Fixe den O20 Eintrag im abgesicherten Modus bei deaktivierter Systemwiederherstellung (wie das geht steht weiter unten)

Danach:

Zitat:

Zitat von Shadowdance

Lade den eScan (Anweisung beachten!) runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus (Link beachten!) aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!"

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden.

SD

@ DarkdoremX,

mach bitte auf jeden Fall den eScan, wie von Lidius empfohlen! Zusätzlich bitte Folgendes:

Spybot-Forschung. Arbeite das Tutorial Punkt für Punkt durch, überprüfe Deinen Computer mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info, mit dem Betreff "AppInit_DLLs: nrebydh6ypl.dll-TBOARD", mit Hinweis auf diesen Thread.

SD

Auch wenn ich den O20 Eintrag bei deaktivierter Systemwiederherstellung fixe kommt er beim nächsten scannen wieder.
Eine eScan Überprüfung ergab folgende Viren:

File C:\WINDOWS\System32\nrebydh6ypl.dll infected by "TrojanDownloader.Win32.Agent.dg" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\internet.exe infected by "TrojanDownloader.Win32.Small.or" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\s72hujejir.exe infected by "TrojanDropper.Win32.Agent.ag" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\btest4.scr infected by "TrojanDownloader.NSIS.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\n2os9f2s45g.bak infected by "TrojanDownloader.Win32.Agent.dg" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\nrebydh6ypl.dll infected by "TrojanDownloader.Win32.Agent.dg" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\v200bfmerbkdw.bak infected by "Trojan.Win32.Krepper.q" Virus. Action Taken: No Action Taken.
File C:\Downloads\verschiedenes\Verschiedenes\ja2.rar tagged as not-a-virus:Cracker.Game.HotHook. No Action Taken.
File C:\Downloads\verschiedenes\Yetisports\yetisports6.exe infected by "TrojanDropper.Win32.Agent.bh" Virus. Action Taken: No Action Taken.
File C:\INST\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\Programme\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\RECYCLER\S-1-5-21-1614765859-2796713857-643571872-500\Dc1.dll infected by "Trojan.Win32.Krepper.q" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\internet.exe infected by "TrojanDownloader.Win32.Small.or" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\s72hujejir.exe infected by "TrojanDropper.Win32.Agent.ag" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\btest4.scr infected by "TrojanDownloader.NSIS.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\n2os9f2s45g.bak infected by "TrojanDownloader.Win32.Agent.dg" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\nrebydh6ypl.dll infected by "TrojanDownloader.Win32.Agent.dg" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\v200bfmerbkdw.bak infected by "Trojan.Win32.Krepper.q" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\wt\wtbgm\wtbgmtt.exe tagged as not-a-virus:AdWare.WildTangent. No Action Taken.
File D:\Treiber\PERIPHERIE\WEBCAMS\MD 9369\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Treiber\PERIPHERIE\WEBCAMS\PENCAM MD 9456\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.


Die Überprüfung mit Spybot S&D ergab folgende Probleme, die ich behoben habe:

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\S-1-5-21-1614765859-2796713857-643571872-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3


--- Spybot - Search && Destroy version: 1.3 ---
2004-08-11 Includes\Cookies.sbi
2004-10-11 Includes\Dialer.sbi
2004-10-14 Includes\Hijackers.sbi
2004-10-07 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-10-12 Includes\Malware.sbi
2004-10-05 Includes\Revision.sbi
2004-09-16 Includes\Security.sbi
2004-10-12 Includes\Spybots.sbi
2004-08-30 Includes\Tracks.uti
2004-10-11 Includes\Trojans.sbi


Und hier vorsichtshalber nochmal ein aktuelles HijackThis Log:

Logfile of HijackThis v1.98.2
Scan saved at 19:14:11, on 23.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Virenschutz\AVKService.exe
C:\Programme\Virenschutz\AVKWCtl.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Downloads\verschiedenes\Verschiedenes\hijackthis_198\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Inter load blue hole] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SetupCoalInterLoad\AdminHope.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{6076A72E-0BB9-421F-8208-C8D29FD02E12}: NameServer = 205.188.146.146
O20 - AppInit_DLLs: nrebydh6ypl.dll

Wie gesagt O20 will einfach nicht weg und der Virus ist immernoch da.

Hallo DarkdoremX,

durch eine Überprüfung kriegst Du die Viren ja auch nicht weg, folglich sind sie natürlich noch da. Was hast Du denn mit den Einträgen gemacht, die Du uns hier im Forum zeigst? Sprichst Du englisch? "No action taken" bedeutet, dass die Malware festgestellt worden ist als auf Deinem System befindlich. Nun musst Du sie entfernen. Und das meiste, wenn nicht gar alles, muss von Hand gemacht werden.

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren (Zitat Cidre) die Option "Geschütze Systemdatein ausblenden (empfohlen)" abschalten. (Zitat Warhawk)

Zitat:

File C:\WINDOWS\System32\nrebydh6ypl.dll infected by "TrojanDownloader.Win32.Agent.dg" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\internet.exe infected by "TrojanDownloader.Win32.Small.or" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\s72hujejir.exe infected by "TrojanDropper.Win32.Agent.ag" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\btest4.scr infected by "TrojanDownloader.NSIS.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\n2os9f2s45g.bak infected by "TrojanDownloader.Win32.Agent.dg" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\nrebydh6ypl.dll infected by "TrojanDownloader.Win32.Agent.dg" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\v200bfmerbkdw.bak infected by "Trojan.Win32.Krepper.q" Virus. Action Taken: No Action Taken.
File C:\Downloads\verschiedenes\Verschiedenes\ja2.rar tagged as not-a-virus:Cracker.Game.HotHook. No Action Taken.
File C:\Downloads\verschiedenes\Yetisports\yetisports6.exe infected by "TrojanDropper.Win32.Agent.bh" Virus. Action Taken: No Action Taken.
File C:\INST\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\RECYCLER\S-1-5-21-1614765859-2796713857-643571872-500\Dc1.dll infected by "Trojan.Win32.Krepper.q" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\internet.exe infected by "TrojanDownloader.Win32.Small.or" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\s72hujejir.exe infected by "TrojanDropper.Win32.Agent.ag" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\btest4.scr infected by "TrojanDownloader.NSIS.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\n2os9f2s45g.bak infected by "TrojanDownloader.Win32.Agent.dg" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\nrebydh6ypl.dll infected by "TrojanDownloader.Win32.Agent.dg" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\v200bfmerbkdw.bak infected by "Trojan.Win32.Krepper.q" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\wt\wtbgm\wtbgmtt.exe tagged as not-a-virus:AdWare.WildTangent. No Action Taken.

all diese Dateien (zwei habe ich rausgenommen, die brauchen nicht gelöscht werden) gilt es nun von Hand zu löschen. Mach das bitte. Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre].

Zu Deinem Logfile:

fixe im abgesicherten Modus mit Hijack This:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
O20 - AppInit_DLLs: nrebydh6ypl.dll

alles was Du unter WindowsXP fixed oder löscht, muss immer im abgesicherten Modus geschehen, da sonst nach einem Neustart des Computers alle entfernten Dateien wieder vorhanden sind. Wenn Du die 'Löscharbeiten" beendet hast, boote in den normalen Modus, aktiviere die Systemwiederherstellung und melde Dich bitte wieder ... dann sehen wir weiter.

SD

So hab die Dateien jetzt alle im abgesicherten Modus und bei deaktivierter Systemwiederherstellung gelöscht.
Außer die Datei C:\WINDOWS\system32\nrebydh6ypl.dll.
Wenn ich die löschen wollte kam immer folgende Fehlermeldung:


Fehler beim Löschen der Datei oder des Orders

nrebydh6ypl kann nicht gelöscht werden: Der Zugriff wurde verweigert.
Stellen Sie sicher, dass der Datenträger weder voll noch schreibgeschützt ist und die Datei gerade nicht verwendet wird.


Im abgesicherten Modus (mit deaktivierter Systemwiederherstellung) habe ich außerdem mit HijackThis die Zeilen R1 und O20 gefixt. Die Zeile O20 ist aber wieder da.


HijackThis Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 14:16:00, on 24.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Virenschutz\AVKService.exe
C:\Programme\Virenschutz\AVKWCtl.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\explorer.exe
C:\Downloads\verschiedenes\Verschiedenes\hijackthis_198\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Inter load blue hole] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SetupCoalInterLoad\AdminHope.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{6076A72E-0BB9-421F-8208-C8D29FD02E12}: NameServer = 205.188.146.146
O20 - AppInit_DLLs: nrebydh6ypl.dll

Welchen abgesicherten Modus hast du benutzt?

Wechsle in den
abgesicherten Modus mit Eingebeaufforderung , danach
cd \WINDOWS\System32
dir /p
del nrebydh6ypl.dll wird wahrscheinlich so angezeigt = nrebyd~1.dll

Danach Neustart und nochmal ein aktuelles Log-File posten.

Auch im abgesichertem Modus mit Eingabeaufforderung wird mir der Zugriff auf die Datei verweigert.
Hier was ich genau gemacht hab:

cd\WINDOWS\System32
dir/p
del nrebydh6ypl.dll
Zugriff verweigert


Hier mein neues Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 19:47:33, on 24.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Virenschutz\AVKService.exe
C:\Programme\Virenschutz\AVKWCtl.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe
C:\Programme\AOL 9.0\waol.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\System32\svchost.exe
C:\Downloads\verschiedenes\Verschiedenes\hijackthis_198\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Inter load blue hole] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SetupCoalInterLoad\AdminHope.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{6076A72E-0BB9-421F-8208-C8D29FD02E12}: NameServer = 205.188.146.146
O20 - AppInit_DLLs: nrebydh6ypl.dll

Dann lade WinFile.exe und starte es.
Navigiere im rechten Fenster zu der betreffenden dll, markiere sie und wähle im Menü Security die Option Permissions. Ändere im unteren Auswahlfenster die Zugriffsart auf Vollzugriff. Bestätige mit "OK". Dann wähle im selben Menü die Option Owner und klicke auf "Besitz übernehmen". Bestätige mit "OK".
Jetzt die Datei umbenennen in z.B. Malware.txt und die Nachfragen jeweils mit
"OK" bzw. "Ja" bestätigen. Anschließend sollte sich die Datei löschen lassen.

Mal ne Zwischenfrage:
Wofür ist diese DLL eigentlich gut?

EDIT:
Unter Permissions ist nrebydh6ypl.dll bereits auf Vollzugriff eingestellt.
Wenn ich dann unter Owner den Besitzer übernehmn will, kommt wieder die Mitteilung, dass der Zugriff verweigert wurde.
Die Datei umbenennen geht dann auch nicht -> Zugriff verweigert.

Zitat:

Wofür ist diese DLL eigentlich gut?

C:\WINDOWS\System32\nrebydh6ypl.dll infected by "TrojanDownloader.Win32.Agent.dg"

Zitat:

O4 - HKLM\..\Run: [Inter load blue hole] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SetupCoalInterLoad\AdminHope .exe

Kennst du diese Datei? Wenn nicht dann überprüfe sie bei http://virusscan.jotti.org/de
und poste das Ergebnis.

Mach mal folgendes:
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org

Danach aktualsiere dein AVK und scanne im abgesicherten Modus dein System, poste alle Funde und nochmal ein aktuelles Log-File.

Hier das Ergebnis von AdminHope.exe:

Service load: 0% 100%

File: AdminHope.exe
Status: OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: None

AntiVir No viruses found (1.26 seconds taken)
Avast No viruses found (4.55 seconds taken)
BitDefender No viruses found (2.69 seconds taken)
ClamAV No viruses found (2.85 seconds taken)
Dr.Web No viruses found (4.34 seconds taken)
F-Prot Antivirus No viruses found (0.37 seconds taken)
Kaspersky Anti-Virus No viruses found (4.24 seconds taken)
mks_vir No viruses found (1.40 seconds taken)
NOD32 No viruses found (2.30 seconds taken)
Norman Virus Control No viruses found (1.07 seconds taken)

Hab mir Mozilla runtergeladen und als Standartbrowser eingestellt. Benutze aber sowieso fast nur den AOL-Browser.

Rest mach ich später. Hab jetzt keine Zeit mehr

Der Virus ist weg!
Ein Freund von mir hat mir Pana Anti-Virus empfohlen. Ich installier die Probeversion, Panda findet den Virus, ich klick auf desinfizieren und der Virus ist weg. Werd jeztt mein altes Antivirusprogramm in die Tonne treten und mir Panda holen.
Danke für eure hilfen.