Hallo allerseits,

bin heute das erste Mal in einem Forum und bitte vorbeugend um Nachsicht für möglicherweise etwas „unfachmännisch“ formulierte Fragen . Also, ich habe das folgende Problem, bei dem mir vielleicht jemand helfen kann:

Ich bzw. mein Rechner sah sich vor zwei Tagen einem Virus-Angriff ausgesetzt . AntiVir sprang an, ich habe sofort die Internetverbindung gekappt und den Virus (blöder Weise weiß ich den Namen nicht mehr) überschrieben und gelöscht.

Beim nächsten Start von Windows (XP) bemerkte ich zunächst, dass ein Fenster (früher nannte man das wohl „DOS Eingabeaufforderung“ oder so) aufging, etwa 30 Sekunden geöffnete blieb, dann ein „ok“ in der Eingabeaufforderung erschien und sich selbiges schloss. In dem Balken über dem Fenster steht „c:\windows\system32\netsh.exe“.

Dann stellte ich Fest, dass eine neue Startseite eingerichtet war, und zwar http://lookfor.cc/?pin=77035.

Tja, und als ich den Task-Manager starten wollte, konnte ich lesen, dass „Der Task-Manager wurde durch den Administrator deaktiviert“ war.

Seit etwa dieser Zeit kann ich auch keine Pdf-Dateien mehr ansehen, ohne dass sich die Buchstaben – während das Dokument (zuerst noch lesbar) geöffnete ist – in Zahlen in kleinen Kreisen verwandeln.

Nun gut. Ich habe http://lookfor.cc/?pin=77035 mit hijack this gefixt und wieder meine alte Startseite.

Den Task-Manager kann ich benutzen, wenn ich unter Start/Ausführen/regedit/Enter

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemDisableTaskMgr

oder (eines von beiden – ich weiß es nicht mehr genau)

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemDisableTaskMgr

Lösche.

Aber: Irgendwie stellt sich alles wieder zurück – auch ohne Neustart. Das heißt, das Problem ist noch nicht behoben. AntiVir fand zunächst nichts, und auch NOD32 nicht. Komischerweise sprang allerdings AntiVir (obwohl deaktiviert) beim NOD32 Scan an und meldete den Trojaner TR/Dldr.Age.abs.1.A. Habe ich überschrieben und gelöscht. Aber das Problem mit dem Task-Manager und dem „Eingabefenster“ besteht weiterhin. Nun habe ich natürlich das ungute Gefühl, da werkelt noch was auf meinem Rechner herum.

Dann ist mir aufgefallen, dass die Dateien c:\windows\system\config default, sam, scurity, software und system samt LOG-Dateien von AntiVir nicht gescant werden können. Wenn ich den Task-Manger öffnen wollte, veränderte eine LOG-Datei (welch, weiß ich nicht mehr) ihre Größe von 1 KB auf 16 KB und dann wieder auf 1 KB. Da passierte also irgendetwas. Kann das was mit meinem Problem zu tun haben? (Jetzt tritt dieses Phänomen übrigens nicht mehr auf!)

Die Hijjack.de – Logfile-Auswertung ergab, dass

O17 - HKLM\System\CCS\Services\Tcpip\..\{20773F05-86AC-466C-A238-D94B5963A9CB}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B4AB3AB-2654-4A2A-80D0-13A41B5980FB}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{35048E45-C9AF-46CE-B204-18CF86A5DCBA}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B0E4FAA-CCD5-4182-878B-15B9C43DC778}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{906AF1EA-1881-42D3-AB09-12534ACE25B1}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{20773F05-86AC-466C-A238-D94B5963A9CB}: NameServer = 85.255.114.20,85.255.112.82

als gefährlich einzustufen seien. Habe ich gelöscht.

So, jetzt endlich meine Fragen:

1) Deuten die Probleme auf Spyware hin und wenn ja, auf welche?

2) Wenn nein: Wie kann ich die Probleme – DOS-Fenster, Task-Manager - dauerhaft beheben?

3) Hat jemand eine Idee, warum ich meine Pdf-Dateien nicht mehr lesen kann?

4) Kann man die c:\windows\system\config default, sam, scurity, software und system samt LOG-Dateien irgendwie aus Spyware überprüfen?

5) Falls TR/Dldr.Age.abs.1.A. an allem Schuld ist: Gibt es über den Trojaner Infos? Habe nämlich im Netz keine gefunden.

So, sorry für die lange Anfrage, hoffe, ich verstoße damit nicht gegen eure Forums-Regeln!

Beste Grüße,

Virenmagnet

Hallo,
also erstma wäre ein komplettes HijackThis logfile gut ,
da man sich nicht auf die automatische Auswertung verlassen sollte.
Dateien kannst du hier auf Viren prüfen.
Kannst anschließend ja das Ergebnis posten.

Danke für die schnelle Antwort!

Das komplette Logfile sieht so aus:

Logfile of HijackThis v1.99.1
Scan saved at 17:24:26, on 29.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\WLAN Monitor\wlconfig.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\per.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\Programme\ScanSoft\NaturallySpeaking\Program\natspeak.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\DOKUME~1\Helge\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis_199.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [wlconfig] C:\Programme\WLAN Monitor\wlconfig.exe -autostart
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\system32\per.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - Startup: Dragon NaturallySpeaking.lnk = C:\Programme\ScanSoft\NaturallySpeaking\Program\natspeak.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{20773F05-86AC-466C-A238-D94B5963A9CB}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B4AB3AB-2654-4A2A-80D0-13A41B5980FB}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{35048E45-C9AF-46CE-B204-18CF86A5DCBA}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B0E4FAA-CCD5-4182-878B-15B9C43DC778}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{906AF1EA-1881-42D3-AB09-12534ACE25B1}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{20773F05-86AC-466C-A238-D94B5963A9CB}: NameServer = 85.255.114.20,85.255.112.82
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe

Oh je,

habe gerade gemerkt, dass die soeben gefixten Einträge schon wieder da sind.

Tja, was kann man da machen???

Beste Grüße,

Virenmagnet

Prüfe diese Datei mal bei Jotti.Der Link dazu ist in meinem vorherigen Post.
C:\WINDOWS\system32\per.exe

Diese Einträge scheinen wiedergekommen zu sein:
O17 - HKLM\System\CCS\Services\Tcpip\..\{35048E45-C9AF-46CE-B204-18CF86A5DCBA}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B0E4FAA-CCD5-4182-878B-15B9C43DC778}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{906AF1EA-1881-42D3-AB09-12534ACE25B1}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{20773F05-86AC-466C-A238-D94B5963A9CB}: NameServer = 85.255.114.20,85.255.112.82

Desweiteren solltest du nur 1 AVP mit aktiviertem Guard haben.

Zitat:

Zitat von Virusmagnet

Oh je,

habe gerade gemerkt, dass die soeben gefixten Einträge schon wieder da sind.

Tja, was kann man da machen???

Beste Grüße,

Virenmagnet

Den Ursprung dieser Einträge ausmachen und

So, und wenn ich die Dateien, die ich in Verdacht habe, über die von Dir angegebene Seite checken lassen will, sagt man mir "The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file."

Firewall oder Malware, dass ist ja nicht ganz unerheblich. Und ich würde die Firewall im monet iregendwie auch nicht so gern deaktivieren, solange ich nicht weiß, was sich da auf meinem Rechner tut!

Bitte um Rat,

Virenmagnet

Ich persöhnlich halte nicht viel von Firewalls.
Habe keine und ich denke die meisten hier auch nicht.
Also ich würde sagen nen Versuch ist es wert.
Aber es ist deine Entscheidung.

Hab mal grad nachgeschaut was die per.exe sein könnte.
http://www.sophos.de/virusinfo/analyses/w32zotobc.html

Danke für den Scan-Tipp (jotti), da ist ja allerhand an maleware in per.exe!!!

Hier schon mal das Ergebnis:

Auslastung: 0% 100%

Datei: per.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: FSG

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender BehavesLike:Trojan.Downloader gefunden (mögliche Variante) ClamAV Keine Viren gefunden
Dr.Web DLOADER.Trojan gefunden (mögliche Variante)
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Delf.aeu gefunden
NOD32 Keine Viren gefunden
Norman Virus Control W32/DLoader.NUV gefunden
UNA Keine Viren gefunden
VBA32 Trojan-Downloader.Win32.Delf.aeu gefunden

Hallo JayP.

das ist jetzt wahrscheinlich eine ziemlich blöde Frage, aber kann ich per.exe einfach löschen?

Jap.
Mach das mal im Abgesicherten Modus.
Und poste anschließend ein neues Logfile.

Hallo Jap (?)

Habe die per.exe im abgesicherten Modus gelöscht. Ging ganz leicht (manchmal geht sowas ja gar nicht). Beim Neustart tauchte das ominöse Eingabefenster nicht mehr auf (was mir große Freude bereitet hat). Das Hijack Log sieht jetzt so aus:

Logfile of HijackThis v1.99.1
Scan saved at 16:59:37, on 30.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\WLAN Monitor\wlconfig.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\Programme\ScanSoft\NaturallySpeaking\Program\natspeak.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Helge\LOKALE~1\Temp\Temporäres Verzeichnis 7 für hijackthis_199.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [wlconfig] C:\Programme\WLAN Monitor\wlconfig.exe -autostart
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\system32\per.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - Startup: Dragon NaturallySpeaking.lnk = C:\Programme\ScanSoft\NaturallySpeaking\Program\natspeak.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe

Soweit ich das überblicke - wobei bei Blick da nicht sehr weit reicht - fehlen die bösen Einträge von vorhin!

Mal sehen, was des Task-Manager in der nächsten Zeit so treibt!

Da Antivir offensichtlich nicht wirklich alle malware gefunden hat, würde ich gern mal meine einen Kompletten Online Check à la jotti machen. Ist das empfehlenswert und wenn ja, wo?

Ein Problem ist übrigens leider geblieben: Der Text meine Pdf-Dateien verwandelt sich immer noch in Zahlen in kleinen Kullern!
Ne Idee, woran das liegt und was man da machen kann? Ich habe Adobe 7.0.5und das habe ich auch gerade - also gestern - frisch gedownloadet, da ich dachte, es ist vielleicht ein Download-Fehler aufgetreten. Ich bin mir übrigens nicht ganz sicher, ob ich die Probleme mit dieser Version von Anfang an hatte, da die Probleme und der Dowload zeitlich nahe beieinander lagen.

Beste Grüße, Virenmagnet

PS: Task-Manger geht immer noch!

Diesen Eintrag noch fixen und dann sollte der rest davon runter sein:
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\system32\per.exe internat.dll,LoadKeyboardProfile

Also ich wüsste nicht wo es einen so intensiven online Komplettscan gibt.
Allerdings bieten einige AV Herrsteller kostenlose online Scans an ,z.B. Symantec (www.symantec.de)

Bei dem Problem mit den pdf kann ich dir leider nicht helfen.
Kenne mih da nicht richtig mit aus.
Könntest aber ma schaun ob nich vllt. ein anderer bereits dieses Problem hatte.
Benutz einfach mal die Forensuche

Also, noch eimal ein riesigen Dank für Deine Hilfe . Habe den von Dir genannten Eintrag gefixt (hatte ich natürlich übersehen ).

Auf die Seite von Symatec werde ich mal gehen und in diesem Forum suchen, ob jemand das gleiche Problem mit seinen pdf Dateien hat. Irgendwann müsste ich ja eientlich fündig werden.

Nochmals besten Dank und viele Grüße,

Virenmagnet