svchost.exe gelöscht: Was nun?
 

Hallo!
Ich habe im Eifer des Gefechts aus Versehen eine svchost.exe gelöscht. Und zwar in diesem Ordner: C:\Windows\svchost.exe

Ich habe keine Ahnung, wozu ich diese Datei brauche, glaube aber, verstanden zu haben, dass sie wichtig ist.

Momentan läuft mein PC noch einwandfrei. Nur beim Hochfahren kommt die Meldung, dass die exe nicht gefunden werden kann.

Wie kann ich die svchost.exe wieder installieren?

Danke vorab für hilfreiche Tipps.
Nicole

Hi,

also die C:\Windows\svchost.exe ist nicht wichtig, im Gegenteil, sogar gefährlich. Eine wichtige Systemdatei ist die C:\Windows\system32\svchost.exe. Dass es die Datei auf deinem System gab, ist ein guter Grund, es genauer anzusehen, da könnte mehr sein.

Fertige ein Hijackthis Log deines Systems an. Dazu diese Datei runterladen und in einen eigenen Ordner entpacken, nicht aus dem Zip-Ordner starten. Alle anderen Programme schließen, Hijackthis.exe starten, auf "Scan" klicken und das Log hier posten.

Gruß, Karl

Hi,

ich habe ein ähnliches problem

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Huhu, also hier bin ich wieder mit der Logfile. Ich hoffe das Beste, denn ich bin im Ausland und habe keinerlei Windows-CD etc. mitgenommen.

Logfile of HijackThis v1.99.1
Scan saved at 11:00:33, on 10.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE
C:\Programme\Eazy-Ware\ezSched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Dokumente und Einstellungen\Nicole\Eigene Dateien\DOWNLOADS\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.f4.fhtw-berlin.de/infos/
F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RestoreIT!] "C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [EazyScheduler] C:\Programme\Eazy-Ware\ezSched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [D066UUtility] C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [mmtask] "C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104063820061
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Phoenix VCD Service (PhnxVCDService) - Phoenix Technologies Ltd. - C:\WINDOWS\system32\PhnxCDSvr.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Was sagt mir das? Danke für die Hilfe!

Unwissende Gruesse,
Nicole

@Spifra

Das sagt uns, dass die svchost.exe im Windowsordner aktiv war, da sie unter F3 einen Starteintrag hat. Was sie genau war, weiß ich nicht, dieser Name in diesem Ordner wird von ziemlich viel Malware genutzt. Da die Datei gelöscht ist, können wir auch nicht mehr ermitteln, was es war.

Vorsichtig wäre es, vom schlimmsten auszugehen (ich halte es für möglich, dass das eine Backdoor war) und neu zu installieren, ansonsten machst Du eben nach einem Scan mit Hijackthis vor die folgende Zeile einen Haken und klickst "Fix checked".

Vielen Dank fuer die Hilfe.
Wenn da noch mehr Malware in meinem Computer herumschwirrt, wird es mein Antivir doch hoffentlich entdecken.

Antivir ist sehr gut, gehört zu den besten Scannern. Leider ist das aber keine Garantie, es gibt Techniken, mit denen sich Malware, wenn sie sich erstmal im System verankert hat, vor Scannern verstecken kann (Rootkits z.B.).

Die Größe deines Problems hängt jetzt sicher auch davon ab, was Du mit dem Rechner machst. Geldgeschäfte sind kritischer als Nachrichten lesen. Ich möchte zumindest noch eine weitere Überprüfung anregen um das Risiko zu minimieren:

• Kaspersky
• F-Secure

Muss ich alle Laufwerke komplett durchsuchen, oder reicht es, den Windows-Ordner zu durchsuchen?

Der Windowsordner und seine Unterordner sind besonders beliebte Ziele für Malware, es empfiehlt sich aber, das System komplett durchsuchen zu lassen. Es gibt eine Menge Sachen, die einen Bogen um diese Ordner machen.

Juti. Vielen Dank für die hilfreichen Infos!!!

Hallo, einen schönen guten Morgen und nachträglich: Willkommen im Trojaner-Board!

Welche ein Schädling war bzw. ist.

Wenn man dieser Ansicht ist, sollte man jedoch keine Dateien löschen - auch nicht "im Eifer des Gefechts"! Nur mal ein kleines Beispiel, um Dir aufzuzeigen, worauf ich damit hinaus möchte.

Werden die falschen Dateien gelöscht oder gesperrt, hier durch einen Virenscanner:
WinFuture.de - Symantec-Update setzt Millionen PCs außer Gefecht
Norton Anti-Virus löscht Windows-Systemdateien - IT im Unternehmen - News
Symantec false positive cripples thousands of Chinese PCs

Die unter dem letztgenannten Link ersichtlichen Informationen sind am genauesten - zwar in Englisch, aber da Du Dich ohnehin im Ausland aufhältst, so denke ich, sollte diese Sprache keine große Hürde darstellen. :)

Liest man nämlich hier auf Seite 2 weiter, so sollte die Problematik deutlich werden (Hervorhebungen im Zitat in Fettschrift durch mich):

Zitat Ende. Heißt: Wäre in Deinem Fall, wenngleich unbeabsichtigter Weise, durch Dich oder den Virenscanner, eine falsche Datei gelöscht worden, hätte es zu erheblichen Schwierigkeiten für Dich führen können, denn weiter unten schreibst Du selbst (Hervorhebung in Fettschrift durch mich):

Du hättest also in diesem Fall die gelöschten Systemdateien nicht zurückkopieren können, da Du die CD gar nicht zur Verfügung hast. Bist Du nun, gerade im Ausland, auf Deinen PC angewiesen, würde es doppelt schwer und unnötig aufwändig werden.

Wichtig: Ich will Dir damit keine Angst machen, sondern lediglich anhand von Beispielen darauf hinweisen, mit welchen möglichen Konsequenzen man rechnen muss, und wie man sich am besten darauf vorbereiten sollte. Also bitte als einen Tipp für die Zukunft verstehen.

Des Weiteren kann ein Löschen einer Nicht-Systemdatei (sondern einer Datei, innerhalb derer z.B. wichtige Daten gespeichert sind), zu einem Datenverlust führen. Beispiel dazu, dieser Thread:

Von G-Data gelöschte Datei wiederherstellen? - www.spotlight-wissen.de

Für wichtige Daten ist es übrigens ohnehin das beste, wenn man sie regelmäßig extern sichert, z.B. auf CD oder DVD-RAM. Dann hat man sie im Falle eines Falles immer doppelt vorliegen und kann sie später entweder zurücksichern oder während des Ausfalls des eigenen PCs auf einem anderen System mit ihnen weiterarbeiten.

Liegen keine Datensicherungen vor, kann bereits ein falscher Klick für Missstimmung sorgen.

Ergo: Gerade wenn man mit dem eigenen PC / Laptop ins Ausland geht, sollte man die Mindestvorbereitungen treffen, um nicht vor Ort mit ggf. bösen Überraschungen konfrontiert zu werden. Denn es muss ja, den Erhalt der wichtigen Daten betreffend, kein Softwareproblem sein, das für etwaige Verluste verantwortlich ist - auch ein unerwartet auftretender Hardwaredefekt (Festplatte) kann die Laune verderben.

Das ist Dein subjektiver Eindruck - objektiv gesehen ist Dein System jedoch mit Aktivwerden des Schädlings kompromittiert worden. Als "einwandfrei" würde ich das nicht bezeichnen. ;)

Weil der Starteintrag noch vorhanden ist, die Datei selbst jedoch nicht mehr.

Einen Schädling würde ich nicht unbedingt wieder installieren wollen. ;)

Mehr dazu gleich noch in der Antwort auf Dein LogFile-Posting.

Ich kann verstehen, dass Du das beste hoffst und heiße Optimismus auch sehr willkommen, doch in diesem Fall gibt es leider nicht viel "Bestes". Begründungen folgen.

Das sieht zwar auf den ersten Blick hinsichtlich der Aktualität nicht schlecht aus, weiter unten im LogFile folgt dann allerdings ein wenig Ernüchterung:

Diese Windowsupdate-Version stammt aus dem Jahre "Sonne, Mond und Sterne". Dies lässt unter Einbeziehung weiterer LogFile-Einträge den wahrscheinlichen Schluss zu, dass sich das System selbst in einem ebenfalls sehr veralteten Zustand befindet.

Aktuell wäre Version 6 des Windowsupdates, besser noch Version 6 des Microsoftupdates, das übrigens bereits seit Juni 2005 verfügbar ist.

Warum ist das Microsoftupdate in Deinem Fall empfehlenswerter als das Windowsupdate? Weil Du auch Microsoft Office nutzt:

Wird jedoch nur das Windowsupdate genutzt, werden Patches für Microsoft Office nicht gesucht und infolge dessen auch nicht installiert (es sei denn, man ruft das Office-Update separat auf). Dann reicht das Öffnen nur einer präpartierer Office-Datei (.doc oder .xls), und schon wurde das System mit einem Schädling infiziert.

Bei Dir fehlen jedoch sowohl die neueste Windowsupdate-Version als auch das mit der neuen Version mögliche Microsoftupdate. Und es fehlen somit ausgesprochen sicherheitsrelevante Aktualisierungen für das Betriebssystem Windows und das Programm Microsoft Office - dadurch ist Dein System in der derzeitig von Dir genutzten Konfiguration im Besonderen angreifbar und gefährdet - was sich ja auch in der Infektion mit dem Schädling gezeigt hat.

Ganz wichtig dabei: Diese Lücken können von installierter Schutzsoftware nur unzureichend bis gar nicht kompensiert werden:
Zumal nicht nur das System und Office betroffen sind, nein, auch andere Software ist total veraltet:

Aktuell hingegen wäre Version 1.6, Update 2!

Vermutlich befindet sich dann auch dieser Player in einem ähnlichen Zustand - das würde weitere bestehende Sicherheitslücken bedeuten.

Der nächste Punkt: Bist Du als Administratorin angemeldet, oder als Benutzer mit eingeschränkten Rechten? Letzeres wäre besser, ich schließe jedoch von der Anzahl der im LogFile ersichtlichen laufenden Prozesse darauf, dass bei Dir erstere Konfiguration vorliegt.

Vermutlich ein Backdoor-Eintrag. Um dies nachzuvollziehen, poste bitte Auszüge aus den beiden Scanreportdateien von AntiVir. Mit "den beiden" meine ich auf der einen Seite den Scanreport des OnDemand-, auf der anderen Seite jenen des OnAccess-Scanners.

Zur Erklärung: "OnAccess" ist der Hintergrundwächter von AntiVir, also der "Guard". Dessen Report kannst Du wie folgt finden:

Bei geöffneter Registerkarte für den Guard, oben linksseitig, unmittelbar über dem Schriftzug "Letzte betroffene Datei", erkennst Du einen kleinen Notizblock mit Lupe - klick da mal drauf, dann öffnet sich eine Reportdatei - die Reportdatei des OnAccess-Scanners bei AntiVir.

"OnDemand"-Scans heißen bei AntiVir "Suchlauf". Es handelt sich um Scans, die vom Nutzer selbst oder über den Planer initiiert wurden. Den entsprechenden Report findest Du über die Registerkarte "Berichte". Wähle den durchgeführten Scan aus und klicke dann zum Öffnen auf "Report".

Schau Dir alle Reporte an und halte Ausschau nach Meldungen wie [FUND] und [WARNUNG]. Poste hier die entsprechenden Einträge. Achte insbesondere darauf, ob es eine Warnung- oder Fundmeldung gibt, die sich auf die Datei C:\WINDOWS\svchost.exe bezieht.

Für den Adobe Reader 7 gibt es zwar auch Updates bzw. Patches, wahrscheinlich fehlen diese jedoch ebenso.

Da war zuvor McAfee drauf - seit wann nutzt Du stattdessen AntiVir?

Nicht auszuschließen, dass auch der Real-Player ins Alter gekommen ist. ;)
Mit welchem Browser bist Du eigentlich unterwegs?

Das sagt mir, dass Du einiges umkrempeln solltest. So kann es nicht bleiben. Einerseits aus Gründen Deines eigenen Datenschutzes, andererseits um eine Weiterverbreitung von Malware und eine darüber hinausgehende Fremdkontrolle über das eigene System zu verhindern.

Wenn Du im derzeitgen Zustand des Systems einen Secunia-Scan durchführst, wirst Du nach Scanende feststellen, dass es einen Haufen "roter Einträge" gibt, richtig? Poste hier die Ergebnisse des Scans.

Hallo Markus,

erstmal Danke für die ausführliche Analyse. Also, hier ein paar Hintergrundinfos zu meinem Computer. Es ist ein zwei Jahre altes Notebook. Bis vor zwei Monaten habe ich es im Schnitt einmal im Monat für eine Präsentation genutzt. Das ist der Grund, warum alles so veraltet ist und viele Updates fehlen. Da hatte ich mich nie drum gekümmert. Im Juli gings dann nach Mexiko (Auslandssemester) und seit dem ist es tagtäglich im Einsatz, und vor allem Internet.

AntiVir benutze ich seit ca einem Monat. Beim ersten Suchlauf gab es dann gleich 72 Meldungen. Warnungen und Funde. Und da habe ich unter anderem auch svchost.exe gelöscht.

Mein Browser ist Firefox. Email Thunderbird.
Ja, ich bin als Admin angemeldet.

Microsoft-Update habe ich soeben ausgeführt.

Und hier kommen die Berichte aus AntiVir. Bitte nicht tot umfallen vor staunen. Ich habe meinen Computer sicherlich schlecht vorbereitet und habe anschließend ein wenig panisch gelöscht.

05.09.2007,20:58:02 [WARNUNG] Enthält Erkennungsmuster des Windows-Virus W32/Perlovga.A.1!
C:\WINDOWS\xcopy.exe
[INFO] Die Datei wird in das Quarantäneverzeichnis verschoben!
05.09.2007,20:58:40 [WARNUNG] Ist das Trojanische Pferd TR/Drop.Small.apl!
C:\WINDOWS\svchost.exe
[INFO] Auf diese Datei wird keine Aktion ausgeführt .
05.09.2007,20:58:50 [WARNUNG] Ist das Trojanische Pferd TR/Drop.Small.apl!
F:\host.exe
[INFO] Die Datei wird gelöscht!
05.09.2007,20:59:13 [WARNUNG] Ist das Trojanische Pferd TR/Drop.Small.apl!
C:\WINDOWS\svchost.exe
[INFO] Die Datei wird gelöscht!
07.09.2007,12:02:05 [WARNUNG] Enthält Erkennungsmuster des Windows-Virus W32/Perlovga.A.1!
C:\copy.exe
[INFO] Auf diese Datei wird keine Aktion ausgeführt .
07.09.2007,12:02:20 [WARNUNG] Enthält Erkennungsmuster des Windows-Virus W32/Perlovga.A.1!
C:\copy.exe
[INFO] Auf diese Datei wird keine Aktion ausgeführt .
07.09.2007,12:28:55 [WARNUNG] Enthält Erkennungsmuster des Windows-Virus W32/Perlovga.A.1!
C:\copy.exe
[INFO] Auf diese Datei wird keine Aktion ausgeführt .
07.09.2007,12:29:05 [WARNUNG] Enthält Erkennungsmuster des Windows-Virus W32/Perlovga.A.1!
C:\copy.exe
[INFO] Auf diese Datei wird keine Aktion ausgeführt .
07.09.2007,20:30:00 [WARNUNG] Ist das Trojanische Pferd TR/Agent.xad!
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP68\A0015813.exe
[INFO] Die Datei wird gelöscht!
09.09.2007,16:20:15 [WARNUNG] Enthält Erkennungsmuster des Windows-Virus W32/Perlovga.A.1!
C:\copy.exe
[INFO] Auf diese Datei wird keine Aktion ausgeführt .
09.09.2007,16:24:17 [WARNUNG] Enthält Erkennungsmuster des Windows-Virus W32/Perlovga.A.1!
C:\copy.exe
[INFO] Auf diese Datei wird keine Aktion ausgeführt .
12.09.2007,15:26:33 [WARNUNG] Enthält Erkennungsmuster des Windows-Virus W32/Perlovga.A.1!
C:\copy.exe
[INFO] Auf diese Datei wird keine Aktion ausgeführt .
12.09.2007,16:20:23 [WARNUNG] Enthält Erkennungsmuster des Windows-Virus W32/Perlovga.A.1!
C:\copy.exe
[INFO] Die Datei wird in das Quarantäneverzeichnis verschoben!
13.09.2007,10:27:38 [WARNUNG] Ist das Trojanische Pferd TR/Agent.amp!
E:\autorun.inf
[INFO] Die Datei wird gelöscht!
14.09.2007,12:45:40 [WARNUNG] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO!
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP68\A0015814.exe
[INFO] Die Datei wird in das Quarantäneverzeichnis verschoben!
14.09.2007,12:46:45 [WARNUNG] Enthält Erkennungsmuster des Windows-Virus W32/Perlovga.A.1!
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP71\A0016533.exe
[INFO] Die Datei wird in das Quarantäneverzeichnis verschoben!


SO, UND JETZT FESTHALTEN! Mein Suchlauf: Freitag, 7. September 2007

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '38' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\copy.exe
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/Perlovga.A.1
[WARNUNG] Die Datei wurde ignoriert.
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\host.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Small.apl
[INFO] Die Datei wurde gelöscht.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Nicole\Eigene Dateien\BRENNEN\BearSahre 5.2.3\BSINSTALLDE523.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/180Solutions.AO.15
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP61\A0014297.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP61\A0014299.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP61\A0014321.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP61\A0014325.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP61\A0014345.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP61\A0014346.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP62\A0014386.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '471198e7.qua' verschoben!
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP62\A0014387.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '471198e9.qua' verschoben!
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP62\A0014404.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '471198ed.qua' verschoben!
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP62\A0014405.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '471198ef.qua' verschoben!
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP62\A0014464.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47119911.qua' verschoben!
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP62\A0014465.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47119914.qua' verschoben!
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP62\A0014484.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47119916.qua' verschoben!
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP62\A0014485.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47119918.qua' verschoben!
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP62\A0014499.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4711991b.qua' verschoben!
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP62\A0014500.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4711991c.qua' verschoben!
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP63\A0014551.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47119920.qua' verschoben!
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP63\A0014552.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47119922.qua' verschoben!
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP63\A0014570.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47119923.qua' verschoben!
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP63\A0014572.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47119925.qua' verschoben!
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP63\A0014588.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47119927.qua' verschoben!
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP63\A0014589.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47119928.qua' verschoben!
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP63\A0014602.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4711992a.qua' verschoben!
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP63\A0014603.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4711992c.qua' verschoben!
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP63\A0014887.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP63\A0014888.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47119968.qua' verschoben!
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP63\A0014903.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP63\A0014904.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP64\A0014928.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP64\A0014929.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47119977.qua' verschoben!
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP64\A0014947.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP64\A0014948.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4711997e.qua' verschoben!
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP64\A0014984.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP64\A0014985.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47119988.qua' verschoben!
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP64\A0015000.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP64\A0015001.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47119998.qua' verschoben!
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP64\A0015033.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP64\A0015034.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '471199a3.qua' verschoben!
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP65\A0015072.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP65\A0015073.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '471199ad.qua' verschoben!
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP65\A0015349.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP65\A0015350.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Eine Sicherungskopie wurde unter dem Namen 471199c2.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP65\A0015381.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Eine Sicherungskopie wurde unter dem Namen 471199c7.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP65\A0015382.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Eine Sicherungskopie wurde unter dem Namen 471199cf.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP65\A0015424.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Eine Sicherungskopie wurde unter dem Namen 471199d0.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP65\A0015425.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Eine Sicherungskopie wurde unter dem Namen 46b1edc9.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP65\A0015438.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Eine Sicherungskopie wurde unter dem Namen 471199d1.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP65\A0015439.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Eine Sicherungskopie wurde unter dem Namen 46b1edca.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP66\A0015507.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Eine Sicherungskopie wurde unter dem Namen 471199d4.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP66\A0015508.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Eine Sicherungskopie wurde unter dem Namen 46b1edcd.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP66\A0015518.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Eine Sicherungskopie wurde unter dem Namen 471199d5.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP66\A0015519.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Eine Sicherungskopie wurde unter dem Namen 46b1edce.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP66\A0015528.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Eine Sicherungskopie wurde unter dem Namen 471199d6.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP66\A0015529.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Eine Sicherungskopie wurde unter dem Namen 46b1edcf.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP66\A0015551.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Eine Sicherungskopie wurde unter dem Namen 471199d7.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP66\A0015552.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Eine Sicherungskopie wurde unter dem Namen 46b1edc0.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP67\A0015605.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Eine Sicherungskopie wurde unter dem Namen 471199da.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP67\A0015606.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Eine Sicherungskopie wurde unter dem Namen 46b1edc3.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP67\A0015618.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Eine Sicherungskopie wurde unter dem Namen 471199db.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP67\A0015619.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Eine Sicherungskopie wurde unter dem Namen 471199dc.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP67\A0015627.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Eine Sicherungskopie wurde unter dem Namen 46b1edc5.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP67\A0015628.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Eine Sicherungskopie wurde unter dem Namen 471199de.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP67\A0015644.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Eine Sicherungskopie wurde unter dem Namen 471199dd.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP67\A0015645.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Eine Sicherungskopie wurde unter dem Namen 46b1edc6.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP68\A0015707.exe
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/Perlovga.A.1
[INFO] Eine Sicherungskopie wurde unter dem Namen 471199ea.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP68\A0015709.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Small.apl
[INFO] Eine Sicherungskopie wurde unter dem Namen 46b1edf3.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9506E368-A57E-4467-84D9-0D07F4A61694}\RP68\A0015810.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Small.apl
[INFO] Eine Sicherungskopie wurde unter dem Namen 471199ed.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\temp1.exe
[FUND] Ist das Trojanische Pferd TR/Agent.xad
[INFO] Eine Sicherungskopie wurde unter dem Namen 474e9b9c.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\temp2.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
[INFO] Eine Sicherungskopie wurde unter dem Namen 474e9ba0.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.

Hallo Nicole, guten Abend nach Mexico!

Dadurch, dass sich der Laptop jetzt verstärkt im Internet-Einsatz befindet, machen sich auch bestehenden Sicherheitslücken in besonderem Maße bemerkbar.
Wenn ich fragen darf: Wie lange wirst Du noch im Ausland sein?

Hallo Markus,
ich werde bis Januar in Mexiko sein.

Geben Dir meine Berichte aus AntiVir eigentlich noch Aufschluss über weitere Probleme?

Guten Abend, Nicole!

Ui - das ist aber noch arg lang, bis das System "daheim" wieder komplett auf Vordermann gebracht werden könnte. Da bleiben nur diese Möglichkeiten:

1.) System bis dahin nicht benutzen bzw. nur offline verwenden. Allerdings: Selbst beim ausschließlichen Offline-Betrieb bestünde das Risiko fort, dass Schädlinge von Deinem auf andere Systeme via USB-Stick weiterverbreitet werden.

2.) Das System vor Ort erneuern oder erneuern lassen. Allerdings bezweifle ich, von der zusätzlichen finanziellen Belastung noch gar nicht mal zu reden, dass Du in Mexico ein deutschsprachiges Windows XP bekommen könntest. Auch die notwendigen Treiber für Deine Hardware hättest Du dadurch noch nicht beisammen.

3.) Das Sichtbare an Malware via Ferndiagnose entfernen und "hoffen und beten", dass wirklich keine unentdeckten aktiven Komponenten verblieben sind. Dafür kann man aufgrund des hier vorliegenden Infektionsbildes absolut keine Garantie übernehmen und man sollte versuchen, unter allen Umständen den fortdauernden Betrieb im kompromittierten Zustand zu vermeiden.

In Deinem Fall ist es ein Dilemma: Du brauchst den PC, so wie ich das sehe, dringend zum Arbeiten, kannst also absolut nicht auf ihn und die gespeicherten Daten verzichten, auf der anderen Seite musst Du bei einem in diesem Zustand fortgeführten Betrieb damit rechnen, dass u.a. Deine Daten ausgelesen oder das System für die Zwecke Dritter missbraucht wird.

Ich sage mal so - über eine Reihe zusätzlicher Probleme der gleichen Kategorie. ;)

Man kann gerne weitere Analysen durchführen, muss sich aber stets der oben geschilderten Problematik bewusst sein. Bevor wir das machen, eine Frage zu den inzwischen von Dir durchgeführten Programmupdates: Was hast Du bis dato aktualisiert? Windows? Und was noch?

Hi,

irgendwie macht mir das ja Bauchschmerzen, aber ich hab auch Verständnis für Leute, die mit ihrem Notebook in der Welt unterwegs sind, denn demnächst werde ich auch dazu gehören (ein paar CDs werde ich allerdings noch im Rucksack unterbringen können), ¡Hola México!. Versuchen wir also das beste aus der blöden Situation zu machen, damit zumindest das Restrisiko möglichst klein wird.


Doppelklick auf den Regenschirm in der Taskleiste, Im Kontrollcenter nun Menü Extras -> Konfiguration (oder gleich F8). Links oben das Feld für "Expertenmodus" anhaken, da ansonsten einige der benötigten Optionen nicht sichtbar sind. Stelle nun folgende Optionen ein, notiere die alten, um sie später wieder zurücksetzen zu können:

Scanner

• Suche: Hier wähle "Alle Dateien", unter "Weitere Einstellungen" alles anhaken.
  • Aktion bei Fund: "Automatisch" wählen mit "ignorieren" als primärer Aktion, dieser Suchlauf soll nur zur Diagnose sein. Falls dich das Gepiepe nerven könnte, schalte "Akustische Warnung" unter "Weitere Aktionen" aus.
  • Archive: "Archive durchsuchen", "Alle Archiv-Typen", "Smart Extensions" anhaken, "Rekursionstiefe einschränken" soll nicht angehakt sein.
  • Ausnahmen: In dem Fenster rechts soll nichts stehen, eventuell vorhandene Einträge markieren und mit Klick auf "Löschen" entfernen.
  • Heuristik: "Makrovirenheuristik" und "Win32 Dateiheuristik" anhaken, dadrunter "Erkennungsstufe hoch" wählen.

Allgemeines

• Erweiterte Gefahrenkategorien: "Alle aktivieren", danach rechts in der Liste "Spiele" wieder abwählen.

Antivirupdate machen, in den abgesicherten Modus (ohne Netzwerktreiber) starten, von Antivir das System komplett scannen lassen, Scanbericht speichern. Zurück in den normalen Modus und Scanbericht posten. Sollte der zu lang für dieses Forum werden (ich weiß gerade nicht, ob es hier ein Limit für die Beitragsgröße gibt), dann ihn entweder auf mehrere Beiträge aufteilen oder bei File-Upload hochladen und den Downloadlink posten.


Wir wollen uns mal den Inhalt einiger kritischer Verzeichnisse auf deinem System ansehen. Dazu arbeite bitte diese Anleitung ab.


Es ist wichtig, dass während der Ausführung dieser Anleitung der Computer mit dem Internet verbunden ist. Lade dir Sysinternals Autoruns von dieser Seite und entpacke das Zip. Starte Autoruns.exe. Brich den ersten Scan mit ESC ab, gehe ins Menü Options und setze folgendes:

• "Include Empty Locations" -> ein (Haken)
• "Verify Code Signatures" -> ein (Haken)
• "Hide Signed Microsoft Entries" -> aus (kein Haken)

Drücke F5 für einen neuen Scan. Wenn er fertig ist, wähle im Menü File "Save As" und speichere die Liste ab, um sie später posten zu können.

Ich habe alle Anweisungen brav ausgeführt. Du hattest Recht KarlKarl, es gibt ein Limit von 25.000 Zeichen für die Beitragsgröße, die ich locker überschritten hätte. Deshalb wie empfohlen, habe ich die Berichte bei file-upload hochgeladen:


Bericht aus Suchlauf mit AntiVir im abgesicherten Modus

Ergebnisse aus filelist.bat

Ergebnisse aus Autoruns


Des Weiteren habe ich neben dem Microsoft-Update folgende Programme aktualisiert:
- Real Player
- Internet Explorer
- Java

Das sieht ja relativ gut aus, aber ein paar sich aus den Ergebnissen anschließende Überprüfungen:

Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:

• Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
• Geschützte Systemdateien ausblenden -> Haken weg
• Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
• Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

Hier sind zwei Seiten, wo Du gefundene Dateien hochladen kannst, damit sie mit mehreren Scannern untersucht werden.

• VirusTotal
• Jotti

Mach das mit folgender/n Datei/en auf einer dieser beiden Seiten, bevorzugt bei VirusTotal:

• c:\windows\system32\drivers\fbapi.sys
• C:\Programme\Asistente Prodigy\ctrbt.exe
• c:\windows\system32\advapi32.dll
• c:\windows\system32\mswsock.dll

Die erhaltenen Ergebnisse mit kopieren und einfügen hier posten, dabei auch die Zeilen mit Namen und Größe der Datei, MD5 und SHA1 kopieren (soweit vorhanden, gerade MD5 interessiert mich hier besonders).

Für die fbapi.sys mit dem Explorer zu ihr gehen, Rechtsklick -> Eigenschaften: Dort die unter "Allgemein" Datum von "Erstellt" und "geändert am" ermitteln, unter "Version" alle verfügbaren Daten.


Ansonsten hat Antivir nur zwei Mails in deinem Posteingang als Phishmails bemängelt. Ich bin mir nicht einmal sicher, ob es sich nicht um Fehlalarme handelt. Hast Du mit Ebay zu tun? Solange Du ihre Seite nicht mit Links aus Mails öffnest, liegst Du soweit auf der sicheren Seite.


Weiterhin sollten wir ein paar Rootkitscanner einsetzen. Ich habe zwar keinen konkreten Verdacht, aber gerade das ist normal, da Rootkits Sachen vor anderen Programmen verstecken.

Einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

• alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
• nichts am Rechner getan werden
• nach jedem Scan der Rechner neu gestartet werden

Gmer scannen lassen

• Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
• Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Catchme scannen lassen

• Lade dir Catchme runter auf deinen Desktop.
• Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
• Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
• Das Log ist in catchme.log, füge es vollständig in deine Antwort ein.

RootkitRevealer scannen lassen

• Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
• Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
• Starte durch Klick auf "Scan".
• Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

Blacklight scannen lassen

• Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
• Starte in diesem Ordner fsbl.exe. Alle anderen Programme schließen.
• Klick "I accept the agreement", "next", "Scan".
• Wenn der Scan fertig ist beende Blacklight mit "Close".
• Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun alle Logs posten.

auto_runs_041.log filelist_179.log

Leute, an dieser Stelle erstmal ein HERZLICHES Dankeschön, dass ihr Euch so um mein befallenes System kümmert. Das ist echt super.

Ich arbeite weiter daran und melde mich wieder mit den Ergebnissen der weiteren Untersuchungen.

Wenn Du die Tipps von Karl abgearbeitet hast, lass bezüglich der Aktualität der bei Dir installierten Programme diesen Scan laufen:
Prüfung installierter Software auf Aktualität: Secunia Software Inspector

Berichte im Anschluss über Komponenten, die als "nicht aktuell" ausfindig gemacht wurden.

Meine Ergebnisse aus VirusTotal

* c:\windows\system32\drivers\fbapi.sys
* c:\windows\system32\advapi32.dll
* c:\windows\system32\mswsock.dll

Den Scan von C:\Programme\Asistente Prodigy\ctrbt.exe
habe ich nicht gemacht, da ich sie schon gelöscht habe.

Eigenschaften von fbapi.sys
erstellt am 26. Dezember 2004
geändert am 18. Mai 2004
Version: keine Infos unter diesem Punkt

ebay
das sind sicherlich Fehlermeldungen. Selbst wenn nicht, ich öffne keine Websites aus Emails.

Ergebnisse der Rootkit-Scanner
Gmer
Catchme
RootkitRevealer
Blacklight


Mir sagt das alles herzlich wenig, aber deshalb bin ich ja hier, nicht wahr. :crazy:

Es melden zwei Scanner ein Rootkit, allerdings weisen vorhergegangene Betrachtungen dieser Datei in die Richtung, dass es sich ebensogut um einen False Positive, also einen Fehlalarm handeln könnte.

Da jedoch das System in diesem Zustand leider noch einige Zeit am Netz verbleiben wird, sollte ganz genau hingeschaut werden. Gelingt es Dir, die Datei fbapi.sys einer E-Mail anzuhängen und dann an die hier ersichtliche E-Mail-Adresse zu senden? (Edit / Hinweis: Link nachträglich korrigiert.)

Soweit erstmal - die anderen LogFiles bzw. Reporte sehen nach dem ersten Betrachten "in Ordnung" aus. Ein zweiter, wacher Blick am Tage wird dem ersten aber sicher noch folgen. ;)

Mir wird bei Klick auf den Button keine Email-Adresse angezeigt ... :(

Ja, kein Wunder, weil ich ein *** (Selbstzensur) bin und Dir den falschen Link gepostet habe. Ich bitte um Entschuldigung!

Richtig: sicher-ins-netz.info - E-Mail-Adresse für Malware-Samples

Ich denke auch, dass das recht gut aussieht, soweit man das mit solchen Fernanalysen sagen kann. In deiner PN-Box findest Du eine Nachricht mit meiner Mailadresse, ich würde mir die Datei auch gerne mal ansehen.

Außerdem habe ich da z.B. diesen Thread entdeckt, in dem die Datei auch eine Rolle spielt (MD5 identisch). Das war im März, da wurde sie noch von mehr Scannern erkannt. Antivir, AVG, Fortinet und Nod erkennen sie unterdessen nicht mehr. Ikarus und VBA32 halte ich nicht gerade für eine Referenz.