DatallUsers.bat

stelle den CCleaner genauso ein, wie hier angegeben: -> dann starte den PC neu

Manchmal befinden sich Dateien auf dem Rechner, die von Viren, Spyware oder Backdoors abgelegt wurden und welche ein Antivirenscanner nicht auf Anhieb findet. Deshalb haben wir diese bat-Datei erstellt, um genau nachprüfen zu können, was sich in Windows\System32, Windows und C:\ und den temporären Dateien, C:\Programme, C:\WINDOWS\Prefetch befindet.

http://virus-protect.org/zip/DatOrd.zip

1. datallusers.bat --> C:\allusers.txt

Lade die datallusers.zip --> entpacke auf dem Desktop - dann erscheint eine datallusers.bat auf dem Bildschirm.

http://virus-protect.org/bat/datallusers.zip

- Klicke die datallusers.bat doppelt
- der Texteditor wird sich öffnen --> kopiere den Inhalt ab

cd %systemdrive%\Dokumente und Einstellungen\All Users\Dokumente\
dir /a:-d /o:-d > %systemdrive%\allusers.txt
start %systemdrive%\allusers.txt
cls
pause
exit

Beispiel:
Verzeichnis von C:\Dokumente und Einstellungen\All Users\Dokumente

20.11.2005 01:23 653 os745025.bin
10.05.2005 16:26 0 PCD20533.L!C
11.04.2005 20:46 62 desktop.ini
3 Datei(en) 715 Bytes
0 Verzeichnis(se), 2.910.478.336 Bytes frei

C:\Windows\Temp32

Open a command prompt (start> run> type cmd, hit enter)
Paste this line into the cmd window and hit enter.

cd c:\windows\temp32 & dir > files.txt /a & start notepad files.txt

and the cmd results:

Directory of C:\WINDOWS\Temp32
05/14/2005 01:16 PM .
05/14/2005 01:16 PM ..
05/14/2005 01:16 PM 0 files.txt
1 File(s) 0 bytes
2 Dir(s) 431,321,088 bytes free

2. Prefetch.bat --> C:\prefetch.txt

Lade die prefetch.zip
--> entpacken auf dem Desktop - dann erscheint eine prefetch.bat auf dem Bildschirm.

http://virus-protect.org/bat/prefetch.zip

- Klicke die prefetch.bat doppelt
- der Texteditor wird sich öffnen --> kopiere den Inhalt ab

cd %windir%\Prefetch\
dir /a:-d /o:-d > %systemdrive%\prefetch.txt
start %systemdrive%\prefetch.txt
cls
pause
exit

um zu finden:
C:\Program Files\Nsem\Ujqlsdq.exe
C:\Program Files\Internet Optimizer\actalert.exe

Lade die datprogram.zip -> entpacken -> datprogram.bat

http://virus-protect.org/bat/datprogram.zip

- Klicke die datprogram.bat doppelt
- der Texteditor wird sich öffnen --> kopiere den Inhalt ab

------------

cd %systemdrive%\Dokumente und Einstellungen\All Users\Dokumente\
dir /a:-d /o:-d > %systemdrive%\allusers.txt
start %systemdrive%\allusers.txt
cls
pause
exit

----------

Beispiel:

Volume in drive C has no label.
Volume Serial Number is 38FD-EEA4
Directory of C:\Program Files

03-12-2005 00:21 WS_FTP Pro
01-12-2005 22:26 Trend Micro
01-12-2005 10:28 SpywareBlaster
30-11-2005 18:16 AVPersonal
11-11-2005 12:10 Common Files
07-11-2005 10:51 Mozilla Firefox
18-10-2005 12:09 AWStats
18-10-2005 11:21 RankingReport
04-10-2005 11:43 QuickTime
04-10-2005 11:42 HoverIP
04-10-2005 11:42 Unlocker

cd\
dir msupdate32* /s > files.txt
cd\
dir scvhost* /s >> files.txt
cd\
dir hedgie* /s >> files.txt
dir "c:\Program Files\Fichiers communs" >> files.txt
dir "c:\Program Files" >> files.txt
notepad files.txt

------------------------

C:\WINDOWS\System32\hedgie.exe
C:\WINDOWS\SYSTEM32\msupdate32.dll

Repertoire de C:\WINDOWS\SYSTEM32
26/11/2005 09:35 10ÿ672 hedgie.exe
1 fichier(s) 10ÿ672 octets

C:\WINDOWS\SYSTEM32\config\systemprofile\Local Settings\Temporary Internet Files\ Content.IE5\SXUVWT2N

23/11/2005 19:05 10ÿ672 hedgie[1].exe
23/11/2005 21:29 10ÿ672 hedgie[2].exe
24/11/2005 07:13 10ÿ672 hedgie[3].exe
3 fichier(s) 32ÿ016 octets

C:\WINDOWS\Prefetch
26/11/2005 14:58 7786 HEDGIE.EXE-0E2979B3.pf
1 fichier(s) 7786 octets

list.bat http://virus-protect.org/bat/list.zip

cd\
dir "C:\Programme\Gemeinsame Dateien\Windows" >> files.txt
dir "C:\Programme\Gemeinsame Dateien" >> files.txt
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt
dir "C:\Programme\Gemeinsame Dateien" >> files.txt
dir "C:\WINDOWS\Q29yaW5hIEtpbms" >> files.txt
dir "C:\WINDOWS">> files.txt
notepad files.txt

Directory of C:\WINDOWS

08-03-2006 10:15 0 0.log
09-06-2004 00:30 DIR addins
27-01-2005 12:32 DIR AppPatch
23-08-2001 11:00 1.272 Blue Lace 16.bmp
08-03-2006 10:14 2.048 bootstat.dat
13-06-2004 14:46 DIR Cache
26-11-2004 21:26 23 cdplayer.ini
23-08-2001 12:00 266.752 winhlp32.exe
17-10-2004 14:35 9.106 winsbak.reg
17-10-2004 14:35 70.076 winsbak2.reg

O4 - HKCU\..\Run: [Nek] C:\WINDOWS\system32\j?vaw.exe
O4 - HKCU\..\Run: [Mpsw] "C:\Programme\eadt\rncr.exe" -vt mt

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat
mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

cd\
dir j?vaw* /s > files.txt
dir "c:\Programme" >> files.txt
notepad files.txt

datcommon.bat - Programme\Gemeinsame Dateien\

http://virus-protect.org/bat/datcommon.bat

cd %systemdrive%\Programme\Gemeinsame Dateien\
dir /s /a /o:-d > %systemdrive%\common.txt
start %systemdrive%\common.txt
cls
pause
exit

Directory of C:\Documents and Settings\S\Desktop

01-02-2006 15:40 Mozilla

Volume in drive C has no label.
Volume Serial Number is 38FD-EEA4
Directory of C:\Program Files\Mozilla Firefox

15-01-2006 13:05 searchplugins
30-11-2005 22:57 components
13-11-2005 23:45 smitRem
07-11-2005 10:51 59.761 DBWIN_BUFFER
05-11-2005 14:45 QooFix9x
04-10-2005 11:42 chrome
04-10-2005 11:42 res

Directory of C:\Program Files\Mozilla Firefox\res
04-10-2005 11:42 entityTables

Directory of C:\Program Files\Mozilla Firefox\res\builtin
11-05-2005 18:36 14.008 platformHTMLBindings.xml

C:\windows\system32\dllcache

Lade die datcache.bat : rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine datcache.bat auf dem Bildschirm. (ohne htm speichern !)
http://virus-protect.org/bat/datcache.bat

abspeichern als datcache.bat

Volume in drive C has no label.
Volume Serial Number is 38FD-EEA4

Directory of C:\WINDOWS\system32\dllcache

29-09-2004 00:57 2.805.760 mshtml.dll
23-09-2004 17:08 487.936 URLMON.DLL
27-08-2004 13:58 1.340.416 SHDOCVW.DLL
26-08-2004 10:53 69.632 inseng.dll
23-08-2004 20:32 589.312 WININET.DLL

cd\
dir /a:-d /o:-d %windir%\system32\dllcache > %systemdrive%\dllcache.txt
start %systemdrive%\dllcache.txt
cls
exit datcache.bat

Kopiere in den Texteditor: (dann als delete.bat abspeichern.
Gebe bei Dateityp 'Alle Dateien' an.) doppelklick auf delete.bat

dir /o:d C:\WINDOWS\SYSTEM32\ > 1.txt
notepad 1.txt
del 1.txt
del delete.bat

07/01/2006 21:46 139,603 system.dat
10/01/2006 13:34 63 svcp.csv
10/01/2006 13:34 4 winsub.xml
10/01/2006 13:35 46,592 zlbw.dll_tobedeleted

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint

cd\
dir "C:\Programme\Gemeinsame Dateien\Windows" >> files.txt
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt
dir "C:\Programme\Gemeinsame Dateien" >> files.txt
dir "C:\WINDOWS">> files.txt
dir "C:\DOKUME~1">> files.txt
notepad files.txt

Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders

16.02.2006 22:54 68.608 ibm00001.dll
16.02.2006 22:54 3.584 ibm00001.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe
C:\Dokumente und Einstellungen\adlerhomer\order_jrcj.exe

O4 - HKCU\..\Run: [Osna] "D:\DOKUME~1\Nico\EIGENE~1\YMANTE~1\dllhost.exe" -vt mt
O4 - HKCU\..\Run: [Vaeetcaz] D:\Dokumente und Einstellungen\U\Eigene Dateien\??crosoft.NET\?hkntfs.exe

öffne den Texteditor, kopiere rein--> dann abspeichern (alle Dateien) als vundoh.reg

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\apsrv]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B8B55274-0F9A-41E5-9067-A3539BD9E860}]
[-HKEY_CLASSES_ROOT\CLSID\{B8B55274-0F9A-41E5-9067-A3539BD9E860}]
[-HKEY_CLASSES_ROOT\MSEvents.MSEvents.1]
[-HKEY_CLASSES_ROOT\MSEvents.MSEvents]

# Start --> Ausführen--> reinkopieren: regedit.exe /s C:\vundoh.reg

Lade echo.zip --> entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen --> Text abkopieren
http://virus-protect.org/bat/echo.zip

@ECHO OFF
cd\Programme\
attrib -S -R -H SurfSideKick 3\Ssk.exe
attrib -S -R -H SurfSideKick 3
del SurfSideKick 3\Ssk.exe
rd /S SurfSideKick 3
exit

------------

C:\Programme\Common files\rrqz\rrqzm.exe

Text in den Texteditor kopieren
abspeichern (Gebe bei Dateityp "Alle Dateien" an) als service.bat
und dann diese bat doppeltklicken

@ECHO OFF
cd\Programme\Common files
attrib -S -R -H rrqz\rrqzm.exe
attrib -S -R -H rrqz
del rrqz\rrqzm.exe
rd /S rrqz
exit

C:\Programme\Gemeinsame Dateien\CMEII
C:\Programme\Gemeinsame Dateien\ErrorSafe
C:\Programme\Gemeinsame Dateien\GMT
C:\Programme\Gemeinsame Dateien\Hyperbar
C:\Programme\Gemeinsame Dateien\InetGet -> adware/maxifiles
C:\Programme\Gemeinsame Dateien\Oem Common -> adware/oemji
C:\Programme\Gemeinsame Dateien\Totem Shared -> adware/ist.istbar
C:\Programme\Gemeinsame Dateien\WinSoftware => application/winfixer2005
C:\Programme\Gemeinsame Dateien\WhenU
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006 -> Application/Winantivirus2006
C:\Programme\Gemeinsame Dateien\WinFixer 2005 -> Adware.Winfixer
C:\Programme\Gemeinsame Dateien\WinTools -> adware/WinTools

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TV9TdGVuemVs\command.exe

Text in den Texteditor kopieren
abspeichern (alle Dateien)als service.bat
doppeltklicken

@ECHO OFF
cd\WINDOWS\TV9TdGVuemVs
sc config cmdService start= disabled
sc stop cmdService
sc delete cmdService
attrib -s -r -h command.com
del command
exit

O20 - AppInit_DLLs: cpan.dll

# Click Start - Ausführen
# Kopiere in die Run-Box und klicke "o.k."

cmd /c "attrib -h %systemroot%\system32\ctrlpan.dll & ren %systemroot%\system32\ctrlpan.dll Badfile.bad"

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\evendmod.exe,
C:\WINDOWS\system32\msr2dxof.exe,C:\Documents and Settings\Owner\Application Data\Explorer\msr2dxof.exe

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"=-
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

O4 - HKLM\..\RunServices: [] mozilla.exe
O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe
O4 - HKLM\..\RunServices: [secures23] lup.exe

Start - Ausführen - cmd

CD C:\WINDOWS\SYSTEM32\
ATTRIB -R -S -H mssvcc.exe
DEL mssvcc.exe
ATTRIB -R -S -H lup.exe
DEL lup.exe
ATTRIB -R -S -H mozilla.exe
DEL mozilla.exe
ATTRIB -R -S -H sysuptime.exe
DEL sysuptime.exe

NoLop - NoLop
http://www.spywareedge.net/nolop/NoLop.exe

look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint
http://virus-protect.org/zip/look.zip

----------------------

Text in den Texteditor kopieren
abspeichern (Gebe bei Dateityp "Alle Dateien" an) als look.bat
und dann diese bat doppeltklicken

cd\
cd C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten
dir /x >> C:\look.txt
cd C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
dir /x >> C:\look.txt
dir %Windir%\tasks /a:h >> C:\look.txt
start notepad C:\look.txt

com.zip
laden - entpacken - com.bat -> doppeltklicken, abwarten und den Text posten, der erscheint
http://virus-protect.org/zip/com.zip

----------

cd \windows\Qm9yZ21hbm4

dir /a /s > c:\kill.txt 2>&1
taskkill /f /im command.exe >> c:\kill.txt 2>&1
attrib -r -s -h /s /d *.* >> c:\kill.txt 2>&1
del /q /s /f *.* >> c:\kill.txt 2>&1
dir /a /s >> c:\kill.txt 2>&1
sc stop cmdService >> c:\kill.txt 2>&1
sc config cmdService start= disabled >> c:\kill.txt 2>&1
sc delete cmdService >> c:\kill.txt 2>&1
del /q /s /f *.* >> c:\kill.txt 2>&1
dir /a /s >> c:\kill.txt 2>&1
shutdown -r -f >> c:\kill.txt 2>&1

Verzeichnis von C:\WINDOWS\Qm9yZ21hbm4

02.08.2005 16:46 187.904 asappsrv.dll
02.08.2005 16:58 293.888 command.exe
29.07.2005 16:24 472 kA6VtZY1vAb.vbs
3 Datei(en) 482.264 Bytes

Anzahl der angezeigten Dateien:
3 Datei(en) 482.264 Bytes
2 Verzeichnis(se), 8.150.032.384 Bytes frei
FEHLER: Der Prozess "command.exe" wurde nicht gefunden.
Datei wurde gelscht - C:\WINDOWS\Qm9yZ21hbm4\asappsrv.dll
Datei wurde gelscht - C:\WINDOWS\Qm9yZ21hbm4\command.exe
Datei wurde gelscht - C:\WINDOWS\Qm9yZ21hbm4\kA6VtZY1vAb.vbs
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9025-18F9

Verzeichnis von C:\WINDOWS\Qm9yZ21hbm4

-----------------------

remnmon.zip laden - entzippen - remnmon.bat doppeltklicken

http://virus-protect.org/zip/remnmon.zip

Nach einem Neustart die c:\kill.txt posten

sc stop "Network Monitor" > c:\kill.txt 2>&1
sc config "Network Monitor" start= disabled >> c:\kill.txt 2>&1
sc delete "Network Monitor" >> c:\kill.txt 2>&1

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

cd\
dir "C:\Dokumente und Einstellungen\All Users\Dokumente\Settings" >>files.txt
notepad files.txt

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

cd\
dir "C:\Dokumente und Einstellungen\All Users\Desktop" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Desktop" >>files.txt
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\Windows\system32\config" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

C:\WINDOWS\All Users\Startmenü\Programme\Autostart
C:\WINDOWS\Startmenü\Programme\Autostart
C:\WINDOWS\Profiles\%Username%\Startmenü\Programme\Autostart

C:\Dokumente und Einstellungen\%Username%\Startmenü\Programme\Autostart\DESKMENU.EXE
C:\Dokumente und Einstellungen\%Username%\Startmenü\Programme\Autostart\desktop.ini

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme
C:\Dokumente und Einstellungen\All Users\Startmenü
C:\WINDOWS\Start Menu\Programs\StartUp
C:\WINDOWS\Start Menu
C:\WINDOWS\Start Menu\Programs
C:\Windows\All Users\Startmenü\Programme\Autostart
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart

C:\Dokumente und Einstellungen\All Users\Start Menu\Programs\Startup
C:\Dokumente und Einstellungen\%Username%\Startmenü\Programme\Autostart
O4 - Startup: cftmon.exe
C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\cftmon.exe

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\installer.exe -> Dropper.PurityScan.q

C:\Dokumente und Einstellungen\Anne\Startmenü\Programme\WhenU
Beim Ordner Eigene Dateien handelt es sich um einen Desktopordner, der eine bequeme Möglichkeit zum Speichern von Dokumenten, Grafiken oder sonstigen Dateien bietet, auf die Sie rasch zugreifen möchten. Auf dem Desktop wird er durch ein Symbol in Form eines Ordners mit einem Blatt Papier dargestellt.

Wenn Sie eine Datei in einem Programm wie WordPad oder Paint oder Webdokumente aus dem Internet Explorer auf dem Computer speichern, wird die Datei oder das Dokument automatisch im Ordner Eigene Dateien abgelegt, es sei denn, Sie geben ein anderes Verzeichnis an.

liste.zip -> entpacken -> liste.bat doppeltklicken -> der Texteditor wird sich öffnen-> mit der rechten Maustaste abkopieren und "einfügen" in den Thread.

http://virus-protect.org/zip/liste.zip

cd\
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\frame.crazywinnings.com]
"*"=-

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\frame.crazywinnings.com]
"*"=dword:00000004

------------

O4 - HKLM\..\Run: [joms] D:\audio\adi3665w\146sound.exe

Copy the text in the Quote Box to a blank notepad page and Save it to the Desktop with the name find.bat

dir \146sound.exe /a h /s > File.txt
-------------

1. Öffne den Texteditor (notepad) Unter Start/Ausführen den Befehl "notepad" eingeben, bestätigen, dann erscheit ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor

2. kopiere diesen Code rein:

@ECHO OFF
attrib -s -r -h C:\WINDOWS\SYSTEM32\msvcrt64.dll
del /q C:\WINDOWS\SYSTEM32\msvcrt64.dll
exit

3. Speichere die Datei als Fix.bat auf Desktop
4.Doppelklick auf diese Datei Fix.bat

---------------

export.bat

cd\
dir %SystemDrive%\msinexecs*.exe /a:h /s >> files.txt
dir %SystemDrive%\msinexecs* .exe /s >> files.txt
dir %SystemDrive%\Redworld* .exe /a:h /s >> files.txt
dir %SystemDrive%\Redworld*.exe /s >> files.txt
dir %SystemDrive%\Dragon*.exe /a:h /s >> files.txt
dir %SystemDrive%\Dragon*.exe /s >> files.txt
dir %SystemDrive%\Grand*.exe /a:h /s >> files.txt
dir %SystemDrive%\Grand*.exe /s >> files.txt
notepad files.txt

Gebe dann unter start ausführen CMD ein und drücke Enter. Dann öffnet sich ein Dos-fenster in diesem Fenster gibst du folgendes ein:

del \\?\c:\windows\system32\lpt9.fla

wieder enter drücken. Sollte eine Fehlermeldung auftauchen, schreib, welche.

---------------

Start > Ausführen --> reinschreiben --> cmd
und ok. kopiere rein

expand c:\WINDOWS\ServicePackFiles\i386\rundll32.exe c:\windows\system32\rundll32.exe

-----------------

restore.bat

if exist "C:\Program Files\AIM\aim.exe" del /q "C:\Program Files\AIM\aim.exe"
copy "C:\Program Files\AIM\bak\aim.exe" "C:\Program Files\AIM"
del /q "C:\Program Files\AIM\bak\aim.exe"
rmdir "C:\Program Files\AIM\bak"

if exist "C:\Program Files\iTunes\iTunesHelper.exe" del /q "C:\Program Files\iTunes\iTunesHelper.exe"
copy "C:\Program Files\iTunes\bak\iTunesHelper.exe" "C:\Program Files\iTunes"
del /q "C:\Program Files\iTunes\bak\iTunesHelper.exe"
rmdir "C:\Program Files\iTunes\bak"

if exist "C:\WINDOWS\system32\NeroCheck.exe" del /q "C:\WINDOWS\system32\NeroCheck.exe"
copy "C:\WINDOWS\system32\bak\NeroCheck.exe" "C:\WINDOWS\system32"
del /q "C:\WINDOWS\system32\bak\NeroCheck.exe"
rmdir "C:\WINDOWS\system32\bak"

C:\WINDOWS\ehome\ehtray.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped

fix2.bat

@echo off
attrib -a -h -r -s "C:\WINDOWS\ehome\ehtray.exe"
if exist "C:\WINDOWS\ehome\ehtray.exe" del /q "C:\WINDOWS\ehome\ehtray.exe"
copy "C:\WINDOWS\ehome\bak\ehtray.exe" "C:\WINDOWS\ehome"
del /q "C:\WINDOWS\ehome\bak\ehtray.exe"
rmdir "C:\WINDOWS\ehome\bak"

Copy the contents of the code box below into a new notepad document (not wordpad).
Click file> save as...> call it check.bat > file types *all files*> and save it to desktop.

@echo off
echo Searching please wait....
(@echo off
For %%i in (%windir%\system32) do findstr /M "WinShutdown" %%i\*.dll
For %%i in (%windir%\system32) do findstr /M "WinShutdown" %%i\*.sys
For %%i in (%windir%\system32) do findstr /M "WinShutdown" %%i\*.exe
)>logit.txt 2>&1

Run check.bat and post Logit.txt please along with avenger log and fresh hijackthis log
logit.txt:

C:\WINNT\system32\wenmp32.dll
C:\WINNT\system32\wkcdlg.dll
C:\WINNT\system32\wpps2.dll
C:\WINNT\system32\wwweb.dll

FINDSTR: Cannot open C:\WINNT\system32\XQNROLL.DLL

«««
kopiere das in den Texteditor - abspeichern als look32.bat - (unter alle Dateien abspeichern) 
und auf dem Desktop abspeichern - klicke die bat doppelt, poste, was im Texteditor erscheint

cd\
cd %windir%\system32\AppCert
dir /a:-d /o:-d > %systemdrive%\look32.txt
start %systemdrive%\look32.txt
cls
exit

kopiere in den Texteditor:

abspeichern (unter "alle Dateien" als Look.bat) - dann die bat doppeltklicken

@echo off
swreg query "HKLM\system\currentcontrolset\control\session manager\AppCertDlls" /s >log.txt
Vfind -ltf "%windir%\system32\AppCert\*" >>log.txt
Start Notepad log.txt
Nircmd cmdwait 1500
del log.txt
del %0

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls
AppSecDll REG_EXPAND_SZ C:\WINDOWS\system32\AppCert\wsil32.dll
----a-w 23 2007-12-30 03:39:40 C:\WINDOWS\system32\AppCert\filter.drv
----a-w 86,016 2008-01-10 00:44:07 C:\WINDOWS\system32\AppCert\hb13a.dll
----a-w 1 2007-12-29 02:33:44 C:\WINDOWS\system32\AppCert\options.dat
----a-w 118,784 2007-12-31 03:14:44 C:\WINDOWS\system32\AppCert\prx97w.dll
----a-w 24,576 2004-08-04 10:00:00 C:\WINDOWS\system32\AppCert\wsil32.dll


C:\WINDOWS\system32\AppCert\filter.drv
C:\WINDOWS\system32\AppCert\hb13a.dll
C:\WINDOWS\system32\AppCert\options.dat
C:\WINDOWS\system32\AppCert\prx97w.dll
C:\WINDOWS\system32\AppCert\wsil32.dll

Datallusers.bat