Hallo an alle und schonmal vielen Dank für eure Hilfe.

Ich habe mir vermutlich (ich bin nicht sicher) vor kurzem beim Surfen einen Virus/Trojaner eingefangen.

Ich habe Windows XP und auto Updates etc. am laufen. Desweiteren benutze ich Antivir und habe auch hier die Autoupdates an. Als Firewall benutze ich BlackIce.

Seit ca. 3 Tagen ist mein Internet schrecklich langsam, es dauert ewig bis sich Seiten aufbauen etc. Ich dachte zu erst, dass es einfach an T-Online liegt und habe deshalb am ersten Tag noch nichts unternommen. Am zweiten Tag hab ich dann mal in den taskmanager geschaut und viele svchost.exe Files gesehen. Ich hab einfach mal die am meisten Speicher gebraucht hat, beendet und es lief wieder. Da ich mir allerdings gedacht habe, dass kann ja nicht das wahre sein, hab ich Antivir laufen lassen und ein HijackThis log erstellt. Passiert ist das ganze vermutlich als eine Internetseite ein ActiveX Element ausführte was ich eigentlich garnicht wollte und auch gleich beendet habe.

Antivir meldete folgendes:
In der Datei 'C:\WINDOWS\system32\rasz.exe'
wurde ein Virus oder unerwünschtes Programm 'Worm/IRCBot.32068' [WORM/IRCBot.32068] gefunden.


Das Hijacklogfile sieht folgendermasen aus:

Logfile of HijackThis v1.99.1
Scan saved at 20:37:33, on 10.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ISS\BlackICE\blackd.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.00\SiSWLSvc.exe
C:\WINDOWS\System32\svchost.exe
G:\Programme\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\DAEMON Tools\daemon.exe
D:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\PokerOffice\bin\javaw.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\ISS\BlackICE\blackice.exe
C:\Programme\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.00\WlanCU.exe
C:\Dokumente und Einstellungen\*****\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Dokumente%20und%20Einstellungen/Lord_Krueger.LORD-KRUEGER/Eigene%20Dateien/Eigene%20Webs/_private/index.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1:80
O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\DOKUME~1\LORD_K~1\LOKALE~1\Temp\AutoRunPro1\IDMIECC.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PreispiratenSearchURL - {0B660087-931C-4056-A04F-0423890E40B6} - C:\Programme\Preispiraten\Preispiraten2\PPSearchURL.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programme\FreshDevices\FreshDownload\fdcatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: metaspinner media GmbH - {D3AA56A9-8137-4950-A6F9-D0190A82AF2A} - C:\Programme\Preispiraten\Preispiraten2\IEButtonPPInterface.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [POEngine] "F:\PokerOffice\POEngine.exe" F:\PokerOffice
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EPSON Stylus C84 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P33 "EPSON Stylus C84 Series (Kopie 1)" /O6 "USB002" /M "Stylus C84"
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe /startup
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot
O4 - Global Startup: BlackICE PC Protection.lnk = C:\Programme\ISS\BlackICE\blackice.exe
O4 - Global Startup: Wireless Configuration Utility HW.32.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\Preispiraten2\\preispiraten.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Bild zum Bildarchiv senden - file://C:\Programme\MGI\MGI PhotoSuite III SE\Temp\MGI00000.html
O8 - Extra context menu item: Download All Links with IDM - C:\DOKUME~1\***\LOKALE~1\Temp\AutoRunPro1\IEGetAll.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Download with IDM - C:\DOKUME~1\***\LOKALE~1\Temp\AutoRunPro1\IEExt.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Preispiraten 2.5 - {2638A03E-1669-43BE-8119-B47087629A7F} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: BetOnBet Poker - {2B936D2B-EDD7-405f-9057-3685BE897E62} - C:\Programme\betonbetMPP\MPPoker.exe
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\Rip Progs\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\Rip Progs\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programme\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programme\Titan Poker\casino.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: PokerTime Poker - {7220F1C9-B7E0-47a6-A0BD-D5B3940BCC79} - C:\Programme\PokerTimeMPP\MPPoker.exe
O9 - Extra button: River Belle Poker - {83F8B625-1B04-4c35-8BA1-6DB4D7EDBADF} - C:\Programme\riverbelleMPP\MPPoker.exe (file missing)
O9 - Extra button: Golden Riviera Poker - {85BFB6E0-96F9-4424-8819-1D67E9F78D33} - C:\Programme\goldenrivieraMPP\MPPoker.exe
O9 - Extra button: bet365 Poker - {B1BA4A3F-1C95-497b-9F82-F8DA4A5C89DD} - C:\Programme\bet365MPP\MPPoker.exe
O9 - Extra button: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunCasino.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunCasino.exe (file missing)
O9 - Extra button: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Programme\Noble Poker\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Programme\Noble Poker\casino.exe (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing)
O9 - Extra button: Royal Vegas Poker - {FA4904B4-1FAF-4afd-886C-C19D2297BA62} - C:\Programme\royalvegasMPP\MPPoker.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Poker.com - {6FDD5236-C9F0-49ef-935D-385F5E21991A} - C:\Programme\Poker.com\poker.exe (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://turnier.freenet.de/midasa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game03.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp03.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://asp04.photoprintit.de/microsite/2363/customers/2363/live/activex/XUpload.ocx
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Object) - https://casinoclassic.microgaming.com/casinoclassic/FlashAX2.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlackICE - Internet Security Systems, Inc. - C:\Programme\ISS\BlackICE\blackd.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger dmadminNla (dmadminNla) - Unknown owner - C:\WINDOWS\system32\rasz.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: RapApp - Internet Security Systems, Inc. - C:\Programme\ISS\BlackICE\rapapp.exe
O23 - Service: SiS WirelessLan Service (SiSWLSvc) - Unknown owner - C:\Programme\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.00\SiSWLSvc.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - G:\Programme\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe



Aktueller Stand:
Ich habe das Virus File gelöscht.
Ich habe meine Passwörter geändert.
Ich habe den Pc vom Netz genommen.
Ich habe hier gepostet und hoffe auf Hilfe *g*


So jetzt meine Frage:
Wie schlimm ist es. Muss ich das System neu aufsetzten?
Muss ich alle meine Partitionen löschen.
Wenn mein Upload Manager keinen Upload in der betroffenen Zeit verzeichnet hat, kann ich dann sicher sein dass nich nicht für irgendwelche Upload Zwecke missbraucht wurde?


vielen Dank,

LordK

Lass die Datei doch einfach mal bei:
virustotal auswerten.

Dann weißt du, ob es sich um einen Fehlermeldung handelt, oder ob es tatsächlich ein Virus ist.

Da der Freund wirklich böse ist:

Zitat:

Zitat von antivir

• Lädt Dateien herunter
• Setzt Sicherheitseinstellungen herunter
• Änderung an der Registry
• Macht sich Software Verwundbarkeit zu nutzen
• Ermöglicht unbefugten Zugriff auf den Computer

Bleibt dir bei einem Befall leider nur ein Neuaufsetzen übrig.
Dabei empfiehlt es sich nach folgender Anleitung vorzugehen:klick, in der sich auch ne Menge Tipps zum absichern findengibt.

lg myrtille

Ok vielen dank schonmal für die Hilfe.

Kann ich irgendwie feststellen ob von meinem PC was geladen wurde? Fotos / Dateien etc.?

Ich werde dann wohl alles mal neu machen.. So ein mist aber auch ;-(.

Achja noch ne Frage. An dem aktuellen HiJack File ist aber alles ok oder? Oder kann man da noch mehrere böse Sachen sehen?

Hi,
Mitm Upload kenn ich mich nicht aus... aber ich vermute, mal dass das nicht der Bundestrojaner ist und man daher kein Interesse an deinen Urlaubsphotos hat.


In deinem Log fallen mir vor allem eins auf, wenn man davon ausgeht, dass die ganzen Poker- und Casinosachen gewollt sind:

Zitat:

O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger dmadminNla (dmadminNla) - Unknown owner - C:\WINDOWS\system32\rasz.exe (file missing)

Sozusagen, der Beweis, dass es sich die Datei bei dir gemütlich gemacht hatte.
Ansonsten noch jede Menge Software die ich nicht kenne, die aber legitim aussieht. (Black Ice zb. ist mir nicht bekannt, aber wohl ne Firewall und nicht das Böse)

Die Svchost.exe hast du übrigens zu unrecht verdächtigt, die gehört (auch mehrfach) zu Windows. (was nicht heißt, dass da nicht gelegentlich Probleme bestehen)

lg myrtille

Ja also die ganzen Kasino/Poker Sachen gehören da schon rein .

Der Eintrag ist mir auch aufgefallen, das war genau die Datei die der Virus war und jetzt wohl weg ist. Naja bleibt mir wohl nix anderes übrig als neu zu installieren.

Die Hauptfrage ist allerdings müssens wirklich alle Partitionen sein... aber da der Virus wohl den Zugriff aufs gesammte System ermöglicht muss ich wohl alle löschen.

Also danke,

cya LordK

Schau dir mal den Link an.

Zitat:

Es sollte mindestens die System-Partition (i.d. Regel C, besser aber alle befindlichen Partitionen der Festplatte, gelöscht werden. Anschliessend wird die Festplatte bei der Installation des Betriebssytems neu partitioniert und das System gemäss der nachfolgenden Anleitung abgesichert.

Ist deine Entscheidung... ich an deiner Stelle würde wahrscheinlich nur die System-Partition formatieren.... (Fauhlheit siegt. ) Dann bleibt allerdings ein (wenn auch recht kleines) Restrisiko bestehen.

In dem Link stehen außerdem Informationen zu Images, was einen späteren Befall evtl in 20 Minuten lösen könnte.

lg myrtille

Vielen Dank nochmal für die Hilfe.
Ich werde mir den Link durchlesen und auch gleich alles so machen wie es da steht.

Ich werde jetzt erstmal nur die Systemplatte formatieren und dann nach und nach den Rest.

Das mit dem Image klingt interressant werd ich mir aufjedenfall anschauen.

Ich hab allein zum Passwort ändern jetzt schon über ne Stunde gebraucht, man glaubt garnicht wieviele Passwörter man hat .

mfg
LordK

Glaub ich dir gerne.

Dennoch ist sowas häufig noch schneller als ne Bereinigung... Wenn Leute Anweisungen bekommen und sich hinterher melden, dass der und der Scan 12 Stunden gebraucht hat, denk ich mir, dass Neuaufsetzen schneller und sicherer gewesen wäre. (Vor allem wenn hinterher rauskommt, dass sie doch noch Neuaufsetzen müssen. )

Ich hab mittlerweile ne Art "Backup-CD" auf der die Service Packs drauf sind und alle Freeware, die ich mir über die Jahre geladen habe sind.
Gebraucht hab ich sie bisher zum Glück nur, als Windows meinte, mein Joysticktreiber würde das System zerschießen... ich aber noch nie nen Joystick benutzt hab. Das war nimmer zu retten.

War allerdings dann überrascht wie schnell Neuaufsetzen gehen kann, wenn man nicht erst 2 Tage nach der Windows-CD sucht und hinterher noch 3 Wochen versucht seine Software im Netz wiederzufinden.

Ja, also so ne CD mit den Service Packs etc. habe ich auch. Genauso wie eine CD mit meiner ganzen Freeware Software. Also ich denke dass ich das in einem freien Nachmittag alles hinbekommen sollte.

Ich hoffe dann einfach mal, dass nicht zuviel von meinen Daten kopiert wurde. Aber ich denke einfach dass das nicht so oft vorkommt dass da irgendwas privates kopiert wird. Wenn sind die ja doch eher hinter den Passwörtern etc her. Wenn nicht sogar nur irgendjemand versucht sich nen Spass damit zu machen.

Naja vielen Dank nochmal und auf bald,

cya LordK