Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
:OTL
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\A.Beckschäfer\Anwendungsdaten\jashla.exe) - C:\Dokumente und Einstellungen\A.Beckschäfer\Anwendungsdaten\jashla.exe (Spoke Draw Store)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2003/10/28 04:13:03 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009/05/09 05:18:20 | 000,000,090 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009/10/30 13:36:54 | 000,000,000 | ---- | M] () - D:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009/05/09 05:18:20 | 000,000,090 | RHS- | M] () - E:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{2932a8ff-fc2c-11dc-b958-000c6ef5ac45}\Shell - "" = AutoRun
O33 - MountPoints2\{2932a8ff-fc2c-11dc-b958-000c6ef5ac45}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{2932a8ff-fc2c-11dc-b958-000c6ef5ac45}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe ANNE.vbs
O33 - MountPoints2\{ac416c7e-34c3-11dd-b968-000c6ef5ac45}\Shell - "" = AutoRun
O33 - MountPoints2\{ac416c7e-34c3-11dd-b968-000c6ef5ac45}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{ac416c7e-34c3-11dd-b968-000c6ef5ac45}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe ANNE.vbs
O33 - MountPoints2\{f73e44fe-70de-11e0-86b5-000c6ef5ac45}\Shell - "" = AutoRun
O33 - MountPoints2\{f73e44fe-70de-11e0-86b5-000c6ef5ac45}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{f73e44fe-70de-11e0-86b5-000c6ef5ac45}\Shell\AutoRun\command - "" = L:\LaunchU3.exe -a
O33 - MountPoints2\L\Shell - "" = AutoRun
O33 - MountPoints2\L\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\L\Shell\AutoRun\command - "" = L:\LaunchU3.exe -a
@Alternate Data Stream - 98 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
:Files
C:\Dokumente und Einstellungen\A.Beckschäfer\Anwendungsdaten\jashla.exe
:Commands
[purity]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:
1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten | 