Hallo zusammen,

bin das erste Mal hier, nur gelegentlicher PC-Nutzer, daher mehr Laie, habe aber seit letztes Wochenende ein Viren-Problem. Hoffe, ihr könnt mir helfen.

Mein G Data InternetSecurity 2007 hat mir beim Scannen folgende 3 Viren angezeigt:

1. C:/Dokumente und Einstellungen/Rüdiger/Lokale Einstellungen/Temporary Internet Files/ Content.IE5/……../ riff_last (1).bin den Virus „Exploit:Win32.IMG-ANI.w“

2. C:/ Dokumente und Einstellungen/ Rüdiger/Lokale Einstellungen/ Temporary Internet Files/ Content.IE5/ YP8FSVAN/ riff_last (1)bin. den Virus „CVE-2007-0038“

3. C:/Windows/Windowsupdate.log den Virus „Win32:Agent-HAI (Trj)

G Data konnte die Viren weder löschen noch desinfizieren.

Mit adaware, Spybot, AVG Anti-Spyware, CWShredder, Trojan Remover, a-squared und dem aktuellen Windows-Tool zum Entfernen bösartiger Software konnte ich anschließend nichts finden.

Habe dann die Inhalte der Ordner „Temporary Internet Files“ und „Cookies“ über Start > Systemsteuerung > Internetoptionen > Allgemein gelöscht, den Rechner heruntergefahren und nach Neustart mit dem CCleaner nochmals alles analysiert. Dabei musste ich feststellen, dass in „Temporary Internet Files“ der Ordner „Content.IE5“ immer wieder neu kopiert wurde und im Ordner „Cookies“ auch immer wieder die Datei „Index.dat“ erschien. Die Datei „Index.dat“ wurde als Datei im Ordner „Content.IE5“ angezeigt.
Ein Löschen von „Content.IE5“ und „Index.dat“ in den beiden Ordnern durch markieren und löschen scheiterte jedes Mal, da angezeigt wurde, dass die beiden Ordner vom System genutzt werden.

Ich habe dann im abgesicherten Modus und nach Deaktivierung der Systemwiederherstellung nochmals mit den vorgenannten Scannern alles gescannt – wieder ohne Meldung, diesmal auch nicht vom G Data InternetSecurity. Nach dem Neustart waren die Ordner „Content.IE5“ und „Index.dat“ im Ordner Cookies wieder da. Die Überprüfung der betroffenen Dateien mit „virusscan.jotti.org“ hat auch nichts ergeben.

Habe beim googeln festgestellt, dass Microsoft zum Virus „CVE-2007-0038“ bereits selber eine Warnung (MS07-017) veröffentlicht und im April einen Patch zur Schließung der Lücke bereitgestellt hat (KB 925902). Habe diesen heruntergeladen und installiert. Ich hoffe, damit wenigstens diesen Virus unschädlich gemacht zu haben. Zu den beiden anderen Viren findet man bei Google vor allem Hinweise auf Probleme von Usern im französischen Raum.

Da ich immer noch unsicher bin, ob die Viren nicht doch noch auf meinem System sind, sende ich euch mein HijackThis-log und die eScan-Auswertung mit der Bitte, einmal darüber zu schauen. eScan hat beim Scannen im abgesicherten Modus mit Deaktivierung Systemwiederherstellung wohl einiges gefunden, was ich jedoch nicht alles verstehe.

Besten Dank im Voraus.


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:56:10, on 06.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\progra~1\0190wa~1\w0svc.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\GoogleFilter\Core\Googlefilter.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\****\Desktop\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aomi.info
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aomi.info
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.aomi.info
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.microsoft.com/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.microsoft.com/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.microsoft.com/access/allinone.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.aomi.info
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {60DF4425-F36F-42D7-AECF-A409EBE4558C} - C:\Programme\SimonTools\CyberGhost2006\tbcghost.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O3 - Toolbar: SimonTools - {CC48EB38-F950-48C0-9F22-D64F829AE3DF} - C:\Programme\SimonTools\CyberGhost2006\tbcghost.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [Googlefilter] C:\Programme\GoogleFilter\Core\Googlefilter.exe /run
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System\tool.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Googlefilter] C:\Programme\GoogleFilter\Core\Googlefilter.exe /run
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CyberGhost2006] "C:\Programme\SimonTools\CyberGhost2006\CGhost.exe" min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129318703171
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5066/mcfscan.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - c:\progra~1\0190wa~1\w0svc.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - McAfee, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9512 bytes


Hier die eScan Virus Log Information

[General]
EngineType=1

[Welchia]
Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RPCPatch,"","",""
Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RPCTFTPD,"","",""
DeleteFile1=%winsysdir%\wins\svchost.exe
DeleteFile2=%winsysdir%\wins\Dllhost.exe

[LovGate]
Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ll_reg,"","",""
Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetMeeting\RemoteDesktop(RPC),"","",""
Reg3=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft\NetWork File Wall Services,"","",""
Reg4=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows\Management Instrumentation Driver Extension,"","",""
DeleteFile1=%winsysdir%\NetServices.exe
DeleteFile2=%winsysdir%\RAVMOND.EXE
DeleteFile3=%winsysdir%\RAVMOND.EXE
DeleteFile4=%winsysdir%\WinGate.exe
DeleteFile5=%winsysdir%\WinDriver.exe
DeleteFile6=%winsysdir%\WinHelp.exe
DeleteFile7=%winsysdir%\winrpc.exe
DeleteFile8=%winsysdir%\ily.dll
DeleteFile9=%winsysdir%\task.dll
DeleteFile10=%winsysdir%\reg.dll
DeleteFile11=%winsysdir%\1.dll
DeleteFile12=%winsysdir%\win32vxd.dll
DeleteFile13=%winsysdir%\kernel66.dll
DeleteFile14=%winsysdir%\kernel66.dll
DeleteFile15=%winsysdir%\iky668.dll
DeleteFile16=%winsysdir%\reg678.dll
DeleteFile17=%winsysdir%\task688.dll
DeleteFile18=%winsysdir%\111.dll

[CodeRed]
DeleteFile1=%inetpub%\scripts\root.exe
DeleteFile2=%PF%\common~1\system\MSADC\root.exe
;DeleteFile3=%SYSTEMDIR%explorer.exe
;DeleteFile3 commented because in XP (64-bit OS), explorer.exe is kept in system32 folder!!!
Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\C
Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\D

[OpaServ]
DeleteFile1=%SYSTEMDIR%\Tmp.ini
; this is Opaserv.M
DeleteFile2=%SYSTEMDIR%\MSLICENF.COM
DeleteFile3=%SYSTEMDIR%\BOOT.EXE
BAT1=Autoexec.bat,MSLICENF
BAT2=Autoexec.bat,BOOT.EXE

[Sobig.e]
DeleteFile1=%winsysdir%\cgtask.exe
DeleteFile2=%winsysdir%\mmtask.exe

[Winupie]
DeleteFile1=%winsysdir%\AxConfig.dll,regsvr32 /s /u AxConfig.dll

[Swen]
DeleteFile1=%winsysdir%\SWEN*.DAT

[JS.Fortnight]
DeleteFile1=%PF%\sign.htm
DeleteFile2=%PF%\sign.html

[Novarg]
DeleteFile1=%winsysdir%\shimgapi.dll

[Pagabot]
Reg1=HKEY_LOCAL_MACHINE\Software\Microsoft\windows\currentversion\run,Cryptographic Service,"",""

[Parite.b]
Reg1=HKEY_CURRENT_USER\Software\Microsoft\windows\currentversion\explorer,PINF,"",""

[Parite.a]
Reg1=HKEY_CURRENT_USER\Software\Microsoft\windows\currentversion\explorer,ZANF,"",""

[Adware.SeekSeek]
Reg1=HKEY_CURRENT_USER\Console,UUID,"",""
Reg2=HKEY_CURRENT_USER\Console,lp,"",""

Hallo

du willst uns doch nicht erzählen, dass eScan diese alle beseitigt hat, oder?
Verstehe ich hier etwas falsch?

Kennst du diese Datei :
C:\WINDOWS\System\tool.exe

MFG

Hallo,

sorry, habe eScan das erste Mal genutzt und da wohl etwas falsch gemacht. Habe soeben eScan nochmals darüber laufen lassen.
Hier die aus der der Datei mwav.log und der virus log information herausgesuchten infected files.
Wenn nötig, poste ich die gesamte virus log information, die jedoch sehr lang ist.

Sat Jul 07 14:18:04 2007 => System found infected with sillyworm.vo Worm (hkey_local_machine\software\microsoft\windows\currentversion\run/system)! Action taken: No Action Taken.

Sat Jul 07 14:18:17 2007 => File C:\WINDOWS\msstasks.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.

Sat Jul 07 14:18:17 2007 => File C:\WINDOWS\mstaskss.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.

Sat Jul 07 14:47:53 2007 => Scanning File C:\Programme\a-squared\infected.txt

Sat Jul 07 14:47:56 2007 => Scanning File C:\Programme\a-squared Free\infected.txt

Sat Jul 07 15:41:25 2007 => File C:\WINDOWS\msstasks.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.

at Jul 07 15:41:25 2007 => File C:\WINDOWS\mstaskss.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.

Sat Jul 07 15:57:30 2007 => Total Objects Scanned: 83088
Sat Jul 07 15:57:30 2007 => Total Critical Objects: 11
Sat Jul 07 15:57:30 2007 => Total Disinfected Objects: 0
Sat Jul 07 15:57:30 2007 => Total Objects Renamed: 0
Sat Jul 07 15:57:30 2007 => Total Deleted Objects: 0
Sat Jul 07 15:57:30 2007 => Total Errors: 194
Sat Jul 07 15:57:30 2007 => Time Elapsed: 01:40:29
Sat Jul 07 15:57:30 2007 => Virus Database Date: 7/5/2007
Sat Jul 07 15:57:30 2007 => Virus Database Count: 358745

Sat Jul 07 15:57:30 2007 => Scan Completed.


Was meinst Du mit C:/Windows/system/tool.exe?

Hallo

Zitat:

Was meinst Du mit C:/Windows/system/tool.exe?

na wie ich es geschrieben hab, kennst du diese Datei?
Wenn nicht lass sie bitte hier Virustotal
oder hier Jotti
überprüfen (kann bisschen dauern),
gleiches gilt für diese Datei :
C:\WINDOWS\msstasks.exe (auswerten lassen)
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei, sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

MFG

Hallo,

war einige Tage beruflich unterwegs, daher komme ich erst heute wieder an meinen Rechner.

Ein Scan der Datei "C/Windows/msstasks.exe" bei virustotal hat folgendes ergeben:

"0 bytes size received / Se ha recibido un archivo vacio".

Ein Scan bei Jotti hat zu folgendem Ergebnis geführt:

"The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file".

Die Datei "msstaasks.exe" fand sich übrigens zweimal im Ordner C/Windows". Ein Scan beider Fundstellen hat das gleiche Ergebnis wie vorstehend ergeben.


Die Datei "C/Windowes"system/tool.exe" findet sich im Arbeitsplatz/Explorer nicht. Auch Prozess Explorer hat diese nicht angezeigt,+. Erst Autoruns zeigte sie an unter "HKey_local_machine/software/microsoft/windows/CurrentVersion/run". Soll ich den Prozess aus der Windows-Registrierung und dem Autorun löschen?

MfG
Rüdi

Hallo

ich hab bei der ganzen Sache ein komisches Gefühl...

Deaktiviere bitte den Teatimer von Spybot S&D so :
starte Spybot S&D --> klicke auf "Modus" --> hake an "Erweiterte Modus" --> mit "Ja" bestätigen --> klicke auf "Werkzeuge" -->
klicke auf "Resident" --> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) --> beende Spybot S&D.

Mach bitte alle versteckten Dateien und Ordner sichtbar.

Dann starte HijackThis mit der Option - do a system scan only - und hake diesen Eintrag an :
O4 - HKLM\..\Run: [System] C:\WINDOWS\System\tool.exe
klicke nun auf - fix checked,
anschließend klicke auf - Main Menu - und wähle "Open the Misc Tools section" --> "Misc Tools" anwählen --> Delete a file on reboot --> wähle die zu löschende Datei -->
die Frage zum Neustart mit "Nein" beantworten --> die Frage des Neustarts erst mit "Ja" beantworten wenn alle Dateien ausgewählt wurden.
Wähle folgende Datei(en) :

C/Windows/msstasks.exe

C:\WINDOWS\System\tool.exe

beende HijackThis und starte den Rechner neu.
Nach dem Neustart schau bitte in den Backupordner von HijackThis ob sich unsere beiden Patienten dort befinden, wenn ja, lass sie jetzt nochmal bei Virustotal auswerten.

MFG