Hallo an alle freundlichen Helferlein !
Über den PC unseres Sohnes, der mit meinem PC vernetzt ist, haben wir uns den Trojan downloader WMA.Wimad.k eingefangen.
Leider gehöre auch ich zu den Menschen, die nicht wirklich viel Ahnung von solchen Dingen haben und wäre für Eure Hilfe wirklich dankbar.
Ich benutze Windows XP Prof. und habe den Antivir schon seit langem installiert. Gestern bekam ich dann von Antivir die Meldung über den Trojaner. Ich verschob ihn in die Quarantäne, löschte die befallene Datei u leerte den Papierkorb. Antivir fand dann keine weiteren Trojaner.Daraufhin führte ich heute noch einmal einen Online-Scan bei Kaspersky durch. Dieser fand dann 8 infizierte Dateien, desweiteren bekomme ich beim Öffnen meines Emailprogramms immer die Meldung, dass meine Standardsuchmaschine von Seiten dritter versucht wurde zu ändern.
Ich ließ Antivir noch 2mal durchlaufen, wobei beide male nichts gefunden wurde.
Habe jetzt mittels HJT ein Log-File erstellt, das ich aber hier bewusst noch nicht einstellen will. Ich bin mir nicht sicher, ob ich das einfach hier rein kopieren kann oder ob ich da noch was besonderes beachten muss (ev.als Anhang einfügen?).

Meine eigentliche Frage ist natürlich, wie ich den Trojaner wieder los werde, ohne meinen Rechner platt zu machen ?

Könntet Ihr mir wohl bitte mit relativ einfach gehaltenen Anweisungen erklären, wie ich jetzt weiter vorgehen muss ?

Ein großes Dankeschön im Voraus ! K-K

Hallo Konni-Konrad und
Das HijackThis Log benötigen wir schon. Aber beachte, dass es erst noch editiert werden muss entsprechend dieser Anleitung
Es ist auch nützlich, wenn wir die Meldungen des Kaspersky scan erfahren würden. Also wo der Schädling gefunden wurde und wie die Datei heist.

Danke erstmal fürDeine Antwort (hatte zwischenzeitlich gelesen,dass es schonmal 1-2 Tg dauern kann) !
Also ich hoffe mal, dass ich das jetzt mit dem Log-File richtig gemacht habe.
Hier die Kopie :

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:34:32, on 15.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\SiteAdvisor\6261\SiteAdv.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Logitech\iTouch\kbdtray.exe
C:\Programme\IncrediMail\bin\IMApp.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.gofeminin.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.2.1
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SiteAdvisor] "C:\Programme\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6261\SAService.exe

--
End of file - 7528 bytes
         

Und hier das Protokoll von Kaspersky :

Code: Alles auswählenAufklappen

ATTFilter

Untersuchungsergebnisse 
Untersuchte Objekte insgesamt 93619 
Viren gefunden 1 
Infizierte Objekte gefunden 8 
Verdächtige Objekte gefunden 0 
Untersuchungszeit 01:50:37 

Name des infizierten Objekts Virusname Letzte Aktion 
C:\Dokumente und Einstellungen\Konrad-PC\Anwendungsdaten\Teleca\Telecalib\Logging\Application logs\SpecificUSB_log.txt  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Cookies\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Eigene Dateien\Eigene Musik\03 Track 3.wma  Infizierte Objekte: Trojan-Downloader.WMA.Wimad.k  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Eigene Dateien\Eigene Musik\Top of Charts - 2003 (eyeball).wma  Infizierte Objekte: Trojan-Downloader.WMA.Wimad.k  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Eigene Dateien\Eigene Musik\Top of Charts - 2004 (eyeball).wma  Infizierte Objekte: Trojan-Downloader.WMA.Wimad.k  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Eigene Dateien\Eigene Musik\Top of Charts - 2005 (eyeball).wma  Infizierte Objekte: Trojan-Downloader.WMA.Wimad.k  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Eigene Dateien\Eigene Musik\Wicked Remix (eyeball).wma  Infizierte Objekte: Trojan-Downloader.WMA.Wimad.k  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Eigene Dateien\Eigene Musik\Wicked Remix.wma  Infizierte Objekte: Trojan-Downloader.WMA.Wimad.k  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Lokale Einstellungen\Temp\~DF876C.tmp  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Lokale Einstellungen\Temp\~DFAC0A.tmp  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Lokale Einstellungen\Verlauf\History.IE5\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\NTUSER.DAT  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\ntuser.dat.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Shared\01 Track 1.wma  Infizierte Objekte: Trojan-Downloader.WMA.Wimad.k  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Shared\03 Track 3.wma  Infizierte Objekte: Trojan-Downloader.WMA.Wimad.k  übersprungen  
 
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\Programme\FRITZ!DSL\access\access.lock  Das Objekt ist gesperrt  übersprungen  
 
C:\System Volume Information\MountPointManagerRemoteDatabase  Das Objekt ist gesperrt  übersprungen  
 
C:\System Volume Information\_restore{262FC28D-C215-4110-8561-EFE196B2A264}\RP537\change.log  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\Debug\PASSWD.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\SchedLgU.Txt  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\Sti_Trace.log  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\CatRoot2\edb.log  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\CatRoot2\tmp.edb  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\AppEvent.Evt  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\default  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\default.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\Internet.evt  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SAM  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SAM.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SecEvent.Evt  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SECURITY  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SECURITY.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\software  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\software.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SysEvent.Evt  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\system  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\system.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\h323log.txt  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\wiadebug.log  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\wiaservc.log  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\WindowsUpdate.log  Das Objekt ist gesperrt  übersprungen  
 
Die Untersuchung wurde abgeschlossen.
         

Ich hoffe, das kann helfen.

Hallo Konni
Da hat euer Sohn wohl illegale Media Dateien runtergeladen. Da währe es interessant wie sein Log aussieht.
Aber egal, habt ihr denn diese WMA-Dateien auf euren Rechner rüber kopiert?
Die sollten alle gelöscht werden.
Dann mach mal noch einen Scan mit Avira aggressive Einstellung. Alle Funde in Quarantäne verschieben lassen, nicht gleich löschen.
Dann mal das Ergebnis posten.

Hallo Blow in ! Danke schon mal. Ich werde mich sofort "drüber hermachen", zumindest über das, was meinen Rechner angeht.
Diese WMA-Dateien haben wir nicht auf unseren Rechner kopiert. Möglicherweise liegt das daran, dass unser Sohnemann ab u zu mal den "Gesamt"-Ordner als Speicherort benutzt ? Wenn das sein könnte, wäre es gut für mich zu wissen, sodass ich das unterbinden könnte (wenn ich schon in Sachen illegale Downloads machtlos bin).

Den Log meines Sohnes kann ich leider erst später schicken, da sein PC Passwortgeschützt ist.

So ich widme mich jetzt mal dem Avira und lösche natürlich nichts. Weiß auch nicht, warum ich da gestern so blond war ;-).

Hallo !
Habe jetzt Avira noch einmal komplett durchlaufen lassen -Keine Funde !
Bei meinem Sohn läuft es noch, schaut aber ebenfalls danach aus, dass er nichts findet (ist schon bei 77%).
Wie kann ich dann jetzt weiter vorgehen ????
Den Log von meinem Sohn schicke ich gleich noch nach. Müssen das HJT aber erst bei ihm installieren.
Warum findet Avira denn nichts ????
LG

Hier nun der log-File von meinem Sohn !

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:30:26, on 15.09.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
c:\programme\winamp toolbar\WinampTbServer.exe
C:\Dokumente und Einstellungen\Luke\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ISEY3F5C\HiJackThis[1].exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/customize/ycomp/defaults/sb/*h**p://de.docs.yahoo.com/info/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*h**p://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.prosieben.de/index.php?icqpath=icq
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*h**p://de.yahoo.com
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 7109 bytes
         

Kann das sein, dass bei seinem PC gar nichts drauf ist ????
Avira und auch Kaspersky haben nichts gefunden .

LG ! KK

Hallo nochmal !
Habe jetzt trotzdem noch einmal den Report von dem "verschärften" Scan vom Avira kopiert.Vielleicht könnt Ihr daraus ja trotzdem was ersehen.
Irgendwas MUSS jedenfalls nicht in Ordnung sein, da meinPC immer langsamer wird, die Maus spinnt ewig und meine Funktastatur funktioniert seit gestern gar nicht mehr.
Hier dann der Report :

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 15. September 2008  19:03

Es wird nach 1614025 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     Konrad-PC
Computername:     KONRAD-COMPUTER

Versionsinformationen:
BUILD.DAT     : 8.1.0.331      16934 Bytes  12.08.2008 11:44:00
AVSCAN.EXE    : 8.1.4.7       315649 Bytes  18.07.2008 15:57:04
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  18.07.2008 15:57:04
LUKE.DLL      : 8.1.4.5       164097 Bytes  18.07.2008 15:57:04
LUKERES.DLL   : 8.1.4.0        12545 Bytes  18.07.2008 15:57:04
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18.07.2007 09:31:58
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24.06.2008 12:45:36
ANTIVIR2.VDF  : 7.0.6.153    3341312 Bytes  12.09.2008 09:23:14
ANTIVIR3.VDF  : 7.0.6.157      26112 Bytes  15.09.2008 11:23:29
Engineversion : 8.1.1.28  
AEVDF.DLL     : 8.1.0.5       102772 Bytes  17.04.2008 12:18:01
AESCRIPT.DLL  : 8.1.0.70      319866 Bytes  04.09.2008 05:54:13
AESCN.DLL     : 8.1.0.23      119156 Bytes  15.07.2008 15:54:12
AERDL.DLL     : 8.1.1.1       397683 Bytes  04.09.2008 05:54:13
AEPACK.DLL    : 8.1.2.1       364917 Bytes  15.07.2008 15:54:11
AEOFFICE.DLL  : 8.1.0.23      196987 Bytes  04.09.2008 05:54:12
AEHEUR.DLL    : 8.1.0.51     1397111 Bytes  04.09.2008 05:54:12
AEHELP.DLL    : 8.1.0.15      115063 Bytes  30.05.2008 08:57:22
AEGEN.DLL     : 8.1.0.36      315764 Bytes  19.08.2008 11:48:42
AEEMU.DLL     : 8.1.0.7       430452 Bytes  01.08.2008 15:56:31
AECORE.DLL    : 8.1.1.11      172406 Bytes  04.09.2008 05:54:06
AEBB.DLL      : 8.1.0.1        53617 Bytes  18.07.2008 15:57:04
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  18.07.2008 15:57:04
AVPREF.DLL    : 8.0.2.0        38657 Bytes  18.07.2008 15:57:04
AVREP.DLL     : 8.0.0.2        98344 Bytes  31.07.2008 13:15:29
AVREG.DLL     : 8.0.0.1        33537 Bytes  18.07.2008 15:57:04
AVARKT.DLL    : 1.0.0.23      307457 Bytes  17.04.2008 12:17:53
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  18.07.2008 15:57:04
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  17.04.2008 12:17:57
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  18.07.2008 15:57:04
NETNT.DLL     : 8.0.0.1         7937 Bytes  17.04.2008 12:17:57
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  18.07.2008 15:56:59
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  18.07.2008 15:56:59

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, A:, D:, E:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 15. September 2008  19:03

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KbdTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'epmworker.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Generic.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SAService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ImApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CapabilityManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxbbbmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StCenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FwebProt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EM_EXEC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTouch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SiteAdv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Application Launcher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxbbbmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXPPS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXBCES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '45' Prozesse mit '45' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'A:\'
    [INFO]      Im  Laufwerk 'A:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '57' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.


Ende des Suchlaufs: Montag, 15. September 2008  20:20
Benötigte Zeit:  1:17:04 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

   5158 Verzeichnisse wurden überprüft
 275570 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 275568 Dateien ohne Befall
   2415 Archive wurden durchsucht
      2 Warnungen
      0 Hinweise
         

Also, viel Spaß für alle die hier Nachtschicht schieben .
Danke ! KK

Hallo !
Wäre sehr nett, wenn sich hier nochmal jemand meiner Geschichte annehmen würde. Da es fürmich so aussieht, als dass der PC von meinem Sohn sauber ist, würde mich interessieren, ob ich dann jetzt bei meinem PC einfach nur die betroffenen Dateien löschen brauch oder ob ich das dann sicherheitshalber mit einem bestimmten Programm machen sollte.
Danke im Voraus !
KK

Hallo Konni-Konrad
Also in deinem Log kann ich nichts Schädliches erkennen. Mit dem CCleaner kannst du noch den Rechner aufräumen und dabei die Registry mehrmals nach Fehlern durchsuchen lassen. Und dann mal mit Secunia den Rechner überprüfen und die Update Vorschläge ausführen. Vor allen den SP3 für XP installieren.
Bei dem Rechner von deinem Sohn ist es ja noch schlimmer (SP1) und dann noch auf gefährlichen Seiten unterwegs. Für diesen Rechner gilt nur noch ein Neuaufsetzen und einspielen aller Updates.