öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

HijackThis: weiter HijackTis Anleitung

Lade/entpacke HijackThis in einen Ordner
*None of the above just start the program
*Save
*Savelog
*es öffnet sich der Editor

*nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

023 - Einträge löschen:
Hijackthis auf "open the misc tool section" klicken und dann auf "delete an NT Service" und die Namen angeben, aber mache dies nur bei diesen O23 Einträgen!


HijackThis (StartupListe)

HijackThis starten, "Open the misc tools section" klicken, die beiden Kästchen "List also minor sections" und "List empty sections" markieren und dann "Generate StartupList log" klicken.
--------------------------

Starte den Rechner bitte im abgesicherten Modus und erstelle dort ein Hijackthis log und ein Startuplist log, dazu bitte in die ms tools setion gehen, beide Dinge bei "generate statuplist log" anhaken und die liste erstellen lassen.

*HijackThis - Config
*List also minor sections (full) -- Häkchen setzen
*List empty sections (complete) -- Häkchen setzen
*HijackThis - Config - MiscTools -- Generate StartupListlog
*(es öffnet sich das Notepad [Texteditor], nun das KOMPLETTE Log abkopieren und posten)

Checking Windows NT UserInit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

File association entry for .SCR:
HKEY_CLASSES_ROOT\scrfile\shell\open\command
(Default) = "%1" /S

Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)
[{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP

Load/Run keys from C:\WINDOWS\WIN.INI:
load=*INI section not found*
run=*INI section not found*

Checking for superhidden extensions:
.lnk: HIDDEN! (arrow overlay: yes)
.pif: not hidden (arrow overlay: yes)

Enumerating Browser Helper Objects:
(no name) - C:\Programme\Spybot - Search & Destroy\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

Enumerating Winsock LSP files:
NameSpace #1: C:\WINDOWS\System32\mswsock.dll
NameSpace #2: C:\WINDOWS\System32\winrnr.dll

Enumerating Windows NT/2000/XP services
Microsoft ACPI-Treiber: System32\DRIVERS\ACPI.sys (system)
Microsoft Kernel-Echounterdrückung: system32\drivers\aec.sys (manual start)
Umgebung für die AFD-Netzwerkunterstützung: \SystemRoot\System32\drivers\afd.sys (system)

HijackThis (Uninstall Manager)

*öffne HijackThis
*click Config - Misc Tools - "Open Uninstall Manager" - "Save List" (generates uninstall_list.txt)
*click - Save - *nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

HijackThis (Host)

Anleitung: weiter Host


Manchmal finden Sie vielleicht Dateien die sich hartnäckig dagegen wehren, auf konventionellen Weise löschen zu lassen. HijackThis hat ab Version 1.98.2 eine Methode eingeführt, mit der Windows die Datei bei einem Neustart löscht bevor diese eine Chance hat sich zu laden. Um dies tun zu können, müssen Sie folgende Schritte befolgen:

1. Starten Sie HijackThis
2. Klicken Sie auf Config
3. Klicken Sie auf Misc Tools
4. Klicken Sie auf die Button Delete a file on reboot
5. Ein neues Fenster wird sich öffnen und Sie danach fragen, welche Datei Sie beim Neustart löschen möchten. Navigieren Sie zu der Datei und klicken Sie diese einmal an. Klicken Sie danach auf öffnen
6. Sie werden nun gefragt ob Sie den Computer neustarten möchten, um die Datei zu löschen. Klicken Sie auf Yes, wenn Sie nun Neustarten möchten. Ansonsten klicken Sie auf No und starten Sie den Computer zu einem späteren Zeitpunkt neu, um die Datei dann zu löschen.

KillBox
Anleitung: (bebildert)
weiter Killbox
Delete File on Reboot (anhaken)

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? " ---- klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

"you want to reboot" auf "yes" gehen dann kommt eventuell die Meldung : "PendingFileRenameOperations Registry Data has been Removed by External Process", in diesem Fall muss man selbst den PC booten.


AmoK DelayDel
weiter AmoK DelayDel

FindIt für Windows Nt /2000/Xp
weiter Find It NT-2K-XP
weiter FindIt

-kopiere diese http in das Adress-Browser-Fenster
-Unzippe die FindIt datei "NT-2K-XP.zip" in einen geeigneten Ordner
-Navigiere in das FindIt Verzeichniss
-Doppelklick auf "Find.bat" und warte bis der Scan abgeschlossen ist (bis zu 10 min)
-Es öffnet sich ein Editor-Fenster mit dem Logfile des Scans
-Stelle das Komplette Logfile in deinen nächsten Post im Forum

weiter Dllcompare - Dllcompare (Anleitung)
weiter rkfiles.zip - rkfiles
weiter Trackqoo-Anleitung - weiter Trackqoo-Anleitung

weiter Startdreck - StartDreck.zip
- entpacke Startdreck in einen extra Ordner
- starte die startdreck.exe
- wähle config/mark all
- drücke OK
- drücke Save, speichere das Log und poste den Inhalt bitte hier.

*Registry - run keys
*Registry - Browser helper objects
*System/drivers Running processes"

Suchfunktion von Windows:

1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"

2. Über "OK" auf "Weitere Optionen" gehen und die folgenden
Optionen

auswählen:

[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen


Start -- Ausführen -- reinschreiben : cmd -- DOS wird sich öffnen

einzeln in das schwarze DOS-Fenster reinkopieren:
cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

nun wird sich automatisch der Texteditor öffnen und alle Daten einzeigen, die sich auf dem PC befinden. Kopiere bitte nur die letzten 30 Tage raus.
Dann schliesse DOS und führe die gleiche Anweisungen aus für:

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit

oder :

weiter Datfindbat

untenstehenden Text in den Texteditor kopieren und als datFind.bat abspeichern.
cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
pause

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
pause

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
pause

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit

Die Anzeigefenster öffnen sich dann nacheinander und man soll den jeweiligen Inhalt abkopieren ( ca.20 Tage ) oder später im Hauptvereichnis die entsprechenden Dateien öffnen und kopieren, um die Inhalte ins Forum zu posten. Die einzelnen Textfenster müssten dann geschlossen Werden und das Programm mit beliebiger Taste wieder gestartet werden.

---------------------

dir *.exe>exedateien.txt
dir /s *.exe>exedateien.txt


Win98

Bitte führe folgendes aus:
Erstelle auf dem Desktop eine Datei findit.bat. Rechte Maustaste - Bearbeiten
Dort fügst Du ein und speicherst:

@echo off
cd\
cd %windir%\system
dir /a:-d /o:-d > %systemdrive%\system.txt
cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\win.txt
cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
exit

Ausführen!
Im Verzeichnis C:\ liegen nun vier Text-Dateien. Die öffnest Du bitte und kopierst alle Einträge der letzten 2 Wochen hier


Start -- Ausführen --- cmd
reinkopieren:
dir c:\bla.old /a h /s > files.txt
notepad files.txt

18-04-2004 16:41 57.344 bla.old
10-04-2004 11:24 26.112 xpsp1hfm.exe
07-04-2004 13:32 6.952.176 pav.sig
25-03-2004 17:02 344.064 fgkey10.exe
Map van c:\WINDOWS\SYSTEM32
18-04-2004 16:41 57.344 bla.old
1 bestand(en) 57.344 bytes



öffne einen beliebigen Ordner == Extras == Ordneroptionen

== Reiter Ansicht == Häkchen raus bei "Dateiendungen bei bekannten Dateien ausblenden"
dann Rechtsklick auf Desktop == Neu == Textdokument
Es erscheint eine Datei "Neu Textdokument.txt" umbenennen in "rem.bat"==
Meldung bestätigen == rechtsklick auf die Datei (rem.bat) == bearbeiten
es öffnet sich ein Editor ==>
dir C:\WINDOWS\system32\wininet.dll /a h > files.txt
notepad files.txt

der Texteditor wird sich öffnen (kopiere alles ab und poste es hier)

Volume in drive C has no label.
Volume Serial Number is 38FD-EEA4
Directory of C:\WINDOWS\system32
23-08-2004 21:32 589.312 WININET.DLL
1 File(s) 589.312 bytes
Directory of C:\

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

dir %Systemdrive%\wininet.dll /a h /s > files.txt
start notepad files.txt


- Speichern als: wininet.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate wininet.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text


Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

dir C:\WINDOWS\system32\w?crtupd.exe /a h > files.txt
notepad files.txt


- Speichern als: Findfile.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate FindFile.bat--> doppelklick auf die bat-Datei , der Editor öffnet sich-->poste den Text


Bloodhound.w32.ep in wininet.dll

weiter SmitRem

Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok

Starte den PC neu --> in den abgesicherten Modus (Taste F8 drücken, wenn der PC hochfährt)

öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
wenn ein uninstaller vorhanden ist, den smitRem entfernt, wird der uninstaller gestartet. Klicke einfach den Uninstall button und warte, bis deinstalliert wurde.

smitfraud.fix anwenden weiter smitfrautfix

smitrem und smitfraud.fix muessten die wininet.dll bereinigen. Falls nicht:

Using Windows Explorer (You can get to Windows Explorer, by Going to Start - "My Computer", then double-clicking "C:\"), locate this file:

Directory of C:\WINDOWS\SYSTEM32

06/20/2005 12:17 PM 599,040 wininet.dll
1 File(s) 599,040 bytes


C:\WINDOWS\System32\wininet.dll

Right-click on it and select "Rename" and rename it to wininet.old

Then go into this folder (it will be hidden so make sure hidden files are showing!):

C:\WINDOWS\SYSTEM32\DLLCACHE

Inside the "DLLCACHE" folder, locate wininet.dll. Right-click on it and choose "copy" (NOT cut!).

Then go back into C:\WINDOWS\System32
Right-click an open space and choose "Paste".

Delete the following:
C:\WINDOWS\System32\wininet.old

1.) Start -- Suchen -- gib ein: wininet.dll
es werden mehrere angezeigt werden. (arbeite aber nur mit dieser, da sie ersetzt werden muss)

Verzeichnis von C:\WINDOWS\system32\wininet.dll

02.05.2005 22:56 663'552 wininet.dll
1 Datei(en) 663'552 Bytes

-------------------------------------------------------------------------

2.) rechtsklick auf diese wininet.dll (vom 02.05.) -- umbenennen -- in -- wininet.old

3.) dann suche folgendes:

C:\WINDOWS\SYSTEM32\DLLCACHE

Im "DLLCACHE" suche die wininet.dll -- rechtsklick-- Kopieren

4.)gehe zurück in -- C:\WINDOWS\System32 -- Rechtsklick -- Einfügen (somit müsstest du wieder eine "saubere" wininet.dll im System32-Ordner haben

5.)dann lösche:
C:\WINDOWS\System32\wininet.old


weiter trusted_zone

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone


Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixspad.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixspad.reg" auf dem Desktop doppelklicken und bestätigen, dass sie der Registry beigefügt wird.

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults]
"http"=dword:00000003
"https"=dword:00000003
"ftp"=dword:00000003
"file"=dword:00000003
"@ivt"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults]
"http"=dword:00000003
"https"=dword:00000003
"ftp"=dword:00000003
"file"=dword:00000003
"@ivt"=dword:00000001


keine .exe, ausführende Dateien im Allgemeinen mehr öffnen lassen

REGEDIT4

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]
@="\"%1\" %*"

--------------------------------------------------------------------
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als RESTORE.REG mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei RESTORE.REG auf dem Desktop doppelklicken und bestätigen, dass sie der Registry beigefügt wird.

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000

[HKEY_CLASSES_ROOT\batfile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\comfile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\piffile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\regfile\shell\open\command]
@="regedit.exe \"%1\""

[HKEY_CLASSES_ROOT\scrfile\shell\config\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\scrfile\shell\open\command]
@="\"%1\" /S"

Rechtsklick auf den Link --> Ziel speichern unter --> waehle Desktop--> es erscheint eine restore.reg.
weiter restore.reg
boote den PC in den abgesicherten Modus, dazu drueckst du die Taste F8, wenn der PC hochfährt. Dann erscheint ein Menue, wo du den abgesicherten Modus waehlst und dich als Administrator anmeldest .
Einmal im abgesicherten Modus angelangt, klicke die restore.reg doppelt und bestaetige mit ja, dass sie der Registry beigefuegt wird.


Verbesserung Performance:
Start - rechtsklick auf Arbeitsplatz - Register Erweitert - Systemleistung Button "Einstellungen" - Visuelle Effekte - Für optimale Leistung anpassen



Start - Ausführen - schreib/kopiere rein:

sfc /scannow

nun wird Windows auf Fehler überprüft.

Startt - Ausführen - "chkdsk x: /f" --> (klicke Enter)

X ist dabei das Laufwerk.


Protokolldatei unter Start - Einstellungen - Systemsteuerung - Verwaltung - Ereignisanzeige.

Hier prüfe auffällige Meldungen unter Anwendung und System.

Beispiel:
Ereignistyp: Fehler
Ereignisquelle: Application Hang
Ereigniskategorie: (101)
Ereigniskennung: 1002
Beschreibung:
Stillstehende Anwendung wmplayer.exe, Version 10.0.0.3646, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheint ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor

2. Kopiere diesen Code rein:

@ECHO OFF
attrib -s -r -h "C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\8ywgzovv.exe"
del "C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\8ywgzovv.exe"
exit

3. Speichere die Datei als Rem.bat auf Desktop
4. Doppelklick auf diese Datei Rem.bat


Öffne Notepad (editor)Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheint ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor
2. kopiere den Code rein : findtheotherbat.html

3. Speichere die Datei als findtheother.bat auf dem Desktop
4. Doppel klick auf diese Datei findtheother.bat (abkopieren und posten)

Öffne Notepad (editor)Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheint ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor

2. kopiere den Code rein:

echo ** This batch was originally written by OSC **
cd C:\WINDOWS\inf\
if exist C:\contents.txt del C:\contents.txt
echo ************************************>> C:\contents.txt
echo **These are the hidden files found**>> C:\contents.txt
echo ************************************>> C:\contents.txt
dir /a:h >> c:\contents.txt echo ************************************>> C:\contents.txt
echo **These are the system files found**>> C:\contents.txt
echo ************************************>> C:\contents.txt
dir /a:s >> C:\contents.txt
attrib /d /s -s -r -h -a
start notepad c:\contents.txt
exit

3. Speichere die Datei als findtheother.bat auf dem Desktop

4. Doppelklick auf diese Datei findtheother.bat ((abkopieren und posten)

echo ** This batch was originally written by OSC **
cd C:\WINDOWS\Web\printers\
if exist C:\contents.txt del C:\contents.txt
echo ************************************>> C:\contents.txt
echo **These are the hidden files found**>> C:\contents.txt
echo ************************************>> C:\contents.txt
dir /a:h >> c:\contents.txt
echo ************************************>> C:\contents.txt
echo **These are the system files found**>> C:\contents.txt
echo ************************************>> C:\contents.txt
dir /a:s >> C:\contents.txt
attrib /d /s -s -r -h -a
start notepad c:\contents.txt
exit
************************************
**These are the hidden files found**
************************************
Volume in drive C has no label.
Volume Serial Number is E4B9-42B6
Directory of C:\WINDOWS\Web\printers

04/21/2005 04:57 PM 25,677 vrspa.bak1
06/25/2005 01:53 PM 479,300 vrspa.bak2
05/12/2005 05:04 PM 385,858 vrspa.ini
06/27/2005 04:34 PM 386,134 vrspa.ini2
05/12/2005 05:04 PM 385,858 vrspa.tmp
5 File(s) 1,662,827 bytes
0 Dir(s) 20,756,287,488 bytes free
************************************
**These are the system files found**
************************************
Volume in drive C has no label.
Volume Serial Number is E4B9-42B6

Directory of C:\WINDOWS\Web\printers

04/21/2005 04:57 PM 25,677 vrspa.bak1
06/25/2005 01:53 PM 479,300 vrspa.bak2
05/12/2005 05:04 PM 385,858 vrspa.ini
06/27/2005 04:34 PM 386,134 vrspa.ini2
05/12/2005 05:04 PM 385,858 vrspa.tmp
5 File(s) 1,662,827 bytes
0 Dir(s) 20,756,283,392 bytes free

delete these files
C:\WINDOWS\Web\printers

vrspa.bak1
vrspa.bak2
vrspa.ini
vrspa.ini2
vrspa.tmp

Edit findtheother.bat or make a new bat file, run it same as before, post the results
echo ** This batch was originally written by OSC **
cd C:\WINDOWS\repair
if exist C:\contents.txt del C:\contents.txt
echo ************************************>> C:\contents.txt
echo **These are the hidden files found**>> C:\contents.txt
echo ************************************>> C:\contents.txt
dir /a:h >> c:\contents.txt
echo ************************************>> C:\contents.txt
echo **These are the system files found**>> C:\contents.txt
echo ************************************>> C:\contents.txt
dir /a:s >> C:\contents.txt
attrib /d /s -s -r -h -a
start notepad c:\contents.txt
exit

************************************
**These are the hidden files found**
************************************
Volume in drive C has no label.
Volume Serial Number is E4B9-42B6

Directory of C:\WINDOWS\repair

04/18/2005 02:47 PM 25,677 daelo.bak1
04/18/2005 03:38 PM 25,818 daelo.ini
04/15/2005 01:35 PM 419,348 dbinfo.dll
06/01/2003 01:22 AM 237,568 ntuser.dat
06/01/2003 01:28 AM 1,024 SAM.LOG
06/01/2003 01:28 AM 1,024 SECURITY.LOG
06/01/2003 01:28 AM 1,024 SOFTWARE.LOG
06/01/2003 01:28 AM 1,024 SYSTEM.LOG
8 File(s) 712,507 bytes
0 Dir(s) 20,761,403,392 bytes free
************************************
**These are the system files found**
************************************ Volume in drive C has no label.
Volume Serial Number is E4B9-42B6

Directory of C:\WINDOWS\repair

04/18/2005 02:47 PM 25,677 daelo.bak1
04/18/2005 03:38 PM 25,818 daelo.ini
04/15/2005 01:35 PM 419,348 dbinfo.dll
3 File(s) 470,843 bytes
0 Dir(s) 20,761,399,296 bytes free

Delete these files in the repair folder

C:\WINDOWS\repair
olead.old
daelo.bak1
daelo.ini
dbinfo.dll


Beispiel wie löschen: (C:\WINDOWS\SYSTEM32\RDRIV.SYS )
Ist das Trojanische Pferd TR/Rootkit.L )


Den folgenden Text in den Editor kopieren und als fix.bat auf dem Desktop speichern:

sc delete rdriv
sc delete image
sc delete tsecure
attrib -s - h - r C:\Windows\system32\rdriv.sys
del C:\Windows\system32\rdriv.sys
dellater C:\WINDOWS\tsecure.exe
dellater C:\WINDOWS\image.exe
dellater C:\Windows\system32\rdriv.sys

In den abgesicherten Modus starten.(F8 druecken, wenn der PC startet)

Die fix.bat Datei auf dem Desktop doppelklicken.


Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

dir %Windir%\tasks /a h > files.txt
notepad files.txt


- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18DC-1393

Verzeichnis von C:\WINDOWS\tasks

21.08.2005 15:49 DIR .
21.08.2005 15:49 DIR ..
22.08.2005 01:00 266 AE7357DE9184C886.job
02.04.2003 14:00 65 desktop.ini
03.06.2005 20:00 574 Norton AntiVirus - Meinen Computer pruefen - User.job
22.08.2005 00:52 6 SA.DAT
21.08.2005 23:40 354 Symantec NetDetect.job
5 Datei(en) 1.265 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\User\Desktop

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h AE7357DE9184C886.job
del AE7357DE9184C886.job

- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal

Poste nochmals findjobs.bat


1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben, bestätigen, dann erscheit ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor

2. kopiere diesen Code rein:

reg query "HKEY_LOCAL_MACHINE\Software\Altnet" >RegQuery.txt
notepad RegQuery.txt


3. Speichere die Datei als Fix.bat auf Desktop
4. Doppelklick auf die Datei Fix.bat, dann wird eine RegQuery.txt Datei erstellt,den Inhalt hier posten


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Altnet
ALTNET_DIR REG_SZ C:\Program Files\Altnet
SharedMediaDir REG_SZ C:\Programme\Kazaa\My Shared Folder
SharedMediaDir2 REG_SZ C:\Program Files\Altnet\My Altnet Shares
SharedFilesDir REG_SZ C:\Program Files\Altnet\Points Manager\Temp Internet Shares

HKEY_LOCAL_MACHINE\Software\Altnet\Dashboard


Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

- Speichern als: Test.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate Test.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text ( Info.txt )

regedit /e Info.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies"

regedit /e Info.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000000
"SpecifyDefaultButtons"=dword:00000000
"Btn_Search"=dword:00000000
"NoBandCustomize"=dword:00000000
"NoToolbarCustomize"=dword:00000000
"NoActiveDesktopChanges"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
"DisableTaskMgr"=dword:00000000
"NoDispBackgroundPage"=dword:00000001
"NoDispAppearancePage"=dword:00000001

Fix.reg

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091
"SpecifyDefaultButtons"=-
"Btn_Search"=-
"NoBandCustomize"=-
"NoToolbarCustomize"=-
"NoActiveDesktopChanges"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=-
"DisableTaskMgr"=-
"NoDispBackgroundPage"=-
"NoDispAppearancePage"=-


kopiere alles zwischen ---cut--- in notepad oder den Windowseditor und speichere es (nur text) im Windowsordner unter test25.bat ab, starte im abgesicherten Modus und starte diese Bat Datei. Du wirst nach einem neustart einen Ordner test25 in deinem C Laufwerk finden. (bitte den Inhalt der Textdatei abkopieren und im Forum posten)

---cut---
md c:\test25
dir c:\windows\*.* /a:s /od >c:\test25\system.txt
dir c:\windows\*.* /a:h /od >c:\test25\hidden.txt
dir c:\windows\*.* /a:r /od >c:\test25\read.txt
dir c:\windows\system32\*.* /a:s /od >c:\test25\system32.txt
dir c:\windows\system32\*.* /a:h /od >c:\test25\hidden32.txt
dir c:\windows\system32\*.* /a:r /od >c:\test25\read32.txt
dir c:\windows\system32\drivers\*.* /od
---cut---

Packe den Ordner mit Winrar oder Winzip und schicke das Archiv bitte an virus(at)rokop-security.de



1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben, bestätigen, dann erscheit ein Notepad editor.

Oder: unter Start/Programme/Zubehör/Editor

2. kopiere diesen Code

@ECHO OFF

attrib -s -r -h C:\WINDOWS\system32\oleadm32.dll
attrib -s -r -h c:\wp.exe
del C:\WINDOWS\system32\oleadm32.dll
del c:\wp.exe
exit

abspeichern als clean.bat
Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. boote den PC in den abgesicherten Modus (F8 drücken, wenn der PC hochfährt) und klicke die clean.bat


Start -- Ausführen - cmd

reinkopieren: cd %windir%\system32

attrib -s -r -h winacpi.dll
regsvr32 /u winacpi.dll
del winacpi.dll
attrib -s -r -h mdms.exe
ren mdms.exe mdms.old
del mdms.old

reinkopieren: cd %windir%
..
..

reinkopieren: cd\

..
..



O4 - HKLM\..\Run: [NI.UWFX5] "C:\Documents and Settings\joey\Local Settings\Temporary Internet Files\Content.IE5\EBEZC3MB\WinFixer2005ScannerInstall[1].exe"

Run-Eintraege lassen sich nicht loeschen:

öffne da Notepad (Texteditor) kopiere folgendes rein:

regedit /e c:\domains.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"

Speichern als export.bat auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an.
doppelklick -- c:\domains.txt -- Text abkopieren und posten

Click Start, Run and type cmd. Press OK. A DOS window will open. Type the following and then press Enter after typing each one:

attrib -h -s c:\recycler

del c:\recycler

Close the window and REBOOT. Check if the Recycle Bin is OK. Please report back and let me know how it is running now.

Copy paste the text in bold below into notepad and save it as recyclerem.bat

(Set filetype to "All Files")

attrib -r -s -h %systemdrive%\Recycler
del %systemdrive%\Recycler
attrib -r -s -h %systemdrive%\Recycled
del %systemdrive%\Recycled
shutdown /r /t 0 /f



1. Klicke auf Start, dann auf Ausführen

2. in das Eingabefeld tippst du edit c:\windows\win.ini und bestätigst mit OK --> es öffnet sich der MS-Dos Editor Anmerkung: falls Windows nicht auf C: installiert ist, änderst du den Pfad entsprechend

3. suche im mit [windows] überschriebenen Teil der Datei nach einer Zeile, die etwa so aussieht: xxxxxxxxxxxxxxxxxxxxx

4. sollte diese Zeile existieren, so lösche alles, was rechts von run= steht

5. Klicke auf Datei und Speichern

6. Klicke auf Datei und Schließen

Die Datei Win.ini [Windows 95, 98 oder Me] editieren

1. Anmerkung; dieser Schritt gilt nur für ME - für Win 95 und 98 beginne mit Schritt 2 ME hat eventuell ein backup der win.ini angelegt, die zunächst gelöscht werden sollte, bevor man fortfährt. Sollte es ein backup geben, findet es sich im C:\Windows\Recent Ordner. Um das backup zu löschen verfahre wie folgt:

1. Starte den Windows Explorer,
2. Navigiere zum Ordner C:\Windows\Recent und öffne ihn,
3. Wähle im rechten Fenster die Datei Win.ini aus und lösche sie (Die Datei win.ini wird wieder neu erzeugt, wenn du nachher die Änderungen abspeicherst).

2. Klicke auf Start, dann auf Ausführen

3. in das Eingabefeld tippst du edit c:\windows\win.ini und bestätigst mit OK --> es öffnet sich der MS-Dos Editor Anmerkung: falls Windows nicht auf C: installiert ist, änderst du den Pfad entsprechend

4. Suche in dem mit [windows] überschriebenen Teil der Datei nach einer Zeile, die etwa so aussieht: run=fntldr.exe

5. Falls diese Zeile existiert, lösche alles, was rechts von run= steht,

6. Klick Datei, dann Speichern,
7. Klick Datei, dann Schliessen.


TCP/ IP installieren

1. Rechtsklick auf die Netzwerk Verbindung, anschließend auf Eigenschaften klicken
2. Klick Installieren
3. Erst auf Protokoll, anschließend auf Hinzufügen klicken
4. klicke auf Datenträger
5. gib ein: C:\Windows\inf und bestätige mit OK
6. aus der Liste der verfügbaren Protokolle wähle Internet Protokoll TCP/ IP und bestätige mit OK
7. Neustart des Computers



Start --> Ausführen --> cmd
reinkopieren:

C:\Program Files\Surf SideKick 3\Ssk.exe /u

enter klicken


Go to Start > Run and type: cmd.exe
and ok. Copy and paste the below string after the prompt >

dir /s /a "c:\n?lookup*.*" > c:\find.txt & start notepad c:\find.txt

Your drive will be scanned and when finished, Notepad will pop up with some information. Copy and paste it in this thread.

Directory of c:\I386
08/29/2002 05:00 AM 71,680 NSLOOKUP.EXE
1 File(s) 71,680 bytes
Directory of c:\WINDOWS\$NtServicePackUninstall$

08/29/2002 05:00 AM 71,680 nslookup.exe
1 File(s) 71,680 bytes

Directory of c:\WINDOWS\Prefetch
02/12/2006 05:46 PM 18,482 N?LOOKUP.EXE-27B5F81B.pf
1 File(s) 18,482 bytes

Directory of c:\WINDOWS\ServicePackFiles\i386
08/04/2004 02:56 AM 76,800 nslookup.exe
1 File(s) 76,800 bytes

Directory of c:\WINDOWS\SYSTEM32
08/04/2004 02:56 AM 76,800 nslookup.exe
01/30/2006 09:17 AM 405,504 n?lookup.exe
2 File(s) 482,304 bytes

Total Files Listed:
6 File(s) 720,946 bytes
0 Dir(s) 17,209,892,864 bytes free


c:\WINDOWS\SYSTEM32\n?lookup.exe
Make sure that you do not delete the legitimate 76,800 byte nslookup.exe file.


PSGuard:

[HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD]
[HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD\PSGuard]
[HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD\PSGuard\PSGuard]

Dieser lässt sich nicht entfernen, weil sich darin ein Zugriffsgeschützter Schlüssel "Licence" befindet. Auch abgesichert und als Administrator

START - Ausführen - reinkopieren

regedit.exe /e C:\SHUDDERLTD.txt "HKEY_LOCAL_MACHINE\SOFTWARE\SHUDDERLTD"

das ergibt dann den C:\SHUDDERLTD.txt

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\SHUDDERLTD]

[HKEY_LOCAL_MACHINE\SOFTWARE\SHUDDERLTD\PSGuard]

[HKEY_LOCAL_MACHINE\SOFTWARE\SHUDDERLTD\PSGuard\PSGuard]


1. Insert the Windows XP CD-ROM into the CD-ROM drive.
2. Restart the computer from the CD-ROM drive
3. Press "R" to start the Recovery Console when the "Welcome to Setup" screen apprears.
4. Select the installation that you want to access from the Recovery Console, if you have a dual-boot computer.
5. Enter the administrator password
6. Press Enter
7. Type cd \windows\system32
8. Press Enter
9. Type del mcfCC4.dll
10. Press Enter
11. Type del mcfdrv.sys
12. Press Enter
13. Type exit
14. Press Enter. The computer will now restart automatically.

Dieser Artikel beschreibt, wie Sie ein ActiveX-Steuerelement von Ihrem Computer entfernen können. Er erläutert Fehlermeldungen, die beim Versuch, ein ActiveX-Steuerelement zu entfernen, auftreten können, sowie die Verwendung von mehreren Ordnern für ActiveX-Steuerelemente(Occache-Ordnern)im Internet Explorer 4.0 und höher.

1. Klicken Sie auf Start, zeigen Sie auf Einstellungen, klicken Sie auf Systemsteuerung, doppelklicken Sie auf Software, und klicken Sie dann auf Installieren/Deinstallieren.

2. Klicken Sie auf das betreffende ActiveX-Steuerelement und dann auf Hinzufügen/Entfernen. Befolgen Sie anschließend die Anweisungen auf dem Bildschirm, wenn das ActiveX-Steuerelement, das Sie entfernen möchten, in der Liste der installierten Programme angezeigt wird. Fahren Sie mit dem nächsten Schritt fort, wenn das Steuerelement nicht in der Liste angezeigt wird.

3. Klicken Sie auf Start und danach auf Ausführen. Geben Sie in das Feld Öffnen folgende Zeile ein, und klicken Sie anschließend auf OK:

regsvr32 Laufwerk:\Windows\occache\Dateiname.ocx /u

Hinweis: Laufwerk steht für den Buchstaben des Laufwerks, auf dem sich der Ordner Windows befindet, Windows ist der Name des Ordners, in dem Windows installiert ist, und Dateiname.ocx steht für das ActiveX-Steuerelement, das Sie entfernen möchten.

Hinweis: Wenn Ihnen der Dateiname des ActiveX-Steuerelements (.ocx), das Sie entfernen möchten, nicht bekannt ist, können Sie ihn möglicherweise ermitteln, indem Sie den Hypertext Markup Language (HTML)-Quellcode einer Webseite einsehen, die das ActiveX-Steuerelement installiert oder verwendet. Klicken Sie hierzu mit der rechten Maustaste auf einen leeren Bereich der Webseite, und klicken Sie anschließend auf Quelltext anzeigen.

4. Klicken Sie im Windows Explorer oder Windows NT Explorer im Ordner Windows\Occache auf die OCX-Datei und anschließend im Menü Datei auf Löschen. "Occache" ist in allen Versionen vom Internet Explorer 3.x der Name des Ordners, in dem ActiveX-Steuerelemente installiert sind. Die Datei Regsvr32.exe wird von Internet Explorer installiert. Mit ihr können Registrierungseinträge für ActiveX-Steuerelemente registriert und entfernt werden.

Internet Explorer 4.x oder höher (alle Plattformen)

Internet Explorer 4.x oder höher beinhaltet die Datei Occache.dll, die dazu verwendet wird, mit Hilfe eines "Shell-Ordners" ActiveX-Steuerelemente aufzulisten, zu aktualisieren und sicher zu deinstallieren.

1. Klicken Sie auf Start, zeigen Sie auf Einstellungen, klicken Sie auf Systemsteuerung, doppelklicken Sie auf Software, und klicken Sie dann auf Installieren/Deinstallieren.

2. Klicken Sie auf das betreffende ActiveX-Steuerelement und dann auf Hinzufügen/Entfernen, und befolgen Sie anschließend die Anweisungen auf dem Bildschirm, wenn das ActiveX-Steuerelement, das Sie entfernen möchten, in der Liste installierter Programme angezeigt wird. Gehen Sie zum nächsten Schritt, wenn das Steuerelement nicht in der Liste angezeigt wird.

3. Doppelklicken Sie im Windows Explorer oder im Windows NT Explorer auf den Ordner Windows\Downloaded Program Files oder den Ordner Winnt\Downloaded Program Files. Klicken Sie mit der rechten Maustaste auf das ActiveX-Steuerelement, das Sie entfernen möchten, und klicken Sie anschließend auf Entfernen.

4. Klicken Sie auf Ja, wenn Sie gefragt werden, ob das Steuerelement entfernt werden soll.

Unterstützung für mehrere Occache-Ordner

Internet Explorer 4.0 und höher unterstützt mehrere Occache-Ordner. Eine Liste dieser Ordner finden Sie in folgendem Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ActiveX Cache

Standardmäßig nutzt Internet Explorer 4.0 und höher den Ordner Windows\Downloaded Program Files oder Winnt\Downloaded Program Files. Wenn Sie von Internet Explorer 3.x aus aktualisiert haben, existiert möglicherweise sowohl ein Ordner Occache als auch ein Ordner Downloaded Program Files. In diesem Fall werden alle neuen ActiveX-Steuerelemente im Ordner Downloaded Program Files installiert, aber früher installierte ActiveX-Steuerelemente befinden sich weiterhin im Ordner Occache. Wenn Sie in Windows Explorer, Windows NT Explorer oder im Arbeitsplatz den Ordner Occache oder Downloaded Program Files öffnen, werden alle ActiveX-Steuerelemente angezeigt, unabhängig davon, in welchem Ordner sich deren Dateien befinden. In diesem Fall erscheinen folgende Zeichenfolgenwerte im Registrierungsschlüssel:

"0"="C:\\WINDOWS\\OCCACHE"
"1"="C:\\WINDOWS\\Downloaded Program Files"

Die Installations CD von Windows XP verfügt über eine Reparaturfunktion. Lege die CD in das Laufwerk und wähle während der Installation Windows installieren und später das "Dateisystem beibehalten".
Alternativ kannst du auch die Wiederherstellungskonsole benutzen, welche sich auch über die Installations CD starten lässt. Drücke dafür die F2 Taste bevor die Suche nach den Geräten beginnt.

Hier ist eine kurze Anleitung für die Wiederherstellungkonsole:
http://www.heisig-it.de/konsole.htm

offene Freigaben auf dem Webserver entfernen

# Sie müssen nun die Computerverwaltung öffnen, um offene Freigaben auf dem Webserver zu entfernen. Klicken Sie dazu mit der rechten Maustaste auf dem Windows Desktop auf "Arbeitsplatz" und anschließend auf "Verwalten".

Das Fenster "Computerverwaltung" wird angezeigt.

# Navigieren Sie im linken Teilfenster zur Website \Computerverwaltung (Lokal)\Dienste und Anwendungen\Standardwebsite.

# Klicken Sie im rechten Teil des Fensters mit der rechten Maustaste auf das Laufwerk C und klicken Sie auf "Löschen". Wiederholen Sie diesen Schritt für alle anderen Laufwerke, die unter "Standardwebsite" aufgeführt sind.

Oeffne den Texteditor (Notepad) und kopiere diesen Text rein. mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. abspeichern als: 018.bat
Doppeltklicken und kopiere den Text ab, der angezeigt wird. - c:\key4.txt

regedit /e c:\key4.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter"
start notepad.exe c:\key4.txt
exit

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\application/octet-stream]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"

falls man nicht in den abgesicherten Modus kommt:
Starte die im zip enthaltene safeboot.reg und füge sie der Registrierung hinzu. Dann sollte der Abgesicherte Modus wieder funktionieren.
weiter SafeBoot.zip

Gehe im IE in die Favoriten und suche/lösche dort
C:\Dokumente und Einstellungen\Username\Favoriten\Antivirus Test Online.url

Antivirus

weiter Streams
weiter Tools
weiter Registry


-Windows Systemsoftware-
Windows Systemsoftware
-Sicherheitssoftware-
Sicherheitssoftware
-Virendiagnostik Tools-
Tools Utilities Virendiagnostik
-Online-Virus-Scanner-
Online-Virus-Scanner
-Desktop Firewall Windows-
Desktop Firewall
virus-protect.org
startseite Valid HTML 4.01 Transitional Ranking-Hits