3 Viren auf dem Laptop

Hallo,
auf dem Laptop meiner Schwester kam eine Virenmeldung. Nach einem Neustart kommt nach dem Login nur ein schwarzer Bildschirm+ bewegbare Maus. Wenn man per Taskmanager die explorer.exe startet, verschwindet auch der schwarze Bildschirm und man kann normal arbeiten.
Jedenfalls habe ich Win7 Home Premoim 32bit neuinstalliert und es funktioniert bisher. Allerdings zeigt mir Antivir an, dass tlts.exe Tr/Downloader.gen, emcnsowxrar.exe TR/crypt.ULPM.gen und bkavnmh.exe tr/crypt.xpack.gen Viren sind.
Unten ist der Hijackthis log beigefügt.
Das System ist das Acer aspire 7535g
http://www.ciao.de/Acer_Aspire_7535G_644G32MN__8202308#productdetail

Windows wurde neu installiert, die ganzen alten Dateien sind im WinOld-Ordner.



Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:58:30, on 22.10.2010
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
E:\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

--
End of file - 1723 bytes

 

> die ganzen alten Dateien sind im WinOld-Ordner

Das hätte ich nicht gemacht,könnte sein wenn du da ins neue System was einspielst das du das jetzt saubere System (laut Log) wieder verpestest.

 

Ich wusste garnicht ob der Laptop einen Virus hat. Kann ich den löschen oder sollte ich die restlichen Dateien sichern und dann formatieren?

 

Könnte auch eine Fehlmeldung von Antivir sein.

 

Die Logdatei sieht verdächtig kurz für Windows 7 aus. Da fehlt IMO ein Teil. Wurde Hijackthis mit Adminrechten gestartet?
Antivir speichert die Ereignisse ab und trägt sie mitunter auch in die Ereignisanzeige von Windows ein, wenn das so in den Optionen eingestellt ist. Da kannst du mal die Einträge hier posten.

 

Hier der Antivir Log nachdem ich geupdatet hab und ein weiterer HijackthisLog. Die Datei ist so klein weil ich Win7 neu draufgesetzt habe und die Viren im WinOld Ordner sind der von Hijackthis wohl nicht durchsucht wird.

 

Der Ordner Windows.old kann entsorgt werden, in dem die Malware gefunden wurde.
Darin ist eine alte Windows Installation, die bei der Installation von Windows 7 in den Ordner gesichert worden ist.
http://support.microsoft.com/kb/933212/de
http://support.microsoft.com/kb/932912/de
Bei MS habe ich keine Anleitungen für Windows 7 darüber gefunden.