Re: mal wieder BDS/Agent.AY
Hallo kurt86,
fixe bitte in Hijackthis folgendes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.couldnotfind.com/search_page.html?&account_id=1001732
O4 - HKLM\..\Run: [Power Scan] C:\PROGRAMME\POWER SCAN\POWERSCAN.EXE
O4 - HKLM\..\Run: [WebRebates0] C:\Programme\Web_Rebates\WebRebates0.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - h**p://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - h**p://www.ysbweb.com/ist/softwares/v4.0/ysb_1001958.cab
Danach lösche :
C:\PROGRAMME\POWER SCAN\ -> den ganzen Ordner
C:\Programme\Web_Rebates\ -> den ganzen Ordner
C:\WINDOWS\web\related.htm
danach mach bitte damit weiter:
Hallo , das wichtige zuerst, von jedem Programm wird ein Logfile (Protokoll) erstellt
indem steht was es finden und löschen konnte. Diese Logfiles brauchen wir zur Auswertung,
daher bitte alle Logfiles am Ende zusammen als EIN großes Textfile hier mit der > Upload starten <
Funktion posten (Texte einfach zusammenfügen mit kopieren & einfügen).
#1. Vorbereitung
START > Ausführen (schreib rein): %temp% [enter]ok/.
Mach das für jedes Benutzerkonto.
Du leerst damit den/die Ordner C:\Dokumente und Einstellungen\Dein Name\Lokale Einstellungen\Temp
START > Ausführen (schreib rein): cleanmgr [enter]ok/.
Vergewissere dich, dass die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) geleert werden.
Klicke ok.
#1a. Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.
#1b. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor, kopiere diesen Code rein:
cd %windir%
attrib /s /d -h -s system32
attrib -s -h -r system32\cmd.com
attrib -s -h -r system32\bszip.dll
attrib -s -h -r system32\netstat.com
attrib -s -h -r system32\ping.com
attrib -s -h -r system32\regedit.com
attrib -s -h -r system32\taskkill.com
attrib -s -h -r system32\tasklist.com
attrib -s -h -r system32\tracert.com
del system32\cmd.com
del system32\bszip.dll
del system32\netstat.com
del system32\ping.com
del system32\regedit.com
del system32\taskkill.com
del system32\tasklist.com
del system32\tracert.com
#1c. Speichere die Datei als
Fix.bat auf dem Desktop ab.
#1d. Starte die Datei
Fix.bat
#2. Wurmkur
Lade dir das Programm von einem dieser Links runter: hier
, hier
oder hier
Entpacke in C:/Programme/BFU/BFU.exe und starte es
Folge dem blauen Pfeil und klicke auf den Netzanschluss.
#2a. Nun öffnet sich ein kleines Fenster.
In den URL-Spalt dieses Fensterchens gibst du diese URL ein:
"
"
Drücke auf den "ok" Button.
#2b. Drücke dann den "Execute" Button.
Warte auf das PopUp das anzeigt, dass die Ausführung des Skripts stattgefunden hat.
Drücke auf "ok" bzw. auf "exit".
#2c. Starte deinen Rechner neu.
Überprüfe ob Taskmanager, Regedit funktionieren.
#2d. Jetzt bitte einem Full-System-Scan des
machen lassen.
Bitte dafür in den Internet Explorer einstellungen ActiveX zulassen.
Der Scan kann ca 2-3 Stunden dauern.
#3. Basisschutz installation
Lade die Programme
,
und
wenn nicht schon vorhanden,
bitte updaten lassen und noch nicht starten.
#4. Smitfraud A
Lade das
, das
und auch bitte
herrunter..
Falls du nach den Removal Tools Probleme bekommen solltest mit der Internet Verbindung,
kannst du das mit WinFix reparieren..
>
< - >
bitte ausdrucken !
#5. Recherche:
Doppelklick auf smitfraudfix.cmd
wähle die Option 1
um einen Bericht über die Infektionsart zu erhalten.
Speichere das Logfile als sff-log1.txt
#6. Reinigung:
Boote in den
Doppelklick auf
smitfraudfix.cmd
wähle die Option 2
um die, für die Infektion verantwortlichen, Files vom System zu entfernen.
Beantworte die Frage: "Voulez-vous nettoyer le registre ?" (Wollen Sie die Registry reinigen) mit O (oui -> ja).
Der Fix stoppt, wenn die "wininet.dll" infiziert ist.
Beantworte die Frage: "Corriger le fichier infecté ?" (Wollen Sie die infizierte Datei ersetzen) mit O (oui -> ja).
Speichere das Logfile als sff-log2.txt
#7. Smitfraud B
Starte das Programm smitrem
#8. entpacke es in einen eigenen Ordner unter C:\Programme\Smitrem.
Starte die runthis.bat und folge den Anweisungen.
#9. Basisschutz scan
Starte nacheinander Ewido und Spybot und lasse beide den kompletten PC scannen.
#10. Starte den Rechner wieder im normalen Modus.
#11. Auswertung
=>Poste die Logfiles sff-log1.txt, sff-log2.txt, C:\smitfiles.txt, Ewido Logdatei, Spybot Logdatei
Ad aware Logdatei und ein neu erstelltes HJT-Logfile bitte zusammen als EINE Textdatei per >>Upload starten<< Funktion.
