Hallo Experten!

Nach telefonisch bestätigter Mitteilung meiner Bank hat der Trojaner Zeus 2 mein Onlinebanking ausgespäht.

ich habe daraufhin intensiv im Internet recherchiert und mehr Fragen als Antworten gefunden.

es kommen zwei Rechner (büro und Privat in Betracht)

Allerdings bin ich nach mehreren Stunden auf einen tollen Beitrag von cosinus gestoßen. Er betrifft genau diesen Zeus Trojaner. Genauso wie dort kann ich leider nicht vorgehen, weil ich vor dem finden dieses Beitrags schon einiges an meinem privaten rechner gemacht habe:

1. Avira
ich habe ein Scan mit all ihrer durchführen lassen, der zu 6 Treffern geführt hat.

Code: Alles auswählenAufklappen

ATTFilter

Avira Antivirus Premium
Erstellungsdatum der Reportdatei: Samstag, 12. Januar 2013  12:55


Das Programm läuft als voll funktionsfähige Evaluationsversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : nils neiser
Seriennummer   : 2224748988-PEPWE-0000001
Plattform      : Windows 7 Home Premium
Windowsversion : (plain)  [6.1.7600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : NILS-PC

Versionsinformationen:
BUILD.DAT      : 13.0.0.2890    50871 Bytes  05.12.2012 17:14:00
AVSCAN.EXE     : 13.6.0.402    639264 Bytes  12.01.2013 11:49:30
AVSCANRC.DLL   : 13.4.0.360     64800 Bytes  12.01.2013 11:49:30
LUKE.DLL       : 13.6.0.400     67360 Bytes  12.01.2013 11:49:45
AVSCPLR.DLL    : 13.6.0.402     93984 Bytes  10.12.2012 16:22:01
AVREG.DLL      : 13.6.0.406    248096 Bytes  10.12.2012 16:22:01
avlode.dll     : 13.6.1.402    428832 Bytes  10.12.2012 16:22:02
avlode.rdf     : 13.0.0.26       7958 Bytes  10.12.2012 16:22:01
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 13:50:29
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 13:50:31
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 13:50:34
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 13:50:36
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 13:50:37
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 13:42:40
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 13:42:40
VBASE007.VDF   : 7.11.50.230  3904512 Bytes  22.11.2012 21:51:33
VBASE008.VDF   : 7.11.55.142  2214912 Bytes  03.01.2013 06:10:25
VBASE009.VDF   : 7.11.55.143     2048 Bytes  03.01.2013 06:10:25
VBASE010.VDF   : 7.11.55.144     2048 Bytes  03.01.2013 06:10:25
VBASE011.VDF   : 7.11.55.145     2048 Bytes  03.01.2013 06:10:25
VBASE012.VDF   : 7.11.55.146     2048 Bytes  03.01.2013 06:10:25
VBASE013.VDF   : 7.11.55.196   260096 Bytes  04.01.2013 15:26:07
VBASE014.VDF   : 7.11.56.23    206848 Bytes  07.01.2013 07:47:42
VBASE015.VDF   : 7.11.56.83    186880 Bytes  08.01.2013 13:58:29
VBASE016.VDF   : 7.11.56.145   135168 Bytes  09.01.2013 22:12:35
VBASE017.VDF   : 7.11.56.211   139776 Bytes  11.01.2013 23:28:07
VBASE018.VDF   : 7.11.56.212     2048 Bytes  11.01.2013 23:28:08
VBASE019.VDF   : 7.11.56.213     2048 Bytes  11.01.2013 23:28:08
VBASE020.VDF   : 7.11.56.214     2048 Bytes  11.01.2013 23:28:09
VBASE021.VDF   : 7.11.56.215     2048 Bytes  11.01.2013 23:28:09
VBASE022.VDF   : 7.11.56.216     2048 Bytes  11.01.2013 23:28:09
VBASE023.VDF   : 7.11.56.217     2048 Bytes  11.01.2013 23:28:09
VBASE024.VDF   : 7.11.56.218     2048 Bytes  11.01.2013 23:28:09
VBASE025.VDF   : 7.11.56.219     2048 Bytes  11.01.2013 23:28:09
VBASE026.VDF   : 7.11.56.220     2048 Bytes  11.01.2013 23:28:09
VBASE027.VDF   : 7.11.56.221     2048 Bytes  11.01.2013 23:28:09
VBASE028.VDF   : 7.11.56.222     2048 Bytes  11.01.2013 23:28:09
VBASE029.VDF   : 7.11.56.223     2048 Bytes  11.01.2013 23:28:09
VBASE030.VDF   : 7.11.56.224     2048 Bytes  11.01.2013 23:28:09
VBASE031.VDF   : 7.11.56.250    60416 Bytes  12.01.2013 11:49:08
Engineversion  : 8.2.10.230
AEVDF.DLL      : 8.1.2.10      102772 Bytes  19.09.2012 13:42:55
AESCRIPT.DLL   : 8.1.4.80      467322 Bytes  10.01.2013 21:57:15
AESCN.DLL      : 8.1.10.0      131445 Bytes  13.12.2012 20:58:33
AESBX.DLL      : 8.2.5.12      606578 Bytes  28.08.2012 15:58:06
AERDL.DLL      : 8.2.0.88      643444 Bytes  10.01.2013 21:57:15
AEPACK.DLL     : 8.3.1.2       819574 Bytes  20.12.2012 21:44:59
AEOFFICE.DLL   : 8.1.2.50      201084 Bytes  06.11.2012 13:38:20
AEHEUR.DLL     : 8.1.4.174    5615991 Bytes  10.01.2013 21:57:14
AEHELP.DLL     : 8.1.25.2      258423 Bytes  20.10.2012 12:10:25
AEGEN.DLL      : 8.1.6.14      434548 Bytes  10.01.2013 21:57:11
AEEXP.DLL      : 8.3.0.8       188788 Bytes  12.01.2013 08:46:11
AEEMU.DLL      : 8.1.3.2       393587 Bytes  19.09.2012 13:42:55
AECORE.DLL     : 8.1.30.0      201079 Bytes  13.12.2012 20:58:32
AEBB.DLL       : 8.1.1.4        53619 Bytes  06.11.2012 13:38:17
AVWINLL.DLL    : 13.4.0.163     25888 Bytes  12.01.2013 11:48:40
AVPREF.DLL     : 13.4.0.360     50464 Bytes  12.01.2013 11:49:30
AVREP.DLL      : 13.4.0.360    177952 Bytes  10.12.2012 16:22:01
AVARKT.DLL     : 13.6.0.402    260384 Bytes  12.01.2013 11:49:23
AVEVTLOG.DLL   : 13.6.0.400    167200 Bytes  12.01.2013 11:49:25
SQLITE3.DLL    : 3.7.0.1       397088 Bytes  12.01.2013 11:49:59
AVSMTP.DLL     : 13.4.0.163     62752 Bytes  12.01.2013 11:49:31
NETNT.DLL      : 13.4.0.360     15648 Bytes  12.01.2013 11:49:51
RCIMAGE.DLL    : 13.4.0.360   4826400 Bytes  12.01.2013 11:48:41
RCTEXT.DLL     : 13.4.0.360     68384 Bytes  12.01.2013 11:48:41

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, Q:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Samstag, 12. Januar 2013  12:55

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SearchFilterHost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '116' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '108' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '116' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'CVHSVC.EXE' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISUSPM.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZuneLauncher.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'ContentTransferWMDetector.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftlist.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftvsa.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.EXE' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'dgnsvc.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '170' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '156' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '7678' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Boot>
    [0] Archivtyp: RSRC
    --> C:\Datensicherung\Desktop\Verknüpfungen\brennordner 08.08\F1Downloader-V107.zip
        [1] Archivtyp: ZIP
      --> F1_Download.exe
          [FUND]      Ist das Trojanische Pferd TR/Crypt.PEPM.Gen
          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Datensicherung\Desktop\Verknüpfungen\brennordner 08.08\F1Downloader-V107.zip
  [FUND]      Ist das Trojanische Pferd TR/Crypt.PEPM.Gen
    --> C:\Datensicherung\Downloads\FS aktuell\b767snz.zip
        [1] Archivtyp: ZIP
      --> 767snz.exe
          [2] Archivtyp: Runtime Packed
            [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
            [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Datensicherung\Downloads\FS aktuell\b767snz.zip
  [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
C:\Datensicherung\sicherung Juli 2011\download FS\shareware\neu\UltimateTraffic1.exe
  [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
C:\Datensicherung\sicherung Juli 2011\download FS\shareware\simmarket\T-37B_Installer_(v1.02).exe
  [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
Beginne mit der Suche in 'D:\' <Recover>
Beginne mit der Suche in 'Q:\'
Der zu durchsuchende Pfad Q:\ konnte nicht geöffnet werden!
Systemfehler [5]: Zugriff verweigert

Beginne mit der Desinfektion:
C:\Datensicherung\sicherung Juli 2011\download FS\shareware\simmarket\T-37B_Installer_(v1.02).exe
  [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5960cfb5.qua' verschoben!
C:\Datensicherung\sicherung Juli 2011\download FS\shareware\neu\UltimateTraffic1.exe
  [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '41b6e052.qua' verschoben!
C:\Datensicherung\Downloads\FS aktuell\b767snz.zip
  [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '13abba5d.qua' verschoben!
C:\Datensicherung\Desktop\Verknüpfungen\brennordner 08.08\F1Downloader-V107.zip
  [FUND]      Ist das Trojanische Pferd TR/Crypt.PEPM.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '758ef5ae.qua' verschoben!


Ende des Suchlaufs: Samstag, 12. Januar 2013  15:08
Benötigte Zeit:  2:07:24 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  39429 Verzeichnisse wurden überprüft
 618515 Dateien wurden geprüft
      6 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      4 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 618509 Dateien ohne Befall
   6137 Archive wurden durchsucht
      2 Warnungen
      4 Hinweise
 671470 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

2. Threat Fire Scan

Danach habe ich ein threat fire scan durchgeführt. Im gegensatz zu avira war das programm zuvor nicht installiert.


3. malware byte scan

diesen scan habe ich durchgeführt. durch intensivsuche
die logdatei lautet wie folgt:

Code: Alles auswählenAufklappen

ATTFilter

alwarebytes Anti-Malware (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.12.06

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
Nils :: NILS-PC [Administrator]

Schutz: Aktiviert

12.01.2013 16:01:40
MBAM-log-2013-01-12 (17-47-24).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|Q:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 370207
Laufzeit: 1 Stunde(n), 41 Minute(n), 

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Datensicherung\Desktop\Verknüpfungen\Nils\ADOBE.PHOTOSHOP.exe (Riskware.Tool.CK) -> Keine Aktion durchgeführt.

(Ende)
         

jetzt habe ich nichts mehr gemacht, weil ich einen beitrag hier gelesen habe.

Ich würde mich sehr über hilfe freuen.

Grüße

Nils

Servus,



Aus deiner Logdatei:

Zitat:

C:\Datensicherung\Desktop\Verknüpfungen\Nils\ADOBE.PHOTOSHOP.exe (Riskware.Tool.CK) -> Keine Aktion durchgeführt.

Bitte lesen: Cracks, Keygens und andere illegale Software

Dateien, wie crack.exe, keygen.exe oder patch.exe sind zu 99,9% gefährliche Schädlinge, mit denen man nicht Spaßen sollte.

Außerdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf
Anleitung zum Neu aufsetzten.

Zudem ist bei einer Infektion mit Zbot Neuaufsetzen nie verkehrt.

Damit ist das Thema beendet.

Hallo,

vielen Dank für die schnelle Antwort.

Ausgerechnet ich, der den Ruf hat, immer mit dem Finger auf diejenigen zu zeigen, die sich Musik, Filme, Raubkopien zu nutzen, kriegt nun einen Tadel.

Ich kann nicht mal erkennen, was diese Datei genau soll. Sie war in einem Paket Phototexturen für den Flugsimulator, so meine Recherchen. ich habe Photoshop nie genutzt.

Ich bin glaube ich einer der wenigen, die aus Überzeugung alles kaufen, was sie benutzen.

Mein Problem ist aber ggf. auch anders gelagert. Nach desinfect ergibt sich folgendes Ergebnis:

Avira Bitdefender Aktion
/media/Boot/Users/Nils/AppData/Roaming/Thunderbird/Profiles/6rcpv6xh.default/Mail/mx.freenet.de/Inbox (Mailbox_[From: "DHL International " ][Subject: DHL Express Parcel Tracking Notification VK71-3][Message-ID: <4J8VDF6A1DSDTEZ0VSEJDD5G5RSUNV1S3LQ5BS8AXQ5VTJ]1814.mim)
TR/Spy.Bebloh.EB.53 Dateimanager umbenennen
/media/Boot/Users/Nils/AppData/Roaming/Thunderbird/Profiles/6rcpv6xh.default/Mail/mx.freenet.de/Inbox ((message 462))
Trojan.Generic.KDV.541123 Dateimanager umbenennen
/media/Boot/Users/Nils/AppData/Roaming/Thunderbird/Profiles/6rcpv6xh.default/Mail/mx.freenet.de/Inbox ((message 907))
Trojan.Generic.KDV.665276 Dateimanager umbenennen
/media/Boot/Users/Nils/AppData/Roaming/Thunderbird/Profiles/6rcpv6xh.default/Mail/mx.freenet.de/Inbox (Mailbox_[From: "booking.com" ][Subject: Booking confirmation 059266025][Message-ID: <3016674216.S73CHVRJ969302@bafdnbd.nqnkxxj.net>]924.mim)
TR/Bublik.B.98 Dateimanager umbenennen

Alle gefundenen Dateien mit der Endung .VIRUS versehen







Virenfunde
ClamAV Kaspersky Aktion
/media/Boot/Windows/winsxs/Backup/x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.1.7600.16986_none_b2f57423c7b8dea8_tcpip.sys_3339bd51
WIN.Trojan.Agent-46637 Dateimanager umbenennen
/media/Boot/Windows/winsxs/x86_microsoft-windows-partitionmanager_31bf3856ad364e35_6.1.7600.16385_none_e17269af1bc32604/partmgr.sys
Win.Trojan.Tdss-3390 Dateimanager umbenennen
/media/Boot/Windows/winsxs/x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.1.7600.21178_none_b38bb990e0ccc871/tcpip.sys
WIN.Trojan.Agent-50227 Dateimanager umbenennen
/media/Boot/Windows/winsxs/x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.1.7600.16986_none_b2f57423c7b8dea8/tcpip.sys
WIN.Trojan.Agent-46637 Dateimanager umbenennen
/media/Boot/Windows/System32/drivers/tcpip.sys
WIN.Trojan.Agent-46637 Dateimanager umbenennen
/media/Boot/Program Files/Google/Chrome/Application/23.0.1271.97/npchrome_frame.dll
Win.Trojan.Agent-79285 Dateimanager umbenennen
/media/Boot/Windows/winsxs/x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.1.7600.20992_none_b3703df4e0e237e0/tcpip.sys
WIN.Trojan.Agent-45357 Dateimanager umbenennen
/media/Boot/Windows/winsxs/x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.1.7600.16802_none_b347f075c77b9c9d/tcpip.sys
WIN.Trojan.Agent-52272 Dateimanager umbenennen
/media/Boot/Windows/winsxs/x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.1.7601.21828_none_b5a84e10ddca7566/tcpip.sys
WIN.Trojan.Agent-44961 Dateimanager umbenennen
/media/Boot/Windows/winsxs/x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.1.7601.21754_none_b583db3edde666b6/tcpip.sys
WIN.Trojan.Agent-44564 Dateimanager umbenennen
/media/Boot/Windows/winsxs/x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.1.7601.21712_none_b5ad1a5addc7c444/tcpip.sys
WIN.Trojan.Agent-46727 Dateimanager umbenennen
/media/Boot/Windows/winsxs/x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.1.7600.20951_none_b39a7d5ae0c2aec5/tcpip.sys
WIN.Trojan.Agent-47229 Dateimanager umbenennen
/media/Boot/Windows/winsxs/x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.1.7600.20733_none_b3b219fae0b0af43/tcpip.sys
WIN.Trojan.Agent-44496 Dateimanager umbenennen
/media/Boot/Windows/winsxs/x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.1.7601.21954_none_b583df0adde66104/tcpip.sys
WIN.Trojan.Agent-49336 Dateimanager umbenennen
/media/Boot/Windows/winsxs/x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.1.7601.17802_none_b52e5147c4a202d7/tcpip.sys
WIN.Trojan.Agent-47169 Dateimanager umbenennen
/media/Boot/Datensicherung/Downloads/FS aktuell/boeing_757-767_panel.zip
Worm.Stration.NR Dateimanager umbenennen
/media/Boot/Users/Nils/AppData/Roaming/Thunderbird/Profiles/6rcpv6xh.default/Mail/mx.freenet.de/Inbox ([From "DHL International " ][Date 4 Jul 2012 05:36:43][Subj DHL Express Parcel Tracking Notification VK71-3913774185056]/DHL_ONLINE_SHIPPING_PREALERT_DCJ4G4936M.zip)
Trojan.Win32.Bublik.ded Dateimanager umbenennen
/media/Boot/Users/Nils/AppData/Roaming/Thunderbird/Profiles/6rcpv6xh.default/Mail/mx.freenet.de/Inbox ([From "booking.com" ][Date 20 Feb 2012 09:45:02][Subj Booking confirmation 059266025]/Details-Booking_Reservation-ORDER_REF273109730.zip)
Trojan.Win32.Inject.czty Dateimanager umbenennen
/media/Boot/Windows/winsxs/x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.1.7600.21060_none_b38e8546e0cbe4a1/tcpip.sys
WIN.Trojan.Agent-47234 Dateimanager umbenennen

Alle gefundenen Dateien mit der Endung .VIRUS versehen



Kann man das System noch retten oder muss ich es neu aufsetzten (habe ich noch nie gemacht)

Danke für die Antwort.

Grüße

Nils

P.S: Ich bin auf eure Hilfe angewiesen, ich kriege das alleine nicht hin. Würde mich deshalb sehr über Hilfe freuen.

Grüße

Nils