Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - E2Give (https://www.trojaner-board.de/63061-e2give.html)

ich habe vor nur wenigen tagen mein system neu installiert.
habe alle sicherheitsregeln beachtet.
verwende firefox, thunderbird, antispy, zonealarm, user mit eingeschränkten benutzerrechten etec.

dennoch fand mein spybot search-and destroy einen eintrag:

E2Give: [SBI $71ECE41F] Einstellungen
HKEY_USERS\S-1-5-21-776561741-507921405-725345543-1003\Software\Ptech

was ist das und was soll ich tun ????
bitte um hilfe.
:headbang:

Hi,

wenn das stimmt, dann hast Du E2Give auf dem Rechner
-> http://research.sunbelt-software.com...&threatid=4728

So, dann machen wir mal ein HJ-Log (siehe Signatur) und lassen Dr. Web von der Line:

Dr.Web
http://www.trojaner-board.de/59299-a...eb-cureit.html

chris

anbei mein hijackthis, bitte um analyse durch fachmann
ist die software "drweb" und der zugehörige links sicher?
ich will nur ungern mein system wieder "vollmüllen" mit unbekanntem zeugs. :)

seltsam finde ich, dass in dem angemeckerten registry-eintrag keine ".exe" o.ä. steht...? könnte sein dass spybot allein auf den namen "Ptech" anspringt?

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:37:18 PM, on 10/28/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\Explorer.EXE

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe

C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

D:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\Programme\Windows Desktop Search\WindowsSearch.exe

D:\Programme\Microsoft Office\Office12\ONENOTEM.EXE

C:\Programme\Logitech\MouseWare\system\em_exec.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Programme\Mozilla Firefox\firefox.exe

F:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - D:\Programme\Canon\Pixma\Easy-WebPrint\EWPBrowseLoader.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon\Pixma\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE

O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [OpwareSE4] "D:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = D:\Programme\Microsoft Office\Office12\ONENOTEM.EXE

O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1224936820875

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe

O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - F:\Programme\PostgreSQL\bin\pg_ctl.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hi,

das HJ-Log ist erst mal sauber, auch kein entsprechender Eintrag bei den BHO's ...

Prüfe mal mit Dr. Web...

chris

ist es egal unter welchem User oder ob ich als "admin" Hijackthis ausführe ???
obige eintragungen laufen unter meinem "eingeschränkten user"

ich weiss, ich sollte - allein schon anstandshalber - an Deinem wohlgemeinten ratschlag nicht zweifeln, dr.web einzusetzen, aber reicht antivir nicht? den habe ich schon laufen, scan ist ok. dr.web ist eine russische seite (soll ja nichts heißen, aber kann ich dem inhalt und dem prog WIRKLICH vertrauen???)

das letzte mal, als ich einen backdoor-trojaner bekämpfen wollte, habe ich mit dem "helferprogramm" nur noch mehr dreck eingefangen. :schmoll:

??

Hi,

Cureit/Dr. Web ist sauber...
Direkter Download hierüber...
-> http://www.freedrweb.com/cureit/
Du kannst ihn nach erfolgter Überprüfung wieder runterschmeissen...

Avira bitte so einstellen:
Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben:
http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html

chris

antivir war genau nach vorschrift konfiguriert, fand aber NIX.

ich habe nun drweb laufen lassen.
drweb fand eine handvoll böse sachen! :pfui:
unglaublich. (dafür lief es ja auch fast 7 stunden :eek:)

ist drweb so ein tolles programm?

ABER: E2Give wird von Spybot immer noch an der gleichen stelle angemeckert!?! soll ich mit Spybot den eintrag cleanen?

leider habe ich beim ersten durchlauf vergessen, meine externe (quasi backup-)platte anzuschließen, deshalb hier die scans von beiden durchläufen.

fragen:
1) drweb hat jetzt einige dateien in einen separierten ordner verschoben.
soll ich diese einfach löschen? bin ich nach dem delete sauber? oder liegen die dann wieder irgendwo im rechner fest...?
2) ich kann die dateien aus dem ordner auch irgendwo online scannen lassen?

was kann der experte aus meinen drweb-logs erkennen?

Code:

_SetupPoker.exe\data001;D:\Programme\Titan Poker\_SetupPoker.exe;Adware.Casino;;

_SetupPoker.exe\data002;D:\Programme\Titan Poker\_SetupPoker.exe;Adware.Casino;;

_SetupPoker.exe\data003;D:\Programme\Titan Poker\_SetupPoker.exe;Adware.Casino;;

_SetupPoker.exe;D:\Programme\Titan Poker;Archiv enthält infizierte Objekte;Verschoben.;

A0010944.exe\data001;D:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010944.exe;Adware.Casino;;

A0010944.exe\data002;D:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010944.exe;Adware.Casino;;

A0010944.exe\data003;D:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010944.exe;Adware.Casino;;

A0010944.exe;D:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26;Archiv enthält infizierte Objekte;Verschoben.;

A0004232.exe\data001;D:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP8\A0004232.exe;Adware.Casino;;

A0004232.exe\data002;D:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP8\A0004232.exe;Adware.Casino;;

A0004232.exe\data003;D:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP8\A0004232.exe;Adware.Casino;;

A0004232.exe;D:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP8;Archiv enthält infizierte Objekte;Verschoben.;

em2008xxl_02-06-08.xls;E:\Eigene Dateien\Eigene Daten\EXCELDAT;W97M.Lafs;Desinfiziert.;

em2008xxl0206.exe\em2008xxl\em2008xxl_02-06-08.xls;E:\Eigene Dateien\Eigene Daten\EXCELDAT\sonstiges\em2008xxl0206.exe;W97M.Lafs;;

em2008xxl0206.exe;E:\Eigene Dateien\Eigene Daten\EXCELDAT\sonstiges;Archiv enthält infizierte Objekte;Verschoben.;

SetupPoker.exe\data001;E:\Eigene Dateien\Eigene Daten\Poker\Titan\SetupPoker.exe;Adware.Casino;;

SetupPoker.exe\data002;E:\Eigene Dateien\Eigene Daten\Poker\Titan\SetupPoker.exe;Adware.Casino;;

SetupPoker.exe\data003;E:\Eigene Dateien\Eigene Daten\Poker\Titan\SetupPoker.exe;Adware.Casino;;

SetupPoker.exe;E:\Eigene Dateien\Eigene Daten\Poker\Titan;Archiv enthält infizierte Objekte;Verschoben.;

mstudioZ.exe\MIDITEST.HT_;E:\Eigene Dateien\install\Music\mstudioZ.exe;Modifikation von BAT.Mtr.1429;;

mstudioZ.exe;E:\Eigene Dateien\install\Music;Archiv enthält infizierte Objekte;Verschoben.;

miditest.htm;F:\Programme\Anvil Studio\html;Modifikation von BAT.Mtr.1429;Verschoben.;

Df13.exe\data001;F:\RECYCLER\S-1-5-21-776561741-507921405-725345543-1005\Df13.exe;Adware.Casino;;

Df13.exe\data002;F:\RECYCLER\S-1-5-21-776561741-507921405-725345543-1005\Df13.exe;Adware.Casino;;

Df13.exe\data003;F:\RECYCLER\S-1-5-21-776561741-507921405-725345543-1005\Df13.exe;Adware.Casino;;

Df13.exe;F:\RECYCLER\S-1-5-21-776561741-507921405-725345543-1005;Archiv enthält infizierte Objekte;Verschoben.;

A0010945.exe\data001;F:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010945.exe;Adware.Casino;;

A0010945.exe\data002;F:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010945.exe;Adware.Casino;;

A0010945.exe\data003;F:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010945.exe;Adware.Casino;;

A0010945.exe;F:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26;Archiv enthält infizierte Objekte;Verschoben.;

A0005582.exe\data065;F:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP8\A0005582.exe;Tool.ShutDown.10;;

A0005582.exe;F:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP8;Archiv enthält infizierte Objekte;Verschoben.;

und die externen platten:

Code:

SetupPoker.exe\data001;J:\Eigene Dateien 2007-05-29\Eigene Dateien\Eigene Dateien\Eigene Daten\Poker\Titan\SetupPoker.exe;Adware.Casino;;

SetupPoker.exe\data002;J:\Eigene Dateien 2007-05-29\Eigene Dateien\Eigene Dateien\Eigene Daten\Poker\Titan\SetupPoker.exe;Adware.Casino;;

SetupPoker.exe\data003;J:\Eigene Dateien 2007-05-29\Eigene Dateien\Eigene Dateien\Eigene Daten\Poker\Titan\SetupPoker.exe;Adware.Casino;;

SetupPoker.exe;J:\Eigene Dateien 2007-05-29\Eigene Dateien\Eigene Dateien\Eigene Daten\Poker\Titan;Archiv enthält infizierte Objekte;Verschoben.;

edonkey60.exe\data005;J:\Eigene Dateien 2007-05-29\Eigene Dateien\Eigene Dateien\install\internet\eDonkey\edonkey60.exe;Adware.Ucmore;;

edonkey60.exe;J:\Eigene Dateien 2007-05-29\Eigene Dateien\Eigene Dateien\install\internet\eDonkey;Archiv enthält infizierte Objekte;Verschoben.;

gozilla391.exe\data020;J:\Eigene Dateien 2007-05-29\Eigene Dateien\Eigene Dateien\install\internet\Gozilla\gozilla391.exe;Adware.Aureate;;

gozilla391.exe\data022;J:\Eigene Dateien 2007-05-29\Eigene Dateien\Eigene Dateien\install\internet\Gozilla\gozilla391.exe;Adware.Aureate;;

gozilla391.exe\data023;J:\Eigene Dateien 2007-05-29\Eigene Dateien\Eigene Dateien\install\internet\Gozilla\gozilla391.exe;Adware.Aureate;;

gozilla391.exe\data024;J:\Eigene Dateien 2007-05-29\Eigene Dateien\Eigene Dateien\install\internet\Gozilla\gozilla391.exe;Adware.Aureate;;

gozilla391.exe;J:\Eigene Dateien 2007-05-29\Eigene Dateien\Eigene Dateien\install\internet\Gozilla;Archiv enthält infizierte Objekte;Verschoben.;

A0010946.exe\data001;J:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010946.exe;Adware.Casino;;

A0010946.exe\data002;J:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010946.exe;Adware.Casino;;

A0010946.exe\data003;J:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010946.exe;Adware.Casino;;

A0010946.exe;J:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26;Archiv enthält infizierte Objekte;Verschoben.;

A0010947.exe\data005;J:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010947.exe;Adware.Ucmore;;

A0010947.exe;J:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26;Archiv enthält infizierte Objekte;Verschoben.;

A0010948.exe\data020;J:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010948.exe;Adware.Aureate;;

A0010948.exe\data022;J:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010948.exe;Adware.Aureate;;

A0010948.exe\data023;J:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010948.exe;Adware.Aureate;;

A0010948.exe\data024;J:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010948.exe;Adware.Aureate;;

A0010948.exe;J:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26;Archiv enthält infizierte Objekte;Verschoben.;

em2008xxl_02-06-08.xls;K:\Synchronisation\Daten\Eigene Dateien\Eigene Dateien\Eigene Daten\EXCELDAT;W97M.Lafs;Desinfiziert.;

em2008xxl0206.exe\em2008xxl\em2008xxl_02-06-08.xls;K:\Synchronisation\Daten\Eigene Dateien\Eigene Dateien\Eigene Daten\EXCELDAT\sonstiges\em2008xxl0206.exe;W97M.Lafs;;

em2008xxl0206.exe;K:\Synchronisation\Daten\Eigene Dateien\Eigene Dateien\Eigene Daten\EXCELDAT\sonstiges;Archiv enthält infizierte Objekte;Verschoben.;

SetupPoker.exe\data001;K:\Synchronisation\Daten\Eigene Dateien\Eigene Dateien\Eigene Daten\Poker\Titan\SetupPoker.exe;Adware.Casino;;

SetupPoker.exe\data002;K:\Synchronisation\Daten\Eigene Dateien\Eigene Dateien\Eigene Daten\Poker\Titan\SetupPoker.exe;Adware.Casino;;

SetupPoker.exe\data003;K:\Synchronisation\Daten\Eigene Dateien\Eigene Dateien\Eigene Daten\Poker\Titan\SetupPoker.exe;Adware.Casino;;

SetupPoker.exe;K:\Synchronisation\Daten\Eigene Dateien\Eigene Dateien\Eigene Daten\Poker\Titan;Archiv enthält infizierte Objekte;Verschoben.;

mstudioZ.exe\MIDITEST.HT_;K:\Synchronisation\Daten\Eigene Dateien\Eigene Dateien\install\Music\mstudioZ.exe;Modifikation von BAT.Mtr.1429;;

mstudioZ.exe;K:\Synchronisation\Daten\Eigene Dateien\Eigene Dateien\install\Music;Archiv enthält infizierte Objekte;Verschoben.;

A0010949.exe\em2008xxl\em2008xxl_02-06-08.xls;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010949.exe;W97M.Lafs;;

A0010949.exe;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26;Archiv enthält infizierte Objekte;Verschoben.;

A0010950.exe\data001;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010950.exe;Adware.Casino;;

A0010950.exe\data002;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010950.exe;Adware.Casino;;

A0010950.exe\data003;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010950.exe;Adware.Casino;;

A0010950.exe;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26;Archiv enthält infizierte Objekte;Verschoben.;

A0010951.exe\MIDITEST.HT_;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26\A0010951.exe;Modifikation von BAT.Mtr.1429;;

A0010951.exe;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP26;Archiv enthält infizierte Objekte;Verschoben.;

A0004221.exe\data005;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP8\A0004221.exe;Adware.Ucmore;;

A0004221.exe;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP8;Archiv enthält infizierte Objekte;Verschoben.;

A0004222.exe\data020;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP8\A0004222.exe;Adware.Aureate;;

A0004222.exe\data022;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP8\A0004222.exe;Adware.Aureate;;

A0004222.exe\data023;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP8\A0004222.exe;Adware.Aureate;;

A0004222.exe\data024;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP8\A0004222.exe;Adware.Aureate;;

A0004222.exe;K:\System Volume Information\_restore{7AB0E6AE-77F4-4B6D-BCF8-006A73356282}\RP8;Archiv enthält infizierte Objekte;Verschoben.;

DANKE!

Hi,

das meiste ist Adware das mit den Pokerspielen verbreitet wird, einiges davon auch in der Systemwiederherstellung. Wenn Du es bereinigen willst, die Pokerprogramme runterwerfen bzw. Dr. Web reinigen lassen und die Systemwiederherstellung "putzen".

Systemwiederherstellung löschen
http://www.systemwiederherstellung-d...indows-xp.html
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

chris

Ps.: Eignet sich um ab- und zu mal zu scannen, da er meines Wissens sich nicht updatet (also veraltet) und immer neu runtergeladen werden muß...) -> Einsatz daher als "Zweitscanner"

Vielen Dank Chris4You,
für Deine kompetente Hilfe!

System ist jetzt - soweit ich (und DrWeb) erkennen kann - sauber.

Ich habe einiges dazugelernt.

Was mich am meisten überrascht, wie unfähig sich die (freeware) antivir darstellt.
Erschreckend ist auch, dass ich mir schadhafte Software eingefangen habe, obwohl ich mich im netz vorsichtig verhielt:

- keine fremden mails lesen,
- keine anhänge öffnen,
- keine seltsamen programme installieren...

naja, wie gesagt: mein Dank an Dich, hoffe, dass ich auch mal werde jemandem helfen können.