Lade Fixwareout.exe herunter (Anwendung erfolgt auf eigene Gefahr!)-> Doppelklick auf Fixwareout.exe-> Next-> Install-> Der Haken bei "Run Fixit" muss gesetzt sein-> Finish-> Nachfrage nach einem Neustart mit "OK" beantworten-> Das System sollte neu starten
Nach dem Neustart (der etwas länger als sonst dauern kann) solltest du den Anweisungen auf dem Bildschirm folgen (du musst eigentlich nur auf OK klicken )
Irgendwann sollte sich HijackThis öffnen (falls nicht, öffne es bitte ganz normal und wähle "Do a system scan only" aus). Fixe dann folgendes:

Zitat:

R3 - Default URLSearchHook is missing
O2 - BHO: Class - {340035E2-30D5-9AC6-0792-7AEABB284C0D} - C:\WINDOWS\sdkim32.dll
O2 - BHO: Class - {714821C8-0FA4-141B-9F76-FA25B786A99E} - C:\WINDOWS\system32\appbn32.dll
O2 - BHO: Class - {88EFDEE3-0CB7-1C95-AB61-56AA3EB9D50A} - C:\WINDOWS\system32\winiz32.dll
O4 - HKLM\..\Run: [MSTCPDLL] MON76234.exe
O4 - HKLM\..\Run: [WhatsNewBot] KeywordFinder.exe
O4 - HKLM\..\Run: [winin.exe] C:\WINDOWS\system32\winin.exe
O4 - HKLM\..\Run: [18.tmp] C:\DOKUME~1\Jochen\LOKALE~1\Temp\18.tmp.exe
O4 - HKLM\..\Run: [netxh32.exe] C:\WINDOWS\system32\netxh32.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [desktop] C:\WINDOWS\System32\idemlog.exe
O4 - HKCU\..\Run: [ERTYDF] dePloy.exe
O4 - HKCU\..\Run: [Brong32] SpyElim.exe
O4 - HKCU\..\Run: [backorif] pizda.exe

Speichere zunächst kein neues Logfile!
Original-Quelle. http://forums.spywareinfo.com/index.php?showtopic=63305&hl=wareout

Wenn das alles abgeschlossen ist:
Start-> Ausführen-> "services.msc" -> [Eingabetaste]-> Rechtsklick auf "Network Security Service (NSS)"-> Starttyp auf "Deaktiviert" setzen.

Lösche die folgenden Dateien manuell:
C:\WINDOWS\system32\netxh32.exe
C:\WINDOWS\sdkim32.dll
C:\WINDOWS\system32\appbn32.dll
C:\WINDOWS\system32\winiz32.dll
csdbg.exe (wahrscheinlich unter C:\Windows bzw. C:\Windows\System32)

Starte HjT-> Misc Tools section-> Delete a NT service-> Kopiere ( 11Fßä#·ºÄÖ`I) hinein (lass die Klammern weg!) -> Ok-> Neustart.

Erstelle & poste ein neues HihjackThis-Log sowie den Inhalt von C:\fixwareout\report.txt

Bei dem letzten Schritt kommt die Meldung:

Service 11Fßä#·ºÄÖ`I was not found in the regestry. Make sure you entered the short Name of the service., vbExclamation

Ist das OK???

Bist du sicher, dass du das Leerzeichen am Anfang mit eingegeben hast?
-> _11Fßä#·ºÄÖ`I

"_" bitte durch ein Leerzeichen ersetzen.


BTW: Mach bitte noch folgendes:
Lade Regsearch herunter und entpacke die enthaltenen Dateien in einen Ordner deiner Wahl. Starte die "regsearch.exe" und kopiere unter "Enter search strings" folgendes hinein:

Zitat:

11Fßä#·ºÄÖ`I

-> Auf OK klicken und etwas warten-> ein Notepad-Fenster öffnet sich-> Poste den Inhalt.

Leerzeichen vergessen!!! ;-)

hier der Report von Fixwareout:


Fixwareout ver 1.003
Last edited 12/5/2005
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\golmedi
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...
C:\WINDOWS\SYSTEM32\CSRGO.EXE

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool


und hier der Inhalt von Regsearch:

REGEDIT4

; Registry Search by Bobbi Flekman
; Version: 1.0.2.1

; Results at 27.12.2005 22:45:56 for strings:
; '11fßä#·ºÄÖ`i '
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

Zitat:

C:\WINDOWS\SYSTEM32\CSRGO.EXE

Benenne diese Datei bitte in CSRGO.REN um und scanne sie auf http://virusscan.jotti.org/de sowie auf www.virustotal.com.
Poste das jeweils mehrzeilige Ergebnis.

Außerdem brauche ich ein neues HijackThis-Logfile.

Kann die Datei nicht umbennen, da sie momentan von einem Programm verwendet wird!

Bitte versuche es im abgesicherten Modus.