Trojaner-Board - Explorer.exe von Worm.Bage.n infiziert

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Explorer.exe von Worm.Bage.n infiziert (https://www.trojaner-board.de/18337-explorer-exe-worm-bage-n-infiziert.html)

Explorer.exe von Worm.Bagle.n infiziert

Hallo,

ich habe ein Sony Vaio Notebook mit Windows XP Pro. Vorgestern nachmittag habe ich mir beim Surfen im Internet einen Trojaner/Virus eingefangen. Avast (neueste Version und Virus-Definitionen) hat das Virus auch sofort als Win32:Trojano-1371 erkannt, jedoch offenbar nichts ausrichten können, denn plötzlich war der PC stark überlastet: lange ließ sich nichts machen. Dann erschien als Hintergrundbild eine Meldung des Trojaners, das System sei mit Spyware infiziert und müsse desinfiziert werden, um Datenverlust zu vermeiden. Anfangs war auch der Taskmanager gesperrt, was sich jedoch über die Registry ändern ließ.

Seither versuche ich verzweifelt, alles zu entfernen, was sich so finden lässt.

Hijackthis fand einige Einträge, die ich gleich habe löschen lassen. Ein Screenshot der entfernten Einträge befindet sich hier.

Dann habe ich Ewido laufen lassen, wobei es mehrmals bei ca. 90% abgestürzt ist. Letztlich hat es aber doch einiges gefixt:

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 16:37:30, 27.05.2005
+ Report-Checksumme: 90978D8F

+ Datum der Signaturen: 27.05.2005
+ Version der Scanengine: v3.0

+ Suchdauer: 57 min
+ Untersuchte Dateien: 78791
+ Geschwindigkeit: 22.84 Dateien/Sekunden
+ Infizierte Dateien: 14
+ Entfernte Dateien: 14
+ Unter Quarantäne gestellte Dateien: 14
+ Dateien, die nicht geöffnet werden konnten: 0
+ Dateien, die nicht gesäubert werden konnten: 0

+ Binder: Ja
+ Packer: Ja
+ Archive: Ja

+ Gescannt wurde:
C:\

+ Scanergebnis:
C:\WINDOWS\system32\dllcache\explorer.exe -> Worm.Bagle.n -> Gesäubert mit Backup
C:\WINDOWS\system32\win32.exe -> TrojanProxy.Lager.j -> Gesäubert mit Backup
C:\WINDOWS\system32\latest.exe -> TrojanProxy.Lager.j -> Gesäubert mit Backup
C:\WINDOWS\explorer.exe -> Worm.Bagle.n -> Gesäubert mit Backup
C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Temporary Internet

Files\Content.IE5\05ABOTQN\latest[1].exe -> TrojanProxy.Lager.j -> Gesäubert mit Backup
C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Temporary Internet

Files\Content.IE5\CPQZ01YN\latest[1].exe -> TrojanProxy.Lager.j -> Gesäubert mit Backup
C:\System Volume Information\_restore{75BE572E-E175-46A5-8491-CA2D2216E29C}\RP194\A0118003.exe ->

TrojanDownloader.Small.agq -> Gesäubert mit Backup
C:\System Volume Information\_restore{75BE572E-E175-46A5-8491-CA2D2216E29C}\RP194\A0118007.exe ->

TrojanDownloader.Agent.ho -> Gesäubert mit Backup
C:\System Volume Information\_restore{75BE572E-E175-46A5-8491-CA2D2216E29C}\RP194\A0118008.exe -> Trojan.LowZones.y

-> Gesäubert mit Backup
C:\System Volume Information\_restore{75BE572E-E175-46A5-8491-CA2D2216E29C}\RP194\A0118009.exe ->

TrojanDropper.Small.wp -> Gesäubert mit Backup
C:\System Volume Information\_restore{75BE572E-E175-46A5-8491-CA2D2216E29C}\RP194\A0118011.exe ->

TrojanDownloader.Small.awa -> Gesäubert mit Backup
C:\System Volume Information\_restore{75BE572E-E175-46A5-8491-CA2D2216E29C}\RP194\A0118013.exe ->

TrojanDownloader.Small.atl -> Gesäubert mit Backup
C:\System Volume Information\_restore{75BE572E-E175-46A5-8491-CA2D2216E29C}\RP194\A0118014.exe ->

TrojanDropper.Small.wp -> Gesäubert mit Backup
C:\System Volume Information\_restore{75BE572E-E175-46A5-8491-CA2D2216E29C}\RP194\A0118025.exe -> TrojanProxy.Lager.j

-> Gesäubert mit Backup

::Report Ende

Auch später hat Ewido immer wieder Dateien in der Systemwiederherstellung gefunden und entfernt. Inzwischen habe ich die Systemwiederherstellung ausgeschaltet, so dass dort jetzt wohl keine Dateien mehr abgelegt werden können. Seither habe ich aber Probleme mit Explorer.exe (aus dem Windows-Ordner). Diese wird von Ewido als mit "Worm.Bagle.n" infiziert gemeldet.

Lasse ich Ewido die Datei säubern, stürzt entweder der Explorer oder Ewido ab. Ein paar Mal hat Ewido den Explorer aber augenscheinlich gesäubert, jedoch dann verlangt, dass Explorer.exe über die Windows-CD neu installiert wird.

Seither war es immer so, dass beim Neustart von Windows Ewido sich beschwert hat, dass die Explorer.exe verseucht ist, und ich nur mit Windows arbeiten konnte, indem ich die Warnung ignoriert habe. Beim letzten Systemstart hat sich aber Ewido nicht mehr beschwert, und auch der konkrete Scan der Explorer.exe mit Ewido lässt vermuten, dass Explorer.exe nicht mehr verseucht ist. Irgendwie kann ich dem aber noch nicht ganz trauen! Avast hat übrigens die Explorer.exe zu keiner Zeit als infiziert angesehen ...

Nun (nochmal) meine Fragen im Überblick:

1. Kann man überhaupt die Explorer.exe separat neu installieren über die Windows-CD?
2. Wie stehen die Chancen, dass die Explorer.exe jetzt wirklich virenfrei ist, dass also Ewido recht hat?

Für Eure Hilfe wäre ich Euch sehr dankbar!!!!

Viele Grüße
Sven

P.S.: Ich sende mal den aktuellen Hijackthis-Report mit:

Logfile of HijackThis v1.99.0
Scan saved at 12:20:24, on 28.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\PackethSvc.exe
C:\Programme\Avast\aswUpdSv.exe
C:\Programme\Avast\ashServ.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\Avast\ashDisp.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Avast\ashWebSv.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\Dokumente und Einstellungen\********\Anwendungsdaten\Map Maker\MMManager.exe
C:\Programme\HOTSYNC.EXE
C:\Programme\Avast\ashMaiSv.exe
C:\Dokumente und Einstellungen\********\Desktop\System\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1629.0\de\msntb.dll
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast\ashDisp.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: SunClock5.lnk = C:\Dokumente und Einstellungen\********\Anwendungsdaten\Map Maker\MMManager.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\HOTSYNC.EXE
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: AOL Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft

Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (IPIX ActiveX Control) - h**p://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Advanced) - h**p://www.justis.com/J-Net/smsx.cab
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - http://h**ps://img.web.de/v/fotoalbu...pload_1115.cab
O21 - SSODL: System - {96CC8BC0-F91C-4B63-9732-261B28DA2EED} - vr_sys.dll (file missing)
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Programme\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Programme\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Avast\ashWebSv.exe
O23 - Service: AVM FRITZ!web Routing Service - Cisco Systems, Inc. - (no file)
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: Virtual NIC Service - America Online, Inc. - C:\WINDOWS\System32\PackethSvc.exe
O23 - Service: Sony SPTI Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

@Feuermelder
HJT soll aus einem speziell angelegten Ordner ausgeführt werden.
Bitte alle Links im Log deaktivieren (z.B. h**p statt http)
Benutzername unerkennbar machen.

Zitat:

1. Kann man überhaupt die Explorer.exe separat neu installieren über die Windows-CD?

Nein

Zitat:

2. Wie stehen die Chancen, dass die Explorer.exe jetzt wirklich virenfrei ist, dass also Ewido recht hat?

Fifty-Fifty.

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Wo sind die aktuellen Updates geblieben? Du musst umgehend entweder eine WindowsXP SP2 CD-ROM Bestellen oder SP 2 Direkt von Microsoft Homepage downloaden

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

Die beiden kannst du fixen. Zum Querchecken bitte:
1.Systemwiederherstellung abschalten
2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.
3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen.
4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.

Ist das normal, dass die MWAV.log von dem EScan-Tool so groß ist (5,91 MB)? Ich durchsuch die Datei erstmal selbst und poste dann alles, was kommentiert wurde (Error, infected etc.). Kann noch ein bisschen dauern.

So, da war schon ein bisschen was dabei. Ich hoffe, der Ausschnitt umfasst auch alles an Malware, was gefunden wurde:

Sat May 28 17:10:59 2005 => ***** Scanning Registry Files *****

Sat May 28 17:10:59 2005 => Scanning

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Sat May 28 17:11:00 2005 => *** File C:\WINDOWS\system32\SHELL32.dll having

Size Restriction ***. Filesize 8167 kb > 3072 kb...
Sat May 28 17:11:00 2005 => Scanning File C:\WINDOWS\system32\SHELL32.dll [**]
Sat May 28 17:11:00 2005 => *** File C:\WINDOWS\system32\SHELL32.dll having

Size Restriction ***. Filesize 8167 kb > 3072 kb...
Sat May 28 17:11:00 2005 => Scanning File C:\WINDOWS\system32\SHELL32.dll [**]
Sat May 28 17:11:00 2005 => Scanning File C:\WINDOWS\System32\webcheck.dll
Sat May 28 17:11:00 2005 => Scanning File C:\WINDOWS\System32\stobject.dll
Sat May 28 17:11:00 2005 => ERROR!!! Invalid Entry System = vr_sys.dll (in key

SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad).

Removing it.

Sat May 28 17:11:00 2005 => ERROR!!! Invalid Entry

{203B1C4D9-BC71-8916-38AD-9DEA5D213614} = C:\WINDOWS\System32\bre.dll (in key

Software\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler).

Removing it.
Sat May 28 17:11:00 2005 => ERROR!!! Invalid Entry

{DABB23E9-AC0D-3740-E3E5-4B37C80837E5} = C:\WINDOWS\System32\wirl.dll (in key

Software\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler).

Removing it.

Sat May 28 17:11:16 2005 => ERROR!!! Invalid Entry

\SystemRoot\System32\Drivers\CAPI20.SYS in

SYSTEM\CurrentControlSet\Services\CAPI20...

Sat May 28 17:11:20 2005 => ERROR!!! Invalid Entry

System32\DRIVERS\NETFRITZ.SYS in SYSTEM\CurrentControlSet\Services\NETFRITZ...

Sat May 28 17:11:23 2005 => ERROR!!! Invalid Entry

System32\DRIVERS\TS154ICB.sys in SYSTEM\CurrentControlSet\Services\TS154_CB...
Sat May 28 17:11:24 2005 => ERROR!!! Invalid Entry System32\Drivers\ulisa.sys

in SYSTEM\CurrentControlSet\Services\ulisa...

Sat May 28 17:11:25 2005 => ***** Scanning Registry and File system for

Adware/Spyware *****
Sat May 28 17:11:32 2005 => Offending value found in

HKLM\Software\microsoft\downloadmanager !!!
Sat May 28 17:11:51 2005 => Object "AltNet Spyware/Adware" found in File

System! Action Taken: No Action Taken.

Sat May 28 17:12:13 2005 => System found infected with cws.therealsearch

Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Sat May 28 17:12:13 2005 => Object "cws.therealsearch Spyware/Adware" found in

File System! Action Taken: No Action Taken.

Sat May 28 17:12:14 2005 => ***** Scanning Registry for errors created because

of Adware/Spyware *****
Sat May 28 17:12:14 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid

object "C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx". Action

Taken: No Action Taken.

Sat May 28 17:12:15 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe". Action Taken: No

Action Taken.

Sat May 28 17:12:15 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\WINDOWS\System32\vxblock.dll". Action Taken: No Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\WINDOWS\System32\MSXML3A.DLL". Action Taken: No Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\WINDOWS\System32\DIMM.DLL". Action Taken: No Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Recommended\USWebUncoated.icc". Action Taken: No

Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Recommended\AppleRGB.icc". Action Taken: No Action

Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Recommended\ColorMatchRGB.icc". Action Taken: No

Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Recommended\EuroscaleCoated.icc". Action Taken: No

Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Recommended\EuroscaleUncoated.icc". Action Taken:

No Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Recommended\JapanStandard.icc". Action Taken: No

Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Recommended\sRGB Color Space Profile.icm". Action

Taken: No Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Recommended\USSheetfedCoated.icc". Action Taken:

No Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Recommended\USSheetfedUncoated.icc". Action Taken:

No Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Recommended\USWebCoatedSWOP.icc". Action Taken: No

Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Recommended\AdobeRGB1998.icc". Action Taken: No

Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Non-Recommended\WideGamutRGB.icc". Action Taken:

No Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Non-Recommended\NTSC1953.icc". Action Taken: No

Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Non-Recommended\PAL_SECAM.icc". Action Taken: No

Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Non-Recommended\SMPTE-C.icc". Action Taken: No

Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Non-Recommended\CIERGB.icc". Action Taken: No

Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Non-Recommended\Photoshop5DefaultCMYK.icc". Action

Taken: No Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\Adobe\Acrobat

5.0\TempICCProfiles\Profiles\Non-Recommended\Photoshop4DefaultCMYK.icc". Action

Taken: No Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\AOL 7.0\Aol.hlp". Action Taken: No Action Taken.

Sat May 28 17:12:16 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\AOL 7.0\Aol.cnt". Action Taken: No Action Taken.

Sat May 28 17:12:17 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\FRITZ!\Mfc42u.dll". Action Taken: No Action Taken.

Sat May 28 17:12:17 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\FRITZ!\Msvcirt.dll". Action Taken: No Action Taken.

Sat May 28 17:12:17 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\FRITZ!\Msvcrt.dll". Action Taken: No Action Taken.

Sat May 28 17:12:17 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\FRITZ!\Mfc42.dll". Action Taken: No Action Taken.

Sat May 28 17:12:17 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object

"C:\DOKUME~1\POISON~1\LOKALE~1\Temp\_ISTMP3.DIR\_ISTMP0.DIR\FileGrp\De_serv.exe

". Action Taken: No Action Taken.

Sat May 28 17:12:17 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\FRITZ!\De_serv.exe". Action Taken: No Action Taken.

Sat May 28 17:12:17 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object

"C:\DOKUME~1\POISON~1\LOKALE~1\Temp\_ISTMP5.DIR\_ISTMP0.DIR\FileGrp\De_serv.exe

". Action Taken: No Action Taken.

Sat May 28 17:12:17 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\Programme\SyncDlgN20.dll". Action Taken: No Action Taken.

Sat May 28 17:12:18 2005 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid

object "C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx". Action

Taken: No Action Taken.

Sat May 28 17:12:19 2005 => Entry

"HKCR\CLSID\{065DAF12-2C96-11D1-A2BE-00A024C0EB3C}" refers to invalid object

"C:\Program Files\PCFriendly\main\bin\Router.dll". Action Taken: No Action

Taken.

Sat May 28 17:12:19 2005 => Entry

"HKCR\CLSID\{11BE3AE6-C9DF-11D3-8E11-00805F9E26E6}" refers to invalid object

"C:\Programme\AOL 6.0\PSFac.dll". Action Taken: No Action Taken.

Sat May 28 17:12:20 2005 => Entry

"HKCR\CLSID\{1745EDC4-CDCE-4e20-B91E-312F0C2AD16B}" refers to invalid object

"C:\Programme\MSN\MSNCoreFiles\msnmetal.dll". Action Taken: No Action Taken.

Sat May 28 17:12:20 2005 => Entry

"HKCR\CLSID\{1F22CD29-E3DB-11D3-BC4E-0010833594F0}" refers to invalid object

"C:\Programme\AOL 7.0\ebrowser.dll". Action Taken: No Action Taken.

Sat May 28 17:12:20 2005 => Entry

"HKCR\CLSID\{203B1C4D9-BC71-8916-38AD-9DEA5D213614}" refers to invalid object

"C:\WINDOWS\System32\bre.dll". Action Taken: No Action Taken.

Sat May 28 17:12:20 2005 => Entry

"HKCR\CLSID\{229b78d3-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:20 2005 => Entry

"HKCR\CLSID\{229b78d4-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:20 2005 => Entry

"HKCR\CLSID\{229b78d6-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:20 2005 => Entry

"HKCR\CLSID\{229b78d8-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:20 2005 => Entry

"HKCR\CLSID\{229b78d9-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:20 2005 => Entry

"HKCR\CLSID\{229b78db-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:20 2005 => Entry

"HKCR\CLSID\{229b78dc-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:20 2005 => Entry

"HKCR\CLSID\{229b78dd-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:20 2005 => Entry

"HKCR\CLSID\{229b78de-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:21 2005 => Entry

"HKCR\CLSID\{229b78e3-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:21 2005 => Entry

"HKCR\CLSID\{229b78e4-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:21 2005 => Entry

"HKCR\CLSID\{229b78e5-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:21 2005 => Entry

"HKCR\CLSID\{229b78e6-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:21 2005 => Entry

"HKCR\CLSID\{229b78e7-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:21 2005 => Entry

"HKCR\CLSID\{229b78e8-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:21 2005 => Entry

"HKCR\CLSID\{229b78e9-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:21 2005 => Entry

"HKCR\CLSID\{229b78ea-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:21 2005 => Entry

"HKCR\CLSID\{229b78eb-38f5-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:21 2005 => Entry

"HKCR\CLSID\{2BC66F51-93A8-11D3-BEB6-00105AA9B6AE}" refers to invalid object

"C:\WINDOWS\Downloaded Program Files\avsniff.dll". Action Taken: No Action

Taken.

Sat May 28 17:12:21 2005 => Entry

"HKCR\CLSID\{2BC66F54-93A8-11D3-BEB6-00105AA9B6AE}" refers to invalid object

"C:\WINDOWS\Downloaded Program Files\avsniff.dll". Action Taken: No Action

Taken.

Sat May 28 17:12:21 2005 => Entry

"HKCR\CLSID\{2E246FAE-8420-11D9-870D-000C2917DE7F}" refers to invalid object

"C:\WINDOWS\SYSTEM\Loader.dll". Action Taken: No Action Taken.

Sat May 28 17:12:24 2005 => Entry

"HKCR\CLSID\{5E05D214-DD15-47cd-B5BC-65FAC825D3D0}" refers to invalid object

"C:\Programme\MSN\MSNCoreFiles\msnmetal.dll". Action Taken: No Action Taken.

Sat May 28 17:12:25 2005 => Entry

"HKCR\CLSID\{76CE1CC0-7932-11D1-9509-00A0C9925315}" refers to invalid object

"C:\PROGRA~2\PCFRIE~1\main\bin\ITIVIDEO.OCX". Action Taken: No Action Taken.

Sat May 28 17:12:25 2005 => Entry

"HKCR\CLSID\{7730E78F-A89A-11D3-9982-0060B088BBCA}" refers to invalid object

"C:\Programme\AOL 6.0\Amp\AmpX.dll". Action Taken: No Action Taken.

Sat May 28 17:12:26 2005 => Entry

"HKCR\CLSID\{7D40BE24-67B4-11D4-B7C0-0050044A0724}" refers to invalid object

"C:\PROGRA~1\GEMEIN~1\FUNCOM~1\UDACOM~1.DLL". Action Taken: No Action Taken.

Sat May 28 17:12:27 2005 => Entry

"HKCR\CLSID\{8F05DED0-B413-11D3-BA1D-00108334265F}" refers to invalid object

"C:\Programme\AOL 6.0\PShopper.dll". Action Taken: No Action Taken.

Sat May 28 17:12:27 2005 => Entry

"HKCR\CLSID\{96CC8BC0-F91C-4B63-9732-261B28DA2EED}" refers to invalid object

"vr_sys.dll". Action Taken: No Action Taken.

Sat May 28 17:12:28 2005 => Entry

"HKCR\CLSID\{B6069E5C-B409-11D3-BA1D-00108334265F}" refers to invalid object

"C:\Programme\AOL 6.0\SABridge.dll". Action Taken: No Action Taken.

Sat May 28 17:12:29 2005 => Entry

"HKCR\CLSID\{bc8a96c0-3909-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:29 2005 => Entry

"HKCR\CLSID\{bc8a96c1-3909-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:29 2005 => Entry

"HKCR\CLSID\{bc8a96c2-3909-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:29 2005 => Entry

"HKCR\CLSID\{bc8a96c3-3909-11d5-9001-00c04f4c3b9f}" refers to invalid object

"C:\Programme\AOL 7.0\Media\CDDBControl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:29 2005 => Entry

"HKCR\CLSID\{C0E02720-C9D7-11D3-8E10-00805F9E26E6}" refers to invalid object

"C:\Programme\AOL 6.0\PSFac.dll". Action Taken: No Action Taken.

Sat May 28 17:12:29 2005 => Entry

"HKCR\CLSID\{C31746DC-4BF9-4DC8-A299-B0F09AFACFB4}" refers to invalid object

"C:\Programme\AOL 7.0\AMH.dll". Action Taken: No Action Taken.

Sat May 28 17:12:30 2005 => Entry

"HKCR\CLSID\{C627B4C0-01AF-41BB-A4CF-EC0DEF91ADAF}" refers to invalid object

"C:\Programme\AOL 7.0\AMH.dll". Action Taken: No Action Taken.

Sat May 28 17:12:30 2005 => Entry

"HKCR\CLSID\{CC93F1D5-BAE8-11D4-BB7E-00E0290BFBAA}" refers to invalid object

"C:\PROGRA~1\GEMEIN~1\FUNCOM~1\FUNINT~1.DLL". Action Taken: No Action Taken.

Sat May 28 17:12:31 2005 => Entry

"HKCR\CLSID\{D98E820F-6ACD-4dc0-921E-9841E3D8B4A7}" refers to invalid object

"E:\player\WMMP.EXE". Action Taken: No Action Taken.

Sat May 28 17:12:31 2005 => Entry

"HKCR\CLSID\{DABB23E9-AC0D-3740-E3E5-4B37C80837E5}" refers to invalid object

"C:\WINDOWS\System32\wirl.dll". Action Taken: No Action Taken.

Sat May 28 17:12:31 2005 => Entry

"HKCR\CLSID\{E726E415-FC33-451A-A309-00A95540596F}" refers to invalid object

"C:\PROGRA~1\GEMEIN~1\FUNCOM~1\funAd.dll". Action Taken: No Action Taken.

Sat May 28 17:12:32 2005 => Entry

"HKCR\CLSID\{EB6BEA6B-F489-4846-902B-4CA285EA2311}" refers to invalid object

"C:\Programme\AOL 7.0\AMH.dll". Action Taken: No Action Taken.

Sat May 28 17:12:32 2005 => Entry

"HKCR\CLSID\{F4C6D6E0-A8FB-4281-BE24-1662D646FE2B}" refers to invalid object

"E:\player\WMMP.EXE". Action Taken: No Action Taken.

Sat May 28 17:12:33 2005 => Entry

"HKCR\CLSID\{FBE840E5-13A5-4cff-B2A9-4D1E64A17FF2}" refers to invalid object

"E:\player\WMMP.EXE". Action Taken: No Action Taken.

Sat May 28 17:12:47 2005 => Entry "HKCR\Plenoptic.Plenoptic" refers to invalid

object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.

Sat May 28 17:12:47 2005 => Entry "HKCR\Plenoptic.Plenoptic.1" refers to

invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No

Action Taken.

Sat May 28 17:12:50 2005 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" refers

to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No

Action Taken.

Sat May 28 17:12:50 2005 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" refers

to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No

Action Taken.

Sat May 28 17:12:50 2005 => ***** Scanning System32 Folders *****

Sat May 28 17:12:56 2005 => File C:\WINDOWS\dvpd.dll infected by

"Backdoor.Win32.Dumador.bj" Virus! Action Taken: No Action Taken.

Sat May 28 17:12:56 2005 => File C:\WINDOWS\prntsvra.dll infected by

"Backdoor.Win32.Dumador.bj" Virus! Action Taken: No Action Taken.

Sat May 28 17:13:04 2005 => *** File C:\WINDOWS\System32\wmp.dll having Size

Restriction ***. Filesize 4540 kb > 3072 kb...

Sat May 28 17:13:52 2005 => *** File C:\WINDOWS\System32\oembios.bin having

Size Restriction ***. Filesize 12800 kb > 3072 kb...

Sat May 28 17:14:54 2005 => *** File C:\WINDOWS\System32\shell32.dll having Size Restriction ***. Filesize 8167 kb > 3072 kb...

Sat May 28 17:15:13 2005 => ***** Scanning All Drives *****

Sat May 28 17:26:21 2005 => Scanning File C:\WINDOWS\dvpd.dll
Sat May 28 17:26:21 2005 => File C:\WINDOWS\dvpd.dll infected by "Backdoor.Win32.Dumador.bj" Virus! Action Taken: No Action Taken.

Sat May 28 17:26:27 2005 => Scanning File C:\WINDOWS\prntsvra.dll
Sat May 28 17:26:27 2005 => File C:\WINDOWS\prntsvra.dll infected by "Backdoor.Win32.Dumador.bj" Virus! Action Taken: No Action Taken.

Sat May 28 17:46:50 2005 => ***** Checking for specific ITW Viruses *****
Sat May 28 17:46:50 2005 => Checking for Welchia Virus...
Sat May 28 17:46:51 2005 => Traces of "Welchia" found and cleaned !!!

Und unter Virus Log Information steht das hier:
(Tut mir echt unheimlich leid, dass ich Dich hier so mit Information zumülle!!!)

Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "cws.therealsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\vxblock.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\MSXML3A.DLL". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\DIMM.DLL". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Recommended\USWebUncoated.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Recommended\AppleRGB.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Recommended\ColorMatchRGB.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Recommended\EuroscaleCoated.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Recommended\EuroscaleUncoated.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Recommended\JapanStandard.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Recommended\sRGB Color Space Profile.icm". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Recommended\USSheetfedCoated.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Recommended\USSheetfedUncoated.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Recommended\USWebCoatedSWOP.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Recommended\AdobeRGB1998.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Non-Recommended\WideGamutRGB.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Non-Recommended\NTSC1953.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Non-Recommended\PAL_SECAM.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Non-Recommended\SMPTE-C.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Non-Recommended\CIERGB.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Non-Recommended\Photoshop5DefaultCMYK.icc". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\TempICCProfiles\Profiles\Non-RecomTraces of "Welchia" found and cleaned !!!

@ Feuermelder

Führe lieber mal die Find.bat aus, dann wird's für uns übersichtlicher und leichter.

Irgendwie klappt die Batch-Datei bei mir nicht. Hab dann "nach alter Manier" (STRG+F) gesucht. Das Ergebnis in Kürze:)

Sat May 28 17:12:13 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.

Sat May 28 17:12:56 2005 => File C:\WINDOWS\dvpd.dll infected by "Backdoor.Win32.Dumador.bj" Virus! Action Taken: No Action Taken.

Sat May 28 17:12:56 2005 => File C:\WINDOWS\prntsvra.dll infected by "Backdoor.Win32.Dumador.bj" Virus! Action Taken: No Action Taken.

Sat May 28 17:26:21 2005 => File C:\WINDOWS\dvpd.dll infected by "Backdoor.Win32.Dumador.bj" Virus! Action Taken: No Action Taken.

Sat May 28 17:26:27 2005 => File C:\WINDOWS\prntsvra.dll infected by "Backdoor.Win32.Dumador.bj" Virus! Action Taken: No Action Taken.

Sat May 28 17:37:07 2005 => File C:\Programme\AIDA32 - Enterprise System Information\aida32.exe tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.

Sat May 28 17:37:09 2005 => File C:\Programme\AIDA32 - Enterprise System Information\aida32.bin tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.

Sat May 28 17:37:09 2005 => File C:\Programme\AIDA32 - Enterprise System Information\aida_directx.dll tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.

Sat May 28 17:11:00 2005 => ERROR!!! Invalid Entry System = vr_sys.dll (in key SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad). Removing it.

Sat May 28 17:11:00 2005 => ERROR!!! Invalid Entry {203B1C4D9-BC71-8916-38AD-9DEA5D213614} = C:\WINDOWS\System32\bre.dll (in key Software\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler). Removing it.

Sat May 28 17:11:00 2005 => ERROR!!! Invalid Entry {DABB23E9-AC0D-3740-E3E5-4B37C80837E5} = C:\WINDOWS\System32\wirl.dll (in key Software\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler). Removing it.

Sat May 28 17:11:16 2005 => ERROR!!! Invalid Entry \SystemRoot\System32\Drivers\CAPI20.SYS in SYSTEM\CurrentControlSet\Services\CAPI20...

Sat May 28 17:11:20 2005 => ERROR!!! Invalid Entry System32\DRIVERS\NETFRITZ.SYS in SYSTEM\CurrentControlSet\Services\NETFRITZ...

Sat May 28 17:11:23 2005 => ERROR!!! Invalid Entry System32\DRIVERS\TS154ICB.sys in SYSTEM\CurrentControlSet\Services\TS154_CB...

Sat May 28 17:11:24 2005 => ERROR!!! Invalid Entry System32\Drivers\ulisa.sys in SYSTEM\CurrentControlSet\Services\ulisa...

Außerdem:

Sat May 28 17:46:50 2005 => ***** Checking for specific ITW Viruses *****
Sat May 28 17:46:50 2005 => Checking for Welchia Virus...
Sat May 28 17:46:51 2005 => Traces of "Welchia" found and cleaned !!!

Und:

Sollte ich was bezüglich dieser "refers to invalid object"-Einträge unternehmen (siehe unten)?

du hast einen oder mehrere backdoors auf dem system.
dein system ist kompromittiert; es ist nicht mehr vertrauenswürdig.
installiere windows neu mit beachtung dieser Anleitung

Nö, nicht wirklich, oder? Gibt's denn gar keine Chance mehr?

Leider NEIN!

Bei Malware mit Backdoorfunktion besteht die Gefahr das diese Systemdateien geändert hat und dein Betriebssystem daher nicht mehr vertrauenswürdig ist.

Siehe auch HIER und HIER

Ich habe gerade interessanterweise auf dem infizierten PC im system32-Ordner eine Datei namens $$$_.log entdeckt mit folgendem Inhalt:

h**p://evker.com/s.exe
h**p://deksten.biz/best.exe

(Das ist alles, was da drin steht!!)

Die ist zur gleichen Zeit "entstanden" wie das ganze Schlamassel an dem Notebook. Wenn man schon so konkrete Internetadressen hat, kann man da nicht was dagegen unternehmen, wenigsten den Server einfrieren?? Kennt Ihr Euch da aus?

Viele Grüße, und vielen Dank für die Hilfe!!
Sven