Fortgesetzte Reinigung COUNTERSPY

#1. Reinigung
START > ausführen (schreib rein): %temp% > ok/[enter].
Mach das für jedes Benutzerkonto.
Du leerst damit den/die Ordner Cokumente und EinstellungenDein NameLokale EinstellungenTemp

START > ausführen (schreib rein): cleanmgr > ok/[enter].
Vergewissere dich, dass die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) geleert werden.
Klicke ok.

#2. Laden
Lade eine kostenlose Trialversion von CounterSpy runter
(Windows 98SE/ME/2000/SP2+/NT4 SP 6a/ und Windows XP)
(Anleitung).

Update das Programm online.
Beende die Internet-Verbindung.

Starte deinen Rechner neu im abgesicherten Modus .

#3. Reinigung
Scanne jetzt deinen Rechner mit CounterSpy im abgesicherten Modus.
Stelle das Programm so ein, dass es alles entfernt, was es findet.
(unter Options: remove [entfernen] oder delete [löschen] wählen)

- nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove
*Quarantine
wähle immer Remove und starte den PC neu.

Speichere das Logfile.

#3. Auswertung 1
=> Speichere bitte das 1. CounterSpy Logfile ab.

Man muss also immer wieder den Quarantäne-Ordner von Counterspy leeren
und wieder neu damit scannen, solange bis Counterspy nichts mehr findet.
- nach jedem Scan muss man sich entscheiden für:

*Ignore
*Remove
*Quarantine
wähle immer Remove und starte den PC neu.

#4. Auswertung 2
Poste alle Counterspy Logfiles als EINE Textdatei mit der >>Upload starten<< funktion.

Hallo , das wichtige zuerst, von jedem Programm wird ein Logfile (Protokoll) erstellt
indem steht was es finden und löschen konnte. Diese Logfiles brauchen wir zur Auswertung,
daher bitte alle Logfiles am Ende zusammen als EIN großes Textfile hier mit der > Upload starten <
Funktion posten (Texte einfach zusammenfügen mit kopieren & einfügen).


#1. Vorbereitung
START > Ausführen (schreib rein): %temp% [enter]ok/.
Mach das für jedes Benutzerkonto.
Du leerst damit den/die Ordner C:\Dokumente und Einstellungen\Dein Name\Lokale Einstellungen\Temp

START > Ausführen (schreib rein): cleanmgr [enter]ok/.
Vergewissere dich, dass die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) geleert werden.
Klicke ok.

#1a. Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

#1b. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor, kopiere diesen Code rein:

cd %windir%
attrib /s /d -h -s system32
attrib -s -h -r system32\cmd.com
attrib -s -h -r system32\bszip.dll
attrib -s -h -r system32\netstat.com
attrib -s -h -r system32\ping.com
attrib -s -h -r system32\regedit.com
attrib -s -h -r system32\taskkill.com
attrib -s -h -r system32\tasklist.com
attrib -s -h -r system32\tracert.com
del system32\cmd.com
del system32\bszip.dll
del system32\netstat.com
del system32\ping.com
del system32\regedit.com
del system32\taskkill.com
del system32\tasklist.com
del system32\tracert.com

#1c. Speichere die Datei als Fix.bat auf dem Desktop ab.
#1d. Starte die Datei Fix.bat

#2. Wurmkur
Lade dir das Programm von einem dieser Links runter: hier BFU , hier BFU oder hier BFU
Entpacke in C:/Programme/BFU/BFU.exe und starte es

Folge dem blauen Pfeil und klicke auf den Netzanschluss.


#2a. Nun öffnet sich ein kleines Fenster.
In den URL-Spalt dieses Fensterchens gibst du diese URL ein:
"http://metallica.geekstogo.com/alcanshorty.bfu"
Drücke auf den "ok" Button.

#2b. Drücke dann den "Execute" Button.
Warte auf das PopUp das anzeigt, dass die Ausführung des Skripts stattgefunden hat.
Drücke auf "ok" bzw. auf "exit".

#2c. Starte deinen Rechner neu.
Überprüfe ob Taskmanager, Regedit funktionieren.

#2d. Jetzt bitte einem Full-System-Scan des Panda Active Online-Scanners machen lassen.
Bitte dafür in den Internet Explorer einstellungen ActiveX zulassen.
Lass das Programm alles entfernen, was es findet.Der Scan kann ca 2-3 Stunden dauern.

#3. Basisschutz installation
Lade die Programme Ewido , Spybot und Ad-aware wenn nicht schon vorhanden,
bitte updaten lassen und noch nicht starten.

#4. Smitfraud A
Lade das SmitfraudFix, das smitrem und auch bitte WinFix für XP herrunter..

Falls du nach den Removal Tools Probleme bekommen solltest mit der Internet Verbindung,
kannst du das mit WinFix reparieren..
>WinFix Anleitung< - > bitte ausdrucken !

#5. Recherche:
Doppelklick auf smitfraudfix.cmd
wähle die Option 1
um einen Bericht über die Infektionsart zu erhalten.
Speichere das Logfile als sff-log1.txt

#6. Reinigung:
Boote in den abgesicherten Modus
Doppelklick auf smitfraudfix.cmd
wähle die Option 2
um die, für die Infektion verantwortlichen, Files vom System zu entfernen.
Beantworte die Frage: "Voulez-vous nettoyer le registre ?" (Wollen Sie die Registry reinigen) mit O (oui -> ja).
Der Fix stoppt, wenn die "wininet.dll" infiziert ist.
Beantworte die Frage: "Corriger le fichier infecté ?" (Wollen Sie die infizierte Datei ersetzen) mit O (oui -> ja).
Speichere das Logfile als sff-log2.txt

#7. Smitfraud B
Starte das Programm smitrem

#8. entpacke es in einen eigenen Ordner unter C:\Programme\Smitrem.
Starte die runthis.bat und folge den Anweisungen.

#9. Basisschutz scan
Starte nacheinander Ewido und Spybot und lasse beide den kompletten PC scannen.

#10. Starte den Rechner wieder im normalen Modus.

#11. Auswertung
=>Poste die Logfiles sff-log1.txt, sff-log2.txt, C:\smitfiles.txt, Ewido Logdatei, Spybot Logdatei
und ein neu erstelltes HJT-Logfile bitte zusammen als EINE Textdatei per >>Upload starten<< Funktion.

Smitfraud
Smitfraud
smitfraud

smitfraud
smitfraud
smitfraud
smitfraud
smitfraud
smitfraud
smitfraud

Lade den CCleaner runter, setze in alle Kästchen (Windows, Anwendungen und Probleme) ein Häkchen und drücke dann auf "Starte Cleaner". Häkchen raus bei der Yahoo Toolbar.

1) Lege einen Ordner c:\bases an (Einführung in Windows)
2) Download der -> mwav.exe <- diesen Link verwenden!
3) Entpacke die Datei (mit einem Zip-Programm WinZip) !!! Die Datei mwav.exe MUSS in diesen Ordner c:\bases entpackt werden. Wenn der Pfad nicht genau so angegeben wird, funktioniert der scanner/updater nicht!
4) Doppelklick auf die Datei kavupd.exe, damit wird der update gestartet.
5) Wechsle in den abgesicherten Modus von Windows
6) Öffne den Explorer, navigiere zum Ordner c:\bases, starte mwavscan.com, schließe den Explorer.
7) Überprüfe die Einstellungen, unter scan option-->memory, startup folders, registry, system folders und services sowie drive (auswahl) und scan all files sollten aktiviert sein, dann den Button *SCAN/CLEAN* drücken. Angehakt werden soll alles, was auf dieser Abbildung zu sehen ist:

8) Wenn der Scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen Modus.
9) Nun öffnest du mit einem Editor die mwav.log und wählst unter bearbeiten -> suchen,
hier gibst du "tagged as" und "infected as" ein:

-> jede Zeile in der "tagged as" steht.
-> jede Zeile in der "infected" steht,

markieren, und hier einfügen, weitersuchen usw.

(Beispiel: file C:\WINDOWS\sssasasb32.exe infected by "Trojan-Downloader.Win32.Agent.ig" Virus. Action: Action Taken)

Ganz unten steht die Zusammenfassung, diese auch hier posten :

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****

Poste das Ergebnis des Scan und ein neues HJT-Logfile.

GMER 1.0.11.11390 (Rootkit)

* alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
* keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
* nichts am Rechner getan werden


Lade dir das Programm GMER von www.gmer.net runter.

-Entpacke es wenn du kein Zip-Programm hast, kannst du dir eine Testversion kostenlos runterladen: Winzip
-Starte es mit einem doppelklick auf die gmer.exe
-Sollte eine Fehlermeldung auftauchen einfach nein, oder no wählen.
-Wähle jetzt den Reiter Rootkit aus.



-1.Klicke nun rechts unten auf Scann
-2.Nach dem scann klicke rechts unten auf Copy



Vor dem nächsten Schritt bitte die Virenscanner wieder aktivieren!

-Öffne nun deinen Thread hier im Forum
-Klicke mit rechts in die Textbox und wähle Einfügen.

Langeweile?

man siehts mir an..ich habs gewusst.. :lach

Einstellen der Ordner Optionen:
kannst du alles auf deinem Rechner sehen? Überprüfe deine Einstellungen.
Im Windows-Explorer:
MENÜ => Extras => Ordneroptionen
=> den Reiter "Ansicht" => Versteckte Dateien und Ordner => alle Dateien und Ordner anzeigen aktivieren
und
MENÜ => Extras => Ordneroptionen
=> den Reiter "Ansicht" => Dateien und Ordner => Geschützte Systemdateien ausblenden (empfohlen) deaktivieren.


1. Lade das filelist.zip auf deinen Desktop herunter.
2. entpacke die Zip-Datei auf deinen Desktop (kostenlose Zip-Tools)
3. starte deinen Rechner neu
4. öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
5. dein Editor (Textverarbeitungsprogramm) wird sich öffnen
6. markiere von diesem Inhalt aus jedem Verzeichnis jeweils nur die letzten 30 Tage, wähle kopieren, füge diese Dateien deinem nächsten Beitrag an.

(Anleitung)
Dies sind die Verzeichnisse von denen wir jeweils nur die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp