Zango und Co. HILFEEE!!

[Frank181]

Hallo zusammen,

hab folgendes Problem: beim Starten meines Laptops erscheint auf dem Desktop die herzliche Einladung von Zango Search Assistant den Benutzerbestimmungen zuzustimmen und das Setup zu starten. Ich kann zwar Abbrechen jedoch kommt es bei jedem Neustart wieder. Darüberhinaus geht mein Mozilla Firefox gar nicht mehr: 'Firefox hat ein Fehler gefunden und muss geschlossen werden ..bla..' Es öffnet sich also lediglich dieses Hinweisfenster.

Was kann ich tun, brauche dringend Hilfe!! Ich danke im Voraus!! Hier mein Logfile!!
Grüße Frank

(4.6.05 18:02:03) SPSeHjFix started v1.1.2
(4.6.05 18:02:03) OS: WinXP Service Pack 1 (5.1.2600)
(4.6.05 18:02:03) Language: deutsch
(4.6.05 18:02:03) Win-Path: C:\WINDOWS
(4.6.05 18:02:03) System-Path: C:\WINDOWS\System32
(4.6.05 18:02:03) Temp-Path: C:\DOKUME~1\Franko\LOKALE~1\Temp\
(4.6.05 18:02:05) Disinfection started
(4.6.05 18:02:05) Bad-Dll(IEP): c:\dokume~1\franko\lokale~1\temp\se.dll
(4.6.05 18:02:05) Searchassistant Uninstaller found: regsvr32 /s /u C:\WINDOWS\System32\pmgj.dll
(4.6.05 18:02:05) Searchassistant Uninstaller - Keys Deleted
(4.6.05 18:02:05) UBF: 7 - UBB: 0 - UBR: 6
(4.6.05 18:02:05) FilterKey: HKCR\text/html (deleted)
(4.6.05 18:02:05) FilterKey: HKCR\CLSID\{03969684-6BE7-4A8A-9332-35491660B039} (error while deleting)
(4.6.05 18:02:05) FilterKey: HKLM\SOFTWARE\Classes\text/html (error while deleting)
(4.6.05 18:02:05) FilterKey: HKCR\text/plain (deleted)
(4.6.05 18:02:05) FilterKey: HKCR\CLSID\{03969684-6BE7-4A8A-9332-35491660B039} (error while deleting)
(4.6.05 18:02:05) FilterKey: HKLM\SOFTWARE\Classes\text/plain (error while deleting)
(4.6.05 18:02:05) BHO-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Brow ser Helper Objects\{A7822A55-C24B-4B41-BF0B-07D7B180326E} (deleted)
(4.6.05 18:02:05) BHO-Key: HKCR\CLSID\{A7822A55-C24B-4B41-BF0B-07D7B180326E} (error while deleting)
(4.6.05 18:02:05) UBF: 5 - UBB: 0 - UBR: 6
(4.6.05 18:02:05) Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\dokume~1\franko\lokale~1\temp\se.dll/spage.html
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\dokume~1\franko\lokale~1\temp\se.dll/spage.html
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
(4.6.05 18:02:05) Stealth-String not found
(4.6.05 18:02:05) File added to delete: c:\windows\system32\pmgj.dll
(4.6.05 18:02:05) File added to delete: error
(4.6.05 18:02:05) Reboot


(4.6.05 18:03:31) SPSeHjFix started v1.1.2
(4.6.05 18:03:31) OS: WinXP Service Pack 1 (5.1.2600)
(4.6.05 18:03:31) Language: deutsch
(4.6.05 18:03:31) Win-Path: C:\WINDOWS
(4.6.05 18:03:31) System-Path: C:\WINDOWS\System32
(4.6.05 18:03:31) Temp-Path: C:\DOKUME~1\Franko\LOKALE~1\Temp\
(4.6.05 18:04:01) Disinfection started
(4.6.05 18:04:01) Bad-Dll(IEP): (not found)
(4.6.05 18:04:01) Bad-Dll(IEP) in BHO: (not found)
(4.6.05 18:04:01) UBF: 5 - UBB: 0 - UBR: 6
(4.6.05 18:04:01) UBF: 5 - UBB: 0 - UBR: 6
(4.6.05 18:04:01) Bad IE-pages: (none)
(4.6.05 18:04:01) Stealth-String not found
(4.6.05 18:04:01) Not infected->END


(23.12.05 23:02:38) SPSeHjFix started v1.1.2
(23.12.05 23:02:38) OS: WinXP Service Pack 1 (5.1.2600)
(23.12.05 23:02:38) Language: deutsch
(23.12.05 23:02:38) Win-Path: C:\WINDOWS
(23.12.05 23:02:38) System-Path: C:\WINDOWS\System32
(23.12.05 23:02:38) Temp-Path: C:\DOKUME~1\Franko\LOKALE~1\Temp\
(23.12.05 23:02:44) Disinfection started
(23.12.05 23:02:44) Bad-Dll(IEP): (not found)
(23.12.05 23:02:44) Bad-Dll(IEP) in BHO: (not found)
(23.12.05 23:02:44) UBF: 5 - UBB: 0 - UBR: 7
(23.12.05 23:02:44) UBF: 5 - UBB: 0 - UBR: 7
(23.12.05 23:02:44) Bad IE-pages: (none)
(23.12.05 23:02:44) Stealth-String not found
(23.12.05 23:02:44) Not infected->END


(23.12.05 23:03:04) SPSeHjFix started v1.1.2
(23.12.05 23:03:04) OS: WinXP Service Pack 1 (5.1.2600)
(23.12.05 23:03:04) Language: deutsch
(23.12.05 23:03:04) Win-Path: C:\WINDOWS
(23.12.05 23:03:04) System-Path: C:\WINDOWS\System32
(23.12.05 23:03:04) Temp-Path: C:\DOKUME~1\Franko\LOKALE~1\Temp\
(23.12.05 23:03:06) Disinfection started
(23.12.05 23:03:06) Bad-Dll(IEP): (not found)
(23.12.05 23:03:06) Bad-Dll(IEP) in BHO: (not found)
(23.12.05 23:03:06) UBF: 5 - UBB: 0 - UBR: 7
(23.12.05 23:03:06) UBF: 5 - UBB: 0 - UBR: 7
(23.12.05 23:03:06) Bad IE-pages: (none)
(23.12.05 23:03:06) Stealth-String not found
(23.12.05 23:03:06) Not infected->END


(23.12.05 23:44:53) SPSeHjFix started v1.1.2
(23.12.05 23:44:53) OS: WinXP Service Pack 1 (5.1.2600)
(23.12.05 23:44:53) Language: deutsch
(23.12.05 23:44:53) Win-Path: C:\WINDOWS
(23.12.05 23:44:53) System-Path: C:\WINDOWS\System32
(23.12.05 23:44:53) Temp-Path: C:\DOKUME~1\Franko\LOKALE~1\Temp\
(23.12.05 23:45:02) Disinfection started
(23.12.05 23:45:02) Bad-Dll(IEP): (not found)
(23.12.05 23:45:02) Bad-Dll(IEP) in BHO: (not found)
(23.12.05 23:45:02) UBF: 5 - UBB: 0 - UBR: 8
(23.12.05 23:45:02) UBF: 5 - UBB: 0 - UBR: 8
(23.12.05 23:45:02) Bad IE-pages: (none)
(23.12.05 23:45:02) Stealth-String not found
(23.12.05 23:45:02) Not infected->END

[Speedy]

hi

bitte neben dem logfile von SPSeHjFix das für uns wichtigere logfile von hijackthis posten!

[Frank181]

OK, Hab ich gemacht, das wäre dann dies:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 08:55:05, on 24.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\tp4mon.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\windows\adtech2006a.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\RnJhbmsgU2V4Ym9tYg\command.exe
C:\WINDOWS\system32\msbitsec.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\WINDOWS\TEMP\MG.exe
C:\WINDOWS\System32\cmd.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\rundll32.exe
C:\Dokumente und Einstellungen\Franko\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\mllkk.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [adtech2006] C:\windows\adtech2006a.exe
O4 - HKLM\..\Run: [winsync] C:\WINDOWS\System32\ycrpyw.exe reg_run
O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O13 - WWW. Prefix: http://
O20 - Winlogon Notify: mllkk - C:\WINDOWS\SYSTEM32\mllkk.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RnJhbmsgU2V4Ym9tYg\command.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\FRANKO\LOKALE~1\TEMP\_VWUPSRV.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing)

[Frank181]

Hallo zusammen, habe es geschafft durch die Hintertür meine Virusprogramme auf den neuesten Stand zu bringen, und diese hat nun jede Menge Trojaner und Co. gelöscht. ZUM GLÜCK!!!
Jetzt sind die Probleme auf den ersten Blick weg. Habe zur Kontrolle unten mein Logfile nach der Reinigung reinkopiert und bitte die Profis mal einen Blick darauf zu werfen und zu schauen ob noch etwas zu tun ist.
Ich danke vielmals!!!
Frank, Frohes Fest!!!

Code:

Logfile of HijackThis v1.99.1
Scan saved at 09:46:57, on 24.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\tp4mon.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\RnJhbmsgU2V4Ym9tYg\command.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Franko\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\mllkk.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O13 - WWW. Prefix: http://
O20 - Winlogon Notify: mllkk - C:\WINDOWS\SYSTEM32\mllkk.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RnJhbmsgU2V4Ym9tYg\command.exe
O23 - Service: Microsoft Background Intelligent Transfer Update Version 2.0 (MBIT) - Unknown owner - C:\WINDOWS\system32\msbitsec.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing)

[Ruby]

Hallo Frank181

du hast aber gesammelt
Na, dann fangen wir mal an ;-)

Lade folgende Programme runter:

CCleaner
Lade die Killbox runter.
Entpacke das Programm mit einem Ziptool (zum Beispiel SIMPLYZIP)
Installiere das Programm auf deinem Desktop.

1

Code:

=> Wenn vorhanden: starte Spybot S&D, deaktiviere den "Resident
"TeaTimer".
(Klicke auf "Advanced mode" > "JA" > "Tools" Menu > Klick
auf "Resident" > das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz
aller Systemeinstellungen) aKtiv." Box > exit.)

=> Wenn vorhanden: Ad-Watch während der Reinigungsarbeiten bitte ebenfalls abstellen!

=> Wenn vorhanden: Microsoft AntiSpyware ausstellen
Öffne Microsoft AntiSpyware > Klick auf "Tools", "Settings" > klicke auf der
linken Seite auf "Real-time Protection" [Vollzeit Schutz] > unter "Startup
Options" ["Startup Einstellungen"] das Häkchen rausnehmen bei "Enable the
Microsoft AntiSpyware Security Agents on startup (recommended)" ["Aktiviere
Microsoft AntiSpyware Security Agents beim Menustart (empfohlen)"] > Unter
"Real-time spyware threat protection" [Vollzeit-Spyware-Schutz ] das
Häkchen rausnehmen für "Enable real-time spyware threat protection
(recommended)" ["Sktiviere den Vollzeit Spyware Schutz (empfohlen)".]
Klick auf "Save" [Speichern] und schliesse die Microsoft AntiSpyware.
Rechts-Klick auf das Microsoft AntiSpyware Icon auf dem System Tray >
wähle "Shutdown Microsoft AntiSpyware" ["Beende Microsoft AntiSpyware"].

(Deaktiviere diese Programme während der Reinigungsarbeiten,
sie verhindern die Reinigung.)

2
Klick auf START > ausführen ... schreib 'services.msc' in das Eingabefensterchen, das sich dann öffnet und klicke auf 'OK'.

3
Scrolle auf der Seite, die sich nun öffnet, nach unten bis du 'Command Service' oder 'cmdService' findest...
Rechtsklick auf diesen Eintrag, wähle Eigenschaften und drücke auf 'Stop Service' oder 'Service beenden' oder 'Dienst beenden'. Wenn angezeigt wird, dass er beendet ist, setze ihn bitte im 'Start-Up' auf 'ausschalten'. Drücke nun wieder auf 'ok', um zu Windows zurückzukehren.

4
Lass HijackThis laufen. Aber nicht scannen lassen. Klicke auf den Button "None of the above, just start the program". Drücke dann auf den 'Config' Button, und dann auf 'Misc tools'. Wähle 'Delete an NT Service" ... copy/paste in das Eingabefeld:

'Command Service' oder 'cmdService' (das was oben stand)

Drücke auf "OK":

5
Boote in den abgesicherten Modus

Lass Hijackthis laufen,
klick scan und setze ein Häkchen neben jeden dieser Einträge.
Drücke dann auf den Fix Button:

C:\WINDOWS\RnJhbmsgU2V4Ym9tYg\command.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RnJhbmsgU2V4Ym9tYg\command.exe

Drücke auf den Fix Button.
Beende das Programm HijackThis.

6
Boote in den normalen Modus.

7
Lass nun die Pocket Killbox laufen:

Wähle Tools -> Delete Temp Files und drücke auf OK.

8
Die Killbox starten
Einstellungen:
Replace on Reboot
Nun in die killbox reinkopieren:

C:\WINDOWS\RnJhbmsgU2V4Ym9tYg\command.exe

Zusätzlich die Option "Use Dummy" auswählen,
das rote X drücken
die erste Meldung (Confirmation) mit Ja und die Zweite
mit Ja bestätigen.

Den Rechner neu aufstarten/den Neustart erzwingen, wenn die Killbox nicht von alleine aufstartet!

9
Boote in den abgesicherten Modus

10
Lösche mit dem Windows Explorer:

C:\WINDOWS\RnJhbmsgU2V4Ym9tYg <---- diesen Ordner

11
Lass nun den CCleaner laufen.
Achte darauf dass der Inhalt von C:\WINDOWS\Prefetch geleert wird!

12
START > ausf&#252;hren (schreib): cleanmgr -> ok.
Vergewissere dich, dass die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) geleert werden

13
Boote in den normalen Modus.

14
Lass HijackThis laufen,
erstelle und poste ein neues Logfile.


Quelle

[Frank181]

Hi Ruby!!
Danke dir, dann mach ich mich mal ans Werk!!!

Problem bei Schritt 3 : Command Service ich kann nur deaktivieren, Beenden ist nicht unterlegt und lässt sich nicht drücken.

Ich hab ihn mal deaktiviert und bin weiter im Text, im abgesicherten Modus HiJAckThis Scan bekam ich die Punkte
C:\WINDOWS\RnJhbmsgU2V4Ym9tYg\command.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RnJhbmsgU2V4Ym9tYg\command.exe

nicht angezigt um ein Häkchen zu setzen.

Was tun???

[Ruby]

Hallo Frank181

führe einen mwavscan durch

Bitte die Systemwiederherstellung im Wechsel aktivieren, deaktivieren, dazwischen jedes mal neu booten. Nimm dir Zeit dafür, das System ist nicht so schnell. 5-10 Minuten zwischen den einzelnen Durchgängen. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein.

Lade den CCleaner runter, setze in alle Kästchen (Windows, Anwendungen und Probleme) ein Häkchen und drücke dann auf "Starte Cleaner".

Vergewissere dich, dass du auf deinem Rechner alles siehst: In den Ordneroptionen das Häkchen entfernen bei "geschützte Systemdateien ausblenden" und etwas weiter unten wählt man bei "Versteckte Ordner und Verzeichnisse" den Punkt "Alle Dateien und Ordner anzeigen".

1) Lege einen Ordner c:\bases an (Einführung in Windows)
2) Download der -> mwav.exe <- diesen Link verwenden!
3) Entpacke die Datei (mit einem Zip-Programm UltimateZip) !!! Die Datei mwav.exe MUSS in diesen Ordner c:\bases entpackt werden. wenn der Pfad nicht genau so angegeben wird, funktioniert der scanner/updater nicht!
4) Doppelklick auf die Datei kavupd.exe, damit wird der update gestartet.
5) Wechsle in den abgesicherten Modus von Windows
6) Öffne den Explorer, navigiere zum Ordner c:\bases, starte mwavscan.com, schließe den Explorer.
7) Überprüfe die Einstellungen, unter scan option-->memory, startup folders, registry, system folders und services sowie drive (auswahl) und scan all files sollten aktiviert sein, dann den Button *SCAN/CLEAN* drücken. Angehakt werden soll alles, was auf dieser Abbildung zu sehen ist:

8) Wenn der Scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen Modus.
9) Nun öffnest du mit einem Editor die mwav.log und wählst unter bearbeiten -> suchen,
hier gibst du "tagged as" und "infected as" ein:

-> jede Zeile in der "tagged as" steht.
-> jede Zeile in der "infected" steht,

markieren, und hier einfügen, weitersuchen usw.

(Beispiel: file C:\WINDOWS\sssasasb32.exe infected by "Trojan-Downloader.Win32.Agent.ig" Virus. Action: Action Taken)

Ganz unten steht die Zusammenfassung, diese auch hier posten :

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****

Poste das Ergebnis des Scan und ein neues HJT-Logfile.

[Frank181]

Da liegen Steine im Weg ohne Ende...
wenn ich auf -Start- rechtsklick -Eigenschaften- gehe
fehlt die Seite 'Systemwiederherstellung' vollends!!!
Ist wohl auch durch den Befall gesperrt damit man hier nichts ändert.

Ich warte mal auf deine Antwort bevor ich den weiteren Schritten folge, da dies ja event. vor Benutzung des Cleaners getan werden sollte!?

Danke dir!!!!

[Ruby]

einfach weiter machen....

[Frank181]

Hi Ruby,

alles klar! Mache hier aber doch einen zeitlichen Break aufgrund
anstehender Familienzusammenkunft. Sobald ich wieder am Rechner bin
gehts los, und ich poste dann die Ergebnisse hier und hoffe du kannst mich weiter unterstützen, vielen Dank für deine Mühe!!!
Auch dir einen schönen und ruhigen Tag
FranK!!