Windows XP: langsamer Shutdown, Rootkit / Trojaner bereits beseitigt
 

Hallo Community,

seit ca. 2 Wochen belästigt mich mein Rechner mit extrem langsamen Shutdowns (der Zusammenhang zu Trojanern wird noch deutlich), und zwar sowohl bei der Profilabmeldung als auch beim Runterfahren selbst. Ersteres konnte ich inzwischen klären, aber Letzteres nervt immer noch ungemein.

Folgendes ist vom Ablauf her Sache:

1) Abmeldung und Shutdown dauerten immer mal wieder je ca. 2 Minuten (der Shutdown selbst fast immer)
2) Vor ca. 1 Woche fing AntiVir an, alle 5 Minuten einen Trojaner zu melden. Es beschränkte sich auf den Temp-Ordner (also wohl Downloads kleiner Dateien), ich löschte den Kram bzw verschob ihn in die Quarantäne. Upload zu virustotal.com ergab nur bei AntiVir und McAfee einen Alarm: TR/Dropper.Gen.

Den Trojaner wurde ich los, aber das Problem änderte sich nicht. Also habe ich einige Treiber aktualisiert. Das schien etwas zu bewirken, aber kurze Zeit später gings von vorn los. Seitdem habe ich mehrere Dinge ausprobiert:

- Programme: Registry Booster, SpeedupmyPC, Hijackthis, eScan, Security Task Manager, Combofix, Bit Defender

- Registry: ClearPagefileatShutdown = 0/1, Löschung überflüssiger Einträge (auch NULL), HungAppTimeout = 1000, WaitToKillAppTimeout = 1000, DisablePagingExecutive = 1

Ergebnis: Combofix fand ein Rootkit und desinfizierte die Datei. Das Problem besteht aber weiterhin.

Inzwischen bin ich darauf gekommen, dass zumeist das Internet an ist bzw war, bevor das Problem auftrat. Shutdowns direkt nach dem Hochfahren des Userprofils laufen nämlich anstandslos.
So weit so gut, doch eins ist verwirrend: auch ohne angeschaltetes Internet tritt der Fehler hie und da auf.

Meine Frage: kann es sein, dass trotz der ganzen Tests immer noch irgendwo ein rezentes Progrämmchen rumpfuscht, das ggf nach einer Weile (evtl wiederholt ?!) nach Hause zu telefonieren versucht und sich auch von Shutdowns nicht sofort beeindrucken lässt ? Vielleicht ein weiterer Trojaner, der noch von keinem Sucher entdeckt wird ?
Wenn ja, müsste das Ding theoretisch auf der "tieferen" (?!) Windows-Ebene fuhrwerken, denn die Profilabmeldung ist ja wieder ok. Erst der generelle Shutdown (beim Klick auf den Computernamen Auf Wiedersehen-Bildschirm vom XP) braucht idiotisch lange. Interessant ist dahingehend, dass Hijackthis m. E. nichts Ungewöhnliches anzeigt.

Kurz und gut:

Zustand: extreme Verwirrung
Abhilfe: gern gesehen
Ideen ? Immer her damit...bei Bedarf haue ich nochmal Hijackthis drauf, vielleicht findet einige zusätzliche Paar Augen noch was.

Besten Dank im Voraus,

Steffen

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Poste bitte alle Logfiles in Code-Tags.
Klicke antworten --> #
danach [code]text[/code]
So sollte das dann hier aussehen nach dem antworten:

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


schritt 1

Windows-Explorer öffnen (Windows-Taste + E) und unter => Extras => Ordneroptionen => im Reiter "Ansicht"

• Dateien und Ordner: Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren
• Dateien und Ordner: Geschützte Systemdateien ausblenden (empfohlen) deaktivieren
• Dateien und Ordner: Inhalte von Systemordnern anzeigen aktivieren (bei Vista nicht vorhanden)
• Versteckte Dateien und Ordner: alle Dateien und Ordner anzeigen aktivieren

schritt 2

Poste bitte den Inhalt von C:\combofix.txt


schritt 3

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in Code-Tags hier in den Thread.

schritt 4

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  Unbedingt auf "No" klicken.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Manche Logfiles sind sehr lange, bitte in mehrere Posts aufteilen

Beim Download ist mir aufgefallen, dass ich GMER auch schon im Einsatz hatte. Konnte aber mir den ganzen Begriffen und Abkürzungen nicht viel anfangen und habe daher nicht mehr dran gedacht.

Egal, ich musste eh neu scannen.

Hier erstmal der Combofix-Log, Teil I:

Die Wiederherstellungskonsole werde ich mir beizeiten nachbesorgen. Keine Ahnung, wieso sie fehlt.

Combofix, Teil II:

OTL, Teil I (irgendwas hat sich zuerst gebissen, mir wurde beim Ausführen ein Schadprogramm gemeldet und mein Rechner stürzte ab...vielleicht hatte ich ein Modul der Firewall oder des Virenscanners nicht abgeschaltet):

OTL, Teil II:

OTL - Extras:

GMER, Teil I:

GMER, Teil II:

GMER, Teil III:

GMER, Teil IV:

GMER, Teil V:

GMER, Teil VI:

GMER, Teil VII:

GMER, Teil VIII:

GMER, Teil IX:

GMER, Teil X:

GMER, Teil XI:

GMER, Teil XII:

GMER, Schluss:

Hast Du Combofix nocheinmal laufen lassen ?

Während dieser Scans soll(en):

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Rootkitscan mit RootRepeal

• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
  .
  Drivers
  Files
  Processes
  SSDT
  Stealth Objects
  Hidden Services
  Shadow SSDT
  .
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

Combofix habe ich laufen lassen und vorher die Scanner abgestellt. Das Gepostete ist der aktuelle Log. Internet muss aus gewesen sein, der Scan lief problemlos.

RootRepeal mach ich gleich.

RootRepeal war erstaunlich schnell fertig (keine 2 Minuten):

Bin dann erstmal weg, hab noch was zu erledigen. Übers Wochenende störts mit den längeren Shutdowns auch nicht weiter, da bin ich eh nicht so oft on wie unter der Woche. Die Auswertung der Logs hat also Zeit...auch bis irgendwann nächste Woche, ich sehs ja dann in der Mailbox, wenns was Neues gibt.

Besten Dank für jede Unterstützung und ein schönes WE alle miteinander.

Cu, Steffen

Und wer sagte was von "noch einmal ausführen"?


Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

*lach* sorry, da liegt ein Missverständnis vor

Du hattest Deine Anleitung zu Combofix gar nicht in meinem Beitrag gepostet, das mit dem Rüberziehen der tmp-Datei ist mir völlig neu.

Kurze Erläuterung: als ich hierher kam, hatte ich Combofix bereits benutzt. Siehe meine Bemerkung "Combofix meldete ein Rootkit und desinfizierte die Datei".

Danach habe ich Combofix deinstalliert und das Log gelöscht, weil das Rootkit beseitigt schien. Erst als der Fehler trotzdem wieder auftrat, bin ich hier ins Forum gekommen. Das "nochmal ausführen" hat insofern gar nicht stattgefunden. Es handelt sich vielmehr um ein erneutes Herunterladen und Laufenlassen, um hier ein Log bzw das Ergebnis des Suchlaufs posten zu können. Das Ganze hat eigentlich den Zweck herauszufinden, was jetzt nach der Desinfektion noch im System herumspuken und die langsamen Shutdowns verursachen könnte.

Vielleicht hätten wir uns den Combofix-Kram sparen können, das Log mit dem Namen der desinfizierten Datei existiert leider nicht mehr. Ich werde aber gleich den Ablauf, den Du als Letztes geschildert hast, durchführen. Vielleicht bringt das dabei entstehende Log zusätzlich was, auch wenn ich nicht verstehe, wozu das Rüberziehen einer Textdatei mit nem Dateinamen drin (nuja, zumindest weiss ich jetzt, wo diese Datei, die mir schon aufgefallen ist, herkommt *g*) auf das Combofixsymbol gut sein soll. Vermutlich wird diese Datei dann irgendwie mitverwendet. Ich hab nur keine Ahnung von Scripten und vom Inhalt der Datei, drum fehlt mir da wohl vom Sinn her ein Mosaikstein :-).

Hier der Log vom Combofix incl der Temp-Datei:

schritt 1

Wende bitte Malwarebytes nach Anleitung an.


schritt 2

CustomScan mit OTL

• Starte bitte die OTL.exe.
  Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Code-Tags in Deinen Thread

Malwarebytes hat nichts gefunden:

OTL folgt gleich. Allerdings kann es sein, dass sich AntiVir nicht komplett abschalten lässt. Höchstens deaktivieren, nicht mal der Taskmanager will den Guard etc abschalten lassen. Wir werden sehen, ob das klappt.

OTL, Teil I (eine Extras.txt wurde diesmal nicht erstellt *wunder*):

OTL, Teil II:

schritt 1

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.


schritt 2

Schliesse bitte alle laufenden Programme inkl Browser.
Lösche bitte die Extra.txt von Deinem Desktop.
Doppelklick auf die OTL.exe und poste beide Logfiles.


Bitte poste in Deiner nächsten Antwort
Log von ComboFix
Beide Logs von OTL
Berichte wie der Rechner läuft

Combofix wollte erst nicht starten...bis mir einfiel, dass man hier bereits die anderen Programme schliessen sollte. So schloss ich alles, führte das Script erneut aus (Fehlermeldung: Datei nicht gefunden: damit hatte ich den Beweis, dass es schon funktioniert hatte).

Der Neustart kam nach dem Scan von Combofix als Automatik. Nach meinem Eindruck lief der Shutdown immer noch verlangsamt. Sehe ich richtig, dass von den gewünschten Prozessen nur einer oder zwei wirklich gekillt wurden ? Die runouce (runoNce würe mir was sagen, mut U könnte es was "Überzähliges" sein) z.B. taucht bei den Löschungen nicht auf, R.COM dagegen schon.

Für OTL hab ich dann alles Offene nochmal zugemacht (Virenscanner, Firewall etc werden beim Start direkt mitgeladen). Lief einwandfrei.

Ich werde die Shutdowns noch etwas beobachten und weiter berichten.

Hier die Logs:

Combofix

OTL, Teil I:

OTL, Teil II:

OTL, Teil III:

Extras:

Kontrolle, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

• Downloade die MBR.exe von Gmer und
• speichere es auf Deinem Desktop.
• Mache einen Doppelklick auf das Programm, um es zu starten.
• Wenn Dein Antiviren-Programm anschlägt, bitte ignorieren bzw. die Aktion zulassen.
• Nun wirst Du ein Logfile auf Deinem Desktop namens mbr.log finden.
• Poste mir den Inhalt dieser Logdatei hier in den Thread.

AntiVir macht anstandslos mit.

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, GMER - Rootkit Detector and Remover

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

--> wohl alles ok

Ich hab das System eben mal probeweise runtergefahren. Das Problem besteht immer noch: Profilabmeldung reibungslos (wie erwartet also kein Problem mit den ganzen Programmen, die jetzt auf dem Desktop / im Profil rumschwirren) - beim Klick auf den Computernamen (unten links auf dem XP-Abmeldebildschirm) schätzungsweise 1-2 Minuten, bis der Kasten mit Neustart / Abschalten kommt und nach meinem Anklicken der gewünschten Option nochmal sicher nochmal 2 Minuten, bis die Kiste abschaltet bzw neu startet.

Ich könnte mir vorstellen, dass wir jetzt beide verwirrt sind, oder doch nicht ?! ;-)

Lade den Avenger herunter und entzippe ihn auf den Desktop. Nicht gezippt direkt als EXE ist der Avenger hier erhältlich.

Starte die avenger.exe durch Doppelklick und akzeptiere mit OK die Nutzungsbedingungen. Füge den Inhalt der folgenden Codebox vollständig und unverändert bei "Input script here" ein und klicke auf "Execute". Beantworte die Frage, ob Du sicher bist, dass das Skript ausgeführt werden soll mit "Ja".

Beantworte die Frage zum Neustart des Rechners (Reboot now?) ebenfalls mit "Ja". Nachdem der Rechner neu gestartet ist (das kann auch zweimal nötig sein und passieren!) und das DOS-Fenster, das der Avenger geöffnet hat, wieder geschlossen ist, öffnet Avenger Deinen Editor mit dem Avengerlog, zu finden auch unter C:\avenger.txt. Den Inhalt bitte posten. Ein Backup der entfernten Objekte wurde als C:\avenger\backup.zip angelegt.

Interessant...letztes Mal wurde eine R.COM im Windows-Ordner gelöscht, jetzt eine T.COM im system32. Eine gehört zu Qoobox, die andere zum Avenger, das isses dann wohl net.

Der Rest ist entweder nicht (mehr) vorhanden oder wurde nicht gelöscht...2 davon sind Ordner, keine Dateien. Kurios als .exe, aber so ist der Sinn des Ordners gleich deutlich. Mir wäre aber schleierhaft, wie momentan leere (!) Ordner den Shutdown verlangsamen sollten. Obwohl...wenn während des Shutdowns darauf zugegriffen wird, kann vermutlich auch UPHClean (habe ich schon seit Längerem laufen) nix ausrichten. Nicht verwunderlich, das Problem liegt ja wies aussieht auch net im Userprofil.

Abgelegt wird in diesen Ordnern ja scheinbar nix, die DLL's werden gewöhnlich von woanders geladen. Hmmm...bringt das Löschen überhaupt was ? Die würden doch sicher neu angelegt, wenn man net rausfindet, wo genau sie herkommen, oder ?


Hier das Avenger-Log:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: "c:\windows\rundll16.exe" is a folder, not a file!
Deletion of file "c:\windows\rundll16.exe" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
--> use "Folders to delete:" instead of "Files to delete:" to delete a directory


Error: "c:\windows\system32\runouce.exe" is a folder, not a file!
Deletion of file "c:\windows\system32\runouce.exe" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
--> use "Folders to delete:" instead of "Files to delete:" to delete a directory

File "c:\windows\system32\T.COM" deleted successfully.

Error: file "c:\windows\system32\39.tmp" not found!
Deletion of file "c:\windows\system32\39.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

ich versuche hier die restlichen Malware Dinger zu erledigen. Das ist nicht gerade einfach wenn man andauernd belehrt wird.
Durch den selbständigen Lauf von ComboFix hast Du dies nicht gerade erleichtert.

Wenn es Diir zu langsam geht,
hier die schnellste Lösung

Anleitung zum Neu aufsetzten
Hier steht WARUM

Welcher selbständige Lauf von Combofix ? Meinst Du das ganz am Anfang ? Das kam daher, dass ich vor dem Trojaner-Board schon auf anderen Seiten war, wo dieses Programm ebenfalls empfohlen wurde. Das Ganze hatte zwar ein Rootkit entfernt, aber das Problem, um das es mir eigentlich ging, noch nicht gelöst. Also an sich keine Änderung...somit ging alles von vorne los.

Sorry, wenn Du Dich belehrt fühlst, das war nicht meine Absicht. Ich schildere nur meine Erfahrungen und Gedanken während der Suchläufe, wie man das halt so macht. Die Meisten freuen sich sonst eher darüber, weil auch das helfen kann, (nicht nur meinen) evtl offenen Fragen auf die Spur zu kommen oder die restlichen fraglichen Posten in den Logs schneller aufzuklären. Speziell wenn leere Ordner auftauchen, aber unklar ist, wo sie herkommen. Von daher hat mich Deine Reaktion jetzt stark überrascht.

Von "zu langsam" kann keine Rede sein. Im Gegenteil, ich freue mich sehr, dass jemand bereit ist, am Wochenende seine Zeit zu opfern und mir zu helfen !

Ob mans nun merkt oder nicht - ich bin an sich selber aus dem IT-Bereich und versuche nur, bei dem ganzen Ablauf mitzudenken. Viren und Malware als solche sind grundsätzlich nix Neues für mich. Mir sind allerdings die in den letzten Tagen verwendeten Programme neu, auch weils z.B das erste Rootkit auf meinem Rechner war. Von daher schon mal vielen Dank sowohl für die Hilfe am Wochenende als auch für die Anregungen bzgl zukünftiger Suchen.

Hmmm...ESET meint, es kann das Update nicht ziehen. Einen Proxy habe ich aber keinen und der AntiVir-Guard ist deaktiviert sowie im IE das AktiveX überall erlaubt (auch in den vertrauenswürdigen Sites und eset.com als vertrauenswürdig eingestuft). Müsste doch eigentlich gehen, oder ?

Kaspersky ist durch, hat aber nichts gefunden:

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
Wednesday, November 18, 2009
Operating system: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Wednesday, November 18, 2009 15:56:57
Records in database: 3234011
--------------------------------------------------------------------------------

Scan settings:
scan using the following database: extended
Scan archives: yes
Scan e-mail databases: yes

Scan area - My Computer:
A:\
C:\
D:\
E:\
F:\

Scan statistics:
Objects scanned: 40941
Threats found: 0
Infected objects found: 0
Suspicious objects found: 0
Scan duration: 01:21:27

No threats found. Scanned area is clean.

Selected area has been scanned.

Keine Malware. Bin aber kein Techniker ;)

Was solls, die gute Nachricht "keine Malware" ist schon eine Beruhigung. Vielen Dank für Deine Geduld und Unterstützung. Ich habe einige interessante Programme kennengelernt, die ich künftig nutzen kann. Das ist in jedem Fall ein Wissensfortschritt.

Vielleicht finde ich noch irgendwann raus, was die langen Shutdowns auslöst. Die neuen Hardware-Treiber sinds vermutlich nicht, denn diese kamen als ein Teil der Korrekturversuche auch erst, als das Problem schon da war. Inzwischen habe ich eher den Schwung Windows-Updates vom letzten (oder vorletzten ?) Monat im Verdacht. So viele auf einmal warens noch nie...würde mich nicht wundern, wenn da irgendwas nicht recht miteinander will. Bekommt man es nicht aus dem Speicher raus, dauert der Shutdown eben länger. Ich denke, ich werde mit meinen weiteren Nachforschungen hier ansetzen.

Weiter so, Daniel - 100 % Quote wird niemand für sich vermelden können, aber mit der Zeit, die Du da reinsteckst, wirst Du noch vielen Usern helfen.

Tool-Bereinigung mit OTC

Bitte lade Dir OTC von OldTimer herunter.

• Speichere es auf Deinem Desktop.
• Doppelklick auf OTC.exe, um das Programm auszuführen.
• Klicke auf den Button CleanUp! und bestätige die Cleanup Prozedur mit Yes.
• OTC fragt nach einem Neustart, lasse das bitte zu.

Nach dem Neustart werden OTC selbst und die meisten anderen Helferprogramme, die wir im Laufe der Bereinigung benutzt haben, nicht mehr vorhanden sein. Evtl. nun noch vorhandene Helferprogramme oder Logfiles bitte manuell löschen und den Papierkorb leeren.