ich habe vor nur wenigen tagen mein system neu installiert.
habe alle sicherheitsregeln beachtet.
verwende firefox, thunderbird, antispy, zonealarm, user mit eingeschränkten benutzerrechten etec.

dennoch fand mein spybot search-and destroy einen eintrag:

E2Give: [SBI $71ECE41F] Einstellungen
HKEY_USERS\S-1-5-21-776561741-507921405-725345543-1003\Software\Ptech

was ist das und was soll ich tun ????
bitte um hilfe.

Hi,

wenn das stimmt, dann hast Du E2Give auf dem Rechner
-> http://research.sunbelt-software.com...&threatid=4728

So, dann machen wir mal ein HJ-Log (siehe Signatur) und lassen Dr. Web von der Line:

Dr.Web
http://www.trojaner-board.de/59299-a...eb-cureit.html

chris

anbei mein hijackthis, bitte um analyse durch fachmann
ist die software "drweb" und der zugehörige links sicher?
ich will nur ungern mein system wieder "vollmüllen" mit unbekanntem zeugs.

seltsam finde ich, dass in dem angemeckerten registry-eintrag keine ".exe" o.ä. steht...? könnte sein dass spybot allein auf den namen "Ptech" anspringt?

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:37:18 PM, on 10/28/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
D:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - D:\Programme\Canon\Pixma\Easy-WebPrint\EWPBrowseLoader.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon\Pixma\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "D:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = D:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1224936820875
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - F:\Programme\PostgreSQL\bin\pg_ctl.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
         

Hi,

das HJ-Log ist erst mal sauber, auch kein entsprechender Eintrag bei den BHO's ...

Prüfe mal mit Dr. Web...

chris

ist es egal unter welchem User oder ob ich als "admin" Hijackthis ausführe ???
obige eintragungen laufen unter meinem "eingeschränkten user"


ich weiss, ich sollte - allein schon anstandshalber - an Deinem wohlgemeinten ratschlag nicht zweifeln, dr.web einzusetzen, aber reicht antivir nicht? den habe ich schon laufen, scan ist ok. dr.web ist eine russische seite (soll ja nichts heißen, aber kann ich dem inhalt und dem prog WIRKLICH vertrauen???)

das letzte mal, als ich einen backdoor-trojaner bekämpfen wollte, habe ich mit dem "helferprogramm" nur noch mehr dreck eingefangen.

??

Hi,

Cureit/Dr. Web ist sauber...
Direkter Download hierüber...
-> http://www.freedrweb.com/cureit/
Du kannst ihn nach erfolgter Überprüfung wieder runterschmeissen...

Avira bitte so einstellen:
Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben:
http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html

chris

antivir war genau nach vorschrift konfiguriert, fand aber NIX.

ich habe nun drweb laufen lassen.
drweb fand eine handvoll böse sachen!
unglaublich. (dafür lief es ja auch fast 7 stunden )

ist drweb so ein tolles programm?

ABER: E2Give wird von Spybot immer noch an der gleichen stelle angemeckert!?! soll ich mit Spybot den eintrag cleanen?


leider habe ich beim ersten durchlauf vergessen, meine externe (quasi backup-)platte anzuschließen, deshalb hier die scans von beiden durchläufen.

fragen:
1) drweb hat jetzt einige dateien in einen separierten ordner verschoben.
soll ich diese einfach löschen? bin ich nach dem delete sauber? oder liegen die dann wieder irgendwo im rechner fest...?
2) ich kann die dateien aus dem ordner auch irgendwo online scannen lassen?

was kann der experte aus meinen drweb-logs erkennen?

Code: Alles auswählenAufklappen

ATTFilter

_SetupPoker.exe\data001;D:\Programme\Titan Poker\_SetupPoker.exe;Adware.Casino;;
_SetupPoker.exe\data002;D:\Programme\Titan Poker\_SetupPoker.exe;Adware.Casino;;
_SetupPoker.exe\data003;D:\Programme\Titan Poker\_SetupPoker.exe;Adware.Casino;;
_SetupPoker.exe;D:\Programme\Titan Poker;Archiv enthält infizierte Objekte;Verschoben.;
A0010944.exe\data001;D:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010944.exe;Adware.Casino;;
A0010944.exe\data002;D:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010944.exe;Adware.Casino;;
A0010944.exe\data003;D:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010944.exe;Adware.Casino;;
A0010944.exe;D:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26;Archiv enthält infizierte Objekte;Verschoben.;
A0004232.exe\data001;D:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP8\A0004232.exe;Adware.Casino;;
A0004232.exe\data002;D:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP8\A0004232.exe;Adware.Casino;;
A0004232.exe\data003;D:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP8\A0004232.exe;Adware.Casino;;
A0004232.exe;D:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP8;Archiv enthält infizierte Objekte;Verschoben.;
em2008xxl_02-06-08.xls;E:\Eigene Dateien\Eigene Daten\EXCELDAT;W97M.Lafs;Desinfiziert.;
em2008xxl0206.exe\em2008xxl\em2008xxl_02-06-08.xls;E:\Eigene Dateien\Eigene Daten\EXCELDAT\sonstiges\em2008xxl0206.exe;W97M.Lafs;;
em2008xxl0206.exe;E:\Eigene Dateien\Eigene Daten\EXCELDAT\sonstiges;Archiv enthält infizierte Objekte;Verschoben.;
SetupPoker.exe\data001;E:\Eigene Dateien\Eigene Daten\Poker\Titan\SetupPoker.exe;Adware.Casino;;
SetupPoker.exe\data002;E:\Eigene Dateien\Eigene Daten\Poker\Titan\SetupPoker.exe;Adware.Casino;;
SetupPoker.exe\data003;E:\Eigene Dateien\Eigene Daten\Poker\Titan\SetupPoker.exe;Adware.Casino;;
SetupPoker.exe;E:\Eigene Dateien\Eigene Daten\Poker\Titan;Archiv enthält infizierte Objekte;Verschoben.;
mstudioZ.exe\MIDITEST.HT_;E:\Eigene Dateien\install\Music\mstudioZ.exe;Modifikation von BAT.Mtr.1429;;
mstudioZ.exe;E:\Eigene Dateien\install\Music;Archiv enthält infizierte Objekte;Verschoben.;
miditest.htm;F:\Programme\Anvil Studio\html;Modifikation von BAT.Mtr.1429;Verschoben.;
Df13.exe\data001;F:\RECYCLER\S-1-5-21-776561741-507921405-725345543-1005\Df13.exe;Adware.Casino;;
Df13.exe\data002;F:\RECYCLER\S-1-5-21-776561741-507921405-725345543-1005\Df13.exe;Adware.Casino;;
Df13.exe\data003;F:\RECYCLER\S-1-5-21-776561741-507921405-725345543-1005\Df13.exe;Adware.Casino;;
Df13.exe;F:\RECYCLER\S-1-5-21-776561741-507921405-725345543-1005;Archiv enthält infizierte Objekte;Verschoben.;
A0010945.exe\data001;F:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010945.exe;Adware.Casino;;
A0010945.exe\data002;F:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010945.exe;Adware.Casino;;
A0010945.exe\data003;F:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010945.exe;Adware.Casino;;
A0010945.exe;F:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26;Archiv enthält infizierte Objekte;Verschoben.;
A0005582.exe\data065;F:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP8\A0005582.exe;Tool.ShutDown.10;;
A0005582.exe;F:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP8;Archiv enthält infizierte Objekte;Verschoben.;
         

und die externen platten:

Code: Alles auswählenAufklappen

ATTFilter

SetupPoker.exe\data001;J:\Eigene Dateien 2007-05-29\Eigene Dateien\Eigene Dateien\Eigene Daten\Poker\Titan\SetupPoker.exe;Adware.Casino;;
SetupPoker.exe\data002;J:\Eigene Dateien 2007-05-29\Eigene Dateien\Eigene Dateien\Eigene Daten\Poker\Titan\SetupPoker.exe;Adware.Casino;;
SetupPoker.exe\data003;J:\Eigene Dateien 2007-05-29\Eigene Dateien\Eigene Dateien\Eigene Daten\Poker\Titan\SetupPoker.exe;Adware.Casino;;
SetupPoker.exe;J:\Eigene Dateien 2007-05-29\Eigene Dateien\Eigene Dateien\Eigene Daten\Poker\Titan;Archiv enthält infizierte Objekte;Verschoben.;
edonkey60.exe\data005;J:\Eigene Dateien 2007-05-29\Eigene Dateien\Eigene Dateien\install\internet\eDonkey\edonkey60.exe;Adware.Ucmore;;
edonkey60.exe;J:\Eigene Dateien 2007-05-29\Eigene Dateien\Eigene Dateien\install\internet\eDonkey;Archiv enthält infizierte Objekte;Verschoben.;
gozilla391.exe\data020;J:\Eigene Dateien 2007-05-29\Eigene Dateien\Eigene Dateien\install\internet\Gozilla\gozilla391.exe;Adware.Aureate;;
gozilla391.exe\data022;J:\Eigene Dateien 2007-05-29\Eigene Dateien\Eigene Dateien\install\internet\Gozilla\gozilla391.exe;Adware.Aureate;;
gozilla391.exe\data023;J:\Eigene Dateien 2007-05-29\Eigene Dateien\Eigene Dateien\install\internet\Gozilla\gozilla391.exe;Adware.Aureate;;
gozilla391.exe\data024;J:\Eigene Dateien 2007-05-29\Eigene Dateien\Eigene Dateien\install\internet\Gozilla\gozilla391.exe;Adware.Aureate;;
gozilla391.exe;J:\Eigene Dateien 2007-05-29\Eigene Dateien\Eigene Dateien\install\internet\Gozilla;Archiv enthält infizierte Objekte;Verschoben.;
A0010946.exe\data001;J:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010946.exe;Adware.Casino;;
A0010946.exe\data002;J:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010946.exe;Adware.Casino;;
A0010946.exe\data003;J:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010946.exe;Adware.Casino;;
A0010946.exe;J:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26;Archiv enthält infizierte Objekte;Verschoben.;
A0010947.exe\data005;J:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010947.exe;Adware.Ucmore;;
A0010947.exe;J:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26;Archiv enthält infizierte Objekte;Verschoben.;
A0010948.exe\data020;J:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010948.exe;Adware.Aureate;;
A0010948.exe\data022;J:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010948.exe;Adware.Aureate;;
A0010948.exe\data023;J:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010948.exe;Adware.Aureate;;
A0010948.exe\data024;J:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010948.exe;Adware.Aureate;;
A0010948.exe;J:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26;Archiv enthält infizierte Objekte;Verschoben.;
em2008xxl_02-06-08.xls;K:\Synchronisation\Daten\Eigene Dateien\Eigene Dateien\Eigene Daten\EXCELDAT;W97M.Lafs;Desinfiziert.;
em2008xxl0206.exe\em2008xxl\em2008xxl_02-06-08.xls;K:\Synchronisation\Daten\Eigene Dateien\Eigene Dateien\Eigene Daten\EXCELDAT\sonstiges\em2008xxl0206.exe;W97M.Lafs;;
em2008xxl0206.exe;K:\Synchronisation\Daten\Eigene Dateien\Eigene Dateien\Eigene Daten\EXCELDAT\sonstiges;Archiv enthält infizierte Objekte;Verschoben.;
SetupPoker.exe\data001;K:\Synchronisation\Daten\Eigene Dateien\Eigene Dateien\Eigene Daten\Poker\Titan\SetupPoker.exe;Adware.Casino;;
SetupPoker.exe\data002;K:\Synchronisation\Daten\Eigene Dateien\Eigene Dateien\Eigene Daten\Poker\Titan\SetupPoker.exe;Adware.Casino;;
SetupPoker.exe\data003;K:\Synchronisation\Daten\Eigene Dateien\Eigene Dateien\Eigene Daten\Poker\Titan\SetupPoker.exe;Adware.Casino;;
SetupPoker.exe;K:\Synchronisation\Daten\Eigene Dateien\Eigene Dateien\Eigene Daten\Poker\Titan;Archiv enthält infizierte Objekte;Verschoben.;
mstudioZ.exe\MIDITEST.HT_;K:\Synchronisation\Daten\Eigene Dateien\Eigene Dateien\install\Music\mstudioZ.exe;Modifikation von BAT.Mtr.1429;;
mstudioZ.exe;K:\Synchronisation\Daten\Eigene Dateien\Eigene Dateien\install\Music;Archiv enthält infizierte Objekte;Verschoben.;
A0010949.exe\em2008xxl\em2008xxl_02-06-08.xls;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010949.exe;W97M.Lafs;;
A0010949.exe;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26;Archiv enthält infizierte Objekte;Verschoben.;
A0010950.exe\data001;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010950.exe;Adware.Casino;;
A0010950.exe\data002;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010950.exe;Adware.Casino;;
A0010950.exe\data003;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010950.exe;Adware.Casino;;
A0010950.exe;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26;Archiv enthält infizierte Objekte;Verschoben.;
A0010951.exe\MIDITEST.HT_;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010951.exe;Modifikation von BAT.Mtr.1429;;
A0010951.exe;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26;Archiv enthält infizierte Objekte;Verschoben.;
A0004221.exe\data005;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP8\A0004221.exe;Adware.Ucmore;;
A0004221.exe;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP8;Archiv enthält infizierte Objekte;Verschoben.;
A0004222.exe\data020;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP8\A0004222.exe;Adware.Aureate;;
A0004222.exe\data022;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP8\A0004222.exe;Adware.Aureate;;
A0004222.exe\data023;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP8\A0004222.exe;Adware.Aureate;;
A0004222.exe\data024;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP8\A0004222.exe;Adware.Aureate;;
A0004222.exe;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP8;Archiv enthält infizierte Objekte;Verschoben.;
         

DANKE!

Hi,

das meiste ist Adware das mit den Pokerspielen verbreitet wird, einiges davon auch in der Systemwiederherstellung. Wenn Du es bereinigen willst, die Pokerprogramme runterwerfen bzw. Dr. Web reinigen lassen und die Systemwiederherstellung "putzen".

Systemwiederherstellung löschen
http://www.systemwiederherstellung-d...indows-xp.html
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

chris

Ps.: Eignet sich um ab- und zu mal zu scannen, da er meines Wissens sich nicht updatet (also veraltet) und immer neu runtergeladen werden muß...) -> Einsatz daher als "Zweitscanner"

Vielen Dank Chris4You,
für Deine kompetente Hilfe!

System ist jetzt - soweit ich (und DrWeb) erkennen kann - sauber.

Ich habe einiges dazugelernt.

Was mich am meisten überrascht, wie unfähig sich die (freeware) antivir darstellt.
Erschreckend ist auch, dass ich mir schadhafte Software eingefangen habe, obwohl ich mich im netz vorsichtig verhielt:

- keine fremden mails lesen,
- keine anhänge öffnen,
- keine seltsamen programme installieren...

naja, wie gesagt: mein Dank an Dich, hoffe, dass ich auch mal werde jemandem helfen können.