelöscht.

6. Neustart Normalmodus. Neustart Normalmodus mit Internet.

7. Jetzt warte ich erstmal ab und sehe, was geschieht.

Ich habe jetzt ein wenig voreilig reagiert, ohne auf Antwort zu warten. Habe ich etwas kritisches falsch gemacht, oder ist das ok so?

[Jannis]

Doppelpost, weil ich gerade irgendwie nicht den vorigen editieren kann.

Dialer.generic probleme scheinen nun vollständig verschwunden zu sein.

Ein anderes nervendes Problem ist leider immernoch vorhanden. Und zwar laden sich bei jedem Internetstart automatisch cookies in meine ordner C:\Dokumente und Einstellungen\Jannis Petersen\Cookies und Z:\Temporary Internet Files - Diese nervenden Cookies starten selbständig reklame-seiten und fordern mich auf schund zu installieren, wenn ich ins netz gehe. Das einzige, was ich machen kann, ist, Cookie-Sicherheit auf Hoch zu stellen. Jedoch kann ich mich dann nicht mehr auf einigen sehr wichtigen Seiten einloggen. Gibt es eine möglichkeit nur bestimmte Cookies von bestimmten Seiten zu sperren? Oder ansonsten die Sicheheit auf hoch zu stellen und bestimmten Seiten eine Ausnahme geben?

Bitte um Hilfe.

[raman]

Dein Problem ist, das du noch einiges von Vundo auf deinem Rechner hast.

2007-01-16 04:22 81,684 --a------ C:\WINDOWS\system32\gjyadvbx.dll
2007-01-16 04:22 448,692 ---hs---- C:\WINDOWS\system32\adeeg.bak2
2007-01-16 02:30 22,029 ---hs---- C:\WINDOWS\system32\rqrqqpq.dll
2007-01-16 01:08 277,044 ---hs---- C:\WINDOWS\system32\vtuts.dll
2007-01-16 01:08 277,044 ---hs---- C:\WINDOWS\system32\geeda.dll
2007-01-16 01:02 139,863 --a------ C:\WINDOWS\system32\pmkhe.dll
2007-01-15 15:50 22,029 --------- C:\WINDOWS\system32\fccdcyw.dll
2007-01-15 13:40 17,920 --a------ C:\WINDOWS\system32\winhoo32.dll

Du solltest alle einmal bei Jotti oder Virustotal.com pruefen, oder schicke sie an virus@rokop-security.de

[Voyager]

Irgendwie komm ich da nicht mit , sogar die Kaspersky Engine in MWAV löst seine Malwareprobleme nicht ? In der Standardeinstellung sind ja garkeine Laufwerke angekreuzt , hat er überhaupt mal den kompletten PC incl. Laufwerke mit dem anderen Scannern checken lassen ? Bei immernoch laufenden Hijackern erscheint das jedenfalls nicht so zu sein.

[Jannis]

Dein Problem ist, das du noch einiges von Vundo auf deinem Rechner hast.

2007-01-16 04:22 81,684 --a------ C:\WINDOWS\system32\gjyadvbx.dll
2007-01-16 04:22 448,692 ---hs---- C:\WINDOWS\system32\adeeg.bak2
2007-01-16 02:30 22,029 ---hs---- C:\WINDOWS\system32\rqrqqpq.dll
2007-01-16 01:08 277,044 ---hs---- C:\WINDOWS\system32\vtuts.dll
2007-01-16 01:08 277,044 ---hs---- C:\WINDOWS\system32\geeda.dll
2007-01-16 01:02 139,863 --a------ C:\WINDOWS\system32\pmkhe.dll
2007-01-15 15:50 22,029 --------- C:\WINDOWS\system32\fccdcyw.dll
2007-01-15 13:40 17,920 --a------ C:\WINDOWS\system32\winhoo32.dll

Du solltest alle einmal bei Jotti oder Virustotal.com pruefen, oder schicke sie an virus@rokop-security.de

geeda.dll wurde von CounterSpy als virtumonde erkannt. habe versucht alle oben genannten Dateien zu löschen. geeda.dll sowie rqrqqpq.dll kann ich auf keine weiße löschen. habe es mit CounterSpy Eraser und mit killbox versucht. Die lassen sich einfach nicht entfernen.

hab meinen pc mit nis07, counterSpy, avg anti-spyware sowie mit mwav mehrere male komplett gescannt. nis07 hat nie etwas gefunden (das prgramm ist so verdammt schlecht), counterspy findet ab und zu den virtumonde.

Noch zu allem: ich kann seit heute nicht mehr in den abgesicherten modus wechseln, da bleibt der beim laden jetzt immer stehen.

Irgendeine Idee wie ich den scheiß geeda.dll und rqrqqpq.dll loswerden kann???

EDIT
Hier noch einmal das problem

STATUS: FINISHEDComplete scanning result of "geeda.dll", received in VirusTotal at 01.17.2007, 17:08:50 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.17.2007 HEUR/Malware
Authentium 4.93.8 01.16.2007 no virus found
Avast 4.7.936.0 01.17.2007 no virus found
AVG 386 01.16.2007 Lop.AS
BitDefender 7.2 01.17.2007 MemScan:Adware.Vundo.B
CAT-QuickHeal 9.00 01.17.2007 no virus found
ClamAV devel-20060426 01.16.2007 no virus found
DrWeb 4.33 01.17.2007 Trojan.Virtumod
eSafe 7.0.14.0 01.17.2007 no virus found
eTrust-InoculateIT 23.73.115 01.17.2007 no virus found
eTrust-Vet 30.3.3332 01.17.2007 no virus found
Ewido 4.0 01.17.2007 no virus found
Fortinet 2.82.0.0 01.17.2007 suspicious
F-Prot 3.16f 01.16.2007 no virus found
F-Prot4 4.2.1.29 01.16.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.17.2007 not-a-virus:AdWare.Win32.Virtumonde.fp
McAfee 4940 01.16.2007 Vundo
Microsoft 1.1904 01.17.2007 no virus found
NOD32v2 1985 01.17.2007 no virus found
Norman 5.80.02 01.17.2007 no virus found
Panda 9.0.0.4 01.16.2007 no virus found
Prevx1 V2 01.17.2007 no virus found
Sophos 4.13.0 01.16.2007 no virus found
Sunbelt 2.2.907.0 01.12.2007 VIPRE.Suspicious
TheHacker 6.0.3.148 01.14.2007 no virus found
UNA 1.83 01.16.2007 no virus found
VBA32 3.11.2 01.16.2007 Adware.Vundo.B
VirusBuster 4.3.19:9 01.17.2007 Adware.Vundo.Gen!Pac2


Aditional Information
File size: 277044 bytes
MD5: e8c92720f74c2e18ad0b309e1750bba1
SHA1: 3d720c043410dae4654898b8ab335a5d0b6d46c6
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.


Der Beitrag wurde von Jannis bearbeitet: 17.01.2007, 17:14

[raman]

Ja vom offiziellen Vundofix Server die neuste Version holen. Die wurde gestern aktualisiert(6.3.0.2).

Hast du alle die DAteien, die ich dir genannt hatte bei Jotti/Virustotal.com geprueft?

Vundo ist schwer zu reinigen und Norton legt anscheinend nicht den Schwerpunkt auf AD/Spyware. Aber jeder hat so seine schwaechen und staerken...

[Voyager]

@Jannis

nis07 hat nie etwas gefunden (das prgramm ist so verdammt schlecht)

hmm.
http://www.google.de/search?hl=de&q=Vi...Suche&meta=

im Beitrag 1 schreibst du

Seit heute Nachmittag gibt NIS07 bei mir immerwieder Warnungen gegen Dialer.Generic, der glücklicherweiße erfolgreich blockiert wird. In meinem NIS07 Sicherheitsverlauf steht auch, dass er erfolgreich entfernt wurde,

Dann nimm doch einfach was anderes nur dummerweise scheint dir bisher kein einziges AV-Programm helfen zu können.

[Jannis]

VundoFix hat diesmal alles bis auf rqrqqpq.dll bereinigen können. Da diese auch ein Teil von Vundo ist, muss ich die irgendwie loswerden. Ich hab es noch mit dem FileDeleter von TweakXP versucht, wirkte allerdings nicht.

Außerdem habe ich gerade rausgefunden, dass sich unter Interneteinstellungen --> Datenschutz immer selbständig von Hoch auf Alle Cookies zulassen umstellt.

Das Problem mit den Popups habe ich immernoch - habe die seiten zwar als Cookies gesperrt - doch die setzen sich ja immer selbst auf zulassen.

Der Beitrag wurde von Jannis bearbeitet: 17.01.2007, 18:35

[Rios]

Jannis, lasse den Vundo Fix nochmal durchlaufen. Es kann auch mal sein, dass nicht alles beim ersten mal weg ist.

[Jannis]

hab den 10-20 mal durchlaufen lassen. Das Problem ist: Der löscht die Datei bei neustart. Dann kann ich wieder suchen, und die Datei ist wieder da. juhu

[Voyager]

http://www.rokop-security.de/index.php?sho...c=13494&hl=
versuchs damit.

[raman]

Bevor du dir noch alle mehr installierst, kriegen wir das auch anders. Um alle Dateien zu finden muesstest du erstmal eine filelist erstellen und hier (am liebsten) anhaengen:

Das ist Punkt 3 von hier:
http://forum.antivir-pe.de/thread.php?threadid=13843

Den Rest bekommen wir normalerweise mit Avenger geloescht.

[Jannis]

Was die anderen nicht konnte, konnte Avenger. Mit Avenger habe ich erstmal alle Dateien gelöscht, die mich bisher widerspennstig genervt haben.

Jetzt erstmal wieder abwarten was passiert...