Hallo,
ich hoffe mir kann hier geholfen werden!
Ich habe gleich mehrer Probleme und vermute das mein System ziemlich verseucht ist.

Habe:
Laptop FSC Amilo PA1538
Windows XP Home SP2
2*1,6 GHz
2GB Ram
Antivir Basic

Angefangen hat alles mit einem geänderten Hintergrundbild das man auch nicht mehr ändern konnte, habe dann Spybot S&D drüber laufen lassen, gefunden, entfernt, danach alles wie gehabt.

Dann fings an:

1. falsche Links bei Google:
Das Problem ist hier denke ich bekannt, man sucht was über Google, ist dann erstens sehr langsam, und zweitens stimmen die Links nicht. D.h. man landet auf irgend welchen Seiten.
Und weiter werden bestimmte Seiten wie Antivirenseiten garnicht angezeigt.

2. Wollte ich beheben, und Ad-Aware installieren, was mein 2tes Problem ist:
Hab die datei bei Chip runtergeladen, und dann kommt eine Fehlermeldung, dass das "keine gültige win32 Anwendung" ist.
Das Problem gibt es noch bei manch anderer .exe, wie HJT.

Ich habe das Spyware Terminator als einzigstes Prog installieren können und danach war es auch "gefühlt" kurze Zeit besser.

Habe auch eine Onlinescanner scannen lassen, und auch alles entfernt, aber nix gebracht!

Habe dann gestern Abend das SP3 draufgespielt, was fast nicht möglich war, weil die update.microsoft Seite auch blockiert wurde. Habe es dann doch hinbekommen. Aber danach war alles noch schlimmer, WLan und Lan, also Internet ging garnicht mehr.
Habs dann wieder deinstalliert, dann ging zum Glück das Internet wieder, aber mit den selben Problemen!

Hoffe mir kann hier geholfen werden!

Grüße fresh569

Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Poste ein Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

6.) Mach auch ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Hallo, erstmal Dank für die Antwort und die freundliche Begrüßung!

Ich hab mich (leider) vor deiner Antwort an eine andere Anleitung aus einem anderen Forum gehalten, die ähnlich war. Hoffe das war jetzt nicht schlimm.

Hier nun die Ergebnisse:
Habe erst CCleaner durchlaufen lassen:

Dann mit Malwarebytes:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1103
Windows 5.1.2600 Service Pack 2

02.09.2008 19:39:17
mbam-log-2008-09-02 (19-39-17).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 142073
Laufzeit: 48 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\29c5d73c.sys (Rootkit.Agent) -> Delete on reboot.
C:\Dokumente und Einstellungen\marc01\Eigene Dateien\UseNeXT\alt.binaries.bloaf\Keygen NEW.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.
         

Dann Combofix:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 08-09-01.01 - marc01 2008-09-02 19:52:37.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.1619 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\marc01\Desktop\frogger\foto03.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\marc01\Anwendungsdaten\Install.dat
C:\WINDOWS\system32\dao350.dll

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SYSREST.SYS
-------\Legacy_TDSSSERV
-------\Service_TDSSserv


(((((((((((((((((((((((   Dateien erstellt von 2008-08-02 bis 2008-09-02  ))))))))))))))))))))))))))))))
.

2008-09-02 18:46 . 2008-09-02 18:46	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-09-02 18:46 . 2008-09-02 18:46	<DIR>	d--------	C:\Dokumente und Einstellungen\marc01\Anwendungsdaten\Malwarebytes
2008-09-02 18:46 . 2008-09-02 18:46	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-02 18:46 . 2008-09-02 00:16	38,528	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-02 18:46 . 2008-09-02 00:16	17,200	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-09-02 18:43 . 2008-09-02 18:43	<DIR>	d--------	C:\Programme\CCleaner
2008-09-02 18:35 . 2008-09-02 18:39	<DIR>	d--------	C:\WINDOWS\system32\CatRoot_bak
2008-09-01 22:06 . 2008-09-01 22:06	<DIR>	d--------	C:\Dokumente und Einstellungen\marc01\Anwendungsdaten\Lavasoft
2008-09-01 20:38 . 2008-09-01 22:31	<DIR>	d--------	C:\WINDOWS\system32\de-de
2008-09-01 20:38 . 2008-09-01 22:31	<DIR>	d--------	C:\WINDOWS\system32\de
2008-09-01 20:38 . 2008-09-01 22:31	<DIR>	d--------	C:\WINDOWS\system32\bits
2008-09-01 20:38 . 2008-09-01 22:30	<DIR>	d--------	C:\WINDOWS\l2schemas
2008-09-01 20:00 . 2004-08-04 14:00	221,184	--a------	C:\WINDOWS\system32\wmpns.dll
2008-09-01 19:37 . 2007-07-30 19:18	34,136	--a------	C:\WINDOWS\system32\wucltui.dll.mui
2008-09-01 19:37 . 2007-07-30 19:20	30,040	--a------	C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-09-01 19:37 . 2007-07-30 19:20	30,040	--a------	C:\WINDOWS\system32\wuapi.dll.mui
2008-09-01 19:37 . 2007-07-30 19:18	20,824	--a------	C:\WINDOWS\system32\wuaueng.dll.mui
2008-09-01 18:42 . 2008-09-01 23:24	<DIR>	d--------	C:\Programme\Spyware Terminator
2008-09-01 18:42 . 2008-09-01 18:42	<DIR>	d--------	C:\Programme\Crawler
2008-09-01 18:42 . 2008-09-01 22:59	<DIR>	d--------	C:\Dokumente und Einstellungen\marc01\Anwendungsdaten\Spyware Terminator
2008-09-01 18:42 . 2008-09-01 23:24	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator
2008-09-01 18:42 . 2008-09-01 18:42	141,312	--a------	C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
2008-08-31 23:10 . 2008-08-31 23:10	<DIR>	d--------	C:\Programme\Zone Labs
2008-08-30 17:09 . 2008-08-30 17:09	<DIR>	d--------	C:\Programme\TeaTimer (Spybot - Search & Destroy)
2008-08-19 07:32 . 2008-08-19 07:40	<DIR>	d--------	C:\Dokumente und Einstellungen\marc01\Anwendungsdaten\Scribus
2008-08-19 07:31 . 2008-08-19 07:32	<DIR>	d--------	C:\Programme\Scribus 1.3.4

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-02 16:45	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-02 16:32	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-01 19:46	2,090,496	----a-w	C:\WINDOWS\Internet Logs\xDB1.tmp
2008-08-31 12:33	---------	d-----w	C:\Programme\Spybot - Search & Destroy
2008-08-24 10:19	---------	d-----w	C:\Dokumente und Einstellungen\marc01\Anwendungsdaten\OpenOffice.org2
2008-07-23 20:12	---------	d-----w	C:\Dokumente und Einstellungen\marc01\Anwendungsdaten\UseNeXT
2008-07-16 04:07	---------	d-----w	C:\Programme\QuickPar
2008-07-13 17:32	---------	d-----w	C:\Programme\UseNeXT
2007-06-27 18:05	0	----a-w	C:\Dokumente und Einstellungen\marc01\Anwendungsdaten\wklnhst.dat
2007-11-17 07:01	8,192	--sha-w	C:\WINDOWS\o2cLicStore.bin
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AzMixerSel"="C:\Programme\Realtek\InstallShield\AzMixerSel.exe" [2006-01-25 18:45 53248]
"fscp"="C:\Programme\AVC Finger-sensing Pad Driver\fscp.exe" [2006-08-31 18:26 995328]
"FuncKey"="C:\Programme\Hotkey Management\FuncKey.exe" [2006-09-05 20:29 139264]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 10:44 266497]
"PowerManager"="C:\Programme\Power Manager\PM.exe" [2006-09-06 19:13 151552]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-16 10:42 7585792]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk.disabled]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk.disabled
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnk.disabledCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Image Zone Schnellstart.lnk.disabled]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Image Zone Schnellstart.lnk.disabled
backup=C:\WINDOWS\pss\HP Image Zone Schnellstart.lnk.disabledCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Pml Driver HPZ12"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
"Yahoo! Pager"=C:\Programme\Yahoo!\Messenger\ypager.exe -quiet

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
"Alcmtr"=ALCMTR.EXE
"mmtask"="C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"PDFPrint"="C:\Programme\PDFDrucker\PDF24Updater.exe"
"RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
"SkyTel"=SkyTel.EXE
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"mausemu"=C:\Dokumente und Einstellungen\marc01\Desktop\Download - Mozilla\mausemu4\mausemu.exe
"Logitech Hardware Abstraction Layer"=KHALMNPR.EXE
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"nwiz"=nwiz.exe /install
"PowerManager"=C:\Programme\Power Manager\PM.exe
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
"RTHDCPL"=RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=
"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.4\\cnc3game.dat"=
"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.5\\cnc3game.dat"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\NetMeeting\\conf.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YPager.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programme\\TVUPlayer\\TVUPlayer.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"22600:UDP"= 22600:UDP:azureus

R2 FspadSvc;FspadSvc;C:\Programme\AVC Finger-sensing Pad Driver\fspadsvr.exe [2006-08-23 14:05]
R3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys [2006-07-03 17:11]
S1 29c5d73c;29c5d73c;C:\WINDOWS\system32\drivers\29c5d73c.sys []
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\MAGIX\Common\Database\bin\fbserver.exe [2005-08-10 13:26]
S3 fspad;AVC Finger-sensing Pad Driver for Windows 2000/XP;C:\WINDOWS\system32\DRIVERS\fspad.sys [2006-09-01 12:14]
S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 18:57]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 18:58]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 18:59]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8e865bb0-8265-11dc-a9d0-003005d82c32}]
\Shell\AutoRun\command - E:\laucher.exe
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

Notify-dimsntfy - (no file)


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\marc01\Anwendungsdaten\Mozilla\Firefox\Profiles\663v4kdo.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://de.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-02 20:01:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-02 20:07:15 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-09-02 18:07:09

Pre-Run: 6,042,742,784 Bytes frei
Post-Run: 5,951,455,232 Bytes frei

167	--- E O F ---	2008-09-01 18:03:33
         

Danach hab ich HijackThis durchlaufen lassen:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:15:01, on 02.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\AVC Finger-sensing Pad Driver\fspadsvr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AVC Finger-sensing Pad Driver\fscp.exe
C:\Programme\Hotkey Management\FuncKey.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Power Manager\PM.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1cb20bf0-bbae-40a7-93f4-6435ff3d0411} - C:\Programme\Crawler\Toolbar\ctbr.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [fscp] C:\Programme\AVC Finger-sensing Pad Driver\fscp.exe
O4 - HKLM\..\Run: [FuncKey] "C:\Programme\Hotkey Management\FuncKey.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - Global Startup: Adobe Reader - Schnellstart.lnk.disabled
O4 - Global Startup: Logitech SetPoint.lnk.disabled
O8 - Extra context menu item: crawler search - tbr:iemenu
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {bb21f850-63f4-4ec9-bf9d-565bd30c9ae9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FspadSvc - Unknown owner - C:\Programme\AVC Finger-sensing Pad Driver\fspadsvr.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5889 bytes
         

Danach konnte ich endlich Ad-Aware installieren und hab ich auch gleich durchlaufen lassen:
Alles gelöscht, aber keine ausführliche Logfile gespeichert.

EDIT: Ganz vergessen, MBR hab ich auch durchlaufen lassen:

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         

Mir scheint es so als wenn es besser geworden ist, wurde ja auch genug gefunden und gelöscht!
Aber mein Avira kann keine Updates mehr machen, es kommt dann immer die Fehlermeldung: "Konnte keine Verbindung zum Internet herstellen"
Die Internetverbindung besteht aber!

Schon mal im Vorraus für die Hilfe!
fresh569

das HijackThis log scheint sauber

kannst mal selber auswerten

http://www.hijackthis.de/#anl


Gruß

Andreas

Man hat beim Einsatz der Free-Version von Avira nicht immer die beste Performance bei den Updateservern, daher kann das durchaus normal sein, dass Avira bei Dir nicht lädt, probiers einfach öfter mal aus.
Was ist mit dem listing?

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\drivers\29c5d73c.sys
         

Hallo erstmal;
ich habe genau das selbe Problem wie fresh569
Geändertes Hintergrundbild, falsche Links bei Google, langsames Internet...
mein system:
1.0 ghz Pentium 3
512 mb ram
Ati rage pro 128
Win. Xp
Anti Vir personal edition
Browser: Opera, Firefox
die Probleme traten gestern auf
ich habe 1. Anti Vir laufen lassen und alle Funde glöscht
danach Ad Aware runter laden wollen (Opera) -> Fehler
danach über Icq Avast! und spyware s&d schicken lassen -> alles löschen lassen
Avast! hat eine Durchsuchung vor dem Windows Start gewollt und ist nach dieser, also wo eigenlich wieder Pw Eingabe für Windows sein hätte sollen nur schwarzes Bild mit Maus
mitlerweile alles Mögliche ausprobiert:
Spybot
Anti Vir
Anti Vir Rootkit Service
Gmer + Avast!
Avast!
und nun zuletzt ZoneAlarm installiert um Zugriffe auf PC zu vermeiden

___________________________________________________________________________
nun:
Systemwiederherstellung ausgeschaltet

mein hijack this log

Code: Alles auswählenAufklappen

ATTFilter

 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:24:01, on 03.09.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\ST\Desktop\qlketzd.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ZDWLan Utility.lnk = C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4455 bytes
         

die mbr exe kann ich leider nicht mehr herunterladen da wieder "Fehler" auftritt

Zitat:

Was ist mit dem listing?

Welches listing?

Zitat:

Code:

C:\WINDOWS\system32\drivers\29c5d73c.sys

Die Datei ist nicht mehr auf meinem PC, kann ich also nicht mehr bei Virus total hochladen!
Was nun?

Das listing wird in meiner Anleitung unter Punkt 6 beschrieben.

Ach ja, stimmt!

Aber bei mir öffnet sich dann nach dem Doppelklick auf "listing8.cmd" der Editor mit dem Text. Es geschieht aber nix.
Wie bekomme ich das Scribt zum laufen?

Sorry wenn ich mich blöd anstelle!

Das Script muss zwingend als Endung bat oder cmd haben. Versuch es so: Geh in Arbeitsplatz / Extras / Ordneroptionen / Ansicht - dort den Haken rausnehmen bei "Erweiterungen bei bekannten Dateitypen ausblenden", fortan werden Dir bei (fast) allen Dateien auch die Endungen angezeigt.

Stell dann sicher, dass mein CMD-Script auch tatsächlich dann die Endung .CMD hat und kein .TXT oder so. Sie sollte dann dieses Symbol haben



Danach sollte durch ein Doppelklick das Script auch ausgeführt werden.

Ja, super!
Danke!
Hier die Listing:

HTML-Code:

http://www.file-upload.net/download-1089936/listing.txt.html

File-Upload.net - listing.txt

Code: Alles auswählenAufklappen

ATTFilter

30.08.2008  22:57               482 fakesurfen.job
26.08.2008  16:19               480 fakeultra.job
         

Was sind das für geplante Tasks?

Code: Alles auswählenAufklappen

ATTFilter

15.02.2007  12:06    <DIR>          2f84f87c490a80a20e5504efb76b182e
14.02.2007  18:01    <DIR>          38465cb2fd85ed6977
13.02.2007  10:37    <DIR>          dfc5804e0cf06fbe948092e65284e852
12.02.2007  13:11    <DIR>          7b127db435f1e8a4fe651a69
11.02.2007  23:17    <DIR>          61377dfeed19b51958d4
10.02.2007  14:41    <DIR>          9d0ce142a2a78809d0f13fa8456f
09.02.2007  14:39    <DIR>          01519fe6b1e24e04a8e7
08.02.2007  12:34    <DIR>          86b7ba719193d28c685df545ac8912
07.02.2007  13:23    <DIR>          35a3a0071cebd0efce86b5c4500e
06.02.2007  10:54    <DIR>          6905fd8c669024d91e58
         

Du hast lauter solche Ordner auf C: Wenn Du sie nicht mehr brauchst solltest Du sie löschen!

Code: Alles auswählenAufklappen

ATTFilter

04.09.2008  19:34    <DIR>          foto03
         

Ordner bekannt? Der wurde heute erstellt!

Geh noch mal bitte mit dem Avenger um, ich will wissen, ob sich da vermutlich versteckte Objekte löschen lassen:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

drivers to delete:
29c5d73c
SYSREST
SYSREST.SYS
TDSSSERV

files to delete:
C:\WINDOWS\system32\drivers\29c5d73c.sys
C:\WINDOWS\system32\drivers\SYSREST.SYS
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Also, die geplanten Tasks sind von mir selbst erstellte Makros, ie ich mit "Mausemu" erstellt habe. Könnten die infiziert sein?

Die komischen Ordner, die sind schon, meine ich von Anfang an drauf gewesen. Da sind lauter .log Dateien drin. Ich glaub das ist von irgendnem Techniker der da was aufgespielt hat, bevor das Gerät zu mir kam.
Kann man die problemlos löschen?

Code: Alles auswählenAufklappen

ATTFilter

04.09.2008  19:34    <DIR>          foto03
         

Den Ordner kenne ich nicht, der ist nicht von mir, da sind komische 2 Dateien drin.--> "CF332.exe", und "nircmd.com".
Hab die mal von Virustotal überprüfen lassen:
Die Links sind schonmal überprüfte Dateien, meine zeigen aber die selben Ergebnisse.
CF332.exe:
Virustotal. MD5: 283433a9dd6c0877dbe0e55a6908ea80

und die nircmd.com:
Virustotal. MD5: 53aa0f904ff1370b7792c0044549ef1f APPL/NirCmd.E.2.B Suspicious File NirCmd
Da wurden 4 Sachen gefunden!

Avenger hab ich gemacht!

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "29c5d73c" deleted successfully.

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\SYSREST" not found!
Deletion of driver "SYSREST" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\SYSREST.SYS" not found!
Deletion of driver "SYSREST.SYS" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\TDSSSERV" not found!
Deletion of driver "TDSSSERV" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\drivers\29c5d73c.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\29c5d73c.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\drivers\SYSREST.SYS" not found!
Deletion of file "C:\WINDOWS\system32\drivers\SYSREST.SYS" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
         

Sieht nicht gut aus, oder?
Und mein Avira Antivir lässt sich immernoch nicht updaten, ich glaub nicht dass das an dem Antivir Updateserver liegt, ich denke da wird was "blockiert" oder so.

Wegen dieser TDSSSERV-Geschichte wärest Du mit einem Formatieren und Neuaufsetzen eh besser dran..

Aber weder CF noch der Avenger finden aktive Rootkits. Naja, das muss nix heißen. nircmd sollte übrigens ein Bestandteil von Combofix sein, aber warum das gerade in so einem Ordner liegt entzieht sich meiner Vostellungskraft. Lösche diesen foto03 Ordner einfach.

Mach noch mal nen Durchlauf mit SDfix:
SDFix anwenden:

• Lade SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
• Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken (C:\sdfix)
• Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
• Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
• Gib ein Y ein, um den Reinigungsprozess zu beginnen.
• Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
• Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
• Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
• Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
• Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
• Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
• Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.