das untere ist das 1. das obere der 2 teil.

wie muss ich jetzt weiter machen?

1.) Deinstalliere (falls möglich):

• Spybot
• Bonjour

2.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Driver::


NetSvc::

Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35D-6118-11DC-9C72-001320C79847}"=-
"{937f343c-c9c2-4235-b544-7fc4da2f2594}"=-
[-HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}]
[-HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURL SearchHook.1]
[-HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}]
[-HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURL SearchHook]
[-HKEY_CLASSES_ROOT\clsid\{937f343c-c9c2-4235-b544-7fc4da2f2594}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{937f343c-c9c2-4235-b544-7fc4da2f2594}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
"{937f343c-c9c2-4235-b544-7fc4da2f2594}"=-
[-HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[-HKEY_CLASSES_ROOT\SWEETIE.SWEETIE.3]
[-HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[-HKEY_CLASSES_ROOT\SWEETIE.SWEETIE]
[-HKEY_CLASSES_ROOT\clsid\{937f343c-c9c2-4235-b544-7fc4da2f2594}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
"{937F343C-C9C2-4235-B544-7FC4DA2F2594}"=-
[-HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[-HKEY_CLASSES_ROOT\SWEETIE.SWEETIE.3]
[-HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[-HKEY_CLASSES_ROOT\SWEETIE.SWEETIE]
[-HKEY_CLASSES_ROOT\clsid\{937f343c-c9c2-4235-b544-7fc4da2f2594}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"=-
"HP Software Update"=-
"Adobe Reader Speed Launcher"=-
"winupd"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[-HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
ConsentPromptBehaviorAdmin =-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QUAD Registry Cleaner]
[-HKEY_LOCAL_MACHINE\SOFTWARE\QUAD Registry Cleaner v2]

File::
c:\programme\Firefox_Setup_3.5.exe
c:\programme\install_icq65.exe
c:\windows\_MSRSTRT.EXE

Folder::
c:\Programme\Bonjour
c:\programme\QUAD Utilities
C:\rsit
c:\programme\Spybot - Search & Destroy
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

DirLook::
C:\$WIN_NT$.~BT

FileLook::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\hpeF0.dll
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

mein problem ist ich aknn es kopieren aber bei editor wenn ich einfügen will geht nicht.

ich versuche es muss dann jetzt aber auch arbeiten..mache das moregn weiter..gegen 10 uhr morges bis hier hin herzliches danke schön

Bitte, bin erst morgen abend wieder on.

ciao, andreas

also wenn ich einfügen wlll ist das feld weiß . wo einfügen steht.

Du markierst den kompletten Text in der Box, drückst [Strg]c, dann öffnest du den Editor und drückst [Strg]v.

ciao, andreas

Das geht auch nicht.

1.) Start => Ausführen => combofix /u => OK

2.) Speichere die Datei im Anhang auf deinen Desktop, führe eine Doppelklick darauf aus und klicke auf Ja.

3.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
c:\programme\Firefox_Setup_3.5.exe
c:\programme\install_icq65.exe
c:\windows\_MSRSTRT.EXE

Folders to delete:
c:\Programme\Bonjour
c:\programme\QUAD Utilities
C:\rsit
c:\programme\Spybot - Search & Destroy
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Wie soll ich das den einfügen das geht noch nicht.Das 1 geht auch nicht da hat der combofix deinsterleirt und ja ich kann den text nicht da rein macehn

Zitat:

Wie soll ich das den einfügen das geht noch nicht.

Wenn man es richtig macht, dann schon.

Zitat:

Das 1 geht auch nicht da hat der combofix deinsterleirt

Das war auch Absicht, ComboFix brauchen wir nicht mehr.

Zitat:

ja ich kann den text nicht da rein macehn

Doch. Halte dich Punkt für Punkt an diese Anleitung:

1. Lade dir das Tool Hopsassa und speichere es auf dem Desktop.

2. Doppelklick auf das Avenger-Symbol

3. Markiere den kompletten Text in der Box, es muss alles blau sein.

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
c:\programme\Firefox_Setup_3.5.exe
c:\programme\install_icq65.exe
c:\windows\_MSRSTRT.EXE

Folders to delete:
c:\Programme\Bonjour
c:\programme\QUAD Utilities
C:\rsit
c:\programme\Spybot - Search & Destroy
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
         

4. Gehe mit dem Mauszeiger auf die blaue Markierung => rechte Maustaste => Kopieren

5. Klicke bei Avenger in das weiße Feld, so dass die Schreibmarke blinkt.

6. Rechte Maustaste in das weiße Feld => Einfügen


7. Schliesse nun alle Programme und Browser-Fenster

8. Um den Avenger zu starten klicke auf -> Execute

9. Dann bestätigen mit "Yes" das der Rechner neu startet

10. Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter => C:\avenger.txt

11. Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Wenn ich es Einfügen will mit der rechten maus taste kommt einfügen und so aber ist grau. und nicht anklickbar.

Starte den Windowsexplorer. Navigiere zu dem Ordner C:\Programme. Lösche den Ordner QUAD Utilities. Berichte, ob das funktioniert hat.

ciao, andreas

Ok, ich bin in Programme aber der genannte ordner ist dort nicht.