datallusers.bat
einzelne Dateien 
|
stelle den CCleaner genauso ein, wie hier angegeben: -> dann starte den PC neu Manchmal befinden sich Dateien auf dem Rechner, die von Viren, Spyware oder Backdoors abgelegt wurden und welche ein Antivirenscanner nicht auf Anhieb findet. Deshalb haben wir diese bat-Datei erstellt, um genau nachprüfen zu können, was sich in Windows\System32, Windows und C:\ und den temporären Dateien, C:\Programme, C:\WINDOWS\Prefetch befindet. http://virus-protect.org/zip/DatOrd.zip 1. datallusers.bat --> C:\allusers.txt Lade die datallusers.zip --> entpacke auf dem Desktop - dann erscheint eine datallusers.bat auf dem Bildschirm. http://virus-protect.org/bat/datallusers.zip - Klicke die datallusers.bat doppelt - der Texteditor wird sich öffnen --> kopiere den Inhalt ab
Beispiel: Verzeichnis von C:\Dokumente und Einstellungen\All Users\Dokumente 20.11.2005 01:23 653 os745025.bin 10.05.2005 16:26 0 PCD20533.L!C 11.04.2005 20:46 62 desktop.ini 3 Datei(en) 715 Bytes 0 Verzeichnis(se), 2.910.478.336 Bytes frei C:\Windows\Temp32 Open a command prompt (start> run> type cmd, hit enter) Paste this line into the cmd window and hit enter.
cmd results: Directory of C:\WINDOWS\Temp32 05/14/2005 01:16 PM . 05/14/2005 01:16 PM .. 05/14/2005 01:16 PM 0 files.txt 1 File(s) 0 bytes 2 Dir(s) 431,321,088 bytes free 2. Prefetch.bat --> C:\prefetch.txt Lade prefetch.zip --> entpacken auf dem Desktop - dann erscheint eine prefetch.bat auf dem Bildschirm. 
- Klicke die prefetch.bat doppelt - der Texteditor wird sich öffnen --> kopiere den Inhalt ab
um zu finden: C:\Program Files\Nsem\Ujqlsdq.exe C:\Program Files\Internet Optimizer\actalert.exe Lade die datprogram.zip -> entpacken -> datprogram.bat http://virus-protect.org/bat/datprogram.zip 
- Klicke die datprogram.bat doppelt - der Texteditor wird sich öffnen --> kopiere den Inhalt ab
Beispiel: Volume in drive C has no label. Volume Serial Number is 38FD-EEA4 Directory of C:\Program Files 03-12-2005 00:21 WS_FTP Pro 01-12-2005 22:26 Trend Micro 01-12-2005 10:28 SpywareBlaster 30-11-2005 18:16 AVPersonal 11-11-2005 12:10 Common Files 07-11-2005 10:51 Mozilla Firefox 18-10-2005 12:09 AWStats 18-10-2005 11:21 RankingReport 04-10-2005 11:43 QuickTime 04-10-2005 11:42 HoverIP 04-10-2005 11:42 Unlocker
C:\WINDOWS\System32\hedgie.exe C:\WINDOWS\SYSTEM32\msupdate32.dll Repertoire de C:\WINDOWS\SYSTEM32 26/11/2005 09:35 10ÿ672 hedgie.exe 1 fichier(s) 10ÿ672 octets C:\WINDOWS\SYSTEM32\config\systemprofile\Local Settings\Temporary Internet Files\ Content.IE5\SXUVWT2N 23/11/2005 19:05 10ÿ672 hedgie[1].exe 23/11/2005 21:29 10ÿ672 hedgie[2].exe 24/11/2005 07:13 10ÿ672 hedgie[3].exe 3 fichier(s) 32ÿ016 octets C:\WINDOWS\Prefetch 26/11/2005 14:58 7786 HEDGIE.EXE-0E2979B3.pf 1 fichier(s) 7786 octets list.bat http://virus-protect.org/bat/list.zip 
Directory of C:\WINDOWS 08-03-2006 10:15 0 0.log 09-06-2004 00:30 DIR addins 27-01-2005 12:32 DIR AppPatch 23-08-2001 11:00 1.272 Blue Lace 16.bmp 08-03-2006 10:14 2.048 bootstat.dat 13-06-2004 14:46 DIR Cache 26-11-2004 21:26 23 cdplayer.ini 23-08-2001 12:00 266.752 winhlp32.exe 17-10-2004 14:35 9.106 winsbak.reg 17-10-2004 14:35 70.076 winsbak2.reg O4 - HKCU\..\Run: [Nek] C:\WINDOWS\system32\j?vaw.exe O4 - HKCU\..\Run: [Mpsw] "C:\Programme\eadt\rncr.exe" -vt mt Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint
datcommon.bat - Programme\Gemeinsame Dateien\ http://virus-protect.org/bat/datcommon.bat
Directory of C:\Documents and Settings\S\Desktop 01-02-2006 15:40 Mozilla Volume in drive C has no label. Volume Serial Number is 38FD-EEA4 Directory of C:\Program Files\Mozilla Firefox 15-01-2006 13:05 searchplugins 30-11-2005 22:57 components 13-11-2005 23:45 smitRem 07-11-2005 10:51 59.761 DBWIN_BUFFER 05-11-2005 14:45 QooFix9x 04-10-2005 11:42 chrome 04-10-2005 11:42 res Directory of C:\Program Files\Mozilla Firefox\res 04-10-2005 11:42 entityTables Directory of C:\Program Files\Mozilla Firefox\res\builtin 11-05-2005 18:36 14.008 platformHTMLBindings.xml C:\windows\system32\dllcache Lade die datcache.bat : rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine datcache.bat auf dem Bildschirm. (ohne htm speichern !) http://virus-protect.org/bat/datcache.bat abspeichern als datcache.bat Volume in drive C has no label. Volume Serial Number is 38FD-EEA4 Directory of C:\WINDOWS\system32\dllcache 29-09-2004 00:57 2.805.760 mshtml.dll 23-09-2004 17:08 487.936 URLMON.DLL 27-08-2004 13:58 1.340.416 SHDOCVW.DLL 26-08-2004 10:53 69.632 inseng.dll 23-08-2004 20:32 589.312 WININET.DLL cd\ dir /a:-d /o:-d %windir%\system32\dllcache > %systemdrive%\dllcache.txt start %systemdrive%\dllcache.txt cls exit datcache.bat Kopiere in den Texteditor: (dann als delete.bat abspeichern. Gebe bei Dateityp 'Alle Dateien' an.) doppelklick auf delete.bat
07/01/2006 21:46 139,603 system.dat 10/01/2006 13:34 63 svcp.csv 10/01/2006 13:34 4 winsub.xml 10/01/2006 13:35 46,592 zlbw.dll_tobedeleted Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint
Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders 16.02.2006 22:54 68.608 ibm00001.dll 16.02.2006 22:54 3.584 ibm00001.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe C:\Dokumente und Einstellungen\adlerhomer\order_jrcj.exe O4 - HKCU\..\Run: [Osna] "D:\DOKUME~1\Nico\EIGENE~1\YMANTE~1\dllhost.exe" -vt mt O4 - HKCU\..\Run: [Vaeetcaz] D:\Dokumente und Einstellungen\U\Eigene Dateien\??crosoft.NET\?hkntfs.exe öffne den Texteditor, kopiere rein--> dann abspeichern (alle Dateien) als vundoh.reg
# Start --> Ausführen--> reinkopieren: regedit.exe /s C:\vundoh.reg Lade echo.zip --> entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen --> Text abkopieren http://virus-protect.org/bat/echo.zip
C:\Programme\Common files\rrqz\rrqzm.exe Text in den Texteditor kopieren abspeichern (Gebe bei Dateityp "Alle Dateien" an) als service.bat und dann diese bat doppeltklicken
C:\Programme\Gemeinsame Dateien\CMEII C:\Programme\Gemeinsame Dateien\ErrorSafe C:\Programme\Gemeinsame Dateien\GMT C:\Programme\Gemeinsame Dateien\Hyperbar C:\Programme\Gemeinsame Dateien\InetGet -> adware/maxifiles C:\Programme\Gemeinsame Dateien\Oem Common -> adware/oemji C:\Programme\Gemeinsame Dateien\Totem Shared -> adware/ist.istbar C:\Programme\Gemeinsame Dateien\WinSoftware => application/winfixer2005 C:\Programme\Gemeinsame Dateien\WhenU C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006 -> Application/Winantivirus2006 C:\Programme\Gemeinsame Dateien\WinFixer 2005 -> Adware.Winfixer C:\Programme\Gemeinsame Dateien\WinTools -> adware/WinTools O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TV9TdGVuemVs\command.exe Text in den Texteditor kopieren abspeichern (alle Dateien)als service.bat doppeltklicken
O20 - AppInit_DLLs: cpan.dll # Click Start - Ausführen # Kopiere in die Run-Box und klicke "o.k."
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\evendmod.exe, C:\WINDOWS\system32\msr2dxof.exe,C:\Documents and Settings\Owner\Application Data\Explorer\msr2dxof.exe
O4 - HKLM\..\RunServices: [] mozilla.exe O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe O4 - HKLM\..\RunServices: [secures23] lup.exe Start - Ausführen - cmd
NoLop - NoLop http://www.spywareedge.net/nolop/NoLop.exe look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint http://virus-protect.org/zip/look.zip Text in den Texteditor kopieren abspeichern (Gebe bei Dateityp "Alle Dateien" an) als look.bat und dann diese bat doppeltklicken
com.zip laden - entpacken - com.bat -> doppeltklicken, abwarten und den Text posten, der erscheint http://virus-protect.org/zip/com.zip
Verzeichnis von C:\WINDOWS\Qm9yZ21hbm4 02.08.2005 16:46 187.904 asappsrv.dll 02.08.2005 16:58 293.888 command.exe 29.07.2005 16:24 472 kA6VtZY1vAb.vbs 3 Datei(en) 482.264 Bytes Anzahl der angezeigten Dateien: 3 Datei(en) 482.264 Bytes 2 Verzeichnis(se), 8.150.032.384 Bytes frei FEHLER: Der Prozess "command.exe" wurde nicht gefunden. Datei wurde gelscht - C:\WINDOWS\Qm9yZ21hbm4\asappsrv.dll Datei wurde gelscht - C:\WINDOWS\Qm9yZ21hbm4\command.exe Datei wurde gelscht - C:\WINDOWS\Qm9yZ21hbm4\kA6VtZY1vAb.vbs Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 9025-18F9 Verzeichnis von C:\WINDOWS\Qm9yZ21hbm4 remnmon.zip laden - entzippen - remnmon.bat doppeltklicken http://virus-protect.org/zip/remnmon.zip 
Nach einem Neustart die c:\kill.txt posten
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint
C:\WINDOWS\All Users\Startmenü\Programme\Autostart C:\WINDOWS\Startmenü\Programme\Autostart C:\WINDOWS\Profiles\%Username%\Startmenü\Programme\Autostart C:\Dokumente und Einstellungen\%Username%\Startmenü\Programme\Autostart\DESKMENU.EXE C:\Dokumente und Einstellungen\%Username%\Startmenü\Programme\Autostart\desktop.ini C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart C:\Dokumente und Einstellungen\All Users\Startmenü\Programme C:\Dokumente und Einstellungen\All Users\Startmenü C:\WINDOWS\Start Menu\Programs\StartUp C:\WINDOWS\Start Menu C:\WINDOWS\Start Menu\Programs C:\Windows\All Users\Startmenü\Programme\Autostart C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart C:\Dokumente und Einstellungen\All Users\Start Menu\Programs\Startup C:\Dokumente und Einstellungen\%Username%\Startmenü\Programme\Autostart O4 - Startup: cftmon.exe C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\cftmon.exe C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\installer.exe -> Dropper.PurityScan.q C:\Dokumente und Einstellungen\Anne\Startmenü\Programme\WhenU Beim Ordner Eigene Dateien handelt es sich um einen Desktopordner, der eine bequeme Möglichkeit zum Speichern von Dokumenten, Grafiken oder sonstigen Dateien bietet, auf die Sie rasch zugreifen möchten. Auf dem Desktop wird er durch ein Symbol in Form eines Ordners mit einem Blatt Papier dargestellt. Wenn Sie eine Datei in einem Programm wie WordPad oder Paint oder Webdokumente aus dem Internet Explorer auf dem Computer speichern, wird die Datei oder das Dokument automatisch im Ordner Eigene Dateien abgelegt, es sei denn, Sie geben ein anderes Verzeichnis an. liste.zip -> entpacken -> liste.bat doppeltklicken -> der Texteditor wird sich öffnen-> mit der rechten Maustaste abkopieren und "einfügen" in den Thread. http://virus-protect.org/zip/liste.zip
REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\frame.crazywinnings.com] "*"=- REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\frame.crazywinnings.com] "*"=dword:00000004 ------------ O4 - HKLM\..\Run: [joms] D:\audio\adi3665w\146sound.exe Copy the text in the Quote Box to a blank notepad page and Save it to the Desktop with the name find.bat dir \146sound.exe /a h /s > File.txt ------------- 1. Öffne den Texteditor (notepad) Unter Start/Ausführen den Befehl "notepad" eingeben, bestätigen, dann erscheit ein notepad editor. Oder unter Start/Programme/Zubehör/Editor 2. kopiere diesen Code rein:
3. Speichere die Datei als Fix.bat auf Desktop 4.Doppelklick auf diese Datei Fix.bat export.bat
Gebe dann unter start ausführen CMD ein und drücke Enter. Dann öffnet sich ein Dos-fenster in diesem Fenster gibst du folgendes ein: del \\?\c:\windows\system32\lpt9.fla wieder enter drücken. Sollte eine Fehlermeldung auftauchen, schreib, welche. --------------- Start > Ausführen --> reinschreiben --> cmd und ok. kopiere rein
restore.bat
C:\WINDOWS\ehome\ehtray.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped fix2.bat
Copy the contents of the code box below into a new notepad document (not wordpad). Click file> save as...> call it check.bat > file types *all files*> and save it to desktop.
Run check.bat and post Logit.txt please along with avenger log and fresh hijackthis log logit.txt: C:\WINNT\system32\wenmp32.dll C:\WINNT\system32\wkcdlg.dll C:\WINNT\system32\wpps2.dll C:\WINNT\system32\wwweb.dll FINDSTR: Cannot open C:\WINNT\system32\XQNROLL.DLL ««« kopiere das in den Texteditor - abspeichern als look32.bat - (unter alle Dateien abspeichern) und auf dem Desktop abspeichern - klicke die bat doppelt, poste, was im Texteditor erscheint
kopiere in den Texteditor: abspeichern (unter "alle Dateien" als Look.bat) - dann die bat doppeltklicken
|
