Virus TR/Drop.VB.LU wie löschen??

Hallo,

die Erkennung zu den Virus TR/Drop.VB.LU hat AntiVir erst am 25.02. hinzugefügt. Von daher wird es im Internet kaum Infos geben.

Willst du zur Sicherheit eine Kontrolle durchführen, dann können dir die folgenden kostenlosen Onlinescan helfen.

Datei Scanner:
http://www.kaspersky.com/de/scanforvirus
oder
http://virusscan.jotti.org/de/
(Hier wird ein Scan mit verschiedenen AV-Programmen parallel gestartet)


System Scanner:

BitDefender Online Scanner
http://www.bitdefender.de/bd/site/page.php#
oder
Panda ActiveScan
http://www.pandasoftware.com/activescan/de/activescan_principal.htm

Ich habe gestern Antivir update gemacht und anschliessend im abgesicherten Modus laufen lassen.

Laut Antivir wurde die Teile entfernt. Nun lasse ich gerade Bitdefender durchlaufen.

Was meint ihr sind die teile wohl weg? oder was soll ich genau machen?? Ich bin absoluter Anfänger in solchen sachen. Bitte um Hilfe

Ach ja Bitdefender hat auch was gefunden und geschrieben Desinfektion fehlgeschlagen und eine zeile darunter steht gelöscht...

was denn nun fehlgeschlagen oder gelöscht?

Leute,

bitte macht es nicht so spannend!
Was hat denn Bitdenfender gefunden?
- Welche Datei ist infiziert?
- Wie heißt der Virus?
- Wo hat er ihn gefunden?

Ausführliche Angeben sind A und O für eine Hilfe.
Poste doch einfach mal das Scanergebniss von Bitdenfender hier.
Ansonsten bist du schon auf dem richtigen Weg um deine Probleme zu lösen.
Wenn es nicht mehr vorliegt dann führe den Scan mit Bitdenfender nochmals aus.

Bitte führe auch mal ein HijackThis-Log aus.

Gehe dazu auf die Webseite
http://www.hijackthis.de/     
und folge den Anweisungen und poste den Logfile hier.
Downloadlink zum Tool
http://www.mmdirect.de/downloads/hijackthis_199.zip

Alles klar werde es machen sobald bitdefender fertig ist.

gefunden wurden bisher

Sevus.AZ
Generic.Malware.y.1cdfb319
uns IRC.Zapchast.KJ
 50 % Scan ist fertig

Wollte auch nur wissen ob das Desinfektion fehlgeschlagen bedeutet das die dinger noch drauf sind. weil genau darunter steht ja Löschung. Das irritiert mich ein wenig.

  
  
 
Prüf-Info
  
  
 
Geprüfte Dateien
 818154
 
Infizierte Dateien
 22
 
  
  
 
 
  
  
 
Erkannte Viren
  
  
 
Generic.Malware.SFN.4EAA45EA
 2
 
Backdoor.Irc.Elmer.A
 1
 
Generic.Malware.Y.1CDFB319
 3
 
Trojan.Bat.Sevuftp.B
 1
 
Trojan.Servu.AZ
 3
 
Trojan.VB.BackHexe.A
 2
 
Backdoor.Iroffer.14b2.B
 1
 
Trojan.Downloader.Small.AYF
 2
 
Trojan.Runas.A
 1
 
Win32.Worm.Lovesan.A
 1
 
Backdoor.IRC.Zapchast.KJ
 3
 
Win32.Sober.C@mm
 1
 
Win32.Msblast.A.damaged
 1
 
  
Erkannte Viren
 14
 
Infizierte Dateien
 17
 
verdächtige Dateien
 5
 
Warnungen
 0
 
Desinfiziert
 0
 
Gelöscht
 23
 
  
  
 
Engine-Info
 
Virensignaturen
 278662
 
Engine info
 AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29)
 
Prüf-Plugins
 13
 
Archiv-Plugins
 39
 
Extraktions-Plugins
 4
 
E-Mail-Plugins
 6
 
System-Plugins
 1
 
  
  
 
Prüfeinstellungen
 
Primäre Aktion
 Desinfizieren
 
Sekundäre Aktion
 Löschen
 
Heuristik
 Ja
 
Warnungen aktivieren
 Ja
 
Zu prüfende Erweiterungen
 *;
 
Auszuschließende Erweiterungen
  
 
E-Mails prüfen
 Ja
 
Archive prüfen
 Ja
 
Komprimierte Dateien prüfen
 Ja
 
Dateien prüfen
 Ja
 
Boot-Sektoren prüfen
 Ja
 
  
 
So das hat bitdefender rausgeworfen...

Logfile of HijackThis v1.99.1
Scan saved at 12:27:03, on 27.02.2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\VM_STI.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\PROGRA~1\MSNMES~1\msnmsgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ICQLite\IcqLite.exe
D:\MAGIX\Media_Manager_2004\MAGIXviewer.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\DerTiggr\LOKALE~1\Temp\Rar$EX00.460\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.erlebnis-tagebuch.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\Preispiraten3\Preispiraten3\IEButtonAmazonInterface.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: metaspinner GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Preispiraten3\Preispiraten3\IEButtonEbayInterface.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - d:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: metaspinner GmbH - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - C:\Programme\Preispiraten3\Preispiraten3\IEButtonPPInterface.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] D:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=030406 serial=DR12CNC-8322248-NFT lang=DE
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\StorageGuard\sgtray.exe" /r
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [csr] csrrs.exe
O4 - HKLM\..\RunServices: [csr] csrrs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\MSNMES~1\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\IcqLite.exe -trayboot
O4 - Startup: VERITAS Install Exec Setup.lnk = C:\Dokumente und Einstellungen\DerTiggr\Lokale Einstellungen\Temp\VIES1131\Setup.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten3\\Preispiraten3\\preispiraten.html
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb001YYDE_ZSYYYYYYYYDE
O8 - Extra context menu item: amazon Suche - C:\Programme\Preispiraten3\Preispiraten3\Searchamazon.htm
O8 - Extra context menu item: amazon Suche starten - C:\Programme\Preispiraten3\Preispiraten3\Searchamazon.htm
O8 - Extra context menu item: eBay - Mein eBay - C:\Programme\Preispiraten3\Preispiraten3\SearchEbaymein.htm
O8 - Extra context menu item: eBay - Powersuche - C:\Programme\Preispiraten3\Preispiraten3\SearchEbaypower.htm
O8 - Extra context menu item: eBay - Startseite - C:\Programme\Preispiraten3\Preispiraten3\SearchEbay.htm
O8 - Extra context menu item: eBay Suche starten - C:\Programme\Preispiraten3\Preispiraten3\SearchEbay.htm
O8 - Extra context menu item: Google Suche - C:\Programme\Preispiraten3\Preispiraten3\SearchGoogle.htm
O8 - Extra context menu item: Google Suche starten - C:\Programme\Preispiraten3\Preispiraten3\SearchGoogle.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Preispiraten 3 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten3\Preispiraten3\preispiraten3ie.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\WINDOWS\System32\shdocvw.dll
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://de.midas.games.yahoo.net/midasa.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-36.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129192457396
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/de/de/tools/activex/fpu.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A672558F-A878-4D5A-A921-627C091CEB5E} (Flatcast Producer 4.13) - http://www.flatcast.com/objects/NpFp413.dll
O16 - DPF: {A672558F-A878-4D5A-A921-627C091CEB60} (Flatcast Producer 4.15) - http://data.flatcast.com/NpFp415.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {E504EE6E-47C6-11D5-B8AB-00D0B78F3D48} (Yahoo! Webcam Viewer Wrapper) - http://chat.yahoo.com/cab/yvwrctl.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F54F} (Flatcast Viewer 4.13) - http://www.flatcast.com/objects/NpFv413.dll
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://data.flatcast.com/NpFv415.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

Au Backe,
ich dachte solche PCs sind ausgestorben.

Die Kiste wird noch mit Windows XP ohne SP betrieben.
Bei so vielen nicht gepatchen Sicherheitslücken ist der PC extrem anfällig für Malware und ist für alle eine Gefahr!
Da nütz selbst der Beste Virenscanner nicht viel.

Erste Maßnahme:
Fixe die diese Einträge mit dem HjackThis Tool

O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb001YYDE_ZSYYYYYYYYDE   

Zweitens:

Hier muss unbedingt gehandelt werden!
Dein PC benötigt jetzt unbedingt  das volle Updateprogramm von Windows.
Nur mit SP2 und allen Patches ist Windows XP ausreichend vor Gefahren geschützt.

Bitte ungehend alle Windowsupdates einspielen, es gibt keine Ausrede weshalb man dies nicht machen sollte, sofern man einen DSL Anschluss hat. Ansonsten besorge die Updates über Freunde die einen DSL besitzen.
Updates Links für Windows XP:
Service Pack 2, ca. 265MB:
http://www.microsoft.com/downloads/details.aspx?FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a&displaylang=de
Sicherheitspatches nach SP2, ca. 82MB:
http://download.winboard.org/downloads.php?release_id=1086

Drittens:

Führe im Anschluss noch mal ein Onlinescan zur Kontrolle mit Panda
Panda ActiveScan
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
Bitte das Scanergebnis  wieder posten.

4.
Erstelle neuen Logfile mit HjackThis
Und poste das Ergebnis

Und Schluss,
wechsele zur Sicherheit alle deine Passwörter.
 

Hallo!

Bei mir ist dasselbe Problem aufgetreten.
AntiVir hat TR/Drop.VB.LU gefunden, diesen habe ich dann in Quarantäne verschoben und dann gelöscht.
Nach einem Systemneustart und einem erneuten Suchlauf durch Antivir ist dieswer Virus nicht wieder gemeldet worden.

Kann ich davon ausgehen, dass dieser nun gelöscht ist?

Hallo Heiko,

eigentlich sollte der Fall für dich erledigt haben, da AntiVir die Sache bereinigt hat.

Zur Sicherheit solltes du eine Kontrolle durchführen, dafür können dir die folgenden kostenlosen Onlinescan helfen.

BitDefender Online Scanner
http://www.bitdefender.de/bd/site/page.php#
oder
Panda ActiveScan
http://www.pandasoftware.com/activescan/de/activescan_principal.htm

Wenn die Scanner was finden, dann poste bitte die Scanprotokollo hier.

Danke für die schnelle Antwort.

Antivir hatte auch noch folgende Datei gefunden: WORM/Rbot.155648.5
Aber beim zweiten Suchlauf war auch dieser verschwunden.

Bitdefender läuft bereits durch....mal schauen was der sagt.

Ist es denn ratsam meine Passwörter zu ändern? Gerade in Hinblick auf Homebanking, Ebay und Wlan???

Hallo miteinander,

zuallererst möchte ich Euch intern zu Eurer Super-Idee gratulieren, für uns Nobs eine Help-Line einzurichten.

Doch nun zum Thema: Auch bei mir ist vor zwei Tagen dieser Trojaner TR/Drop VB.LU auf dem Rechner aufgetaucht. Als der Suchlauf der "Antivir-Workstation" zu Ende war, hatte ich 664 x diesen Trojaner auf dem C. Ich liess sogleich alle mit dem Antivir löschen, doch tauchte er in den folgenden Stunden immer wieder auf, dafür nur noch einzeln. So setzte ich das gesamte XP (mit SP2) neu auf. Da ich meine Festplatte in drei Partitionen aufteilte, liess ich die beiden anderen vollbeladenen (D & E) in Ruhe. Ich freute mich schon auf ein neues, taufrisches System, und hatte bisher auch keine Probleme mehr mit dem C.
Aber gestern erwachte dieser verflixte Trojaner wieder zum Leben. Doch diesesmal auf dem E, meiner grössten Partition (knappe 100 Giga). Offenbar konnte er sich hinüberschmuggeln und setzte sich irgendwo in der "Volume/Information" fest. Wo genau, weiss ich nicht mehr, denn ich verschob ihn in die Quarantäne, und löschte ihn später, dummerweise, ohne die gesamte Information zu notieren.
Im Moment habe ich gerade, meine gesmten Dateien vom E, (ca. 40 Giga) aufs D rübergeschaufelt und bn gerade daran, die Partition E gründlich zu formatieren, paralell scannt die "Antivir-Workstation" jede Datei, die ich später wieder aufs E rüberschicken werde. Anschliessend werde ich das D ebenfalls neu formatieren.
Sollte der TR/Drop VB.LU trotzdem wieder reinkarnieren, muss ich wohl alle meine Dateien auf DVD brennen und anschliessen die gesamte Festplatte neu formatieren. Sollte er dann trotzdem noch anwesend sein, werde ich den Rechner wohl zu einem Spezialisten bringen, der sich das Bios mal näher ansieht.
So, das wars. Ist dieser Vorgang okay, oder mache ich mir damit zuviel Arbeit?

Danke im Voraus für konstruktive Antworten.

Hallo,

du machst dir damit definitiv zuviel Arbeit damit.
Das Betriebssystem auf eine frisch formatierte Partition C neu aufzusetzen ist ja noch OK, aber der Rest macht absolut keinen Sinn und löst das Problem nicht.
Um das Bios musst du ihr erst recht keine Gedanken machen, hier wird sich die Malware bestimmt nicht aufhalten.

Mein Tipp,
scanne mit AntiVir im abgesicherten Modus von Windows, auch wenn es viel Zeit benötigt, alle Dateien auf deinen PC mit der folgende Anleitung, dazu sind Administrator-Berechtigungen zwingend notwendig!
1. Den bereits vorhanden installierten Virenscanner aktualisieren
2. PC vom Netzwerk und Internet trennen
3. Die Systemwiederherstellung deaktivieren  (Nur Windows XP und ME)
4. PC im abgesicherten Modus starten
(Für den Punkt 3 und 4 findet man unter http://www.bsi.de/av/texte/wiederher.htm eine Anleitung)
5. Das komplette System mit dem Viren-Schutzprogramm scannen, mit der Einstellung  “Alle Dateien“, “Archive“ und “Gepackte Dateien“!
6. Wenn nicht automatisch durch das Viren-Schutzprogramm erledigt:
·   infizierte Dateien löschen
·   Einträge aus der Windows-Registrierung entfernen
7. PC wieder normal Starten und die Systemwiederherstellung aktivieren

Im Anschluss führe bitte noch einen OnlineScan durch, aber nicht im abgesicherten Modus von Windows. Für eine schnelle und kostenlose Überprüfung des kompletten System sind die folgende OnlineScanner gut. Übrigens, alle samt mit einer Reinigungsfunktion.

BitDefender Online Scanner
http://www.bitdefender.de/bd/site/page.php#

Panda ActiveScan
http://www.pandasoftware.com/activescan/de/activescan_principal.htm

Trend Micros kostenloser Online-Virenscanner
http://de.trendmicro-europe.com/consumer/housecall/housecall_launch.php
Anmerkung: Läuft auch mit Firefox.

Sollten die Scanner was finden, dann poste bitte die vollständigen Scanergebnisse hier.