Trojaner-Board - searchportal bei nicht existenten URLs

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - searchportal bei nicht existenten URLs (https://www.trojaner-board.de/51257-searchportal-existenten-urls.html)

searchportal bei nicht existenten URLs

Hallo Allerseits. Ich habe irgendwie den verdacht dass ich mir was eingefangen habe. Folgendes Symptom tritt bei mir auf ;)

Wenn ich eine URL die es nicht gibt aufrufe kommt bei mir eine komische searchportal seite. Bei .de domains kommt auch eine andere komische seite.

also die links auf der seite sind alle mit searchportal.at.com/..... verlinkt

hatte das schonmal, nur ist dann diese seite bei einer existierenden url gekommen, nach nem virenscan war dass dann aber weg.

sieht so aus:
http://img215.imageshack.us/img215/3...hportalau9.jpg

escan hat bei mir folgende kritische einträge geliefert:

Code:

Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

Objekt "smitfraud Browser Hijacker" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

Objekt "trojan-downloader.bat.ftp.ab Trojan-Downloader" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

Objekt "trojan-downloader.bat.ftp.ab Trojan-Downloader" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

Eintrag "HKCR\Icq.XtraApi" verweist auf das ungültige Objekt "{95E8BB28-911A-45CE-9AE8-EC05FA106D2F}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Eintrag "HKCR\MISB.DhtmlPluginWrapper" verweist auf das ungültige Objekt "{8D18DFF4-0943-4347-8BCA-0C57033F6820}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Eintrag "HKCR\MXtra.DhtmlWrapper" verweist auf das ungültige Objekt "{8D18DFF4-0943-4347-8BCA-0C57033F6820}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Eintrag "HKCR\SPhoneParser.FoundSkypeNumber" verweist auf das ungültige Objekt "{E40A96CC-4A5B-47F4-9957-87CDED1DFF45}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Eintrag "HKCR\SPhoneParser.FoundSkypeNumber.1" verweist auf das ungültige Objekt "{E40A96CC-4A5B-47F4-9957-87CDED1DFF45}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Steam\". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Steam\Public\". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Steam\SteamApps\". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Dokumente und Einstellungen\Meister\Startmenü\Programme\Steam\". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".bak". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".bio". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".com_d_7E546V". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".dbx". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".DS_Store". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".img". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".mds". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".php". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rsdf". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".toc". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Steam App 10". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{048298C9-A4D3-490B-9FF9-AB023A9238F3}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

hoffe ihr könnt mir helfen/auskunft geben mit was ich es da zu tun hab.

mfg
thorfinn

Halli hallo.

Führe bitte einen Scan mit SuperAntiSpyware durch.

Poste danach ein Hijackthis logfile. Anleitungen gibt's im FAQ-Bereich und meiner Signatur.

bitteschön:

Code:

Logfile of HijackThis v1.99.1

Scan saved at 01:11:55, on 02.04.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Programme\RapidSolution\Scramby\ScrambyServer.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Winamp\winampa.exe

C:\Programme\Logitech\G-series Software\LGDCore.exe

C:\Programme\Logitech\G-series Software\LCDMon.exe

C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\WDBtnMgr.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Analog Devices\Core\smax4pnp.exe

C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe

C:\Programme\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe

C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe

C:\Programme\Analog Devices\SoundMAX\Smax4.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe

C:\Programme\SlySoft\CloneCD\CloneCDTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Messenger\msmsgs.exe

C:\Programme\DAEMON Tools\daemon.exe

C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe

C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe

C:\Programme\OpenOffice.org 2.3\program\soffice.exe

C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe

C:\Programme\OpenOffice.org 2.3\program\soffice.BIN

C:\WINDOWS\system32\wscntfy.exe

C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe

C:\Programme\Winamp\winamp.exe

C:\PROGRA~1\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\svchost.exe

C:\DOKUME~1\Meister\LOKALE~1\Temp\mexe.com

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\notepad.exe

C:\WINDOWS\system32\notepad.exe

C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Dokumente und Einstellungen\Meister\Desktop\hijackthis_199\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.at

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.tuwien.ac.at

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll

O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE

O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6\ICQ.exe" silent

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: Mit GetRight laden - C:\Programme\GetRight\GRdownload.htm

O8 - Extra context menu item: Mit GetRight-Browser öffnen - C:\Programme\GetRight\GRdownload.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=www.tuwien.ac.at

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1192211647281

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{13FA5B3A-EBF7-426F-B1FF-81259D19B179}: NameServer = 192.168.1.1

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = tuwien.ac.at,at,com

O17 - HKLM\System\CS1\Services\Tcpip\..\{13FA5B3A-EBF7-426F-B1FF-81259D19B179}: NameServer = 192.168.1.1

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = tuwien.ac.at,at,com

O17 - HKLM\System\CS2\Services\Tcpip\..\{13FA5B3A-EBF7-426F-B1FF-81259D19B179}: NameServer = 192.168.1.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = tuwien.ac.at,at,com

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe

O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe

O23 - Service: Scramby Server (ScrambyServer) - RapidSolution Software AG - C:\Programme\RapidSolution\Scramby\ScrambyServer.exe

Morgen;

Wo ist das SASW log?

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\Programme\RapidSolution\Scramby\ScrambyServer.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

bei dem scramby server hat mir virustotal das hier geliefert:

Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2008.4.1.2	2008.04.01	-
AntiVir	7.6.0.78	2008.04.01	-
Authentium	4.93.8	2008.04.02	-
Avast	4.7.1098.0	2008.04.01	-
AVG	7.5.0.516	2008.04.01	-
BitDefender	7.2	2008.04.02	-
CAT-QuickHeal	9.50	2008.04.02	(Suspicious) - DNAScan
ClamAV	0.92.1	2008.04.02	-
DrWeb	4.44.0.09170	2008.04.01	-
eSafe	7.0.15.0	2008.04.01	Suspicious File
eTrust-Vet	31.3.5663	2008.04.02	-
Ewido	4.0	2008.04.01	-
F-Prot	4.4.2.54	2008.04.01	-
F-Secure	6.70.13260.0	2008.04.02	Suspicious:W32/Malware!Gemini
FileAdvisor	1	2008.04.02	-
Fortinet	3.14.0.0	2008.04.02	-
Ikarus	T3.1.1.20	2008.04.02	-
Kaspersky	7.0.0.125	2008.04.02	-
McAfee	5264	2008.04.01	-
Microsoft	1.3301	2008.04.01	-
NOD32v2	2993	2008.04.01	-
Norman	5.80.02	2008.04.01	-
Panda	9.0.0.4	2008.04.01	Suspicious file
Prevx1	V2	2008.04.02	Heuristic: Suspicious File With Code Injection Technology
Rising	20.38.12.00	2008.04.01	-
Sophos	4.28.0	2008.04.02	-
Sunbelt	3.0.978.0	2008.03.18	-
Symantec	10	2008.04.02	-
TheHacker	6.2.92.262	2008.04.02	-
VBA32	3.12.6.3	2008.03.25	-
VirusBuster	4.3.26:9	2008.04.01	-
Webwasher-Gateway	6.6.2	2008.04.01	-

weitere Informationen
File size: 140025 bytes
MD5: ec9900f5279344ab5341e31ac743277f
SHA1: acf9af0c7e01a81ef4cec79453915b62887f7ae1
PEiD: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX
Prevx info: SCRAMBYSERVER.EXE - Prevx

Zitat:

Wo ist das SASW log?

Die VT Ergebnisse sind nicht eindeutig aber mir würde das reichen..

Fixe bitte mit Hijackthis folgende Einträge:

Zitat:

O23 - Service: Scramby Server (ScrambyServer) - RapidSolution Software AG - C:\Programme\RapidSolution\Scramby\ScrambyServer.exe

C:\Programme\RapidSolution\Scramby\ScrambyServer.exe

Gleich danach:

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://virus-protect.org/artikel/bilder/avanger.png

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Folders to delete:
C:\Programme\RapidSolution

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

http://virus-protect.org/artikel/bilder/avenger4.png

4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

Hi meiner Meinung nach ist der Prozess harmlos und gehört zur Software Scramby von Rapid Solutions. Ist ein Voicechanger den einige Leute benutzen. Habe den Eintrag schon öfter in Logs gesehen. Hier wird das Produkt angeboten:

SCRAMBY - mehr Spass beim Telefonieren & Onlinespielen - verändert deine Stimme

ja also das scramby ist es sicher nicht, weil irgedwie, hab gerade den pc meiner eltern aufgesetzt(hängt mit meinem pc nicht im nw), und da komme ich genauso auf die searchportal.at.com seite.

naja wenn ich zu hause bin werd ich den pc mal weiter durchchecken lassen

Gruß und Dank
thorfinn

[EDIT zu #6]:

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://swandog46.geekstogo.com/res/images/avenger.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Zitat:

Folders to delete:
C:\Programme\RapidSolution

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.