Hallo an alle freundlichen Helferlein !
Über den PC unseres Sohnes, der mit meinem PC vernetzt ist, haben wir uns den Trojan downloader WMA.Wimad.k eingefangen.
Leider gehöre auch ich zu den Menschen, die nicht wirklich viel Ahnung von solchen Dingen haben und wäre für Eure Hilfe wirklich dankbar.
Ich benutze Windows XP Prof. und habe den Antivir schon seit langem installiert. Gestern bekam ich dann von Antivir die Meldung über den Trojaner. Ich verschob ihn in die Quarantäne, löschte die befallene Datei u leerte den Papierkorb. Antivir fand dann keine weiteren Trojaner.Daraufhin führte ich heute noch einmal einen Online-Scan bei Kaspersky durch. Dieser fand dann 8 infizierte Dateien, desweiteren bekomme ich beim Öffnen meines Emailprogramms immer die Meldung, dass meine Standardsuchmaschine von Seiten dritter versucht wurde zu ändern.
Ich ließ Antivir noch 2mal durchlaufen, wobei beide male nichts gefunden wurde.
Habe jetzt mittels HJT ein Log-File erstellt, das ich aber hier bewusst noch nicht einstellen will. Ich bin mir nicht sicher, ob ich das einfach hier rein kopieren kann oder ob ich da noch was besonderes beachten muss (ev.als Anhang einfügen?).

Meine eigentliche Frage ist natürlich, wie ich den Trojaner wieder los werde, ohne meinen Rechner platt zu machen ?

Könntet Ihr mir wohl bitte mit relativ einfach gehaltenen Anweisungen erklären, wie ich jetzt weiter vorgehen muss ?

Ein großes Dankeschön im Voraus ! K-K

Hallo Konni-Konrad und
Das HijackThis Log benötigen wir schon. Aber beachte, dass es erst noch editiert werden muss entsprechend dieser Anleitung
Es ist auch nützlich, wenn wir die Meldungen des Kaspersky scan erfahren würden. Also wo der Schädling gefunden wurde und wie die Datei heist.

Danke erstmal fürDeine Antwort (hatte zwischenzeitlich gelesen,dass es schonmal 1-2 Tg dauern kann) !
Also ich hoffe mal, dass ich das jetzt mit dem Log-File richtig gemacht habe.
Hier die Kopie :

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:34:32, on 15.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\SiteAdvisor\6261\SiteAdv.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Logitech\iTouch\kbdtray.exe
C:\Programme\IncrediMail\bin\IMApp.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.gofeminin.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.2.1
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SiteAdvisor] "C:\Programme\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6261\SAService.exe

--
End of file - 7528 bytes
         

Und hier das Protokoll von Kaspersky :

Code: Alles auswählenAufklappen

ATTFilter

Untersuchungsergebnisse 
Untersuchte Objekte insgesamt 93619 
Viren gefunden 1 
Infizierte Objekte gefunden 8 
Verdächtige Objekte gefunden 0 
Untersuchungszeit 01:50:37 

Name des infizierten Objekts Virusname Letzte Aktion 
C:\Dokumente und Einstellungen\Konrad-PC\Anwendungsdaten\Teleca\Telecalib\Logging\Application logs\SpecificUSB_log.txt  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Cookies\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Eigene Dateien\Eigene Musik\03 Track 3.wma  Infizierte Objekte: Trojan-Downloader.WMA.Wimad.k  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Eigene Dateien\Eigene Musik\Top of Charts - 2003 (eyeball).wma  Infizierte Objekte: Trojan-Downloader.WMA.Wimad.k  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Eigene Dateien\Eigene Musik\Top of Charts - 2004 (eyeball).wma  Infizierte Objekte: Trojan-Downloader.WMA.Wimad.k  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Eigene Dateien\Eigene Musik\Top of Charts - 2005 (eyeball).wma  Infizierte Objekte: Trojan-Downloader.WMA.Wimad.k  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Eigene Dateien\Eigene Musik\Wicked Remix (eyeball).wma  Infizierte Objekte: Trojan-Downloader.WMA.Wimad.k  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Eigene Dateien\Eigene Musik\Wicked Remix.wma  Infizierte Objekte: Trojan-Downloader.WMA.Wimad.k  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Lokale Einstellungen\Temp\~DF876C.tmp  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Lokale Einstellungen\Temp\~DFAC0A.tmp  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Lokale Einstellungen\Verlauf\History.IE5\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\NTUSER.DAT  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\ntuser.dat.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Shared\01 Track 1.wma  Infizierte Objekte: Trojan-Downloader.WMA.Wimad.k  übersprungen  
 
C:\Dokumente und Einstellungen\Konrad-PC\Shared\03 Track 3.wma  Infizierte Objekte: Trojan-Downloader.WMA.Wimad.k  übersprungen  
 
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\Programme\FRITZ!DSL\access\access.lock  Das Objekt ist gesperrt  übersprungen  
 
C:\System Volume Information\MountPointManagerRemoteDatabase  Das Objekt ist gesperrt  übersprungen  
 
C:\System Volume Information\_restore{262FC28D-C215-4110-8561-EFE196B2A264}\RP537\change.log  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\Debug\PASSWD.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\SchedLgU.Txt  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\Sti_Trace.log  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\CatRoot2\edb.log  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\CatRoot2\tmp.edb  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\AppEvent.Evt  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\default  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\default.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\Internet.evt  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SAM  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SAM.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SecEvent.Evt  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SECURITY  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SECURITY.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\software  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\software.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SysEvent.Evt  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\system  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\system.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\h323log.txt  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\wiadebug.log  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\wiaservc.log  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\WindowsUpdate.log  Das Objekt ist gesperrt  übersprungen  
 
Die Untersuchung wurde abgeschlossen.
         

Ich hoffe, das kann helfen.

Hallo Konni
Da hat euer Sohn wohl illegale Media Dateien runtergeladen. Da währe es interessant wie sein Log aussieht.
Aber egal, habt ihr denn diese WMA-Dateien auf euren Rechner rüber kopiert?
Die sollten alle gelöscht werden.
Dann mach mal noch einen Scan mit Avira aggressive Einstellung. Alle Funde in Quarantäne verschieben lassen, nicht gleich löschen.
Dann mal das Ergebnis posten.

Hallo Blow in ! Danke schon mal. Ich werde mich sofort "drüber hermachen", zumindest über das, was meinen Rechner angeht.
Diese WMA-Dateien haben wir nicht auf unseren Rechner kopiert. Möglicherweise liegt das daran, dass unser Sohnemann ab u zu mal den "Gesamt"-Ordner als Speicherort benutzt ? Wenn das sein könnte, wäre es gut für mich zu wissen, sodass ich das unterbinden könnte (wenn ich schon in Sachen illegale Downloads machtlos bin).

Den Log meines Sohnes kann ich leider erst später schicken, da sein PC Passwortgeschützt ist.

So ich widme mich jetzt mal dem Avira und lösche natürlich nichts. Weiß auch nicht, warum ich da gestern so blond war ;-).

Hallo !
Habe jetzt Avira noch einmal komplett durchlaufen lassen -Keine Funde !
Bei meinem Sohn läuft es noch, schaut aber ebenfalls danach aus, dass er nichts findet (ist schon bei 77%).
Wie kann ich dann jetzt weiter vorgehen ????
Den Log von meinem Sohn schicke ich gleich noch nach. Müssen das HJT aber erst bei ihm installieren.
Warum findet Avira denn nichts ????
LG