Das Skript musst du über die "Custom Skript" Funktion ausführen. Die findest du im "File" Menü.

Nachdem du das Skript, ausgeführt hast und CF deinstalliert hast lasse bitte den CCleaner laufen (Punkte 1&2).
Starte das System neu und erstelle anschließen abermals die beiden AVZ logs und poste diese.

Poste außerdem eine Beschreibung wie es deinem Rechner geht.

Combofix habe ich deinstalliert, dabei kam gleich eine Warnung, dass der Real-Time Scanner "Windows System Defender" noch aktiv ist....

Allerdings konnte ich das Script nicht ausführen. Dort scheint noch ein Fehler drinnen zu stecken. Zumindest bekomme ich folgende Error Meldung:
"Script error: Undeclared identifier: 'DeleteCLSID', position [8:13]" ?

Der Windows System Defender ist RougWare! Einfach ignorieren.

Konnte CF denn deinstalliert werden?

Neues Skript:

Code: Alles auswählenAufklappen

ATTFilter

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DelBHO('{7BEA62E6-E4FF-40D8-8B97-1707EE86BAEE}');
 DelBHO('{68F28680-9343-4321-8599-4D999B1FDAA8}');
 DeleteFile('C:\Dokumente und Einstellungen\homy\reader_s.exe');
 DeleteFile('C:\WINDOWS\Installer\{95A890AA-B3B1-44B6-9C18-A8F7AB3EE7FC}\QTPlayer.ico');
 DeleteFile('C:\WINDOWS\System32\tssdis.exe');
 DeleteFile('C:\WINDOWS\system32\10.tmp');
 DeleteFile('mvfs32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','reader_s');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\TermServSessDir','EventMessageFile');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','reader_s');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','reader_s');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','reader_s');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{31435657-9980-0010-8000-00AA00389B71}');
 RegKeyParamDel('HKEY_USERS','S-1-5-19\Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_USERS','S-1-5-20\Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_CURRENT_USER','Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','30334');
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
         

Ja, habe ich auch ignoriert und Combofix hatte sich dann auch glücklicherweise deinstalliert.

Die neue Version des Scripts hat funktioniert und ich habe es laufen lassen.
Anschließend dann nochmal den CC Cleaner und daraufhin dann AVZ. Die resultierenden Logs, plus das cure.zip sind dann hier:

http://rapidshare.com/files/301993769/virusinfo_syscure.zip.html
http://rapidshare.com/files/301993561/virusinfo_syscheck.zip.html

http://rapidshare.com/files/301993829/virusinfo_cure.zip.html

Zum Computer: also, ich habe seit dem ersten Post versucht den Computer so wenig wie möglich zu nutzen. Habe aber den Eindruck, dass der Computer sich ungefähr jedes 2-3 Starten nicht richtig hochfährt - sehe dann nur den Deskopthintergrund, aber keine Windowsoberfläche, abgelegte Ordner, Verknüpfungen, etc. Muss dann nochmal neu starten (über An/Aus-Taste), wobei der Computer erstmal immer nur in Standby geht.
Dann fragt er inzwischen jedesmal nach dem hochfahren die "Anmeldung" ab. Hat er sonst nie gemacht. Ich klicke aber immer nur "ok" ohne das Kennwort einzugeben.
Außerdem bekomme ich nach dem Start immer den Hinweis: "Datenausführungsverhinderung" der Windows-Anmeldebenutzeroberfläche und dass das Programm geschlossen wurde. Wenn ich die Meldung schließe, kommt der Hinweis, dass die logonui.exe einen Fehler ermittelt hat und beendet werden muss. Wenn ich das wiederum schließe, erfolgt wieder der erste Hinweis, dann wieder die Sache mit der logonui.exe, und soweiter und so fort....deswegen bleibt ein Hinweis-Fenster derzeit immer offen.

Ansonsten habe ich den Eindruck, dass der Computer noch etwas langsam ist, was das Surf-Verhalten im Internet angeht. Und auf Seiten von Kaspersky, Symantec und ähnliche komme ich immer noch nicht. Wobei ich auf free-av.com wiederum gehen kann.

Durch das weiteres Lesen von anderen Posts hier im Forum ist mir noch eingefallen, dass auch bei mir Firefox zuvor öfter plötzlich abgestürzt ist (scheinbar ohne Grund, wenn ich z.B. eine neue Internetseite geöffnet habe) und sich dann zuletzt auch teilweise auf einmal 3 neue Seiten bzw. Tabs geöffnet haben. Falls das irgendwie relevant sein sollte....

Weiterhin vielen Dank für´s Bearbeiten meines Falls!

Die Maskierung der Systemprozesse haben wir jedenfalls erwischt

Deaktiviere nun bitte die Systemwiederherstellung auf allen Laufwerken: http://www.systemwiederherstellung-deaktivieren.de

Führe danach folgendes Skript aus:

Code: Alles auswählenAufklappen

ATTFilter

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\restorer32_a.exe');
 DeleteFile('C:\WINDOWS\system32\reader_s.exe');
 DeleteFile('C:\Dokumente und Einstellungen\homy\restorer32_a.exe');
 DeleteFile('C:\Dokumente und Einstellungen\homy\reader_s.exe');
 DeleteFile('brastk.exe');
 DeleteFile('C:\WINDOWS\system32\12.tmp');
 DeleteFileMask('%Tmp%', '*.*', true);
 DeleteFileMask('C:\Windows\System32\', '*.tmp*', true);
 DeleteFileMask('C:\Dokumente und Einstellungen\homy', '*.tmp*', true);
 DeleteFile('C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\tdc.ocx');
 DeleteFileMask('C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b', '*.*', true);
 DeleteDirectory('C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true); 
ExecuteRepair(1);
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(7);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(10);
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
         

Erstelle danach wie immer zwei neue logs und poste wie der Status des Rechners ist.

Na, das hört sich doch zumindest schonmal nach einem ersten Erfolgserlebnis an!

Auf den Link konnte ich leider nicht zugreifen - die Seite wird geblockt, wie nachwievor die Seiten von Symantec, Kaspersky, Microsoft und co.

Habe jetzt die Deaktivierung aller Festplatten ganz normal im Windows Explorer über Systemsteuerung, System, Systemwiederherstellung vorgenommen. Hoffe, das reicht so aus?

Danach das Script durchgeführt und anschließend die AVZ Logs erstellt und angehängt.

Ansonsten zum Verhalten: inzwischen wurde mein Desktophindergrundbild gelöscht (jetzt blauer Hintergrund), aber die im letzten Post erwähnten Windows-Hinweise erscheinen nicht mehr. Ich werde nach dem Starten immer noch nach der Anmeldung gefragt, aber die letzten 3-mal ist der Computer ohne Probleme gestartet!
Geschwindigkeit erscheint soweit normal. Diese 3 Pop-up-Seiten tauchen immer noch auf, irgendwie erscheinen dabei dann teilweise Tabs von Seiten die man davor gegoogelt hat, bzw. versucht hat aufzurufen (z.B. bei mir die oben genannten, nicht erreichbaren Seiten).

PS: Zur Info - hatte gestern auch noch ein Programm deinstalliert (Webshots), dass ich nur einmal benutzt hatte. Falls das in den Logs einen Unterschied machen sollte.

Führe bitte folgendes Skript aus:

Code: Alles auswählenAufklappen

ATTFilter

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 DeleteFile('C:\WINDOWS\system32\MsSip1.dll');
 DeleteFile('C:\WINDOWS\system32\MsSip2.dll');
 DeleteFile('C:\WINDOWS\system32\MsSip3.dll');
 DeleteFile('PDCOMP.sys');
 DeleteFile('PDFRAME.sys');
 DeleteFile('PDRELI.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\PDCOMP.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\PDFRAME.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\'PDRELI.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 BC_DeleteFile('C:\WINDOWS\system32\lmssspr.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xisbcom');
 BC_DeleteFile('C:\WINDOWS\system32\qwmmmse.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','qplsec');
 BC_DeleteFile('C:\WINDOWS\system32\qwmmmse.exe');
 BC_DeleteFile('C:\WINDOWS\system32\lmssspr.exe');
 BC_DeleteFile('C:\RECYCLER\S-1-5-21-4433933670-8917455761-388079102-3664\yv8g67.exe');
 BC_DeleteFile('C:\WINDOWS\system32\iomssls.exe');
 BC_DeleteFile('C:\WINDOWS\system32\velplsme.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','opqlsys');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true); 
ExecuteRepair(1);
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(7);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(19);
BC_Activate;
RebootWindows(true);
end.
         

Und suche bitte wie in der AVZ Anleitung beschrieben wird nach folgender Datei:

Zitat:

explorer.exe

Mache einen Screenshot von den Funden und hänge die Bild Datei hier an.

Poste wie immer zwei neue logfiles und eine Beschreibung noch verbleibener Probleme.