Explorer.exe schließt sich...

kevin2050 · 17.07.2009, 20:03

Hallo,
ich hab seit gestern ein riesen Problem. Also Ich war grad am installieren von World of Warcraft Wotlk, kurz nach der fertigstellung, kam ein Programm, dass sich als windows Sichrheit angeben hat... Sowas hatte ich schonmal, dass sich ein Virus als anti viren prog "getarnt" hat, aufjedenfall, hab ich abrechen gedrückt... ging nicht weg.. also im task manager alle prozesse die mir verdächtig vorkamen geschlossen... dann 10 min ruhe... dann kommt plötzlich, explorer.exe hat ein fehler festgestellt,... neugestartet, Bluescreen kam, konnte ich aber mit der wiederherstellungskonsole fixen, kurz nach der anmeldung kommt wieder explorer.exe fehler und! es erscheinen popups mit der überschrift Fehler, und drunter starting mit dem knopf "ok"... ich hab kp was ich hab... danke schonmal im voraus, für eure hilfe...

PS: formatieren geht nicht, zuviele wichtige daten drauf...

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:31:14, on 17.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\drivers\smss.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\XXXX\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\smss.exe
O2 - BHO: C:\WINDOWS\system32\ghaf8jkdfd.dll - {A36D2A01-00F3-42BD-F434-00BBC39C8953} - C:\WINDOWS\system32\ghaf8jkdfd.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [ACU] C:\Programme\Atheros\ACU.exe -nogui
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BRAVIS-{DC0F6114-52CD-420E-BAEB-ECC5BFB0B110}] "E:\Programme\BRAVIS\Galaxee 4free\bravis.exe" --autostart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [UCam_Menu] "d:\Programme\CyberLink\YouCam\YouCam\MUITransfer\MUIStartMenu.exe" "d:\Programme\CyberLink\YouCam\YouCam" UpdateWithCreateOnce "Software\CyberLink\YouCam\3.0"
O4 - HKLM\..\Run: [YouCam Mirror Tray icon] "d:\Programme\CyberLink\YouCam\YouCam\YouCamTray.exe" /s
O4 - HKLM\..\Run: [net] "C:\WINDOWS\system32\net.net"
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Alt+Q Hotkey Tool] C:\WINDOWS\Alt+Q Hotkey.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Programme\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [WinRoll] "C:\Programme\WinRoll\winroll.exe"
O4 - HKCU\..\Run: [Yz Shadow] C:\Programme\YzShadow\YzShadow.exe
O4 - HKCU\..\Run: [Free Download Manager] "d:\Programme\Free Download Manager\fdm.exe" -autorun
O4 - HKCU\..\Run: [Cognac] C:\DOKUME~1\KEVINL~1.KEV\LOKALE~1\Temp\b.exe
O4 - HKCU\..\Run: [mswindows restore service] C:\DOKUME~1\XXXX\LOKALE~1\Temp\q3cqp5qtm.exe
O4 - HKCU\..\Run: [reader_s] C:\Dokumente und Einstellungen\Kevin Lau.KEVIN\reader_s.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
O4 - Startup: hamachi.lnk = C:\Programme\Hamachi\hamachi.exe
O4 - Startup: OpenOffice.org 3.1.lnk = D:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\ObjectDock\ObjectDock.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://d:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://d:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://d:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://d:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} (Battlefield Heroes Updater) - https://www.battlefieldheroes.com/static/updater/BFHUpdater_4.0.17.0.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: kjhsf87fhjdsfn93rjkndfdf - {A36D2A01-00F3-42BD-F434-00BBC39C8953} - C:\WINDOWS\system32\ghaf8jkdfd.dll
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Update Service (gupdate1c9d59eb7030fb0) (gupdate1c9d59eb7030fb0) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TunngleService - Tunngle.net GmbH - e:\Programme\Tunngle\TnglCtrl.exe

--
End of file - 7199 bytes

kevin2050 · 17.07.2009, 20:11

wtf?!... was solln des... bauche produktive beiträge pls...

Larusso · 17.07.2009, 20:31

Hy

Der Spammer wurde bereits gemeldet

Hier kann Dir nicht mehr geholfen werden

Code:

ATTFilter

O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe

Es handelt sich um den Fileinfector Virut

Anleitung zum Neu aufsetzten
Hier steht WARUM

kevin2050 · 17.07.2009, 20:40

danke... für die antwort und für die links.. aber ich habe immer noch nicht verstanden was der virus macht.. und wo befinden sich die treiber die ich sichern muss und wie mache ich das?

kevin2050 · 18.07.2009, 19:54

So, hab nun formatiert... jetzt ist zwar der fehler explorer.exe weg... aber der prozess reader_s.exe is immer noch vorhanden...das seltsame ist ich kann den prozess beenden, dann isser auch weg... was kann ich tun?

Larusso · 18.07.2009, 20:10

Wie ich gesehen habe, hat Dir Larusso schon mitgeteilt das es sich um einen Fileinfector Virut handelt
Dieser infiziert sich in alle .exe und somit ist eine Bereinigung sinnlos
Wurden Daten gesichert ?

kevin2050 · 18.07.2009, 20:15

ja... musik, videos, spiele... also hat die formatierung nichts gebracht?... ich hab keine lust alles nochmal neu aufzusetzen...

Larusso · 18.07.2009, 20:22

Worauf wurden diese Sachen gespeichert ?
Externe Festplatte ?
Aber ich denke wenn der Prozess wirklich da ist dann wars umsonst.

Poste einmal eine HJT Logfile

kevin2050 · 18.07.2009, 20:29

ja, ist alles auf einer externen festplatte... hier die logfile... ich hab hier schon den prozess im tasskmanager geschlossen,weiß net ob der noch aktiv ist..

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:27:35, on 18.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\drivers\smss.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\System Control Manager\edd.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Atheros\ACU.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\System Control Manager\MGSysCtrl .exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Safari\Safari.exe
D:\wotlk\wotlk 3.0.9.9551 - 3.1.0.9767\WoW-3.0.9-to-3.1.0-deDE-Win-patch\BNUpdate.exe
C:\Dokumente und Einstellungen\XXXX\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://94.75.229.248/search.php?q=1234.1001.1.64.0.65d4fd709c39827202302bf2dc0e283a0847aea3b5c57d4b0713bd0e50da2d8c
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\smss.exe
O2 - BHO: C:\WINDOWS\system32\ghaf8jkdfd.dll - {a36d2a01-00f3-42bd-f434-00bbc39c8953} - C:\WINDOWS\system32\ghaf8jkdfd.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ACU] C:\Programme\Atheros\ACU.exe -nogui
O4 - HKLM\..\Run: [MGSysCtrl] C:\Programme\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [12CFG515-K641-55SF-N66P] C:\RECYCLER\S-1-5-21-0243636035-3055115376-381863306-1556\pqlmq.exe
O4 - HKCU\..\Run: [reader_s] C:\Dokumente und Einstellungen\XXXX\reader_s.exe
O4 - HKCU\..\Run: [Power2GoExpress] "C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe" /Startup
O4 - HKCU\..\Run: [mswindows restore service] C:\DOKUME~1\XXXX~1\LOKALE~1\Temp\ej8fp.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: ,C:\DOKUME~1\XXXX~1\LOKALE~1\Temp\591812kou.dll
O20 - Winlogon Notify: reset5c - C:\WINDOWS\SYSTEM32\reset5c.dll
O22 - SharedTaskScheduler: kjhsf87fhjdsfn93rjkndfdf - {A36D2A01-00F3-42BD-F434-00BBC39C8953} - C:\WINDOWS\system32\ghaf8jkdfd.dll
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Programme\System Control Manager\edd.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\

--
End of file - 5961 bytes

kevin2050 · 18.07.2009, 20:37

sry.. pls löschen

Larusso · 18.07.2009, 20:50

das wars dann mit den gesicherten Daten.

Schliesse bitte die externe Festplatte an und entferne von dort alle Dateien mit der Endung .exe .com .scr .bat
Am besten wäre Du behältst nur das, auf dass Du nicht verzichten kannst

Danach downloade Dir Dr Web und führe es wie beschrieben aus mit angeschlossener Festplatte.
Dies sollte nur eine Kontrolle sein.
Ich kann Dir absolut keine Garantie geben, das Virut danach entfernt wurde da dieser auch Backdoor Charakter besitzt.

Wurde auch nur eine infizierte Datei vergessen, ladet sich Virut neu

Mistding echt.

kevin2050 · 19.07.2009, 14:36

ich verstehe nicht was das bringen soll... also ich hab keine gescheite datensicherung... ich hab einfacj alle daten die ich brauch rüberkopiert... was bringt es dann, wenn ich meine ganzen sachen lösch... die sind ja schon auf meinem pc.. oder meinst du meine festplatte im laptop?

Larusso · 19.07.2009, 16:37

Was das bringen soll?

Deine Datein was du zurückgespielt hast, sind verseucht.
Entweder du versuchst mit meiner Hilfe vl noch etwas zu retten, oder
Du setzt den Rechner noch einmal auf ohne das Du Deine gesicherten Daten zurück spielst.

Deine Entscheidung

kevin2050 · 19.07.2009, 19:37

mein vorherhiger thread solte in keinsterweise negativ oder beleidigend sein, wenn du das so empfunden hast dann tuts mir leid... ich versteh bloß nicht, wenn ich die dateien auf der externen platte lösch, ist der virus doch noch auf meinem laptop und hat sich dort verbreitet...
ich werde es heute nacht probieren und morgen bescheid geben obs funktioniert hat...
danke für deine hilfe^^

Larusso · 20.07.2009, 13:25

Ja Du musst auf jeden Fall den Rechner nocheinmal neu aufsetzen.

Wenn Du auf die gesicherten Daten verzichten kannst, dann formatiere auch alle externen Speichermedien was mit dem Rechner in Berührung gekommen sind.
Ich kann nicht einschätzen wie lange Virut schon am System ist.

17.07.2009, 20:31	#3
Larusso /// Selecta Jahrusso	Explorer.exe schließt sich... Hy Der Spammer wurde bereits gemeldet Hier kann Dir nicht mehr geholfen werden Code: ATTFilter O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe Es handelt sich um den Fileinfector Virut Anleitung zum Neu aufsetzten Hier steht WARUM __________________ __________________

18.07.2009, 20:10	#6
Larusso /// Selecta Jahrusso	Explorer.exe schließt sich... Wie ich gesehen habe, hat Dir Larusso schon mitgeteilt das es sich um einen Fileinfector Virut handelt Dieser infiziert sich in alle .exe und somit ist eine Bereinigung sinnlos Wurden Daten gesichert ? __________________ --> Explorer.exe schließt sich...

Explorer.exe schließt sich...

Log-Analyse und Auswertung: Explorer.exe schließt sich...