Guten Abend zusammen,

es hat sich ein Trojaner(?) Wurm(?) auf meiner Rechner breit gemacht:

win32.delf.cu

Mit search&destroy wird er nach jedem Neustart gefunden und gelöscht. Dann installiert er sich schön wieder selbst.

Nach Durchforstung diverster Foren habe ich das folgende verusucht:

Im abgesicherten Modus SDfix nach dem Dings suchen und gegebenenfalls entfernen zu lassen. Dies hat aber auch nach diversen Versuchen nicht funktioniert. SDFix findet keinen Trojaner. Dies war der letzte Report:


SDFix: Version 1.102

Run by * on 07.09.2007 at 20:00

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

No Trojan Files Found




Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"\\??\\C:\\WINDOWS\\system32\\winlogon.exe"="\\??\\C:\\WINDOWS\\system32\\winlogon.exe:*:Enabled:explorer"

Remaining Files:
---------------


Files with Hidden Attributes:

C:\Programme\Canon\Canon Setup Utility 2.3\uinstrsc.dll
C:\Programme\Canon\CanoScan Toolbox Ver5.0\uinstrsc.dll
C:\Programme\Canon\Canon Setup Utility 2.3\Maint.exe
C:\Programme\Canon\CanoScan Toolbox Ver5.0\Maint.exe
C:\Programme\Messenger\msmsgs.exe

Finished

Daher habe ich nun einen Hijackthis-log erstellt. Dieser besagt das Folgende:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:37:56, on 07.09.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\AMD\PowerNow!\GemServ.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Samsung\Digimax Viewer 2.0\STImgBrowser.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.5.0_09\bin\jucheck.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Dokumente und Einstellungen\*\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.2.1:3128
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [JVM0.12] C:\WINDOWS\System32\pzaumjp.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [UVS10 Preload] C:\Programme\Ulead Systems\Ulead VideoStudio 10\uvPL.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [AAWTray] C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Digimax Viewer 2.0.lnk = ?
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O4 - Global Startup: Verknüpfung mit AmP.lnk = D:\Schule\Formulare_Vorlagen\AmP\AmP.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - http://webmail.fitchratings.com/iNotes6W.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/2806debdffe900c9f320/netzip/RdxIE601_de.cab
O20 - Winlogon Notify: rlx5dom1 - C:\WINDOWS\SYSTEM32\rlx5dom1.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: AMD PowerNow! Service (GemServ) - Unknown owner - C:\Programme\AMD\PowerNow!\GemServ.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/**/LOKALE~1/Temp/msohtml1/01/clip_image001.jpg

--
End of file - 7232 bytes


Nun meine Frage:
Gibt es noch eine Alternative zum totalen Neuaufspielen? Kann ich das Ding irgendwie entfernen?

Und eine zweite Frage:
Ich bin leider ziemlich Prüfungsgestresst und würde das Ganze (Neuaufspielen, Sichern, etc.) am liebsten erst in circa 10 Tagen mache. Wenn ich bis dahin meinen Rechner vom Netz trenne, meine Examensarbeit schreibe, die auf einen Stick ziehe und irgendwo extern (Copy-Shop) ausdrucke, kann:
1. das Biest sich auf den Stick spielen?
2. das Biest meinem Computer sonst irgend einen Schaden anrichten?

Das waren viele Fragen auf Einmal.

Ich bin sehr dankbar für jegliche Hilfe!!

Grüße
Nikk

Ich sehe gerade du hast noch nichtmal das Service Pack 2 drauf.
An deiner Stelle würde ich neu aufsetzen und gleich von Anfang an das System absichern.

Keine andere Chance - zumindest fürs erste?

Zitat:

Zitat von Nikk

Keine andere Chance - zumindest fürs erste?

Wenn dann als allererstes Service Pack 2 und alle Patches einspielen - dann sehen wir weiter.

Hallo,
außerdem prüfe bitte bei Virustotal nacheinander die beiden folgenden Dateien:

Zitat:

Zitat von Nikk

C:\WINDOWS\System32\pzaumjp.exe
C:\WINDOWS\SYSTEM32\rlx5dom1.dll

Poste hier das komplette Ergebnis.

Zitat:

O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/**/LOKALE~1/Temp/msohtml1/01/clip_image001.jpg

Hast du eine Erklärung für diesen Eintrag?

Hm, da bin ich skeptisch.

Zitat:

O20 - Winlogon Notify: rlx5dom1 - C:\WINDOWS\SYSTEM32\rlx5dom1.dll

sieht nach einem typischen Haxdoor-eintrag aus.

Wenn du es genau wissen willst:

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to replace with dummy:
C:\WINDOWS\SYSTEM32\rlx5dom1.dll

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Im Ordner c:\avenger befindet sich backup.zip. Entippe das Archiv und lade die Datei zur Ausertung bei virustotal.com hoch.

Poste bitte die Ergebnisse inkl. HASH und Dateigröße, poste ausserdem den Inhalt der C:\avenger.txt Datei.

Andernfalls - kurz und schmerzlos - setze gleich neu auf, mit SP2! (link siehe ~~Der Jan~~)

Grüße

edit: Franz war schneller

Öh, was genau bedeutet

Zitat:

alle Patches

Danke! Ich bin doch unerfahren, was das Betriebssystem angeht...

Patches/Hotfixes sind Updates für Windows, in der Regel Sicherheitsupdates. Sie schließen Sicherheitslücken im Betriebssystem

SP heißt Service Pack.
SP2 heißt Service Pack 2. Neben zT anderen Funktionen werden in SPs meist alle bisher erschienen Updates (Patches) zusammengefasst.

Da nach SP2 zahlreiche weitere Updates herausgekommen sind, solltest du auch diese einspielen. Diese schützen jedoch - in begrenztem Maß - nur vor einer Infektion. Nach einer Infektion ist das Patchen sinnlos.

Zitat:

Zitat von Nikk

Öh, was genau bedeutet



Danke! Ich bin doch unerfahren, was das Betriebssystem angeht...

Naja alle Windows-Updates. Wenn du das Service Pack 2 eingespielt hast kannst du für die Patches das Windows Update nutzen.

OK.
In C:avenger gibt es keine Datei außer
rlx5dom1.dll (Programmbibliothek)
Kein: backup.zip. und kein: avenger.txt
Ich denke alles korrekt durchlaufen zu ahben. Irgendwas ist aber auch passiert, mit Neustart und allem. Aber leider kein produktives Ergebnis.

(Kann das sein, dass mein Search&destroy-Programm diese art von skripten und Veränderungen wie avenger.exe verhindert? - nur so ne Idee)


Ich habe bei virustotal.com hochgeladen:
C:\WINDOWS\System32\pzaumjp.exe
"konnte nicht gefunden werden"

C:\WINDOWS\SYSTEM32\rlx5dom1.dll
ergab das Ergebnis:
"0 bytes size received / Se ha recibido un archivo vacio"

Da habe ich wohl etwas falsch gemacht?


Und noch zur Frage

Zitat:

O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/**/LOKALE~1/Temp/msohtml1/01/clip_image001.jpg
Hast du eine Erklärung für diesen Eintrag?

Das jpg ist ein Bild das ich mal aus dem Internet heruntergeladen habe, aber es befindet sich an einem andern Ort auf der Festplatte.

Kann ich was besser machen?

Sonst gebe ich auf und starte neu!

Schon jetzt: vielen, vielen Dank an alle!!

Das log von avenger befindet sich auf c:\ und heißt avenger.txt.

Lade die Datei c:\avenger\rlx5dom1.dll mal bei virustotal hoch (das war eigentlich Sinn der Übung, sry, dass es kein Backup.zip gab).

edit: Javascript im Browser fürs Hochladen aktivieren.

Okay!
Hier der Inhalt von avenger.txt:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\gfnrmodn

*******************

Script file located at: \??\C:\wcyvahgm.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\SYSTEM32\rlx5dom1.dll replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.


Und hier das Ergebnis von virustotal.com

Datei rlx5dom1.dll empfangen 2007.09.07 22:14:18 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 24/32 (75%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 39 und 56 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.8.0 2007.09.07 Win-Trojan/Goldun.20014
AntiVir 7.6.0.5 2007.09.07 BDS/Haxdoor.GJ.1
Authentium 4.93.8 2007.09.07 -
Avast 4.7.1043.0 2007.09.07 -
AVG 7.5.0.485 2007.09.07 PSW.Generic4.XNJ
BitDefender 7.2 2007.09.07 Generic.Malware.SFYdlwdld.4BCC37B3
CAT-QuickHeal 9.00 2007.09.07 -
ClamAV 0.91.2 2007.09.07 Trojan.Spy-12329
DrWeb 4.33 2007.09.07 Trojan.PWS.GoldSpy
eSafe 7.0.15.0 2007.09.04 SuspiciousR-Agent26
eTrust-Vet 31.1.5117 2007.09.07 Win32/Starimp!generic
Ewido 4.0 2007.09.07 -
FileAdvisor 1 2007.09.07 -
Fortinet 3.11.0.0 2007.09.07 Spy/Haxdor
F-Prot 4.3.2.48 2007.09.07 -
F-Secure 6.70.13030.0 2007.09.07 Trojan-Spy.Win32.Goldun.pp
Ikarus T3.1.1.12 2007.09.07 Trojan-Spy.Win32.Goldun
Kaspersky 4.0.2.24 2007.09.07 Trojan-Spy.Win32.Goldun.pp
McAfee 5115 2007.09.07 -
Microsoft 1.2803 2007.09.07 TrojanSpy:Win32/Goldun.gen!dll
NOD32v2 2513 2007.09.07 a variant of Win32/Spy.Goldun.GU
Norman 5.80.02 2007.09.07 W32/Horst.gen28
Panda 9.0.0.4 2007.09.07 Generic Trojan
Prevx1 V2 2007.09.07 W32.MALWARE.GEN
Rising 19.39.42.00 2007.09.07 Trojan.Spy.Win32.Goldun.pp
Sophos 4.21.0 2007.09.07 Troj/Haxdor-Fam
Sunbelt 2.2.907.0 2007.09.07 Goldun.Fam
Symantec 10 2007.09.07 Infostealer.Ldpinch
TheHacker 6.1.9.180 2007.09.07 Trojan/Spy.Goldun.pp
VBA32 3.12.2.4 2007.09.07 Trojan-Spy.Win32.Goldun.pp
VirusBuster 4.3.26:9 2007.09.07 -
Webwasher-Gateway 6.0.1 2007.09.07 Trojan.Haxdoor.GJ.1
weitere Informationen
File size: 20014 bytes
MD5: c8b483a41b90ec9bc5ee366593a8b17e
SHA1: febbb9b53250198a9f4b09d9ab696e06b8a1577d
packers: UPX
packers: UPX
packers: UPX
Prevx info: Prevx
Sunbelt info: Goldun.Fam is a family of Trojan horse programs that steals users' information entered for authentication on e-gold online web forms.

Das erscheint mir eine ganze Menge zu sein...

Ne, das ist nur einer, aber von verschiedenen Scannern ausgewertet. Aber einer ist in deinem Fall genug. Bitte setze neu auf. Warum dies das einzig Sinnvolle ist, steht in der Anleitung.

Haxdoor ist ein Backdoor-Trojaner, der gerne auch mit einem Rootkit einherkommt.

Gruß

Vielen Dank! Nun weiß ich bescheid und muss mir keine Gedanken über andere Lösungsmöglichkeiten machen.

Noch eine kleine Bitte:
wie kann ich vorher meine Daten sichern (Dokumente, Fotos etc.)? Ich kann doch nicht alles löschen.
Bzw. wo kann ich nachlesen, was ich behalten kann und welche Art der Sicherung die beste ist? Gibts auch hierzu einen schönen link?

Vielen Dank nochmals!

Brenne dir die Daten auf CD/DVD. Oder frag einen Kumpel, der ne externe Festplatte hat. Wichtig ist nur, dass du keine Programme oder ausführbare Dateien mit übernimmst. Die Liste ausführbarer Dateien ist lang und vermutlich nicht vollständig, sollte aber das gros abdecken. MS-Office-Dokumente kannst du, obwohl sie streng genommen auch ausführbaren code beinhalten können (Makros) gefahrlos sichern, wenn sie von dir stammen, ebenso Film- Bild- und Musikdateien.

Daten solltest du immer sichern; kann ja mal sein, dass die Festplatte einen weg hat, ist also nicht nur für den Fall einer Infizierung sinnvoll.

edit: Ach - ich und meine edits - wenn du neu aufsetzt, bietet sich an, Programme inkl. Windows und Daten auf verschiedenen Partitionen zu speichern. Im Fall einer Infektion löschst du nur die befallene Partition, meist die Windows-Partition, deine Daten auf der anderen Partition bleiben davon unbehelligt.