HiJackThis..

[Yourhighness]

Ruben1337

Text in den Texteditor kopieren
abspeichern (Gebe bei Dateityp "Alle Dateien" an) als look.bat
und dann diese bat doppeltklicken - poste den text
dann loeschen wir den Swizzor-Trojaner/LOP

Code:
cd\
cd C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten
dir /x >> C:\look.txt
cd C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
dir /x >> C:\look.txt
dir %Windir%\tasks /a:h >> C:\look.txt
start notepad C:\look.txt

HijackThis kommt dran, sobald Nikita alles beisammen hat was Sie fuer die Reinigung braucht!

mfg

[Nikita]

Ruben1337

hier steht ein Text.
fahre mit der rechten Maustaste drueber, "kopieren" --> in den vorher geoeffneten Texteditor rein.


cd\
cd C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten
dir /x >> C:\look.txt
cd C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
dir /x >> C:\look.txt
dir %Windir%\tasks /a:h >> C:\look.txt
start notepad C:\look.txt


oben links im Textedtor: kann man abspeichern. -> "Speichern als"
abspeichern -> und darauf achten, dass Dateityp "Alle Dateien" angegeben ist (kannst du auswaehlen)
als look.bat --> diesen namen musst du unten reinschreiben

dann erscheint auf deinem Bildschirm eine look.bat, die klickst du doppelt.
nun wird sich von allein der Texteditor oeffnen, du faehrst wieder mit der rechten Maustaste ueber den Text-> kopieren --> rechte Maustaste (hier im Forum) --> einfuegen.

dann erscheint hier der Text, den ich sehen will.

[Ruben1337]

habs geschafft


Volume in Laufwerk G: hat keine Bezeichnung.
Volumeseriennummer: 88D5-1AD8

Verzeichnis von G:\

28.05.2006 23:09 <DIR> DOKUME~1 Dokumente und Einstellungen
31.05.2006 18:23 <DIR> PROGRA~1 Programme
13.05.2006 15:16 <DIR> Temp
29.05.2006 21:19 <DIR> WINDOWS
0 Datei(en) 0 Bytes
4 Verzeichnis(se), 28.385.755.136 Bytes frei
Volume in Laufwerk G: hat keine Bezeichnung.
Volumeseriennummer: 88D5-1AD8

Verzeichnis von G:\

28.05.2006 23:09 <DIR> DOKUME~1 Dokumente und Einstellungen
31.05.2006 18:23 <DIR> PROGRA~1 Programme
13.05.2006 15:16 <DIR> Temp
29.05.2006 21:19 <DIR> WINDOWS
0 Datei(en) 0 Bytes
4 Verzeichnis(se), 28.385.755.136 Bytes frei
Volume in Laufwerk G: hat keine Bezeichnung.
Volumeseriennummer: 88D5-1AD8

Verzeichnis von G:\WINDOWS\tasks

10.10.2005 14:00 65 desktop.ini
31.05.2006 13:54 6 SA.DAT
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 28.385.755.136 Bytes frei

[Nikita]

biite noch mal, ich wusste nicht, dass du Windows auf G:\ hast


cd\
cd G:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten
dir /x >> G:\look.txt
cd G:\Dokumente und Einstellungen\All Users\Anwendungsdaten
dir /x >> G:\look.txt
dir %Windir%\tasks /a:h >> G:\look.txt
start notepad G:\look.txt

[Ruben1337]

-->

Volume in Laufwerk G: hat keine Bezeichnung.
Volumeseriennummer: 88D5-1AD8

Verzeichnis von G:\Dokumente und Einstellungen\Administrator\Anwendungsdaten

30.04.2006 15:57 <DIR> Adobe
30.04.2006 15:58 <DIR> AdobeUM
28.04.2006 00:17 <DIR> Ahead
25.05.2006 16:17 <DIR> CASTSU~1 Cast support ace
27.04.2006 03:36 <DIR> Corel
28.04.2006 00:19 <DIR> CYBERL~1 CyberLink
28.05.2006 15:31 <DIR> Eq01sign
28.04.2006 11:39 <DIR> Help
30.04.2006 17:46 <DIR> ICQLite
27.04.2006 02:55 <DIR> IDENTI~1 Identities
26.05.2006 15:14 <DIR> Lavasoft
30.04.2006 17:53 <DIR> MACROM~1 Macromedia
16.05.2006 19:03 <DIR> MEDIAP~1 Media Player Classic
12.05.2006 20:12 <DIR> Mozilla
24.05.2006 13:06 <DIR> NETPUM~1 NetPumper
30.04.2006 15:55 <DIR> Opera
09.05.2006 09:07 <DIR> Sun
24.05.2006 15:44 <DIR> TEAMSP~1 teamspeak2
27.04.2006 02:53 <DIR> TUNEUP~1 TuneUp Software
09.05.2006 09:57 <DIR> Ventrilo
16.05.2006 19:10 <DIR> vlc
29.05.2006 01:08 <DIR> Webroot
0 Datei(en) 0 Bytes
22 Verzeichnis(se), 28.196.892.672 Bytes frei
Volume in Laufwerk G: hat keine Bezeichnung.
Volumeseriennummer: 88D5-1AD8

Verzeichnis von G:\Dokumente und Einstellungen\All Users\Anwendungsdaten

27.04.2006 03:05 <DIR> ACDSYS~1 ACD Systems
27.05.2006 15:32 305 ADDR_F~1.HTM addr_file.html
27.04.2006 03:37 <DIR> Adobe
27.04.2006 03:08 <DIR> ADOBES~1 Adobe Systems
27.04.2006 03:15 <DIR> Ahead
31.05.2006 15:33 <DIR> ANTIVI~1 AntiVir PersonalEdition Classic
27.04.2006 04:34 <DIR> CYBERL~1 CyberLink
27.04.2006 03:37 <DIR> INSTAL~1 InstallShield
27.04.2006 03:40 <DIR> Pinnacle
27.04.2006 03:40 <DIR> PINNAC~1 Pinnacle Studio
16.05.2006 18:57 <DIR> QUICKT~1 QuickTime
24.05.2006 13:06 <DIR> SECTRO~1 sect road poke user
20.05.2006 15:21 <DIR> SPYBOT~1 Spybot - Search & Destroy
01.06.2006 02:03 <DIR> Trymedia
27.04.2006 02:53 <DIR> TUNEUP~1 TuneUp Software
1 Datei(en) 305 Bytes
14 Verzeichnis(se), 28.196.892.672 Bytes frei
Volume in Laufwerk G: hat keine Bezeichnung.
Volumeseriennummer: 88D5-1AD8

Verzeichnis von G:\WINDOWS\tasks

10.10.2005 14:00 65 desktop.ini
01.06.2006 11:18 6 SA.DAT
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 28.196.892.672 Bytes frei

[Nikita]

Ruben1337

1.
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

2.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {C80DA332-4FD0-1F9D-4D61-975AB9311FCA} - G:\DOKUME~1\ADMINI~1\ANWEND~1\Eq01sign\VgaRoam.exe (file missing)

O4 - HKLM\..\Run: [pokeuserinterenc] G:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sect road poke user\Active Debug.exe

O4 - HKCU\..\Run: [Movelong] G:\DOKUME~1\ADMINI~1\ANWEND~1\CASTSU~1\Hole Flap Keep.exe

PC neustarten
in den abgesicherten Modus -> F8 druecken, waehrend der Rechner hochfaehrt

loesche:

G:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Cast support ace
G:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Eq01sign
G:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\NetPumper
G:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sect road poke user
+
NetPumper -> deinstallieren

**
boote wieder in den normalmodus

**
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

**
Counterspy
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove --> Status: Deleted
*Quarantaine

wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab

[Ruben1337]

"Der Zugriff auf Windows script Host wurde für diesem Computer deaktiviert . Wenden sie sich an Ihren Administrator , um weitere Details in Erfahrung zu bringen. " , das erscheint wenn ich Counterspy installieren will ...sonst hat alles geklappt bis jetzt .

[Nikita]

hast du xantispy installiert?
wenn ja..dort kannst du die Host-Funktion wieder aktivieren

[Ruben1337]

xantispy hab ich nicht aber Antispy , gehts damit auch?

[Nikita]

duefte das gleiche sein...ja, damit geht es auch