Hi,
ich habe schon diverse Beiträge gefunden, aber ales hat bis jetzt nichts geholfen. Habe die Systemwiederherstellung deaktiviert und im abgesichterten Modus mit dem Virenscaner nichts mehr gefunden. Dann wieder aktiviert und im normalen Modus gestartet und jetzt kommt wieder pünktlich zu jeder neuen Stunde in folgendem Ordner
C:\Dokumente und Einstellungen\*********\Lokale Einstellungen\Temp
ne .exe Datei, die mir in denselben Ordner den Virus einschleust.

Was kann ich dagegen tun?

Hijack-Log:

Logfile of HijackThis v1.99.1
Scan saved at 15:30:26, on 06.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Acer\eManager\anbmServ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programme\BitTornado\btdownloadgui.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\SebastianEbel\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {BF27E27B-8864-2967-2033-A272B11ECDD7} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B}(QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133204167795
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ****
O17 - HKLM\Software\..\Telephony: DomainName = ****
O17 - HKLM\System\CCS\Services\Tcpip\..\{007401E6-F6A6-44FB-A54F-B17594708435}: NameServer = 81.14.243.9 81.14.244.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A450393-0912-4B3A-BD5F-CA2F53A15074}: NameServer = 212.59.54.180,212.59.54.188
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ****
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ****
O17 - HKLM\System\CS2\Services\Tcpip\..\{007401E6-F6A6-44FB-A54F-B17594708435}: NameServer = 81.14.243.9 81.14.244.9
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = ***
O20 - Winlogon Notify: RunServices - C:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

Hallo.

1.) Lade dir das Tool -> CleanUp,
stell das Tool genauso ein wie in der Anleitung beschrieben.

2.) Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

3.) F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit Blacklight-
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

Gruß
Sunny

Hier das escan Ergebnis:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Microsoft Windows XP [Version 5.1.2600]
>
Wed Feb 07 14:26:49 2007 => Virus Database Date: 2/7/2007
Wed Feb 07 14:29:39 2007 => Virus Database Date: 2/7/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Feb 07 13:03:10 2007 => System found infected with killav.nbd Browser Hijacker (svhost.exe)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Wed Feb 07 13:33:52 2007 => File C:\Dokumente und Einstellungen\All Users\Dokumente\setup.exe infected by "Trojan-Downloader.Win32.Agent.aii" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Wed Feb 07 13:14:02 2007 => File C:\WINDOWS\system32\HFL.DLL tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Wed Feb 07 13:14:03 2007 => File C:\WINDOWS\system32\txrmmgr.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Wed Feb 07 13:14:06 2007 => File C:\WINDOWS\system32\rysutils.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Wed Feb 07 13:14:09 2007 => File C:\WINDOWS\system32\kyduzb.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Wed Feb 07 13:14:10 2007 => File C:\WINDOWS\system32\kv1394.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Wed Feb 07 13:15:38 2007 => File C:\WINDOWS\system32\hrj6051se.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Wed Feb 07 13:15:41 2007 => File C:\WINDOWS\system32\q686lgls16q6.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Wed Feb 07 13:15:41 2007 => File C:\WINDOWS\system32\cDiscii.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Wed Feb 07 13:15:41 2007 => File C:\WINDOWS\system32\lvrm0991e.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Wed Feb 07 14:13:10 2007 => File D:\Downloads\netpumper-1.25-setup-NP_0070.exe tagged as "not-a-virus:AdWare.Win32.Lop.ai". Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Wed Feb 07 13:03:10 2007 => Offending file found: C:\WINDOWS\system32\svhost.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Wed Feb 07 13:03:14 2007 => Offending Folder found: C:\Dokumente und Einstellungen\SebastianEbel\Anwendungsdaten\sopcast\adv
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Wed Feb 07 13:03:07 2007 => Offending Key found: HKLM\Software\ptech !!!
Wed Feb 07 13:03:07 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\media-motor.net !!!
Wed Feb 07 13:03:08 2007 => Offending Key found: HKLM\System\CurrentControlSet\Services\iprip !!!
Wed Feb 07 13:03:08 2007 => Offending Key found: HKLM\System\ControlSet001\Services\iprip !!!
Wed Feb 07 13:03:08 2007 => Offending Key found: HKLM\System\ControlSet002\Services\iprip !!!
Wed Feb 07 13:03:08 2007 => Offending Key found: HKLM\System\ControlSet003\Services\iprip !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



edit:Das Blacklight Tool funktioniert nicht, da es "sedebugprivilege" benötigt. Keine Ahnung, wie man das andern kann.

Lade dir nun das Tool -> Look2me Destroyer

1 ) Schließe alle offenen Fenster und Doppel-klicke die Look2Me-Destroyer.exe um das Programm zu starten.
2 ) Setzte einen Haken bei run this program as a task
3 ) Es erscheint eine Nachricht in der steht, dass sich innerhalb der naechsten 10 Sekunden der Look2Me Destroyer oeffnen und schliessen wird.
4 ) Klicke auf OK
5 ) Wenn das Programm sich wieder oeffnet, auf scan for L2Me klicken.
6 ) Wenn der Scan fertig ist, auf Remove L2Me klicken. Es erscheint danach eine "Done scanning" Nachricht. Einfach auf "OK" klicken.
7) Nach Beendigung des Scans, kommt folgende Nachricht: Done removing infected files! Look2Me-Destroyer will now shutdown your compute und der PC faehrt herunter.
8 ) PC starten und den Inhalt der C:\Look2Me-Destroyer.txt

Gruß
Sunny

Hier die Log-Datei:


Look2Me-Destroyer V1.0.12
Scanning for infected files.....
Scan started at 07.02.2007 15:41:39
Infected! C:\WINDOWS\system32\txrmmgr.dll
Infected! C:\WINDOWS\system32\rysutils.dll
Infected! C:\WINDOWS\system32\kyduzb.dll
Infected! C:\WINDOWS\system32\kv1394.dll
Infected! C:\WINDOWS\system32\hrj6051se.dll
Infected! C:\WINDOWS\system32\q686lgls16q6.dll
Infected! C:\WINDOWS\system32\cDiscii.dll
Infected! C:\WINDOWS\system32\lvrm0991e.dll
Attempting to delete infected files...
Attempting to delete: C:\WINDOWS\system32\txrmmgr.dll
C:\WINDOWS\system32\txrmmgr.dll Deleted successfully!
Attempting to delete: C:\WINDOWS\system32\rysutils.dll
C:\WINDOWS\system32\rysutils.dll Deleted successfully!
Attempting to delete: C:\WINDOWS\system32\kyduzb.dll
C:\WINDOWS\system32\kyduzb.dll Deleted successfully!
Attempting to delete: C:\WINDOWS\system32\kv1394.dll
C:\WINDOWS\system32\kv1394.dll Deleted successfully!
Attempting to delete: C:\WINDOWS\system32\hrj6051se.dll
C:\WINDOWS\system32\hrj6051se.dll Deleted successfully!
Attempting to delete: C:\WINDOWS\system32\q686lgls16q6.dll
C:\WINDOWS\system32\q686lgls16q6.dll Deleted successfully!
Attempting to delete: C:\WINDOWS\system32\cDiscii.dll
C:\WINDOWS\system32\cDiscii.dll Deleted successfully!
Attempting to delete: C:\WINDOWS\system32\lvrm0991e.dll
C:\WINDOWS\system32\lvrm0991e.dll Deleted successfully!
Making registry repairs.
Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RunServices
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{2690A790-6EC9-4A3B-9037-26D2E0ED7DA7}"
HKCR\Clsid\{2690A790-6EC9-4A3B-9037-26D2E0ED7DA7}
Restoring Windows certificates.
Replaced hosts file with default windows hosts file

Restoring SeDebugPrivilege for Administratoren - Succeeded

Der Blacklight Scan hat übrigens nichts gefunden!

Bin mal gespannt, ob es gleich um 16Uhr wieder losgeht...
edit: Es ging wieder los!

Das Problem taucht jetzt nur noch auf, wenn der PC mit dem Internet verbunden ist.

Trotzdem nervt es gewaltig. Hat noch irgendjemand einen Tip, was ich noch machen kann, statt des Neuaufsetzens. Habe im Moment einfach keine Zeit dafür, da ich im Klausurenstress bin.

Ich glaube ich hatte da was übersehen...

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\svhost.exe

* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Sunny

Zitat:

Zitat von [Gc]Sunny

Ich glaube ich hatte da was übersehen...




* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Sunny

Was meinst du mit nacheinenander? Du hattest doch nur von der svhost.exe gesprochen, oder? Hier zumindest das Ergebnis des Scans:

AntivirusVersionUpdateResultAntiVir7.3.1.3602.09.2007 no virus found
Authentium4.93.802.09.2007 no virus found
Avast4.7.936.002.09.2007 no virus found
AVG38602.08.2007 no virus found
BitDefender7.202.09.2007 no virus found
CAT-QuickHeal9.0002.09.2007 no virus found
ClamAVdevel-2006042602.09.2007 no virus found
DrWeb4.3302.09.2007 no virus found
eSafe7.0.14.002.09.2007 no virus found
eTrust-Vet30.4.338202.09.2007 no virus found
Ewido4.002.09.2007 no virus found
Fortinet2.85.0.002.09.2007 no virus found
F-Prot4.2.1.2902.09.2007 no virus found
F-Secure6.70.13030.002.09.2007 no virus found
IkarusT3.1.0.3102.09.2007 no virus found
Kaspersky4.0.2.2402.09.2007 no virus found
McAfee495902.08.2007 no virus found
Microsoft1.210102.08.2007 no virus found
NOD32v2204802.09.2007 no virus found
Norman5.80.0202.09.2007 no virus found
Panda9.0.0.402.09.2007Suspicious file
Prevx1V202.09.2007 no virus found
Sophos4.13.002.08.2007 no virus found
Sunbelt2.2.907.002.09.2007 no virus found
Symantec1002.09.2007 no virus found
TheHacker6.1.6.05502.09.2007 no virus found
UNA1.8302.08.2007 no virus found
VBA323.11.202.08.2007 no virus found
VirusBuster4.3.19:902.09.2007 no virus found


Aditional InformationFile size: 21721 bytes
MD5: c58a0362a9cf6c6018349a34f888c225
SHA1: 264d0fdf4bb2cb62d2308782dc84f7b04814e86a

Hallo,
scheint problematisch zu werden.....
Mache erst mal folgendes ...
"alle Dateien sichtbar machen" Google danach,du wirst eine Anleitung finden...
dann googelst du nach "wie man Dateien richtig sucht" auch dazu wirst du eine Anleitung finden.
Dann suchst du mal nach der von "Sunny" gezeigten Datei.Achte aber unbedingt auf die genaue Schreibweise !!
Hast du die Datei gefunden,weiter mit Virustotal und Ergebnis posten.
Irrlicht

Soll ich das so verstehen, dass es die Datei mehr als 1mal gibt? Oder warum soll ich noch danach suchen?

Die versteckten Dateien lasse ich sowieso immer anzeigen, die svhost.exe, die ich prüfen lassen habe war auch eine versteckte, glaube ich.

Hallo,

Zitat:

glaube ich.

Es ist halt so eine Sache mit dem Glauben.....
Jeder hat seinen Eigenen....
Der gesuchte Prozess kommt öfters vor,wenn du nicht ganz genau auf die Schreibweise achtest.
Du suchst :svhost.exe
Mehrmals vorhanden ist aber diese : svchost.exe < diese ist korrekt
Irrlicht

Für die svchost in win32: no virus found

Aditional Information
File size: 14336 bytes
MD5: 65a819b121eb6fdab4400ea42bdffe64
SHA1: 0dfdee2871427e9c40ec82541156884ff9b4bfa3

Für die in C:\WINDOWS\$NtServicePackUninstall$ : no virus found
Aditional Information
File size: 12800 bytes
MD5: adbb33d5893bcf08e75ea54bb5669205
SHA1: 23c55cf3635d2f77b119f639853a0a89869e30f3

Für die in C:\WINDOWS\system32\dllcache : no virus found

Aditional Information
File size: 14336 bytes
MD5: 65a819b121eb6fdab4400ea42bdffe64
SHA1: 0dfdee2871427e9c40ec82541156884ff9b4bfa3

zu guter letzt noch die in C:\WINDOWS\ServicePackFiles\i386 : no virus found
File size: 14336 bytes
MD5: 65a819b121eb6fdab4400ea42bdffe64
SHA1: 0dfdee2871427e9c40ec82541156884ff9b4bfa3

und nun? Bei der svhoct hatte er ja wenigstens einen Verdacht gefunden...