Home » Viren, Trojaner & Malware Forum » Wie entferne ich die "nfos.exe, audio.dll, video.dll" Dateien??(malware?) » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2

Antworten

Wie entferne ich die "nfos.exe, audio.dll, video.dll" Dateien??(malware?)

25.10.2007, 16:13

NetG

Member

Beiträge: 27

#1 Hier folgendes Problem:
File C:\WINDOWS\system32\ntos.exe
File C:\WINDOWS\system32\wsnpoem
File C:\WINDOWS\system32\wsnpoem\audio.dll
File C:\WINDOWS\system32\wsnpoem\audio.dll.ren
File C:\WINDOWS\system32\wsnpoem\video.dll
File C:\WINDOWS\system32\wsnpoem\video.dll.ren

NUn bin ich nicht mehr ganz so frisch im entfernen von Viren,wie war das nochmal mit Hijakcthis etc?
den F-Secure BlackLight download finde ich auch nicht mehr ,gibts nen alternativ link?
Kann mir jemand Step by step weiterhelfen?Wäre sehr nett
Danke für die Hilfe!

25.10.2007, 16:19

Argus

Ehrenmitglied

Beiträge: 6028

#2 Hier faengt es an http://board.protecus.de/t23188.htm
__________
MfG Argus

25.10.2007, 16:25

NetG

Member

Themenstarter

Beiträge: 27

#3 Ich hoffe hiermit kann man was anfangen:

COMBOFIX:
---------------------------------------------------------------------

ComboFix 07-10-23.1 - Administrator 2007-10-25 16:25:05.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1475 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2007-09-25 bis 2007-10-25 ))))))))))))))))))))))))))))))
.

2007-10-25 16:24 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-25 16:17 <DIR> d-------- C:\Programme\Navilog1
2007-10-25 15:52 <DIR> d-------- C:\Programme\Trend Micro
2007-10-25 14:20 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DAEMON Tools Pro
2007-10-25 14:09 <DIR> d-------- C:\Programme\DAEMON Tools Pro
2007-10-23 21:22 <DIR> d-------- C:\Programme\Canon
2007-10-20 16:23 <DIR> d-------- C:\Programme\TVUPlayer
2007-10-20 16:23 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TVU Networks
2007-10-20 14:10 <DIR> d-------- C:\Programme\TVAnts
2007-10-03 20:49 42,496 --a------ C:\sysyhip.exe
2007-10-03 20:46 <DIR> d-------- C:\Programme\SopCast
2007-10-03 20:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SopCast

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-25 13:59 --------- d-----w C:\Programme\DAEMON Tools
2007-10-25 13:53 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\uTorrent
2007-10-25 12:23 --------- d-----w C:\Programme\DkZ Studio
2007-10-23 19:22 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-10-15 20:55 --------- d-----w C:\Programme\RadioTracker
2007-09-12 12:33 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\concept design
2007-09-10 12:50 --------- d-----w C:\Programme\OpenOffice.org1.1.5
2007-08-28 19:57 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2006-10-13 14:00 4,227,040 ----a-w C:\Programme\Gemeinsame Dateien\InstallShield.rar
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 13:22]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce]
"SpybotDeletingA6951"=command /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted"
"SpybotDeletingC3167"=cmd /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted"
"SpybotDeletingA6494"=command /c del "C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted"
"SpybotDeletingC3571"=cmd /c del "C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted"
"SpybotSnD"="C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
"AAW"="C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe" "+b1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ALi5289]
C:\Programme\ULI5289\ALi5289.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
"C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"C:\Programme\DAEMON Tools\daemon.exe" -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"C:\Programme\ICQLite\ICQLite.exe" -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
"C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
%systemroot%\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
RunDLL32.exe NvMCTray.dll,NvTaskbarInit

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegistryMechanic]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmcService]
C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VC8Player]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"srservice"=2 (0x2)
"WZCSVC"=2 (0x2)
"WmiApSrv"=3 (0x3)
"WmdmPmSN"=3 (0x3)
"WebClient"=2 (0x2)
"VSS"=3 (0x3)
"UPS"=3 (0x3)
"TermService"=3 (0x3)
"TapiSrv"=3 (0x3)
"SysmonLog"=3 (0x3)
"SENS"=2 (0x2)
"SCardSvr"=3 (0x3)
"RSVP"=3 (0x3)
"RemoteRegistry"=2 (0x2)
"RDSessMgr"=3 (0x3)
"ProtectedStorage"=2 (0x2)
"NtmsSvc"=3 (0x3)
"NtLmSsp"=3 (0x3)
"MSDTC"=3 (0x3)
"mnmsrvc"=3 (0x3)
"LmHosts"=2 (0x2)
"ImapiService"=3 (0x3)
"dmserver"=2 (0x2)
"CryptSvc"=3 (0x3)
"COMSysApp"=3 (0x3)
"AppMgmt"=3 (0x3)
"ALG"=3 (0x3)
"ose"=3 (0x3)
"iPod Service"=3 (0x3)
"VC8SecS"=2 (0x2)
"AntiVirScheduler"=3 (0x3)
"O&O Defrag"=3 (0x3)
"usnjsvc"=3 (0x3)
"AntiVirService"=3 (0x3)

R0 m5289;m5289;C:\WINDOWS\system32\DRIVERS\m5289.sys
R3 rtl8029;NT-Treiber für Realtek RTL8029(AS)-basierter PCI-Ethernetadapter;C:\WINDOWS\system32\DRIVERS\RTL8029.SYS
S0 NVStrap;NVStrap;C:\WINDOWS\system32\drivers\NVStrap.sys
S1 ATITool;ATITool Overclocking Utility;C:\WINDOWS\system32\DRIVERS\ATITool.sys
S3 BIOSCHK;BIOSCHK;\??\C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TII154.tmp\disk1\BIOSCHK.SYS
S3 cpuz;cpuz;\??\C:\Dokumente und Einstellungen\Administrator\Desktop\cpuz.sys
S3 RivaTuner32;RivaTuner32;\??\C:\Programme\RivaTuner v2.0 Final Release\RivaTuner32.sys
S3 ULI5261XP;ULi M526X Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN51.SYS

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-25 16:26:03
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

C:\WINDOWS\WindowsShell.Manifest 749 bytes
C:\WINDOWS\WindowsUpdate.log 116022 bytes
C:\WINDOWS\winhelp.exe 257568 bytes
C:\WINDOWS\winhlp32.exe 288768 bytes executable
C:\WINDOWS\wininit.ini 247 bytes
C:\WINDOWS\winnt.bmp 48680 bytes
C:\WINDOWS\winnt256.bmp 48680 bytes
C:\WINDOWS\WinSxS
C:\WINDOWS\wmprfDEU.prx 34818 bytes
C:\WINDOWS\wmsetup.log 44293 bytes
C:\WINDOWS\wmsetup10.log 447 bytes
C:\WINDOWS\WMSysPr9.prx 316640 bytes
C:\WINDOWS\WORDPAD.INI 754 bytes
C:\WINDOWS\Zapotek.bmp 9522 bytes
C:\WINDOWS\_default.pif 707 bytes
IPC error: 2 Das System kann die angegebene Datei nicht finden.
C:\WINDOWS\system32\ntos.exe 435712 bytes executable
C:\WINDOWS\system32\wsnpoem

Scan erfolgreich abgeschlossen
versteckte Dateien: 17

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-25 16:26:33
.
--- E O F ---

HIJACKTHIS:
-------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:16:25, on 25.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunOnce: [SpybotDeletingA6951] command /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3167] cmd /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6494] command /c del "C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3571] cmd /c del "C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted"
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [AAW] "C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe" "+b1"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\WINDOWS\system32\shdocvw.dll (HKCU)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 3047 bytes

DATFIND.TXT:
-----------------------------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 90A1-92ED

Verzeichnis von C:\WINDOWS\system32

25.10.2007 14:29 88.646 nvapps.xml
25.10.2007 14:29 331.783 OODBS.lor
25.10.2007 14:19 9.728 BASSMOD.dll
22.10.2007 12:52 2.206 wpa.dbl
26.06.2007 17:33 409.600 wrap_oal.dll
26.06.2007 17:33 114.688 OpenAL32.dll
11.06.2007 10:08 39.992 perfc009.dat
11.06.2007 10:08 316.594 perfh007.dat
11.06.2007 10:08 311.604 perfh009.dat
11.06.2007 10:08 48.156 perfc007.dat
11.06.2007 10:08 723.744 PerfStringBackup.INI
04.06.2007 00:09 8 nvModes.dat
25.05.2007 22:07 103.824 FNTCACHE.DAT
04.04.2007 18:55 261.480 xactengine2_7.dll
04.04.2007 18:53 81.768 xinput1_3.dll
02.04.2007 14:21 139.776 swreg.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 90A1-92ED

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

25.10.2007 16:32 102.894 datfind.txt
1 Datei(en) 102.894 Bytes
0 Verzeichnis(se), 1.630.908.416 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 90A1-92ED

Verzeichnis von C:\WINDOWS

25.10.2007 15:28 247 wininit.ini
25.10.2007 14:47 60.416 ALCFDRTM.VER
25.10.2007 14:29 50 wiaservc.log
25.10.2007 14:29 159 wiadebug.log
25.10.2007 14:29 2.048 bootstat.dat
25.10.2007 14:28 116.022 WindowsUpdate.log
25.10.2007 14:28 468 win.ini
25.10.2007 14:28 260 system.ini
25.10.2007 14:23 116 NeroDigital.ini
25.10.2007 14:20 527.534 setupapi.log
20.10.2007 06:03 136.192 catchme.exe
12.10.2007 22:38 44.293 wmsetup.log
29.09.2007 20:13 360.962 DirectX.log
24.07.2007 14:02 186.006 Weird Wars Uninstaller.exe
28.06.2007 21:50 4.578 fred2_open_r-20060202.INI
26.06.2007 18:56 4.583 fred2_open_3_6_9.INI
26.06.2007 17:36 4.588 fred2_open_3_6_9_debug.INI
17.06.2007 00:11 51.200 NirCmd.exe
11.06.2007 10:01 280 nsw.log
29.05.2007 21:18 1.878 EventSystem.log
25.05.2007 22:14 2.136 scummvm.ini
21.05.2007 15:49 3.379.254 ACD Hintergrund.bmp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 90A1-92ED

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 90A1-92ED

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.06.2007 12:21 5.021 swflash.inf
08.09.2006 16:02 65 desktop.ini
09.08.2004 07:02 327.680 isusweb.dll
25.07.2002 19:13 24.576 dwusplay.dll
25.07.2002 19:13 196.608 dwusplay.exe
5 Datei(en) 553.950 Bytes
0 Verzeichnis(se), 1.630.904.320 Bytes frei

Dieser Beitrag wurde am 25.10.2007 um 16:44 Uhr von NetG editiert.

25.10.2007, 17:06

Argus

Ehrenmitglied

Beiträge: 6028

#4 Entferne auf C:\ Qoobox-->Papierkorb leeren

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\RunOnce: [SpybotDeletingA6951] command /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3167] cmd /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6494] command /c del "C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3571] cmd /c del "C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted"

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

cfscript.txt
1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

file::
C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\wsnpoem

2.
Sleppe diese Datei in ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix

Download SDFix zum Desktop

Starte im abgesicherten Modus:
http://www.bsi.bund.de/av/texte/wiederher.htm

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte
Kopiere den Inhalt des Berichts SophosReport.txt ” der jetzt auf dein Desktop steht in diesen Thread
Und ein log von Hijack This
__________
MfG Argus

25.10.2007, 17:07

NetG

Member

Themenstarter

Beiträge: 27

Zitat

Arnold postete
Entferne auf C:\ Qoobox-->Papierkorb leeren

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\RunOnce: [SpybotDeletingA6951] command /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3167] cmd /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6494] command /c del "C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3571] cmd /c del "C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted"

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

cfscript.txt
1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

file::
C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\wsnpoem

2.
Sleppe diese Datei in ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

Download SDFix zum Desktop

Starte im abgesicherten Modus:
http://www.bsi.bund.de/av/texte/wiederher.htm

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte
Kopiere den Inhalt des Berichts SophosReport.txt ” der jetzt auf dein Desktop steht in diesen Thread
Und ein log von Hijack This

Danke danke,habe ausversehen ein 2tes Thema erstellt,kann dann gelöscht werden.

25.10.2007, 17:13

Argus

Ehrenmitglied

Beiträge: 6028

#6 Verborgene Dateien sichtbar machen
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei VirusTotal oder Jotti

C:\sysyhip.exe

Stand alone DrWeb
Stand alone Kaspersky
__________
MfG Argus

25.10.2007, 17:25

NetG

Member

Themenstarter

Beiträge: 27

#7 SDFix: Version 1.112

Run by Administrator on 25.10.2007 at 17:14

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...

Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\system32\wsnpoem\audio.dll - Deleted
C:\WINDOWS\system32\wsnpoem\video.dll - Deleted
C:\WINDOWS\system32\ntos.exe - Deleted

Folder C:\WINDOWS\system32\wsnpoem - Removed

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.

Final Check:

Remaining Services:
------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

Sun 8 Oct 2006 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Sat 29 Sep 2007 2,158 ...HR --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"

Finished!

-----------------------------------------------------------------------------

HIJACKTHIS:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:18:36, on 25.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 1882 bytes

25.10.2007, 17:32

Argus

Ehrenmitglied

Beiträge: 6028

#8 Und die Überprüfung bei Virustotal?
__________
MfG Argus

25.10.2007, 17:32

NetG

Member

Themenstarter

Beiträge: 27

Zitat

Arnold postete
Verborgene Dateien sichtbar machen
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei VirusTotal oder [url="http://virusscan.Jotti.org/"]Jotti[/url]

C:\sysyhip.exe

Stand alone DrWeb
Stand alone Kaspersky

------------------------------------------------------------------------------

Also http://www.virustotal.com zeigt mir da so einige sachen für die sysyhip datei an!:
AhnLab-V3 2007.10.25.0 2007.10.25 -
AntiVir 7.6.0.27 2007.10.25 TR/Spy.ZBot.R
Authentium 4.93.8 2007.10.24 -
Avast 4.7.1074.0 2007.10.25 Win32:Zbot-L
AVG 7.5.0.488 2007.10.25 Pakes_c.W
BitDefender 7.2 2007.10.25 Trojan.Agent.AFGS
CAT-QuickHeal 9.00 2007.10.25 TrojanSpy.Zbot.r
ClamAV 0.91.2 2007.10.25 Trojan.Zbot-1
DrWeb 4.44.0.09170 2007.10.25 Trojan.Proxy.2071
eSafe 7.0.15.0 2007.10.22 Win32.Zbot.r
eTrust-Vet 31.2.5241 2007.10.25 -
Ewido 4.0 2007.10.25 Trojan.Zbot.d
FileAdvisor 1 2007.10.25 -
Fortinet 3.11.0.0 2007.10.19 W32/Agent.BRW!tr
F-Prot 4.3.2.48 2007.10.25 -
F-Secure 6.70.13030.0 2007.10.25 Trojan-Spy.Win32.Zbot.r
Ikarus T3.1.1.12 2007.10.25 Trojan.Agent.AFGS
Kaspersky 7.0.0.125 2007.10.25 Trojan-Spy.Win32.Zbot.r
McAfee 5148 2007.10.24 Spy-Agent.cj.gen
Microsoft 1.2908 2007.10.25 Trojan:Win32/Zbot.gen!A
NOD32v2 2617 2007.10.25 Win32/Spy.Agent.Gen

weitere Informationen
File size: 42496 bytes
MD5: 24f1e97d0b2eb49185ee8e9684fd98dd
SHA1: 1ef159afb2ff72110c16d686c9cf1754e3a9a128

UNd er sucht und sucht immer weiter ..

Wielange überprüft der denn??

25.10.2007, 17:38

Argus

Ehrenmitglied

Beiträge: 6028

#10 Entferne auf C:\SDFix\ backups -->papierkorb leeren

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

file::
C:\sysyhip.exe

2.
Sleppe diese Datei in ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix

Wo ist dein Up-to-Date Virenscanner geblieben ?
__________
MfG Argus

25.10.2007, 17:42

NetG

Member

Themenstarter

Beiträge: 27

#11

Zitat

Arnold postete
Entferne auf C:\SDFix\ backups -->papierkorb leeren

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

file::
C:\sysyhip.exe

2.
Sleppe diese Datei in ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

Wo ist dein Up-to-Date Virenscanner geblieben ?

Was für ein up to date virenscanner??
^^
Das ist scheinbar der Bundestrojaner,muhaha g

lösche grad die syssyh...datei

25.10.2007, 17:43

Argus

Ehrenmitglied

Beiträge: 6028

#12 Im ersten Log stand Antivir jetzt ist er verschwunden
__________
MfG Argus

25.10.2007, 17:44

NetG

Member

Themenstarter

Beiträge: 27

#13

Zitat

NetG postete
Zitat
Arnold postete
Entferne auf C:\SDFix\ backups -->papierkorb leeren

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

file::
C:\sysyhip.exe

2.
Sleppe diese Datei in ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

Wo ist dein Up-to-Date Virenscanner geblieben ?
Was für ein up to date virenscanner??
^^
Das ist scheinbar der Bundestrojaner,muhaha g

lösche grad die syssyh...datei

LOG

ComboFix 07-10-23.1 - Administrator 2007-10-25 17:37:40.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1669 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Administrator\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE::
C:\sysyhip.exe
.

((((((((((((((((((((((( Dateien erstellt von 2007-09-25 bis 2007-10-25 ))))))))))))))))))))))))))))))
.

2007-10-25 17:14 <DIR> d-------- C:\WINDOWS\ERUNT
2007-10-25 16:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\F-Secure
2007-10-25 16:41 <DIR> d-------- C:\Programme\F-Secure Internet Security
2007-10-25 16:24 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-25 16:17 <DIR> d-------- C:\Programme\Navilog1
2007-10-25 15:52 <DIR> d-------- C:\Programme\Trend Micro
2007-10-25 14:20 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DAEMON Tools Pro
2007-10-25 14:09 <DIR> d-------- C:\Programme\DAEMON Tools Pro
2007-10-23 21:22 <DIR> d-------- C:\Programme\Canon
2007-10-20 16:23 <DIR> d-------- C:\Programme\TVUPlayer
2007-10-20 16:23 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TVU Networks
2007-10-20 14:10 <DIR> d-------- C:\Programme\TVAnts
2007-10-03 20:46 <DIR> d-------- C:\Programme\SopCast
2007-10-03 20:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SopCast

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-25 13:59 --------- d-----w C:\Programme\DAEMON Tools
2007-10-25 13:53 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\uTorrent
2007-10-25 12:23 --------- d-----w C:\Programme\DkZ Studio
2007-10-23 19:22 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-10-15 20:55 --------- d-----w C:\Programme\RadioTracker
2007-09-12 12:33 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\concept design
2007-09-10 12:50 --------- d-----w C:\Programme\OpenOffice.org1.1.5
2007-08-28 19:57 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2006-10-13 14:00 4,227,040 ----a-w C:\Programme\Gemeinsame Dateien\InstallShield.rar
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 13:22]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"=C:\Programme\ICQLite\ICQLite.exe -trayboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ALi5289]
C:\Programme\ULI5289\ALi5289.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
"C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"C:\Programme\DAEMON Tools\daemon.exe" -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"C:\Programme\ICQLite\ICQLite.exe" -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
"C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
%systemroot%\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
RunDLL32.exe NvMCTray.dll,NvTaskbarInit

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegistryMechanic]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmcService]
C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VC8Player]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"srservice"=2 (0x2)
"WZCSVC"=2 (0x2)
"WmiApSrv"=3 (0x3)
"WmdmPmSN"=3 (0x3)
"WebClient"=2 (0x2)
"VSS"=3 (0x3)
"UPS"=3 (0x3)
"TermService"=3 (0x3)
"TapiSrv"=3 (0x3)
"SysmonLog"=3 (0x3)
"SENS"=2 (0x2)
"SCardSvr"=3 (0x3)
"RSVP"=3 (0x3)
"RemoteRegistry"=2 (0x2)
"RDSessMgr"=3 (0x3)
"ProtectedStorage"=2 (0x2)
"NtmsSvc"=3 (0x3)
"NtLmSsp"=3 (0x3)
"MSDTC"=3 (0x3)
"mnmsrvc"=3 (0x3)
"LmHosts"=2 (0x2)
"ImapiService"=3 (0x3)
"dmserver"=2 (0x2)
"CryptSvc"=3 (0x3)
"COMSysApp"=3 (0x3)
"AppMgmt"=3 (0x3)
"ALG"=3 (0x3)
"ose"=3 (0x3)
"iPod Service"=3 (0x3)
"VC8SecS"=2 (0x2)
"AntiVirScheduler"=3 (0x3)
"O&O Defrag"=3 (0x3)
"usnjsvc"=3 (0x3)
"AntiVirService"=3 (0x3)

R0 m5289;m5289;C:\WINDOWS\system32\DRIVERS\m5289.sys
R3 rtl8029;NT-Treiber für Realtek RTL8029(AS)-basierter PCI-Ethernetadapter;C:\WINDOWS\system32\DRIVERS\RTL8029.SYS
S0 NVStrap;NVStrap;C:\WINDOWS\system32\drivers\NVStrap.sys
S1 ATITool;ATITool Overclocking Utility;C:\WINDOWS\system32\DRIVERS\ATITool.sys
S3 BIOSCHK;BIOSCHK;\??\C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TII154.tmp\disk1\BIOSCHK.SYS
S3 cpuz;cpuz;\??\C:\Dokumente und Einstellungen\Administrator\Desktop\cpuz.sys
S3 RivaTuner32;RivaTuner32;\??\C:\Programme\RivaTuner v2.0 Final Release\RivaTuner32.sys
S3 ULI5261XP;ULi M526X Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN51.SYS

.
**************************************************************************

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-25 17:38:08
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

C:\WINDOWS\WindowsShell.Manifest 749 bytes
C:\WINDOWS\WindowsUpdate.log 119813 bytes
C:\WINDOWS\winhelp.exe 257568 bytes
C:\WINDOWS\winhlp32.exe 288768 bytes executable
C:\WINDOWS\wininit.ini 247 bytes
C:\WINDOWS\winnt.bmp 48680 bytes
C:\WINDOWS\winnt256.bmp 48680 bytes
C:\WINDOWS\WinSxS
C:\WINDOWS\wmprfDEU.prx 34818 bytes
C:\WINDOWS\wmsetup.log 44293 bytes
C:\WINDOWS\wmsetup10.log 447 bytes
C:\WINDOWS\WMSysPr9.prx 316640 bytes
C:\WINDOWS\WORDPAD.INI 754 bytes
C:\WINDOWS\Zapotek.bmp 9522 bytes
C:\WINDOWS\_default.pif 707 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 15

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-25 17:38:26
C:\ComboFix2.txt ... 2007-10-25 17:08
C:\ComboFix3.txt ... 2007-10-25 16:26
.
--- E O F ---

PS.:

Die LOG hat er mir aber schon vor den neustart gegeben

25.10.2007, 17:50

Argus

Ehrenmitglied

Beiträge: 6028

#14 Entferne auf C:\ Qoobox-->Papierkorb leeren

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

Und installiere Antivir wieder !!
Stelle Antivir so ein wie hier beschrieben http://board.protecus.de/t23979.htm
__________
MfG Argus

25.10.2007, 17:50

NetG

Member

Themenstarter

Beiträge: 27

#15 Woher stammt denn nun dieser Ordner??:
qoobox

Kann ich den wieder ohne bedenken löschen?

Was für ein TIming^^.
Also nur den ordner qoobox löschen und nochmal antivir laufen lassen dann müsste alles bereinigt sein wa?
So ein mist mit den Windoof..

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

» Audio und Video Transkriptor bzw. Transkription
»
»
»
» Problem mit HD audio

Seite(n): 1 2