pc etwas langsam

#46 welchen text aus der codebox soll ich reinkopieren den oberen oder den unteren? hab den ersten reinkopiert.

#47 Ja sorry, ich meinte den unteren

#48 ich hoffe das macht nix wenn ich jetzt das mit dem ersten gemacht hab schon und jetzt nochmal mit dem unteren Codetext!?

#49 Nein gar nicht. Der obere ist leer

#50 ne das steht drinne--->


Windows Registry Editor Version 5.00


darf das beim zweiten Link nicht mit rein kopiert werden?



also nur folgendes:

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HOOKSYS]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_HOOKSYS]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HOOKSYS]

#51 Ich habe es angepasst

#52

Code

stepfather.sfv;E:\Neuer Ordner\Stepfather.XViD;Modifikation von VBS.Hatred;Verschoben.;

#53 Das ist aber nicht das ganze Log?

#54 doch das is was drin steht in dem dr.web.csv.Ich hab nochmal en Scan gemacht mit Lop die Einträge sind noch da.

#55 hallo? wie gehts jetzt weiter?

#56 SDFix anwenden

• Lade das SDFix (erstellt von AndyManchesta) herunter und speichere es auf deinem Desktop

• Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken. • Starte deinen Rechner neu auf, in den abgesicherten Modus (Tipps & Tricks: TIPP 4).
• Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
• Gib ein Y ein, um den Reinigungsprozess zu beginnen.
• Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
• Nun wirst du darum gebeten, einen Taste zu drücken, damit dein Rechner neu aufstarten kann.
• Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
• Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
• Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden. • Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
• Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

#57

Code

[b]SDFix: Version 1.240 [/b]
Run by Administrator on 07.02.2010 at 22:44

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

C:\WINDOWS\system32\1.tmp - Deleted
C:\WINDOWS\system32\2.tmp - Deleted
C:\WINDOWS\system32\3.tmp - Deleted
C:\WINDOWS\system32\2.tmp - Deleted
C:\WINDOWS\system32\1.tmp - Deleted





Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-07 23:29:45
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:000003dc
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"="C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE:*:Enabled:MicroWorld Management Agent"
"C:\\Programme\\Real Alternative\\Media Player Classic\\mplayerc.exe"="C:\\Programme\\Real Alternative\\Media Player Classic\\mplayerc.exe:*:Enabled:Media Player Classic"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\Java\\jre6\\bin\\javaw.exe"="C:\\Programme\\Java\\jre6\\bin\\javaw.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\\Programme\\Trillian\\trillian.exe"="C:\\Programme\\Trillian\\trillian.exe:*:Enabled:Trillian"
"C:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"="C:\\Programme\\Skype\\Plugin Manager\\skypePM.exe:*:Enabled:Skype Extras Manager"
"C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"="C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE:*:Enabled:MicroWorld Management Agent"
"C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Fri  5 Feb 2010            23 A.SH. --- "C:\WINDOWS\system32\bfddabf5_g.dll"
Tue  1 Dec 2009     1,885,888 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\16ce0751d87c639d0110ddda3cc2d9f0\BIT10A.tmp"

[b]Finished![/b]

#58 ich geh erstmal off.bis morgen.

#59 Dachte gestern du seiest offline Habe die restlichen Schritte nun hierher kopiert. Führe diese bitte noch aus.

Hast Du das REGFIX auch richtig angewendet?
Von wo hast DU Counterspy? Die neue Version?

Sieh bitte mal nach ob folgende Programme noch vorhanden sind:

Zitat

c:\programme\Messenger Plus! Live
c:\programme\DivX
c:\programme\AskBarDis

Lass diese Datei bei www.virustotal.com/de prüfen und poste das Ergebnis:

Zitat

C:\WINDOWS\system32\bfddabf5_g.dll

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
Vista-User mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code

:filefind
strings.exe

:dir
c:\programme\Messenger Plus! Live
c:\programme\DivX
c:\programme\AskBarDis

:regfind
Patchou
Messenger Plus

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.



Wende Silentrunner und führer es gemäs dieser Anleitung aus.
Poste das Log

#60

Zitat

Hast Du das REGFIX auch richtig angewendet?
Von wo hast DU Counterspy? Die neue Version?

naja ich habs so gemacht wie beschrieben aber du hast ja am Anfang dich bischen verschrieben oder so so das da zwei Code Boxen waren und ich die obere genommen hab natürlich.Nur da stand eben nur nix drin ausser dem Namen des Editors.Sunbelt Counterspy war die neueste Version denk ich mal da ich die ja frisch runtergeladen hab von der Homepage.