Code:
Lade nur die Programme runter, die noch nicht runtergeladen hast.
Anweisung bitte sorgfältig lesen!
Teil 1
Lade folgende Programme runter:
1-1
Lade den EliteToolbar Remover V.1.3.0 als Zip runter,
erstelle einen neuen Ordner auf der Festplatte C: (Einführung in Windows) "C:\ETR" und entpacke den EliteToolbar Remover V.1.3.0 mit allen Komponenten in diesen Ordner.
(kostenloses Zip-Programm SIMPLYZIP)
1-2
CleanUp
1-3
Ad-Aware SE, installieren und updaten
1-4
Spybot Search & Destroy, installieren und updaten
1-5
CWShredder 2.14, installieren und updaten
1-6
about:Buster,
entpacke es in C:\aboutbuster
Starte das Programm:
1. Klicke auf "Update".
2. Klicke auf "Check For Update"
(wenn derzeit keine Updates vorhanden sind, kannst du diesen Punkt überspringen.)
3. Klicke auf "Download Update", und warte bis der Download installiert ist.
.
.
.
.
.
1-7
Lade das
msmsgs_remover.zip gegen den Wurm "SDBot.Gen" ("msmsgs.exe") runter, entpacke es auf deinem Desktop. Starte das Programm und lass ihm die Zeit, die es braucht, um diese schwerwiegende Wurmvariante von deinem Rechner zu entfernen. Es kann sein, dass es ca 30 Minuten dauert, bis das Programm fertig ist. Du musst deinen Rechner danach neu booten. -> Bitte die Anweisung von Marc genau befolgen!
(Kostenloses Zip-Programm: SIMPLYZIP).
.
.
.
.
.
1-8
Lade die Killbox runter.
Installiere das Programm auf deinem Desktop.
1-9
Cleaner für Windows 95/98/ME
Verwende das Programm laut Anweisung.
Speichere das Logfile.
Poste es später.
Teil 2
Anleitung zur Entfernung
1
*SEHR WICHTIG*
Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.
2
Die Killbox starten
Einstellungen:
Replace on Reboot
Nun in die Killbox reinkopieren:
C:\WINDOWS\SYSTEM\mspdnx.dll
Zusätzlich die Option "Use Dummy" auswählen,
das rote X drücken
die erste Meldung (Confirmation) mit Ja (YES) und die Zweite mit Ja (YES) bestätigen.
3
Starte deinen Rechner neu auf in den abgesicherten Modus.(Windows)
4
Schliesse alle Programme einschliesslich Internet Explorer.
Suche das Hosts-File auf, du findest es unter
C:\Windows\System32\Drivers\Etc
Lass Hijackthis laufen,
Config< Misc Tools < Open Hosts file Manager < Delete line <
lösche alles bis auf:
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost
Alle Einträge, die mit 127.0.0.1 anfangen, sind ok und brauchen nicht gelöscht zu werden.
Wenn es bei dir keine weiteren Einträge gibt, ist es ok.
5
Lass Hijackthis laufen,
klick scan und setze ein Häkchen neben jeden dieser Einträge.
Drücke dann auf den Fix Button:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hzzp://v73.us/10095/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hzzp://v73.us/10095/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hzzp://v73.us/10095/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hzzp://v73.us/10095/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hzzp://v73.us/10095/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hzzp://v73.us/10095/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hzzp://v73.us/10095/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hzzp://v73.us/10095/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hzzp://v73.us/10095/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = hzzp://v73.us/10095/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = hzzp://v73.us/10095/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = hzzp://v73.us/10095/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = hzzp://v73.us/10095/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = hzzp://v73.us/10095/
O2 - BHO: (no name) - {C37E0001-77DE-11D9-979B-00085B758069} - (no file)
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\SYSTEM\msmsgs.exe
O21 - SSODL: eplrr9 - {7D5CC380-BDB2-11D9-979B-0008A11C13E5} - C:\WINDOWS\SYSTEM\mspdnx.dll
Drücke auf den Fix Button.
Beende das Programm HijackThis.
6
Ad-Aware SE laufen lassen.
Alle roten X müssen grün gestellt werden.
Lass das Programm alles entfernen, was es findet.
Speichere das Logfile ab.
Leere nach dem Scan alle Verzeichnisse von Ad-Aware SE und die Quarantäne-Box.
7
Spybot Search & Destroy laufen lassen.
Geh auf "Advanced", unter Tools kannst du u.a. AktiveX deaktivieren.
Lass das Programm alles entfernen, was es findet.
Immunisiere dein System.
8
Ein Klick auf die Taste "Kill Elite Toolbar" setzt das Programm in Gang.
Es scannt nun Registry, Memory und untersucht den Rechner auf das
Vorhandensein bestimmter Malware. Wenn es fündig geworden ist, klappt ein
schwarzes DOS-Fensterchen auf und fragt ob du möchtest, dass ein File
gelöscht wird, ja oder nein. Du gibst ein "j" für "ja" ein und drückst auf [enter].
Nun scannt das Programm weiter.
Wenn der Scan zuende ist, bitte das Logfile
abspeichern über die Taste "Save Reg.log". Das Logfile zeigt eine Liste
der Autostart-Schlüssel, Unterschlüssel und der Werte der System Registry.
9
Lass CWShredder laufen
Klicke auf den fix-Button und lass das Programm dein System scannen und reinigen.
10
Lass about:Buster laufen
4. Klicke auf "Start".
(Warte bis der initiale ADS Scan fertig ist.)
5. Klicke "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird.
(Watre bis der about:blank Scan fertig ist.)
6. Klicke auf "Ok", um den Scan nochmal laufen zu lassen.
7. Klicke auf "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird.
8. Klicke auf "Yes", um die zweite Runde zu beginnen.
9. Klicke auf "Save log" (speichere das Logfile).
10. Klicke auf "Exit".
11. Klicke auf "Exit".
11
Boote deinen Rechner wieder in den normalen Modus.
12
Lass CleanUp laufen
Geh zu "option" -> Wähle ‘custom’ -> Setze Häkchen bei:
* Cookies
* Prefetch
* Temp
* All users.
Drücke den 'cleanup' Button
13
Führe einen mwavscan durch
1) Lege einen Ordner c:\bases an (Einführung in Windows)
2) Download der mwav.exe
3) Entpacke die Datei (mit einem Zip-Programm SIMPLYZIP) !!! Die Datei mwav.exe MUSS in diesen Ordner c:\bases entpackt werden. wenn der Pfad nicht genau so angegeben wird, funktioniert der scanner/updater nicht!
4) Doppelklick auf die Datei kavupd.exe, damit wird der update gestartet.
5) Wechsle in den abgesicherten Modus von Windows
6) Öffne den Explorer, navigiere zum Ordner c:\bases, starte mwavscan.com, schließe den Explorer.
7) Überprüfe die Einstellungen, unter scan option-->memory, startup folders, registry, system folders und services sowie drive (auswahl) und scan all files sollten aktiviert sein, dann den Button *SCAN/CLEAN* drücken. Angehakt werden soll alles, was auf dieser Abbildung zu sehen ist:
8) Wenn der Scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen Modus.
9) Nun öffnest du mit einem Editor die mwav.log und wählst unter bearbeiten -> suchen, hier gibst du "tagged as" ein
-> jede Zeile in der "tagged as" bzw. "infected" steht, markieren, und hier einfügen, weitersuchen usw.
(Beispiel: file C:\WINDOWS\sssasasb32.exe infected by "Trojan-Downloader.Win32.Agent.ig" Virus. Action: Action Taken)
Ganz unten steht die Zusammenfassung, diese auch hier posten :
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****
14
Vergib eine neue Startseite für den Internet Explorer.
Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!
.
.
Poste das Ergebnis des mwavScan. 
