[Xiron]

[Bild: iUEaPDjqIcZUnbenannt.PNG]

Gut die Meldung kam, ich hab auf löschen gedrückt und dachte damit sei es erledigt. Anscheinend nicht, die Meldung kam inzwischen wieder 3 mal...Das seltsame ist, dass die Meldung immer nur dann kam, wenn ich nicht am PC war; d.h. mein PC war einfach nur an und ich war nicht im Zimmer...Kann sein das es Zufall ist, kommt mir aber komisch vor, deshalb schreib ich das hier mal rein, auch wenn das wohl nicht viel hilft, den Trojaner zu beseitigen.
Also löschen funktioniert anscheinend nicht..was muss ich machen?

Danke schonmal

[Langschlaefer]

Zunächsteinmal handelt es sich bei der Datei "Dropper.Gen" um einen Trojaner.

Poste uns mal bitte die Ergebnisse einer Logfileauswertung...am besten nutzt du dafür Hijack, wie du damit umgehst kannst du hier nachlesen.

Es is' gut möglich, dass da noch weitaus mehr auf deinem Rechner herumschnüffelt.

Da der Trojaner immer wieder auftaucht, wird wohl irgendwo ein Backup davon liegen oder er wird immer wieder neu, von einer bestimmten Quelle des Internet bezogen.

Grundsätzlich kannst du dich mental schonmal auf ein Neuaufsetzen des Betriebssystemes einstellen, denn einem einmal befallenen System is' nichtmehr zu vertrauen.

[Gurkenflieger]

Probiere mal einen Viren-Scan mit getrennter Internetverbindung bzw. im abgesicherten Modus (Abgesicherter Modus-->Beim Hochfahren 'F8' drücken).
Oft ist es so, dass sich Viren durch Internetverbindung tarnen. Dass könnte bei dir der Fall sein, dass sich der Virus der den Dropper immer wieder erzeugt, tarnt.

Installiere auch mal das Programm Spybot - Search&Destroy. Dieses Programm sucht nicht nach Viren, sondern nach Mal-und Spyware und entfernt diese.

[Xiron]

@Langschlaefer:

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:21:59, on 02.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [PFTx611ckY] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezgvehkd\qdejozun.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-601554083-2357588067-94218528-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Administrator')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Mit Net Transport herunterladen - C:\Programme\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O22 - SharedTaskScheduler: bimaculate - {d70e9b0f-aabc-4066-8176-c6de84d92fa1} - (no file)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6787 bytes

@Gurkenflieger: Spybot hatte ich schonmal drüber laufen lassen, hat leider nix gefunden...
Das mit dem abgesicherten Modus mache ich später, danke

[Langschlaefer]

Sieht soweit alles okay aus, die einzige Datei die mir etwas spanisch vorkommt, is' die "qdejozun.exe".
Wozu gehört die?

Wenn du dir über die Zugehörigkeit und Lage der Datei nicht im klaren bist, kannst du die mal hier checken lassen.

[Xiron]

Habe gerade mal mein System abgesucht, konnte die Datei aber nicht finden.

In dem Ordner "ezgvehkd" ist keine Datei.

[Shrike]

hast du auch eingestellt, dass unsichtbare Dateien angezeigt werden?

[Xiron]

Ja hab ich.
Außerdem steht bei Markierung da auch: Der Ordner ist leer
und der Ordner ist 0 Byte groß mit 0 Dateien, 0 Ordnern.

[Mr. Bean]

Im Ordner 'System Volume Information' sind übrigens die Wiederherstellungspunkte.Wenn sich darin was findet,musst du die Systemwiederherstellung abschalten,dann werden die gelöscht.Weiss auch gar nicht,ob der Virenscanner da überhaupt Zugriff drauf hat.

[DWS]

Ich habe gerade ein ähnliches Problem mit diesem Trojaner - Unsicherheit, ob Fehlalarm, ob er weg ist, ob ich nicht doch irgendwann das System platt machen sollte...

Kopiere deinen HiJack Report mal hier ins Fenster und lasse es auswerten: http://www.hijackthis.de/

Ich sehe damit 2 Einträge bei dir, die schädlich bis äußerst schädlich erkannt werden [muss vielleicht nichts heissen, ich weiß nicht, für wie schädlich unbekannte Einträge da gehalten werden] :

Schädlich:
O4 - HKLM\..\Policies\Explorer\Run: [PFTx611ckY] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezgvehkd\qdejozun.exe

Äußerst schädlich:
O22 - SharedTaskScheduler: bimaculate - {d70e9b0f-aabc-4066-8176-c6de84d92fa1} - (no file)

Der scheint nicht so einfach zu sein. Die meisten threads, die ich im Trojanerboard darüber gelesen habe, endeten früher oder später im System neu aufsetzen.

EDIT: Es soll sich damit um einen rootkit trojaner handeln.

[Xiron]

Äußerst schädlich:
O22 - SharedTaskScheduler: bimaculate - {d70e9b0f-aabc-4066-8176-c6de84d92fa1} - (no file)

01.04.2008 - VirusHeat

Das sagt mir was. Hatte ich mal auf meinem PC, habe den aber vermutlich [!] komplett entfernen können durch abgesicherten Modus konnte er sich auch nichtmehr neu laden. Weiterhin war das nur eine Warnungsbenachrichtigung, dass der PC mit Viren verseucht ist mit einer verlinkten Adresse zu einem angeblichen Virus-Entferner. Natürlich hab ich mir das Programm niemals runtergeladen.
Da da auch "(no file)" steht denke ich, dass das ungefährlich ist..hoffe ich..
Wie geschrieben: Ich hatte das Icon und den Registry Eintrag im abgesicherten Modus gelöscht und seitdem auch niemehr von dem "VirusHeat" gehört.

Im Ordner 'System Volume Information' sind übrigens die Wiederherstellungspunkte.Wenn sich darin was findet,musst du die Systemwiederherstellung abschalten,dann werden die gelöscht.Weiss auch gar nicht,ob der Virenscanner da überhaupt Zugriff drauf hat.

Ohh das könnte sein, ich war mal vor gut nem Monat in der Systemwiederherstellung und hab da - zu meinem Bedauern - herumgespielt...vlt hab ich da was verändert?

[G Hot]

ist dein Anti Vir auch aktualiesiert ?
sieht nähmlich nicht so aus ich habe nähmlich mittlerweile AV9 das ist besser

[Xiron]

ist dein Anti Vir auch aktualiesiert ?
sieht nähmlich nicht so aus ich habe nähmlich mittlerweile AV9 das ist besser

Ja stimmt, ich habe noch das alte..Ist der 9er nicht kostenpflichtig?
Außerdem hab ich irgendwo mal miese Testberichte gelesen.. sind wohl wieder ein paa auf die alte Version umgestiegen...
Naja ist der 9er empfehlenswert?

@Topic: Eben war ich schon wieder ca 30 Minuten nicht am PC, dann geh ich dran, mach den Bildschirmschoner durch die Maus weg und was sehe ich da? Schon wieder die Meldung. Warum kommt die immer nur dann, wenn ich nicht am PC bin, das macht mir schon richtig Angst. Internet war aus, Monitor und Boxen auch.

[Gurkenflieger]

Ja stimmt, ich habe noch das alte..Ist der 9er nicht kostenpflichtig?

Es gibt wie bei den vorherigen Versionen eine Gratis-Version: Download

Außerdem hab ich irgendwo mal miese Testberichte gelesen.. sind wohl wieder ein paa auf die alte Version umgestiegen...
Naja ist der 9er empfehlenswert?

Ich halte zwar generell nichts von Antivir, aber du es vorher auch benutzt hast, kannst du ruhig das neueste benutzen. Immerhin soll dieses schneller sein und ich denke mal das für die alte Version die Virendatenbankenaktualiserung bald aussterben wird.

@Topic: Eben war ich schon wieder ca 30 Minuten nicht am PC, dann geh ich dran, mach den Bildschirmschoner durch die Maus weg und was sehe ich da? Schon wieder die Meldung. Warum kommt die immer nur dann, wenn ich nicht am PC bin, das macht mir schon richtig Angst. Internet war aus, Monitor und Boxen auch.

Leider keine Ahnung

[DWS]

Auch zwei von meinen Restorepunkten unter System Volume wurden gerade von AntiVir leider positiv gescannt.

Ich würde sagen, nach allem was ich über diesen rootkit trojaner gelesen habe, kommen wir um eine Formatierung nicht herum. Katastrophe. Auf die Inhalte der Backup-Festplatten kann man sich ja jetzt auch nicht mehr verlassen.

EDIT: Da er sich in der Systemwiederherstellung eingenistet hat, müsste man auf jeden Fall die Systemwiederherstellung abschalten und im abgesicherten Modus desinfizieren. Aber ob das ausreicht? Wohl nicht, wenn er in einem Treiber sitzt, der auch im abgesicherten Modus geladen würde.

EDIT2: AntiVir sollte dazu dann auch speziell konfiguriert werden:
http://www.paules-pc-forum.de/forum/...igurieren.html

[Xiron]

Habe eben Avira 9 drüber laufen lassen.
22 Funde das darf doch nicht wahr sein.
Ok, waren ein paa Jokes dabei.

Hatte Antivir vorher so konfiguriert wie im Link beschrieben, im Report steht jetzt

Code:

C:\System Volume Information\_restore{A696A331-CD0D-40DB-B3AC-A992218F6F44}\RP537\A0197152.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a58c463.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde nach 'A0197152.exe.VIR' umbenannt!
C:\System Volume Information\_restore{A696A331-CD0D-40DB-B3AC-A992218F6F44}\RP537\A0197153.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a58c464.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde nach 'A0197153.exe.VIR' umbenannt!
C:\System Volume Information\_restore{A696A331-CD0D-40DB-B3AC-A992218F6F44}\RP537\A0197154.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4b01e115.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde nach 'A0197154.exe.VIR' umbenannt!
C:\System Volume Information\_restore{A696A331-CD0D-40DB-B3AC-A992218F6F44}\RP537\A0197155.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a58c466.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde nach 'A0197155.exe.VIR' umbenannt!
C:\System Volume Information\_restore{A696A331-CD0D-40DB-B3AC-A992218F6F44}\RP537\A0197156.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a58c465.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde nach 'A0197156.exe.VIR' umbenannt!
C:\System Volume Information\_restore{A696A331-CD0D-40DB-B3AC-A992218F6F44}\RP537\A0197157.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4b01e116.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde nach 'A0197157.exe.VIR' umbenannt!
C:\System Volume Information\_restore{A696A331-CD0D-40DB-B3AC-A992218F6F44}\RP537\A0197158.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a58c467.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde nach 'A0197158.exe.VIR' umbenannt!
C:\System Volume Information\_restore{A696A331-CD0D-40DB-B3AC-A992218F6F44}\RP537\A0197159.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4b01e118.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde nach 'A0197159.exe.VIR' umbenannt!
C:\System Volume Information\_restore{A696A331-CD0D-40DB-B3AC-A992218F6F44}\RP537\A0197160.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4b01e117.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde nach 'A0197160.exe.VIR' umbenannt!
C:\System Volume Information\_restore{A696A331-CD0D-40DB-B3AC-A992218F6F44}\RP537\A0197161.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a58c468.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde nach 'A0197161.exe.VIR' umbenannt!
C:\System Volume Information\_restore{A696A331-CD0D-40DB-B3AC-A992218F6F44}\RP537\A0197162.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4b01e119.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde nach 'A0197162.exe.VIR' umbenannt!
C:\System Volume Information\_restore{A696A331-CD0D-40DB-B3AC-A992218F6F44}\RP537\A0197163.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a58c46a.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde nach 'A0197163.exe.VIR' umbenannt!
C:\System Volume Information\_restore{A696A331-CD0D-40DB-B3AC-A992218F6F44}\RP537\A0197164.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4b01e11b.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde nach 'A0197164.exe.VIR' umbenannt!
C:\System Volume Information\_restore{A696A331-CD0D-40DB-B3AC-A992218F6F44}\RP537\A0197165.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a58c469.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde nach 'A0197165.exe.VIR' umbenannt!
C:\System Volume Information\_restore{A696A331-CD0D-40DB-B3AC-A992218F6F44}\RP537\A0197166.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4b01e11a.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde nach 'A0197166.exe.VIR' umbenannt!
C:\System Volume Information\_restore{A696A331-CD0D-40DB-B3AC-A992218F6F44}\RP537\A0197167.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a58c46b.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde nach 'A0197167.exe.VIR' umbenannt!
C:\System Volume Information\_restore{A696A331-CD0D-40DB-B3AC-A992218F6F44}\RP537\A0197168.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4b01e11c.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde nach 'A0197168.exe.VIR' umbenannt!
C:\System Volume Information\_restore{A696A331-CD0D-40DB-B3AC-A992218F6F44}\RP537\A0197169.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a58c46d.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde nach 'A0197169.exe.VIR' umbenannt!
C:\System Volume Information\_restore{A696A331-CD0D-40DB-B3AC-A992218F6F44}\RP537\A0197170.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a58c46c.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde nach 'A0197170.exe.VIR' umbenannt!

-Jokes hab ich alle gelöscht, daher nicht in Liste aufgeführt-

Das kann doch nicht sein was ist passiert???

Was heißt die Quarantäne und die Umbennung?
Sind diese Dateien jetzt unbrauchbar?
Kann ich die jetzt löschen?
Wie soll ich jetzt weiter vorgehen?

[haddock]

Formatieren. Alles andere dürfte zwecklos sein.
Reine Daten würde ich mit einer Gnu/Linux LiveCD retten.
Bzw. wäre Gnu/Linux allgemein eine Option, um dem ganzen Virenzeug zu entkommen.
Und der Schutz von Virenscannern ist nicht wirklich hoch, eher placebo mäßig.

[Xiron]

Ok ich komme wohl um ne Formatierung nicht drumherum.
Wie sieht es aus, welche Dateien sollte ich/darf ich sichern?

Kann ich Savegames und Profiles bedenkenlos sichern?

[Mr. Bean]

Ich sagte doch,schalt die Systemwiederherstellung ab.Dadurch verschwindet alles im Ordner 'System Volume Information'.

Die lässt du dann abgeschaltet und scannst das System im Abgesicherten Modus.

[Xiron]

Ich sagte doch,schalt die Systemwiederherstellung ab.Dadurch verschwindet alles im Ordner 'System Volume Information'.

Die lässt du dann abgeschaltet und scannst das System im Abgesichertem Modus.

Ok hab sie jetzt deaktiviert.
Bevor ich gleich in den AM gehe noch ne Frage:
Erkennt AntiVir die Dateien überhaupt noch weil sie ja umbenannt und in Quarantäne geschoben wurden?