gipsy111 hat geschrieben:**
Cleanup
stelle den CleanUp genauso ein, wie hier angegeben: (+ PC neustarten)
http://virus-protect.org/cleanup.html
__________________________________________________________

**
Look2Me-Destroyer V1.0.5 abarbeiten - poste den report
http://virus-protect.org/l2mfix.html

**
Vundofix abarbeiten
http://virus-protect.org/artikel/tools/vundofixx.html

**
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

R3 - URLSearchHook: (no name) - {F42E3E5A-F9EA-8865-983F-89BADC134F96} - C:\WINDOWS\system32\kzlr.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {133D13B2-CFBB-4CFC-8729-3EB13CFB4BCD} - C:\WINDOWS\system32\wpdtrbce.dll
O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll
O2 - BHO: (no name) - {F42E3E5A-F9EA-8865-983F-89BADC134F96} - C:\WINDOWS\system32\kzlr.dll

O4 - HKLM\..\Run: [p2p networking] p2pnetworking.exe
O4 - HKLM\..\Run: [defender] C:\\dfndre_5.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrde_5.exe
O4 - HKLM\..\Run: [newname] C:\\nwnme_5.exe
O4 - HKLM\..\RunServices: [p2p networking] p2pnetworking.exe

O4 - HKCU\..\Run: [sys_up1] C:\Programme\Common Files\svchostsys\svchostsys.exe
O4 - HKCU\..\Run: [Bier] "C:\DOKUME~1\DIMITR~1\ANWEND~1\YSTEM3~1\msconfig.exe" -vt yazr
O4 - HKCU\..\Run: [TClock.exe] C:\Programme\TClock\tclock_install.exe
O4 - HKCU\..\Run: [Mykxapp] C:\WINDOWS\?ppPatch\??ool32.exe

O4 - Global Startup: msconfig.exe

O20 - AppInit_DLLs: C:\WINDOWS\system32\scanregw.dll
O20 - Winlogon Notify: App Paths - C:\WINDOWS\system32\ghmf32.dll
O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\dhnlobby.dll
O20 - Winlogon Notify: ShellCompatibility - C:\WINDOWS\system32\epcapi.dll

PC neustarten

____


Killbox:
http://virus-protect.org/killbox.html

Options: "Delete on Reboot" und "All File"--> anhaken

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

C:\Programme\TClock
C:\Programme\ToolBar888
c:\programme\common files\simtest
c:\programme\common files\svchostsys

PC neustarten

Pocket KillBox

Options: "Delete on Reboot" und "Single File"--> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

C:\dfndre_5.exe
C:\WINDOWS\system32\kzlr.dll
C:\WINDOWS\system32\wpdtrbce.dll
C:\WINDOWS\system32\scanregw.dll
C:\WINDOWS\system32\dhnlobby.dll
C:\WINDOWS\system32\ghmf32.dll
C:\WINDOWS\system32\epcapi.dll
C:\WINDOWS\system32\p2pnetworking.exe

PC neustarten

__________________________________________________________

**
scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

---------------------------------------------------------------------------------------------


Start->Ausführen --> regedit

»»»
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

DisableTaskMgr = Schluessel loeschen)
DisableRegistryTools = Schluessel loeschen)

»»»
HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn.

Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein

**
Datfindbat
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

cd\
dir "C:\Programme\Snowball Wars" >>files.txt
dir "C:\Dokumente und Einstellungen\Dee\Eigene Dateien" >>files.txt
dir "C:\Dokumente und Einstellungen\Dee" >>files.txt
dir "C:\Programme\ipwins" >>files.txt
dir "C:\Programme\ToolBar888" >>files.txt
dir "C:\Programme\TClock" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\{440BD6F1-05FD-1031-0710-020827020031}" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\Totem Shared" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\uufi" >>files.txt
dir "C:\Programme\InetGet2" >>files.txt
dir "C:\Programme\Common Files\misc001" >>files.txt
dir "C:\Programme\Common Files\simtest" >>files.txt
dir "C:\Programme\Common Files\svchostsys" >>files.txt
notepad files.txt

Files to delete:

C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\b116.exe
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\b122.exe
C:\WINDOWS\system32\wnstssv.exe
C:\WINDOWS\system32\n.bat
C:\WINDOWS\system32\dr.exe
C:\WINDOWS\system32\mc-110-12-0000137.exe
C:\WINDOWS\system32\setup.exe.tmp
C:\WINDOWS\system32\taskkill.exe
C:\WINDOWS\system32\vbzip10.dll
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\newname.dat
C:\WINDOWS\teller2.chk
C:\Mendoza1.exe
C:\kybrde_5.exe
C:\Programme\Gemeinsame Dateien\{6429089A-0BB0-1031-0822-050509090031}\services.dll
C:\Programme\Gemeinsame Dateien\{6429089A-0BB0-1031-0822-050509090031}\Update.exe
C:\Programme\Snowball Wars\License.txt
C:\Programme\Snowball Wars\uninstaller.exe
c:\dokumente und einstellungen\Dee\dr.exe
c:\dokumente und einstellungen\Dee\mc-110-12-0000137.exe
c:\dokumente und einstellungen\Dee\n.bat
c:\dokumente und einstellungen\Dee\setup.exe
C:\Programme\ipwins\count.dat
C:\Programme\ipwins\data.dat
C:\Programme\ipwins\date.dat
C:\Programme\ipwins\ipwins.exe
C:\Programme\ipwins\s2q8.dat
C:\Programme\ipwins\sdo.1.dat
C:\Programme\ipwins\settings.dat
C:\Programme\ipwins\settingsDate.dat
C:\Programme\ipwins\shs.1.dat
C:\Programme\ipwins\sjg.1.dat
C:\Programme\ipwins\Uninst.exe
C:\Programme\ToolBar888\Activate.exe
C:\Programme\ToolBar888\Uninst.exe
C:\Programme\ToolBar888\MyToolBar.dll
C:\Programme\TClock\tcdll.tclock
C:\Programme\TClock\tclock.exe
C:\Programme\TClock\tclock.ini
C:\Programme\TClock\tclock_install.exe
C:\Programme\trial_setup.exe
C:\Programme\trial_setup.ini
C:\Programme\trial_setup.msi
C:\Programme\Common Files\misc001\Mendoza.exe
C:\Programme\Common Files\simtest\svchostsys.bat
C:\Programme\Common Files\simtest\temp.txt
C:\Programme\Common Files\svchostsys\ICSharpCode.SharpZipLib.dll
C:\Programme\Common Files\svchostsys\svchostsys.exe.config
C:\Programme\Common Files\svchostsys\svchostupdate.exe.config
C:\Programme\Common Files\svchostsys\Version.txt

{CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - (no file)
O4 - HKLM\..\Run: [IpWins] C:\Programme\ipwins\ipwins.exe