Mein HiJackLog mit der Bitte um Analysierung
 

Hi,

anbei ein HiJackLog eines Freundes:

Logfile of HijackThis v1.99.1
Scan saved at 22:43:29, on 18.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ToPicks\Bin\Idhost.exe
C:\WINDOWS\isrvs\desktop.exe
C:\Program Files\Admilli Service\AdmilliServ.exe
C:\Programme\ISTsvc\istsvc.exe
C:\Program Files\Admilli Service\AdmilliKeep.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\WINDOWS\sylnc.exe
C:\windows\system32\yyjngp.exe
C:\WINDOWS\realschd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
C:\windows\system32\calc.exe
C:\WINDOWS\msexploren.exe
C:\WINDOWS\qttasks.exe
C:\temp\salm.exe
C:\WINDOWS\System32\rmctrl.exe
C:\WINDOWS\System32\aaupdt.exe
C:\Program Files\Bqcuucq\Yptj.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\Programme\DownloadWare\dw.exe
C:\PROGRA~1\Data Caching\FLashKsk.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\gcasServ.exe
C:\Programme\BullsEye Network\bin\bargains.exe
C:\Program Files\Bpt\bpt.exe
C:\Programme\Philips\Externes Laufwerk\Blue Button\bbSysTray.exe
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\Shareaza\Shareaza.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet k series\Bin\hpoorn07.exe
C:\PROGRA~1\Hewlett-Packard\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Dokumente und Einstellungen\Hallo\Eigene Dateien\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Hallo\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Hallo\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Hallo\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Hallo\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Hallo\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Hallo\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.searchenhancement.com/...d=sesm&sstring=
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.searchenhancement.com/...d=sesm&sstring=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R3 - URLSearchHook: (no name) - _{1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
R3 - URLSearchHook: (no name) - _{9368D063-44BE-49B9-BD14-BB9663FD38FC} - (no file)
O2 - BHO: CheckPage Class - {0352960F-47BE-11D5-AB93-00D0B760B4EB} - C:\Programme\ToPicks\Bin\HtCheck2.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0F9561D0-03B2-44a3-89A6-E95E417CBA25} - C:\WINDOWS\cerbmod.dll
O2 - BHO: (no name) - {38D4D5D0-423E-4220-B6F9-30918C2AE4A4} - C:\WINDOWS\sasetup.dll
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll
O2 - BHO: Natural Language Navigation - {60E78CAC-E9A7-4302-B9EE-8582EDE22FBF} - C:\WINDOWS\System\BHO001.DLL
O2 - BHO: (no name) - {6D87A9BB-BEFB-5A42-A064-066EF126802C} - C:\WINDOWS\System32\soradoo.dll
O2 - BHO: (no name) - {6DA975EA-CBB4-411B-97C0-DB0A892BF2C1} - C:\WINDOWS\System32\bigame.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll
O2 - BHO: Flash Extender - {95795B67-BBAB-47d0-8A9F-069E8242C0E5} - c:\Program Files\Fen\fen.dll
O2 - BHO: (no name) - {95E4FCE2-EC6B-4A85-B8FF-404E53CA8C9D} - C:\WINDOWS\System32\fmbkg.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O3 - Toolbar: &My Way Speedbar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: iSearch Toolbar - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - C:\WINDOWS\System32\toolbar.dll
O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O4 - HKLM\..\Run: [ToPicks Starter] C:\Programme\ToPicks\Bin\Idhost.exe
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [Admilli Service] C:\Program Files\Admilli Service\AdmilliServ.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [¢‰¸u0–4C
}ïÁzî[8C:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\sylnc.exe
O4 - HKLM\..\Run: [yyjngp] c:\windows\system32\yyjngp.exe
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] "C:\Programme\T-Online\Dialerschutz-Software\Defender.exe"
O4 - HKLM\..\Run: [zid] C:\WINDOWS\zid.exe
O4 - HKLM\..\Run: [WinStart001.EXE] C:\WINDOWS\System\WinStart001.EXE -b
O4 - HKLM\..\Run: [TkBellExee] C:\WINDOWS\realschd.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [telnet] C:\WINDOWS\System32\telnet.exe
O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\shman.exe /i
O4 - HKLM\..\Run: [SvcH0st] C:\WINDOWS\msexploren.exe /i
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [srng] \Program Files\Srng\Srng.exe
O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\qttasks.exe /i
O4 - HKLM\..\Run: [SearchEnhancement] "C:\Programme\scbar\v2\scbar.exe" /U
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [Runner] C:\WINDOWS\svchost.exe /i
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [Microsoft Update] aaupdt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [jekbklvw] C:\WINDOWS\System32\yyjngp.exe
O4 - HKLM\..\Run: [Itjbz] C:\Program Files\Bqcuucq\Yptj.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HStkXA2] C:\WINDOWS\sylnc.exe
O4 - HKLM\..\Run: [HQQJXGMY] c:\windows\system32\hqqjxgmy.exe /install
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [FeCPY] "C:\Program Files\Common Files\Java\fecpy.exe"
O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe
O4 - HKLM\..\Run: [EBTWVBVO] c:\windows\system32\ebtwvbvo.exe /install
O4 - HKLM\..\Run: [DownloadWare] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [DLuxde] c:\program files\dialers\dluxde\dluxde.exe /nocomm
O4 - HKLM\..\Run: [DI2] "C:\DOKUME~1\Hallo\LOKALE~1\Temp\27.exe\27.exe"
O4 - HKLM\..\Run: [DataCaching] C:\PROGRA~1\Data Caching\FLashKsk.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [ccApp] C:\WINDOWS\gcasServ.exe /i
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [browser] C:\WINDOWS\browse.exe /i
O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\bptre.exe"
O4 - HKLM\..\Run: [BPT] "C:\Program Files\Bpt\bpt.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [bbSysTray] C:\Programme\Philips\Externes Laufwerk\Blue Button\bbSysTray.exe
O4 - HKLM\..\Run: [AStart] C:\WINDOWS\AStart
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [31202F3E] C:\WINDOWS\System32\zaikpvzjmo.exe
O4 - HKLM\..\Run: [00000000] C:\WINDOWS\System32\zaikpvzjmo.exe
O4 - HKLM\..\Run: [¢‰¸u0Ô@ÔÁß]­ú"ü‰üžiC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\sylnc.exe
O4 - HKLM\..\Run: [¢‰¸u0Ô@ÔÁß]­ú"ü‰¸u0C:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\sylnc.exe
O4 - HKLM\..\Run: [¢‰¸u0–4C
}ïÁzîžigÝC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\sylnc.exe
O4 - HKLM\..\RunServices: [651C740D] C:\WINDOWS\System32\zaikpvzjmo.exe
O4 - HKLM\..\RunServices: [00000000] C:\WINDOWS\System32\zaikpvzjmo.exe
O4 - HKLM\..\RunServices: [Microsoft Update] aaupdt.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Update] aaupdt.exe
O4 - HKCU\..\RunOnce: [Datamgr] regsvr32.exe /s "C:\Program Files\Topicks\Bin\Datamgr.dll"
O4 - HKCU\..\RunOnce: [HtCheck2] regsvr32.exe /s "C:\Program Files\Topicks\Bin\HtCheck2.dll"
O4 - HKCU\..\RunOnce: [IdmUn] "C:\Program Files\Topicks\Bin\IdmUn.exe" /RegServer
O4 - HKCU\..\RunOnce: [IdmUp] regsvr32.exe /s "C:\Program Files\Topicks\Bin\IdmUp.dll"
O4 - HKCU\..\RunOnce: [TPReg] regsvr32.exe /s "C:\Program Files\Topicks\Bin\TPReg.dll"
O4 - HKCU\..\RunOnce: [TpBar] regsvr32.exe /s "C:\Program Files\Topicks\Bin\TpBar.dll"
O4 - HKCU\..\RunOnce: [hthost] "C:\Program Files\Topicks\Bin\hthost.exe" /RegServer
O4 - HKCU\..\RunOnce: [htps] regsvr32.exe /s "C:\Program Files\Topicks\Bin\htps.dll"
O4 - HKCU\..\RunOnce: [icons] "C:\Program Files\Topicks\icons.exe"
O4 - HKCU\..\RunOnce: [idmcom] regsvr32.exe /s "C:\Program Files\Topicks\Bin\idmcom.dll"
O4 - Global Startup: HPAiODevice(hp officejet k series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet k series\Bin\hpoorn07.exe
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:C:\eugensp.chm::/on-line.exe
O16 - DPF: {11111111-1111-1111-1111-111111111111} - file://c:\info6.cab
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\bla.MHT!http://216.115.95.98//37ble.chm::/wincfgid.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CD...ridge-c139.cab
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} (iSearch Toolbar) - ms-its:mhtml:file://C:\ss.MHT!http://toolbar.isearch.com/install/0...es/initial.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/de/bi.../GoogleNav.cab
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - http://advnt01.com/dialer/internazionale_ver4.CAB
O16 - DPF: {B020B534-4AA2-4B99-BD6D-5F6EE286DF5C} (Symantec Download Bridge) - http://www2.service.t-online.de/dyn/...5/2334156.html
O16 - DPF: {BD11A280-2E73-11CF-B6CF-00AA00A74DAE} - file://C:\Info_sex4.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx
O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} (Internet Optimizer) - http://cdn.climaxbucks.com/mt/dialers/fc/UniDist.CAB
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?316
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
O18 - Filter: text/plain - {D028C087-819F-4C30-A907-8B7294809FF9} - C:\WINDOWS\System32\fmbkg.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Network Proxy (ccProxy) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe (file missing)
O23 - Service: Dialerschutz Dienst (DFSVC) - Unknown owner - C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe (file missing)
O23 - Service: ISSvc (ISSVC) - Unknown owner - C:\Programme\Norton Personal Firewall\ISSVC.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: ZESOFT - Unknown owner - C:\WINDOWS\zeta.exe

Vielen Dank!

Hallo,

der PC deines Freundes ist mit Malware so durchseucht, dass es imho keinen Sinn mehr macht diesen zu bereinigen.

Zur Analysezwecken kann er eScan AntiVirus anwenden und sich anschliessend über die gefundene Malware hier oder hier informieren.

Der Grund für die derartige Kompromittierung:
- SP2 fehlt
- Verwendung eines unsicher konfigurierten und nicht gepatchten IE
- Einsatz von Filesharing-Tools
- nervöser Zeigefinger, sprich Klickeritis
usw.

Meine Empfehlung -> siehe den Link in meiner Signatur.

Das habe ich mir auch schon gedacht...

eScan hat eine Unmenge an verseuchten Dateien bei ihm gefunden. Habe die gefundenen Einträge mal nach Wordpad kopiert. Es entstand eine Datei über 27 Seiten! :teufel1:

War anzunehmen.
Wie ist Eure weitere Vorgehensweise?

Hm, bin mir noch nicht sicher. Wenn neu Aufsetzen, muß ich das machen, da er PC technisch Anfänger ist. Dazu habe ich eigentlich keine Lust...:pfui:

Werde wohl im ersten Schritt mal im abgesicherten Modus ne Menge rausschmeißen, SP2 installieren und dann mal gucken, wie sich sein System so verhält.

Zur Zeit ist es so, dass seine Internet Verbindung sehr schnell automatisch unterbrochen wird und er einen Neustart machen muß. Diese Abrüche kommen sofort, wenn er auf Virenschutz-Seitenanbieter wie Norton o.ä. geht.

Kann das sein, dass der Trojaner diese Seiten identifiziert und dann sofort einen Abbruch provoziert?