hallo, mein freund hat das problem, dass der rechner beim start behauptet, dass die "svchost.exe nicht gefunden werden konnte"

ich habe hier das logfile geschickt bekommen und wollte es mal posten, damit ihr mir vieleicht sagen könnt, was er machen muss..

hier das logfile (die roten sachen sind einträge, wo ich denke, das sie da nicht reingehören):

Logfile of HijackThis v1.99.1
Scan saved at 21:55:13, on 28.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1168552005745
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe (file missing)

--
End of file - 4410 bytes

Hallo.

Zitat:

F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe

Das ist definitiv ein Schädlingseintrag. die "echte" svchost.exe ist nämlich in c:\windows\system32 und nicht in c:\windows

Schau mal nach, ob die noch da ist, so könntest du die mal bei Virustotal auswerten lassen.

Führ aber auch mal auf der betroffenen Kiste diese Tools bzw. Anleitungen aus und poste die Logfiles:

- Blacklight
- eScan
- Silentrunners
- combofix

ok, ich schicke ihm die sachen...er hat noch modem, außerdem scheint sein mainboard grad im eimer zu sein, also bitte nicht so schnell in den müll hauen..


vielen dank


sEb

ok hier ist der log---silentrunners kommt heute nachmittag... und blacklight hat niX gefunden...
ich würde ihm empfehlen den rechner neu aufzusetzen, das wäre aber für ihn nicht gut, da dann sehr viele daten verlorengehen, gbt es eine möglichkeit den ganZen dreck zu löschen?
escan:


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.5.1
Sprache: German
Virus-Datenbank Datum: 10/30/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with holistyc Dialer (C:\WINDOWS\icons)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP186\A0072359.exe//PE_Patch//MEW infiziert von "Worm.Win32.Perlovga.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP186\A0072360.exe infiziert von "Trojan-Dropper.Win32.Small.apl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP188\A0072453.exe infiziert von "Trojan-Dropper.Win32.Small.apl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP188\A0072454.exe//PE_Patch//MEW infiziert von "Worm.Win32.Perlovga.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP208\A0078622.exe infiziert von "Trojan-Dropper.Win32.Small.apl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP208\A0078657.exe//PE_Patch//MewBundle//MEW infiziert von "Worm.Win32.Perlovga.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP208\A0078658.exe infiziert von "Backdoor.Win32.Small.lo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP208\A0078669.exe//PE_Patch//MewBundle//MEW infiziert von "Worm.Win32.Perlovga.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP208\A0078670.exe infiziert von "Backdoor.Win32.Small.lo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP208\A0078680.exe//PE_Patch//MewBundle//MEW infiziert von "Worm.Win32.Perlovga.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP208\A0078681.exe infiziert von "Backdoor.Win32.Small.lo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP209\A0078706.exe//PE_Patch//MewBundle//MEW infiziert von "Worm.Win32.Perlovga.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP209\A0078707.exe infiziert von "Backdoor.Win32.Small.lo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP209\A0079706.exe//PE_Patch//MewBundle//MEW infiziert von "Worm.Win32.Perlovga.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP209\A0079707.exe infiziert von "Backdoor.Win32.Small.lo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP209\A0079760.exe//PE_Patch//MewBundle//MEW infiziert von "Worm.Win32.Perlovga.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP209\A0079761.exe infiziert von "Backdoor.Win32.Small.lo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP211\A0079899.exe//PE_Patch//MewBundle//MEW infiziert von "Worm.Win32.Perlovga.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP211\A0079900.exe infiziert von "Backdoor.Win32.Small.lo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP211\A0079948.exe//PE_Patch//MewBundle//MEW infiziert von "Worm.Win32.Perlovga.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP211\A0079949.exe infiziert von "Backdoor.Win32.Small.lo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP212\A0080025.exe//PE_Patch//MewBundle//MEW infiziert von "Worm.Win32.Perlovga.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP212\A0080026.exe infiziert von "Backdoor.Win32.Small.lo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP212\A0081025.exe//PE_Patch//MewBundle//MEW infiziert von "Worm.Win32.Perlovga.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP212\A0081026.exe infiziert von "Backdoor.Win32.Small.lo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP213\A0081031.exe//PE_Patch//MewBundle//MEW infiziert von "Worm.Win32.Perlovga.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP213\A0081032.exe infiziert von "Backdoor.Win32.Small.lo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP213\A0081033.exe//PE_Patch//MEW infiziert von "Worm.Win32.Perlovga.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP213\A0081035.exe infiziert von "Trojan-Dropper.Win32.Small.apl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP213\A0081037.exe//PE_Patch//MEW infiziert von "Worm.Win32.Perlovga.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP213\A0081038.exe infiziert von "Trojan-Dropper.Win32.Small.apl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei F:\Eigene Dateien\Sonstiges\Setups\sniffpass.zip/SniffPass.exe//UPX infiziert von "Sniffer.Win32.Agent.b" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei F:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP172\A0066481.exe//PE_Patch//MEW infiziert von "Worm.Win32.Perlovga.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei F:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP172\A0066482.exe infiziert von "Trojan-Dropper.Win32.Small.apl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei F:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP173\A0071625.exe//PE_Patch//MEW infiziert von "Worm.Win32.Perlovga.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei F:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP189\A0072609.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei F:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP189\A0072610.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei F:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP213\A0081039.exe//PE_Patch//MEW infiziert von "Worm.Win32.Perlovga.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei F:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP213\A0081040.exe infiziert von "Trojan-Dropper.Win32.Small.apl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei F:\System Volume Information\_restore{54D1EB67-D89A-486C-973A-84E29DA54E2F}\RP142\A0086302.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei F:\System Volume Information\_restore{54D1EB67-D89A-486C-973A-84E29DA54E2F}\RP144\A0092437.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\System Volume Information\_restore{2394A024-AB63-44E2-BD69-BF4A40680434}\RP196\A0073995.exe markiert als not-a-virus:PSWTool.Win32.AirCrack.a. Keine Aktion vorgenommen.
Datei F:\Eigene Dateien\Sonstiges\Setups\aircrack-ng-0.9.1-win.zip/aircrack-ng-win-0.9.1/bin/airodump-ng.exe markiert als not-a-virus:PSWTool.Win32.AirCrack.a. Keine Aktion vorgenommen.
Datei F:\Eigene Dateien\Sonstiges\Setups\aircrack-ng-win-0.9.1.rar/aircrack-ng-win-0.9.1\bin\airodump-ng.exe markiert als not-a-virus:PSWTool.Win32.AirCrack.a. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\icons
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e18d43b3-a4bc-11db-8459-d1838b8cc5dd} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f638a834-beaa-11db-848c-fe949dc103df} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
F:\Eigene Dateien\Sonstiges\Setups\freeripmp3.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
F:\Eigene Dateien\Sonstiges\Setups\SUPERsetup19.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
F:\System Volume Information\_restore{54D1EB67-D89A-486C-973A-84E29DA54E2F}\RP110\A0054671.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
F:\System Volume Information\_restore{A83F554F-2BBD-4F9F-AC3B-8B4E35A11218}\RP15\A0024986.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 251293
Gefundene Viren: 49
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 16
Dauer des Scans bisher: 02:41:31
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 3:12:22,03
Batchende: 3:12:27,43

Unter den Infektionsmeldungen schauts mal wieder nach Fehlalarmen aus, die anderen Funde sollte man wegbekommen, indem die Systemwiederherstellung (SWH) komplett deaktiviert wird.

bitte was?

da steht was von worm, backdoor, trojan-downloader etc. glaube ni, das man das wegbekommt, indem man die wiederherstelung ausschaltet.??

ausserdem gibt es da noch die svchost im windowsverzeichnis

Zitat:

Zitat von *Krawall$chachtel*

bitte was?

da steht was von woorm, backdoor, trojan-downloader etc. glaube ni, das man das wegbekommt, indem man die wiederherstelung ausschaltet.??

Richtig, da haste mich bei meiner Nachlässigkeit erwischt....bin auch überarbeitet,war ne stressige Woche. Hab irgendwie nur auf die Pfadangaben geachtet und irgendwie die Schädlingsnamen außer acht gelassen...nur merwkwürdigerweise hat Blacklight nichts gefunden.

Naja, was nun zu tun ist weißt du ja...oder?
Denkt dran, besser die Passwörter hinterher zu ändern.

sry steh auch grad aufm schlauch, was muss ich machen? gib matz in form einer beschreibung muss ich jetzt alle einträge löschen...oder wie genau geht das jetzt?

Naja, Backdoors entfernen = Neu aufsetzen!