TR/PROXY.AGENT.GX.2 (prtsks.dll)

Dieses Thema TR/PROXY.AGENT.GX.2 (prtsks.dll) im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von Kompass, 3. Mai 2006.

Thema: TR/PROXY.AGENT.GX.2 (prtsks.dll) Hallo, habe extreme Probleme mit einem Trojaner TR/Proxy.agent.gx2...man kriegt den nicht weg Brauche dringend...

  1. Hallo,

    habe extreme Probleme mit einem Trojaner TR/Proxy.agent.gx2...man kriegt den nicht weg

    Brauche dringend Tipps & Hilfe um es zu entfernen ! Schon alles versucht, der lässt nicht mal Installationen zu, schaltet den Task-Manager aus( angäblich vom Administrator aus )

    ...ich nehme an, daß es ein Spion ist..mehr Infos habe ich nicht
     
  2. HijackThis downloaden und auswerten lassen:
    http://www.wintotal.de/Tipps/Eintrag.php?TID=873
    und in der Registry unter
    HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\ den Unterschlüssel prtsks löschen (beinhaltet die prtsks.dll).

    http://www.wintotal.de/Tipps/Eintrag.php?TID=1086

    pan_fee
     
  3. Hallo, vielen Dank für die Tipps.
    die Datei prtsks.dll konnte ich hoffentlich löschen, hier schicke ich noch die aktuelle LogFile, leider kenne ich mich mit sowas überhaubt nicht aus.... ???

    Logfile of HijackThis v1.99.1
    Scan saved at 09:14:37, on 04.05.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Sybase\SQL Anywhere 8\win32\dbsrv8.exe
    C:\WINDOWS\System32\cisvc.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\System32\tcpsvcs.exe
    C:\WINDOWS\System32\snmp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\cidaemon.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\SxgTkBar.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe
    C:\Programme\PowerPDF Professional\pwrpdfsrv.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\PROGRA~1\MYWEBS~1\bar\7.bin\mwsoemon.exe
    C:\WINDOWS\system32\vxgame6.exe3584.exe
    C:\Programme\T-Com\T-Eumex 820 LAN V1.00\ControlCenter.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Dokumente und Einstellungen\KAMILA\Desktop\HJack.com.exe
    C:\WINDOWS\system32\dwwin.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ufp.de/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\7.bin\MWSSRCAS.DLL
    R3 - URLSearchHook: (no name) - {04830ECB-FFCA-ECD7-3DCD-6EF143C48CC5} - BoundRec.dll (file missing)
    F2 - REG:system.ini: Shell=explorer.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe
    F3 - REG:win.ini: run=C:\WINDOWS\inet20001\winlogon.exe
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
    O2 - BHO: CInterfaceObj Object - {58F07DD3-924D-4141-BC74-299F523A95F1} - C:\WINDOWS\pxwma.dll
    O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
    O4 - HKLM\..\Run: [SxgTkBar] SxgTkBar.exe
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [avgnt] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min
    O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
    O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
    O4 - HKLM\..\Run: [pwrpdfprsrv.exe] C:\Programme\PowerPDF Professional\pwrpdfsrv.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\7.bin\mwsoemon.exe
    O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\system32\vxgame6.exe3584.exe
    O4 - HKCU\..\Run: [BraveSentry] C:\Program Files\BraveSentry\BraveSentry.exe
    O4 - HKCU\..\Run: [Komunikator] C:\Programme\Tlen.pl\tlen.exe --confdir=home
    O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\7.bin\MWSOEMON.EXE
    O4 - Global Startup: ControlCenter.lnk = ?
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: &Search - edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra->Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra button: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)
    O9 - Extra->Tools' menuitem: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{014FF50C-DB4A-4A70-AD38-64C6AA98C242}: NameServer = 85.255.116.92,85.255.112.175
    O17 - HKLM\System\CCS\Services\Tcpip\..\{118EC40E-312C-484F-B210-BC8189D34118}: NameServer = 85.255.116.92,85.255.112.175
    O17 - HKLM\System\CCS\Services\Tcpip\..\{39FA20EF-5611-4652-BE7D-7869653AFEDA}: NameServer = 85.255.116.92,85.255.112.175
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A1182AD5-1A8A-4948-B4D8-24DA82D908C3}: NameServer = 85.255.116.92,85.255.112.175
    O17 - HKLM\System\CS1\Services\Tcpip\..\{014FF50C-DB4A-4A70-AD38-64C6AA98C242}: NameServer = 85.255.116.92,85.255.112.175
    O20 - Winlogon Notify: 2006reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2006.dll
    O21 - SSODL: SysTray.Exgl - {636821FC-6F5C-2f1b-B164-E67214F678E2} - (no file)
    O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Adaptive Server Anywhere - GeneVer (ASANYs_GeneVer) - iAnywhere Solutions, Inc. - C:\Programme\Sybase\SQL Anywhere 8\win32\dbsrv8.exe
    O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe /service (file missing)
    O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
    O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
    O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe /service (file missing)
     
  4. diese Einträge löschen ....

    My Search Bar (MyWebSearch) Spyware
    also alles löschen (sieh in der Systemsteuerung/Software nach)
    http://www.wintotal.de/Spyware/index.php?Filter=M#Spyware654


    hier den Trojaner am besten im abgesicherten Modus [F8] löschen
    http://www.wintotal.de/Spyware/index.php?Filter=V#Spyware8493

    noch mit HijackThis fixen, was immer das auch sein soll.

    gehört zum Trojaner
    http://www.wintotal.de/Spyware/index.php?Filter=I#Spyware8524


    auch hier
    http://www.wintotal.de/Spyware/index.php?Filter=W#Spyware7908
    nicht mit der Windows NT-Anmeldung - winlogon.exe im system32-Verzeichnis verwechseln.

    SearchToolbar AdWare.ToolBar.SBSoft.h, Quick Web Search
    mit HijackThis noch fixen

    Adware BraveSentry
    http://www.trendmicro.com/vinfo/grayware/ve_graywareDetails.asp?GNAME=ADW_SPYSHERIFF.B&VSect=Td

    ist nicht die Systemdatei!
    http://www.wintotal.de/Spyware/index.php?Filter=S#Spyware6008

    mit HijackThis noch fixen

    http://www.hijackthis.de/logfiles/89a3b17c5e95b56dfb7e12426b1208be.html

    Systemwiederherstellung voher deaktivieren:
    http://www.wintotal.de/Tipps/Eintrag.php?TID=170

    Viel Erfolg

    pan_fee
     
  5. ...vielen, vielen Dank...die genannten Optionen habe ich alle durchgeführt, hat auch sehr viel gebracht 10000000 Dank. Leider funktioniert der Task-manager immernoch nicht, trotz der Standarteinträge (will er nicht ) ;) , das Programm Bitdefender hat seine Funktion aufgenommen, scan jetzt wieder...leider findet er noch 4 Vireneinträge, die hartnäckig sind, befinden sich in Outlock.pst ( habe den Ordner nur löschen können, nicht öffnen...dadurch sind alle Outlockeinträge samt Post,Adressbuch verschwunden) nach der Wiederherstellung habe ich zwar meine Daten wieder aber die Viren sitzten trotzdem drinn...was kann ich machen ? Dazu habe ich diese Mails auch garnicht gelesen...waren als Junkmails absortiert......und wie kann ich die in LogFile-eingetragene 017-einträge prüfen ob die zu System gehören? Der PC ist ein Server, kann es sein ? hier die aktuelle LogFile + Bericht v. Virenscanning

    Logfile of HijackThis v1.99.1
    Scan saved at 18:07:25, on 05.05.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Sybase\SQL Anywhere 8\win32\dbsrv8.exe
    C:\WINDOWS\System32\cisvc.exe
    C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\System32\tcpsvcs.exe
    C:\WINDOWS\System32\snmp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
    C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
    C:\WINDOWS\system32\cidaemon.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\SxgTkBar.exe
    C:\Programme\PowerPDF Professional\pwrpdfsrv.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\T-Com\T-Eumex 820 LAN V1.00\ControlCenter.exe
    C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
    c:\progra~1\softwin\bitdef~1\bdmcon.exe
    C:\Dokumente und Einstellungen\KAMILA\Desktop\HJACK\HJack.com.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ufp.de/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: CInterfaceObj Object - {58F07DD3-924D-4141-BC74-299F523A95F1} - C:\WINDOWS\pxwma.dll
    O4 - HKLM\..\Run: [SxgTkBar] SxgTkBar.exe
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
    O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
    O4 - HKLM\..\Run: [pwrpdfprsrv.exe] C:\Programme\PowerPDF Professional\pwrpdfsrv.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: ControlCenter.lnk = ?
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra->Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\System32\shdocvw.dll
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{014FF50C-DB4A-4A70-AD38-64C6AA98C242}: NameServer = 85.255.116.92,85.255.112.175
    O17 - HKLM\System\CCS\Services\Tcpip\..\{118EC40E-312C-484F-B210-BC8189D34118}: NameServer = 85.255.116.92,85.255.112.175
    O17 - HKLM\System\CCS\Services\Tcpip\..\{39FA20EF-5611-4652-BE7D-7869653AFEDA}: NameServer = 85.255.116.92,85.255.112.175
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A1182AD5-1A8A-4948-B4D8-24DA82D908C3}: NameServer = 85.255.116.92,85.255.112.175
    O17 - HKLM\System\CS1\Services\Tcpip\..\{014FF50C-DB4A-4A70-AD38-64C6AA98C242}: NameServer = 85.255.116.92,85.255.112.175
    O20 - Winlogon Notify: 2006reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2006.dll
    O20 - Winlogon Notify: 2014reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2014.dll
    O21 - SSODL: SysTray.Exgl - {636821FC-6F5C-2f1b-B164-E67214F678E2} - (no file)
    O23 - Service: Adaptive Server Anywhere - GeneVer (ASANYs_GeneVer) - iAnywhere Solutions, Inc. - C:\Programme\Sybase\SQL Anywhere 8\win32\dbsrv8.exe
    O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe /service (file missing)
    O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
    O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
    O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe /service (file missing)


    Zusammenfassung: Bitdefende Bericht v. 05.05.2006

    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: read it immediately][From: sales@intervideo.com.cn]=>message_bremen.scr Infiziert Win32.Netsky.X@mm
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: read it immediately][From: sales@intervideo.com.cn]=>message_bremen.scr Desinfizierung nicht durchgeführt
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: read it immediately][From: sales@intervideo.com.cn]=>message_bremen.scr Verschieben fehlgeschlagen
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: here][From: javascript@crashedstar.com]=>website.zip Verdächtig Win32.Netsky.X@mm
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: here][From: javascript@crashedstar.com]=>website.zip Desinfizierung nicht durchgeführt
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: here][From: javascript@crashedstar.com]=>website.zip Verschieben fehlgeschlagen
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: my details][From: cizia@zyke.prv.pl]=>details.zip Verdächtig Win32.Netsky.X@mm
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: my details][From: cizia@zyke.prv.pl]=>details.zip Desinfizierung nicht durchgeführt
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: my details][From: cizia@zyke.prv.pl]=>details.zip Verschieben fehlgeschlagen
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: approved website][From: 14102226@sezam.pl]=>website_bremen.zip Verdächtig Win32.Netsky.X@mm
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: approved website][From: 14102226@sezam.pl]=>website_bremen.zip Desinfizierung nicht durchgeführt
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: approved website][From: 14102226@sezam.pl]=>website_bremen.zip Verschieben fehlgeschlagen
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: my website][From: admin@aksresovia.pl]=>website_bremen.zip Verdächtig Win32.Netsky.X@mm
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: my website][From: admin@aksresovia.pl]=>website_bremen.zip Desinfizierung nicht durchgeführt
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: my website][From: admin@aksresovia.pl]=>website_bremen.zip Verschieben fehlgeschlagen
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: approved][From: slamm@netscape.com]=>screensaver_bremen.pif Infiziert Win32.Netsky.X@mm
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: approved][From: slamm@netscape.com]=>screensaver_bremen.pif Desinfizierung nicht durchgeführt
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: approved][From: slamm@netscape.com]=>screensaver_bremen.pif Verschieben fehlgeschlagen
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: data][From: admin@etypy.net]=>data_bremen.zip Verdächtig Win32.Netsky.X@mm
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: data][From: admin@etypy.net]=>data_bremen.zip Desinfizierung nicht durchgeführt
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: data][From: admin@etypy.net]=>data_bremen.zip Verschieben fehlgeschlagen
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: my letter][From: law@netscape.com]=>letter.pif Infiziert Win32.Netsky.X@mm
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: my letter][From: law@netscape.com]=>letter.pif Desinfizierung nicht durchgeführt
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: my letter][From: law@netscape.com]=>letter.pif Verschieben fehlgeschlagen
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: here][From: msoe@microsoft.com]=>letter_bremen.scr Infiziert Win32.Netsky.X@mm
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: here][From: msoe@microsoft.com]=>letter_bremen.scr Desinfizierung nicht durchgeführt
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: here][From: msoe@microsoft.com]=>letter_bremen.scr Verschieben fehlgeschlagen
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: file][From: umklibr@bu.uni.torun.pl]=>file.scr Infiziert Win32.Netsky.X@mm
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: file][From: umklibr@bu.uni.torun.pl]=>file.scr Desinfizierung nicht durchgeführt
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: file][From: umklibr@bu.uni.torun.pl]=>file.scr Verschieben fehlgeschlagen
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: your screensaver][From: jeffbworld@hotmail.com]=>screensaver_bremen.zip Verdächtig Win32.Netsky.X@mm
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: your screensaver][From: jeffbworld@hotmail.com]=>screensaver_bremen.zip Desinfizierung nicht durchgeführt
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: your screensaver][From: jeffbworld@hotmail.com]=>screensaver_bremen.zip Verschieben fehlgeschlagen
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: here][From: zari@poczta.fm]=>screensaver_bremen.zip Verdächtig Win32.Netsky.X@mm
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: here][From: zari@poczta.fm]=>screensaver_bremen.zip Desinfizierung nicht durchgeführt
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: here][From: zari@poczta.fm]=>screensaver_bremen.zip Verschieben fehlgeschlagen
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: Re: improved][From: umklibr@bu.uni.torun.pl]=>excel document_bremen.zip Verdächtig Win32.Netsky.X@mm
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: Re: improved][From: umklibr@bu.uni.torun.pl]=>excel document_bremen.zip Desinfizierung nicht durchgeführt
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: Re: improved][From: umklibr@bu.uni.torun.pl]=>excel document_bremen.zip Verschieben fehlgeschlagen
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Robert][From: Bremen]=>Dorithie.zip=>S3700026.exe Infiziert Trojan.Mitglieder.AB
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Robert][From: Bremen]=>Dorithie.zip=>S3700026.exe Desinfizierung nicht durchgeführt
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: price][From: Babyactive]=>pricelist.zip=>lkfdldew.exe Infiziert Win32.Worm.Bagle.FJ
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: price][From: Babyactive]=>pricelist.zip=>lkfdldew.exe Desinfizierung nicht durchgeführt
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: VOLKSBANKEN RAIFFEISENBANKEN AG INTERNET-BANKING [Sat, 25 Mar 2006 10:22:54 +0200]][From: Volksbanken Raiffeisenbanken Internet Banking]=>anvil.gif Infiziert Trojan.Spy.HTML.Bankfraud.M
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: VOLKSBANKEN RAIFFEISENBANKEN AG INTERNET-BANKING [Sat, 25 Mar 2006 10:22:54 +0200]][From: Volksbanken Raiffeisenbanken Internet Banking]=>anvil.gif Desinfizierung nicht durchgeführt
    C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: VOLKSBANKEN RAIFFEISENBANKEN AG INTERNET-BANKING [Sat, 25 Mar 2006 10:22:54 +0200]][From: Volksbanken Raiffeisenbanken Internet Banking]=>anvil.gif Verschieben fehlgeschlagen
    Geprüfte Dateien
     
  6. @Kompass

    Au deinem PC befindet sich wareout Rootkit Trojaner,der aktiv ist,ich kann dir helfen,aber musst bist Montag warten,falls bis dahin keine Lösung hast

    Gruss
    Mopao
     
  7. @ Kompass... schon mal versucht im abgesicherten modus das mist vieh zu löschen? nur ein tip.. es geht meistens.. Gruß OD :-X
     
  8. Hey  Kompass

    #Lade dir SmitfraudFix.zip auf dem Desktop speichern und auf dem desktop entpacken,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 2 und dann Enter, den Anweisungen auf dem Bildschirm folgen.

    Lade dir Fixwareout.exe hier Fixwareout.exe auf dem Desktop speichern & doppelklick auf sie,klicke auf Next, dann Install,Run fixit muss markiert werden und klicke dann auf Finish.

    #PC neustarten--> abgesicherter Modus
    Starte das HijackThis Scan klicken (Folgende Einträge) Häckchen setzen & Button Fix checked klicken
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    O2 - BHO: CInterfaceObj Object - {58F07DD3-924D-4141-BC74-299F523A95F1} - C:\WINDOWS\pxwma.dll
    O4 - HKLM\..\Run: [SxgTkBar] SxgTkBar.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{014FF50C-DB4A-4A70-AD38-64C6AA98C242}: NameServer = 85.255.116.92,85.255.112.175
    O17 - HKLM\System\CCS\Services\Tcpip\..\{118EC40E-312C-484F-B210-BC8189D34118}: NameServer = 85.255.116.92,85.255.112.175
    O17 - HKLM\System\CCS\Services\Tcpip\..\{39FA20EF-5611-4652-BE7D-7869653AFEDA}: NameServer = 85.255.116.92,85.255.112.175
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A1182AD5-1A8A-4948-B4D8-24DA82D908C3}: NameServer = 85.255.116.92,85.255.112.175
    O17 - HKLM\System\CS1\Services\Tcpip\..\{014FF50C-DB4A-4A70-AD38-64C6AA98C242}: NameServer = 85.255.116.92,85.255.112.175
    O20 - Winlogon Notify: 2006reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2006.dll
    O20 - Winlogon Notify: 2014reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2014.dll
    O21 - SSODL: SysTray.Exgl - {636821FC-6F5C-2f1b-B164-E67214F678E2} - (no file)

    #PC neustarten--> abgesicherter Modus
    Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> Extras/Ordneroptionen ->
    Ansicht -> Haken entfernen bei Geschützte Systemdateien
    ausblenden (empfohlen) und Alle Dateien und Ordner anzeigen
    aktivieren -> OK

    Loesche:
    C:\WINDOWS\pxwma.dll
    SxgTkBar.exe
    C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2006.dll
    C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2014.dll

    Unter Start/Ausführen folgende Befehl eingeben: cmd ok dann öffnet ein Kommandofenster.Danach folgende Befehl eingeben und Eingabetaste drücken:
    sc delete ZPMODEMSYSNTDRVNT
    #Loesche: Falls vorhanden
    C:\WINDOWS\SYSTEM32\DRIVERS\zpmodemnt.sys

    #Alle wichtigten Passwärter ändern

    Bitte Folgende Ergebnis posten!
    #PC neustarten:
    #Neuer HijackThis Log & den Inhalt der Datei C:\fixwareout\report.txt posten.

    Gruss
    Mopao
     
  9. Hallo Mopao,

    danke für die Tipps...habe alles gemacht, nun die Einträge 020 + 09 Shopper kann das Programm nicht löschen & Fixen geht auch nicht, manuel unter c:\dokumente und Einstellungen\all users\ auch nicht- angeblich wird es von irgendeinem Programm verwendet. Scheint super hartnäckig zu sein :(

    hier die LogFile & Raport v. fixwareout

    Logfile of HijackThis v1.99.1
    Scan saved at 21:31:34, on 08.05.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Sybase\SQL Anywhere 8\win32\dbsrv8.exe
    C:\WINDOWS\System32\cisvc.exe
    C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\System32\tcpsvcs.exe
    C:\WINDOWS\System32\snmp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\KASPER~1\Security\KASPER~3\OESpamTest.ExE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\T-Com\T-Eumex 820 LAN V1.00\ControlCenter.exe
    C:\Programme\Kaspersky Lab\Security\Kaspersky Anti-Hacker\KAVPF.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Dokumente und Einstellungen\KAMILA\Desktop\DIVERSES\HJACK\HJack.com.exe

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Security\Kaspersky Anti-Virus Personal\kav.exe /minimize
    O4 - HKLM\..\Run: [OESpamTest] C:\PROGRA~1\KASPER~1\Security\KASPER~3\OESpamTest.ExE
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: ControlCenter.lnk = ?
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Security\Kaspersky Anti-Hacker\KAVPF.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\System32\shdocvw.dll
    O20 - Winlogon Notify: 2006reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2006.dll
    O20 - Winlogon Notify: 2014reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2014.dll
    O23 - Service: Adaptive Server Anywhere - GeneVer (ASANYs_GeneVer) - iAnywhere Solutions, Inc. - C:\Programme\Sybase\SQL Anywhere 8\win32\dbsrv8.exe
    O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
    O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
    O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Security\Kaspersky Anti-Virus Personal\kavsvc.exe
    O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe


    Fixwareout ver 1.003
    Last edited 04/26/2006
    Post this report in the forums please

    Reg Entries that were deleted
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\iugogol
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\atsniwd
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\tafggrfd
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\tsiphxp
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\nmdapxlt
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\cvsgolps
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\ilcmd
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\iugogol
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\sidkkhc
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\atsniwd
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ko2toob
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tafggrfd
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tsiphxp
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\nmdapxlt
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\cvsgolps
    ...

    Random Runs removed from HKLM
    ...

    PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
    Example ipsec6.exe is lagitamate

    »»»»» Search by size and names...

    »»»»» Misc files

    »»»»» Checking for older varients covered by the Rem3 tool

    »»»»»
    Search five digit cs, dm and jb files
    This WILL/CAN also list Legit Files, Submit them at Virustotal
     
  10. @Kompass

    Sorry, dass es lange gedauert hat

    #Lade dir SmitRem.exe http://noahdfear.geekstogo.com ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und Start klicken.Dann wird ein Ordner SmitRem auf dem Desktop angelegt und die Dateien dahin entpackt.Noch nicht ausführen.

    #PC neustarten--> abgesicherter Modus
    Starte das HijackThis Scan klicken (Folgende Einträge) Häckchen setzen & Button Fix checked klicken
    O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\System32\shdocvw.dll
    O20 - Winlogon Notify: 2006reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2006.dll
    O20 - Winlogon Notify: 2014reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2014.dll

    #PC neustarten--> abgesicherter Modus
    Loesche:
    C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2006.dll
    C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2014.dll

    #PC neustarten--> abgesicherter Modus
    Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen.
    Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt

    #PC neustarten:
    #Neue HijackThis Log & das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten.

    Gruss
    Mopao