Ok, ich habe alle die angegebenen Dateien gefunden!
Es handelt sich einmal um "C:\Windows\Oracle", die die versteckte Datei "Scanregw.exe" enthält, zu der übrigens auch eine Prefetch-datei, nämlich "c:\windows\pf\scanregw.exe-2100f0eb.pf" gehört. Ich habe die Datei Scanen lassen und Karl hatte recht, es handelt sich scheinbar tatsächlich um ein PurityScan-Variante. Hier der Analysebericht:

Der Pfad "C:\DOKUME~1\ANWEND~1\SEMBLY~1\" existiert nicht mehr

Ich schätz ich sollte diese schädliche Datei nicht einfach löschen...


So mir ist gerade was neues aufgefallen: Jedesmal wenn sich der InetExplorer öffnent, warnt mich antivir vor dieser Datei "C:\Dokumente und Einstellung\...\!update.exe". Jedoch kann ich diese Datei nicht finden. Alle ähnlich lautenden sind :

"C:\Dokumente und Einstellungen\All Users\Startmenü\Windows Update"(verknüpfung)
"C:\Dokumente und Einstellungen\Michael\Userdata\MJUV4TE7\oWindowsUpdate_1_.xml"
"C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\DivX\Nach DivX Updates suchen"(verknüpfung)

Lösch mal den gefundenen Ordner mit der altbewährten Avenger-Methode, kopier aber diesmal ins Script das hier rein:

Mach mal danach ein etwas ausführlicheres Filelist mit diesem cmd-script - nach dem Vorgang öffnet sich der Editor mit dem ausführlicheren Filelist, du findest die Textdatei auch auch auf dem Desktop unter listing.txt. Lad die mal z.B. bei Fileupload hoch und verlink es hier, denn sie wird wohl zu groß sein, um sie hier im TB direkt zu posten.

Wie lautet denn der der Zwischenpfad? Nur mit Punktn kann man leider wenig anfangen.

Die Dateien sehen eher harmlos aus.

Also diese Avengermethode funktioniert nicht. Wenn das Skript so kopiere, wie Du es mir geschrieben hast, kommt nach dem Neustart, die Fehlermeldung, dass der Ordner nicht existieren würde, obwohl er das aber tut. Ändere ich das Skrip, so das es die Datei "scanregw.exe" selbst gelöscht werden soll, steht nach reboot im Log, dass es Avenger nicht möglich war die Datei zu löschen.
Bei weiteren Versuchen kamen auch Fehlermeldungen von "kann Script nicht finen" bis "avenger.txt kann nicht geschriebenn werde". Keine Ahnug was los ist.

Zu "!update.exe" existiert keine genauere Pfadangabe AntiVir gibt mir den Pfad genauso an, wie wie ich ihn gepostet habe und, wie gesagt, mit der WindowsSuche finde ich nichts.

Noch jemand Ideen?:(

Hier ist noch die Liste, die von deinem Script erstellt wurde
Filelist

Schade, hab ich mir schon fast gedacht, dass das nicht klappt mit dem "oracle" Ordner. Das scheint wohl kein normales "O" sondern irgendein Sonderzeichen zu sein, dass dem Buchstaben "O" wohl ähnelt.

Das listing hat jedenfalls aufgedeckt, dass diese Ordner noch zumindest vorhanden sind:

Versuch die Ordner mal manuell zu löschen wenns mit dem Avenger schon nicht klappt - stell sicher, dass du dir alle Dateien anzeigen lässt.

Hab noch weitere merkwürdige Dateien entdeckt, die sich aber nur im Prefetchordner bemerkbar machen:

D.h. du könntest diesen Ordner auch mal leeren und später beobachten wir, welche Dateien sich nach ner Zeit reingeschrieben haben.