Hallo zusammen,
Ich habe vor zwei Tagen meinen Pc formatiert, da ich nach vielen Versuchen mit unterschiedlichen AntiSpyware- , Antirootkit- , Antivir- Programmen keine Idee mehr hatte die Viren loszuwerden. Meistens kamen alle Viren nach Pc herunterfahren wieder.
Hier sind schonmal die Probleme, die ich gerne in den Griff bekommen würde, wobei es mir egal wäre, wenn im Hintergrund trotzdem noch ein paar Viren laufen:

-nach Pc neustart wird zwar eine Internetverbindung angezeigt und es werden Daten übertragen, aber ich kann keine Homepage öffnen. Des Weiteren kann ich die Internetverbindung deaktivieren, aber darauf nicht wieder aktivieren. Wenn ich hingegen den Pc herunterfahre und normal starte habe ich Internet

-microsoft-Homepage wird durch Viren geblockt

-Direct X besteht den Windows-Logo Test nicht. Ignorieren der Treibersignaturen funktioniert auch nicht.

-SuperantiSpyware lief vor ein paar Stunden noch, darauf hing sich das Programm sich immer wieder auf und jetzt startet es den Pc nach ein paar Sekunden Überprüfung wieder neu.


Ich wäre sehr dankbar, wenn jemand eine Ahnung hat diese Probleme zu beseitigen.



Hier mein HJACK-log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:47:30, on 27.06.2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\reader_s.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Steam\Steam.exe
C:\Dokumente und Einstellungen\Thommy\reader_s.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\C.tmp
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [reader_s] C:\Dokumente und Einstellungen\Thommy\reader_s.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)

--
End of file - 3083 bytes

Hi Thommy09 und

Code: Alles auswählenAufklappen

ATTFilter

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
         

Du gehst mit ServicePack 1 und dem IE 6 ins Netz ?? Das ist ein rießiges Einfallstor für Schädlinge aller Art.

Dein Problem ist das hier:

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKCU\..\Run: [reader_s] C:\Dokumente und Einstellungen\Thommy\reader_s.exe
         

Das ist Virut! Infos: Virus Description: Virus:W32/Virut

Das bedeutet http://www.trojaner-board.de/51262-a...sicherung.html !

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\System32\msdxm.ocx
         

Lass bitte diese Datei bei VirusTotal - Kostenloser online Viren- und Malwarescanner auswerten und poste anschließend das Ergebnis.

Gruß
Handball10

Habe heute noch gesehen, das ein Administratorkonto im abgesicherten Modus da ist. Keine Ahnung wie das da hinkommt. Eigentlich bin ich immer der Administrator. Vielleicht hilft das noch weiter.

Werde deine Schritte heute im Laufe des Tages abarbeiten. Ich gehe mit Service Pack 1 ins Internet, weil bei meiner letzten Installation von Service Pack 2 mein Rechner komplett abgestürzt ist. Ich meine mich daran zu erinnern, das update.exe ein Fehler verursacht hat. Dannach war de Pc in einer endlosschleife. Pc startet ein bisschen, fährt herunter, startet, fährt herunter, usw..
Windows rparieren konnte ich auch nicht machen da ich ein Administratorpasswort brauchte. Mein Passwort klappte da nicht und ich hatte keine Ahnung was fürn Passwort das dann sein kann und hab Windows neu installiert.

Hi Thommy,

ServicePack 3 und IE 8 ist eigentlich für jeden Pflicht!
Wenn du weiter bei SP1 bleibst, wirds nicht lange dauern, bis du wieder hier her kommen musst.

Gruß
Handball10

Okay, danke schonmal für die Hilfe. Ich sehe jetzt im Moment aber keinen Sinn Windows nochmal neu zu installieren. Habe das ja schon oft genug in letzter Zeit gemacht. Außerdem hab ich sogar komplett beide Festplatten formatiert, so wie in deiner Anleitung beschrieben. Gibt es denn da keinen anderen Ausweg um diesen dummen Virus runter zu bekommen?

Ich hatte noch versucht den Internetexplorer neu zu installieren, aber da hat er Probleme mit der DLL SHLWAPI.dll. Ersetzen der Datei hat auch nicht funktioniert

Hallo Tommy,

Der Virus:W32/Virut ist eben das Problem an der Sache da er seine Form/Code-Inhalten und Strukturen ständig ändert.
Auch vergleichbar mit dem HI-Virus (HIV).

Neuaufsetzen ist da leider die einzigste möglichkeit.

Du solltest während der Neuinstallation keine Verbindung zum Internet haben sondern nur für spätere Updates - Service Pack 3 und Internet Explorer 8.

Dann benötigst du erstmal ein Antiviren Programm wie Avira Antivir oder eine Security Suite wie Kaspersky Internet Security 10.

Solltest du öfters .exe Dateien downloaden dann lade - wenn du dir nicht sicher bist - die Dateien auf Virustotal hoch oder führe die Dateien nur in einerSandboxie oder einerVMWare aus.

Gruß. DeeWayne

kann nicht auf die homepage von virustotal

Ich habe bereits Service Pack 3 heruntergeladen. kann ich das auf einem stick vorher absichern, oder kann der auch infiziert sein?

Hi,
Habe diesmal die Viren aus dem Speicher mit SUPERAntiSpyware gelöscht und nach dem neustart direkt formatiert und windows auf einer anderen festplatte installiert. Darauf Treiber und SP3 installiert und dann erst Internet angesteckt.
Bis jetzt hab ich keine Probleme mehr, außer das ich nach einem PC-Neustart einfach kein Internet mehr habe
Hier nochmal mein Hijack log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:17:08, on 28.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\RUNDLL32.EXE
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\system32\devldr32.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\WINDOWS\System32\msiexec.exe
D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinSys2] D:\WINDOWS\System32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: !SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe

--
End of file - 3033 bytes

Vielen dank schonmal! Hoffe mal da ist jetzt endlich alles in Ordnung.

Wenn du auf die Virustotalseite kannst lade bitte die Winsys2.exe hoch

Code: Alles auswählenAufklappen

ATTFilter

D:\Windows\System32\Winsys2.exe
         

Sieht ganz so aus, als hätte es dich erneut erwischt.

Möglicherweise über einen USB-Stick

mfg, Kaos

Datei WinSys2.exe empfangen 2009.06.27 23:16:33 (UTC)
Status: Beendet
Ergebnis: 4/41 (9.76%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.18 2009.06.27 -
AhnLab-V3 5.0.0.2 2009.06.27 -
AntiVir 7.9.0.199 2009.06.26 -
Antiy-AVL 2.0.3.1 2009.06.26 -
Authentium 5.1.2.4 2009.06.27 -
Avast 4.8.1335.0 2009.06.28 -
AVG 8.5.0.339 2009.06.27 -
BitDefender 7.2 2009.06.28 -
CAT-QuickHeal 10.00 2009.06.26 -
ClamAV 0.94.1 2009.06.27 -
Comodo 1458 2009.06.28 Unclassified Malware
DrWeb 5.0.0.12182 2009.06.28 -
eSafe 7.0.17.0 2009.06.25 -
eTrust-Vet 31.6.6582 2009.06.26 -
F-Prot 4.4.4.56 2009.06.27 -
F-Secure 8.0.14470.0 2009.06.27 -
Fortinet 3.117.0.0 2009.06.27 -
GData 19 2009.06.28 -
Ikarus T3.1.1.64.0 2009.06.27 -
Jiangmin 11.0.706 2009.06.27 -
K7AntiVirus 7.10.768 2009.06.19 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.06.27 -
McAfee 5659 2009.06.27 -
McAfee+Artemis 5659 2009.06.27 -
McAfee-GW-Edition 6.7.6 2009.06.27 -
Microsoft 1.4803 2009.06.27 -
NOD32 4193 2009.06.26 -
Norman 6.01.09 2009.06.26 -
nProtect 2009.1.8.0 2009.06.27 -
Panda 10.0.0.16 2009.06.27 Trj/Agent.ISR
PCTools 4.4.2.0 2009.06.26 -
Prevx 3.0 2009.06.28 -
Rising 21.35.52.00 2009.06.27 -
Sophos 4.43.0 2009.06.27 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.06.27 -
Symantec 1.4.4.12 2009.06.28 -
TheHacker 6.3.4.3.356 2009.06.27 -
TrendMicro 8.950.0.1094 2009.06.26 -
VBA32 3.12.10.7 2009.06.27 -
ViRobot 2009.6.27.1808 2009.06.27 -
VirusBuster 4.6.5.0 2009.06.27 -
weitere Informationen
File size: 208896 bytes
MD5 : daee383586db76671c43a83c04e51283
SHA1 : fd2d42ae4d08c8c05fd3d83f23226ce5876f2094
SHA256: 276c9f0396e17545b99ca1142b4f2b682ca06f56325c15bc7c9bb73312d8f654
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xFF14
timedatestamp.....: 0x4452DF55 (Sat Apr 29 05:36:53 2006)
machinetype.......: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x20696 0x21000 6.63 bd377d7cb431186fd1db7f3366661b37
.rdata 0x22000 0x7CFE 0x8000 4.89 562171d06132cc61a3adc5c240a48ca4
.data 0x2A000 0x8E54 0x3000 3.11 2fd85ba7481de3b532c9cedb7ed74e53
CONST 0x33000 0x1F 0x1000 0.09 e1c91d3ead8e57dca21253f563c750c1
.rsrc 0x34000 0x48A8 0x5000 4.41 46abb0b06f7f2c3453dea7320e86064f

( 8 imports )

> advapi32.dll: RegQueryValueA, RegEnumKeyA, RegDeleteKeyA, RegOpenKeyA, RegOpenKeyExA, RegQueryValueExA, RegCreateKeyExA, RegSetValueExA, RegCloseKey
> gdi32.dll: SetWindowExtEx, ScaleWindowExtEx, DeleteDC, GetStockObject, PtVisible, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, SelectObject, Escape, ExtTextOutA, TextOutA, GetDeviceCaps, DeleteObject, SetMapMode, RestoreDC, SaveDC, GetObjectA, SetBkColor, SetTextColor, GetClipBox, CreateBitmap, RectVisible
> kernel32.dll: SetErrorMode, HeapAlloc, HeapFree, HeapReAlloc, VirtualAlloc, RtlUnwind, GetCommandLineA, GetProcessHeap, GetStartupInfoA, RaiseException, ExitProcess, HeapSize, VirtualFree, HeapDestroy, HeapCreate, GetStdHandle, TerminateProcess, SetUnhandledExceptionFilter, IsDebuggerPresent, Sleep, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, GetACP, GetConsoleCP, GetConsoleMode, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetOEMCP, GetCPInfo, CreateFileA, GetCurrentProcess, GetThreadLocale, FlushFileBuffers, SetFilePointer, WriteFile, ReadFile, GlobalFlags, WritePrivateProfileStringA, InterlockedIncrement, TlsFree, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, GlobalHandle, GlobalReAlloc, EnterCriticalSection, TlsGetValue, LeaveCriticalSection, LocalAlloc, GlobalGetAtomNameA, GlobalFindAtomA, lstrcmpW, FreeResource, GetCurrentProcessId, GlobalAddAtomA, CloseHandle, GetCurrentThread, GetCurrentThreadId, ConvertDefaultLocale, GetModuleFileNameA, EnumResourceLanguagesA, GetLocaleInfoA, lstrcmpA, GlobalDeleteAtom, FreeLibrary, InterlockedDecrement, GetModuleFileNameW, GetModuleHandleA, GlobalFree, GlobalAlloc, GlobalLock, GlobalUnlock, FormatMessageA, LocalFree, FindResourceA, LoadResource, LockResource, SizeofResource, MulDiv, SetLastError, GetProcAddress, LoadLibraryA, lstrlenA, CompareStringA, GetVersionExA, GetVersion, GetLastError, WideCharToMultiByte, MultiByteToWideChar, InterlockedExchange, UnhandledExceptionFilter
> madchook.dll: InjectLibraryA, UninjectLibraryA
> oleaut32.dll: -, -, -
> shlwapi.dll: PathFindFileNameA, PathFindExtensionA
> user32.dll: UnregisterClassA, LoadCursorA, GetSysColorBrush, EndPaint, BeginPaint, ReleaseDC, GetDC, ClientToScreen, GrayStringA, DrawTextExA, DrawTextA, TabbedTextOutA, ShowWindow, SetWindowTextA, IsDialogMessageA, RegisterWindowMessageA, SendDlgItemMessageA, WinHelpA, GetCapture, GetClassLongA, GetClassNameA, SetPropA, GetPropA, RemovePropA, SetFocus, GetWindowTextA, GetForegroundWindow, GetTopWindow, GetMessagePos, MapWindowPoints, SetForegroundWindow, UpdateWindow, GetMenu, CreateWindowExA, GetClassInfoExA, GetClassInfoA, RegisterClassA, GetSysColor, AdjustWindowRectEx, CopyRect, PtInRect, GetDlgCtrlID, DefWindowProcA, CallWindowProcA, SetWindowLongA, SetWindowPos, SystemParametersInfoA, GetWindowPlacement, GetWindowRect, GetWindow, GetDesktopWindow, SetActiveWindow, CreateDialogIndirectParamA, DestroyWindow, IsWindow, GetDlgItem, GetNextDlgTabItem, EndDialog, DrawIcon, SendMessageA, GetWindowThreadProcessId, GetWindowLongA, GetLastActivePopup, IsWindowEnabled, MessageBoxA, SetCursor, SetWindowsHookExA, CallNextHookEx, GetMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, DestroyMenu, GetMessageTime, IsIconic, GetClientRect, SetTimer, KillTimer, LoadIconA, EnableWindow, GetSystemMetrics, GetSubMenu, GetMenuItemCount, GetMenuItemID, GetMenuState, UnhookWindowsHookEx, PostQuitMessage, PostMessageA, IsWindowVisible, GetKeyState, PeekMessageA, GetCursorPos, ValidateRect, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, LoadBitmapA, GetFocus, GetParent, ModifyMenuA, EnableMenuItem, CheckMenuItem
> winspool.drv: ClosePrinter, DocumentPropertiesA, OpenPrinterA

( 0 exports )
TrID : File type identification
Win64 Executable Generic (54.6%)
Win32 Executable MS Visual C++ (generic) (24.0%)
Windows Screen Saver (8.3%)
Win32 Executable Generic (5.4%)
Win32 Dynamic Link Library (generic) (4.8%)
ThreatExpert: http://www.threatexpert.com/report.aspx?md5=daee383586db76671c43a83c04e51283
ssdeep: 3072:XRVfFvREIVQFb+W4qTb6BfyztY4fNIA4Yf4xcEQKJtcQcCkpTQ7:BxH3VQFbb4qTbOyJfff4xcFmc5m
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=9B5D31EA00AEBA8630B90311BE25B8009378556E
PEiD : -
RDS : NSRL Reference Data Set
-

Arbeite diese Liste nacheinander ab:

• Lade dir Ccleaner und lass ihn nach der Anleitung durchlaufen.
• Lade dir Malwarebytes Anti-Malware, führe es nach der Anleitung aus und stelle das Log hier rein
• Lade dir SUPERAntiSpyware und führe es nach der Anleitung aus (Punkt 1-3). Log ebenfalls hier posten.
• Suche nach autorun.inf Dateien auf den Festplatten C:\ D:\ usw. (Lass dir vorher alle versteckten Dateien anzeigen)

Versteckte Dateien anzeigen:

• Windowstaste + E
• Dort auf “Extras” -> “Ordneroptionen”
• Wähle nun den Reiter “Ansicht”
• Den haken bei “Geschützte Systemdateien ausblenden” entfernen.
• Bei “Versteckte Dateien und Ordner” -> “Alle Dateien und Ordner anzeigen” auswählen.
• Auf “Übernehmen” klicken und dann “Ok”

mfg, Kaos

Habe alles so gemacht wie beschrieben und nichts gefunden. Superantispyware hatte kein log weil nichts gefunden wurde. Hier der Malwarebytes-log:

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2345
Windows 5.1.2600 Service Pack 3

28.06.2009 14:17:43
mbam-log-2009-06-28 (14-17-43).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|)
Durchsuchte Objekte: 103366
Laufzeit: 17 minute(s), 40 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Gut, dann wird es wahrscheinlich ein Fehlalarm sein und die WinSys2.exe zu Nvidia gehören. Achte in nächster Zeit trotzdem etwas mehr darauf, ob mit deinem PC irgendetwas nicht stimmt.

Ebenso solltest du dein System mit Avira und den aggressiven Einstellungen scannen. Diese kannst du auch in Zukunft so belassen, es gibt dann zwar auch mehr Fehlalarme, aber besser Vorsicht als Nachsicht.

Superantispyware kannst du wieder deinstallieren, Malwarebytes kannst du drauf lassen und gelegentlich damit dein System prüfen (Updates nicht vergessen).

mfg, Kaos

Alles klar. Danke nochmal für die Hilfe. Super Forum!