Hallo Forum,

ich bin neu hier und habe sehr wenig Ahnung von Computern.

Antivir hat bei mir verschiedene Funde gemeldet und ich habe sie in Quarantäne verschieben lassen. Nun wollte ich die Anleitung dieses Forums durchgehen, mit debugger, OTL usw., aber jetzt bin mir bei ein paar Sachen unsicher.

1. Muss ich die Dateien in der Antivir-Quarantäne löschen, bevor ich die anderen Scans mache?

2. Es sind ein paar Programm-Aktualisierungen fällig (Adobe reader, firefox usw.), soll ich die vorher machen oder erst, wenn das System nochmal überprüft worden ist?

3. Von einigen Dateien auf meinem Computer habe ich noch keine backups, soll ich die erst danach machen?

Antivir hatte folgendes gefunden (ist das die logfile?):


Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 3. Januar 2012 11:11

Es wird nach 3014691 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (plain) [6.0.6000]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : TOTTY-PC

Versionsinformationen:
BUILD.DAT : 12.0.0.872 41826 Bytes 15.12.2011 16:24:00
AVSCAN.EXE : 12.1.0.18 490448 Bytes 25.10.2011 20:22:56
AVSCAN.DLL : 12.1.0.17 65744 Bytes 11.10.2011 12:59:58
LUKE.DLL : 12.1.0.17 68304 Bytes 11.10.2011 12:59:47
AVSCPLR.DLL : 12.1.0.21 99536 Bytes 08.12.2011 14:10:13
AVREG.DLL : 12.1.0.27 227536 Bytes 10.12.2011 14:10:05
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 19:53:09
VBASE003.VDF : 7.11.19.171 2048 Bytes 20.12.2011 19:53:09
VBASE004.VDF : 7.11.19.172 2048 Bytes 20.12.2011 19:53:09
VBASE005.VDF : 7.11.19.173 2048 Bytes 20.12.2011 19:53:10
VBASE006.VDF : 7.11.19.174 2048 Bytes 20.12.2011 19:53:10
VBASE007.VDF : 7.11.19.175 2048 Bytes 20.12.2011 19:53:10
VBASE008.VDF : 7.11.19.176 2048 Bytes 20.12.2011 19:53:10
VBASE009.VDF : 7.11.19.177 2048 Bytes 20.12.2011 19:53:10
VBASE010.VDF : 7.11.19.178 2048 Bytes 20.12.2011 19:53:10
VBASE011.VDF : 7.11.19.179 2048 Bytes 20.12.2011 19:53:10
VBASE012.VDF : 7.11.19.180 2048 Bytes 20.12.2011 19:53:10
VBASE013.VDF : 7.11.19.217 182784 Bytes 22.12.2011 20:47:34
VBASE014.VDF : 7.11.19.255 148480 Bytes 24.12.2011 20:46:22
VBASE015.VDF : 7.11.20.29 164352 Bytes 27.12.2011 20:46:30
VBASE016.VDF : 7.11.20.70 180224 Bytes 29.12.2011 20:46:51
VBASE017.VDF : 7.11.20.102 240640 Bytes 02.01.2012 20:47:03
VBASE018.VDF : 7.11.20.103 2048 Bytes 02.01.2012 20:47:03
VBASE019.VDF : 7.11.20.104 2048 Bytes 02.01.2012 20:47:03
VBASE020.VDF : 7.11.20.105 2048 Bytes 02.01.2012 20:47:03
VBASE021.VDF : 7.11.20.106 2048 Bytes 02.01.2012 20:47:03
VBASE022.VDF : 7.11.20.107 2048 Bytes 02.01.2012 20:47:03
VBASE023.VDF : 7.11.20.108 2048 Bytes 02.01.2012 20:47:03
VBASE024.VDF : 7.11.20.109 2048 Bytes 02.01.2012 20:47:03
VBASE025.VDF : 7.11.20.110 2048 Bytes 02.01.2012 20:47:03
VBASE026.VDF : 7.11.20.111 2048 Bytes 02.01.2012 20:47:03
VBASE027.VDF : 7.11.20.112 2048 Bytes 02.01.2012 20:47:03
VBASE028.VDF : 7.11.20.113 2048 Bytes 02.01.2012 20:47:03
VBASE029.VDF : 7.11.20.114 2048 Bytes 02.01.2012 20:47:03
VBASE030.VDF : 7.11.20.115 2048 Bytes 02.01.2012 20:47:03
VBASE031.VDF : 7.11.20.126 86016 Bytes 02.01.2012 20:47:04
Engineversion : 8.2.8.18
AEVDF.DLL : 8.1.2.2 106868 Bytes 25.10.2011 20:22:55
AESCRIPT.DLL : 8.1.3.95 479612 Bytes 28.12.2011 20:46:56
AESCN.DLL : 8.1.7.2 127349 Bytes 01.09.2011 21:46:02
AESBX.DLL : 8.2.4.5 434549 Bytes 02.12.2011 08:58:16
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.15.1 770423 Bytes 13.12.2011 14:10:18
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 30.12.2011 20:46:56
AEHEUR.DLL : 8.1.3.14 4260216 Bytes 30.12.2011 20:46:56
AEHELP.DLL : 8.1.18.0 254327 Bytes 25.10.2011 20:22:51
AEGEN.DLL : 8.1.5.17 405877 Bytes 09.12.2011 14:10:17
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.24.3 201079 Bytes 28.12.2011 20:46:51
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 11.10.2011 12:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 11.10.2011 12:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 11.10.2011 12:59:38
AVARKT.DLL : 12.1.0.19 208848 Bytes 08.12.2011 14:09:57
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 11.10.2011 12:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 11.10.2011 12:59:51
AVSMTP.DLL : 12.1.0.17 62928 Bytes 11.10.2011 12:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 11.10.2011 12:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 11.10.2011 13:00:00
RCTEXT.DLL : 12.1.0.16 98512 Bytes 11.10.2011 13:00:00

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\AVSCAN-20120103-110502-66934C16.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Dienstag, 3. Januar 2012 11:11

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'wmiprvse.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'lpksetup.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'lpremove.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'RacAgent.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apntex.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApMsgFwd.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'RealUpgrade.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'ArcCon.ac' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'fscreg.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'wpcumi.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACDaemon.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'FixCamera.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 's3trayp.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '134' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'xaudio.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'uCamMonitor.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'TestHandler.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'iviRegMgr.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACService.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'AUDIODG.EXE' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '160' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '2065' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <SYSTEM>
C:\Users\Totty\AppData\Local\0f49d8b4\X
[FUND] Ist das Trojanische Pferd TR/Offend.7101780
C:\Users\Totty\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WY64FRGZ\about[1].exe
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.Y.686
C:\Users\Totty\AppData\Local\Mozilla\Firefox\Profiles\6x1kghqp.default\Cache\5\90\A3BEBd01
[0] Archivtyp: GZ
--> object
[FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/DarDuk.E
C:\Users\Totty\AppData\Local\Mozilla\Firefox\Profiles\6x1kghqp.default\Cache\D\3A\B6B8Fd01
[0] Archivtyp: PDF
--> pdf_form_0.avp
[FUND] Enthält Erkennungsmuster des Exploits EXP/Pidief.aoj
C:\Users\Totty\AppData\Local\Temp\0.03172230942995846.exe
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.Y.686
C:\Users\Totty\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\24\7a102a98-483a58b2
[0] Archivtyp: ZIP
--> Translate.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2011-3544.AM
C:\Users\Totty\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45\56c497ad-765a5ed6
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.Y.686
Beginne mit der Suche in 'D:\' <DATA>

Beginne mit der Desinfektion:
C:\Users\Totty\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45\56c497ad-765a5ed6
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.Y.686
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b314380.qua' verschoben!
C:\Users\Totty\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\24\7a102a98-483a58b2
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2011-3544.AM
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '53f06c5a.qua' verschoben!
C:\Users\Totty\AppData\Local\Temp\0.03172230942995846.exe
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.Y.686
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '01ae36c7.qua' verschoben!
C:\Users\Totty\AppData\Local\Mozilla\Firefox\Profiles\6x1kghqp.default\Cache\D\3A\B6B8Fd01
[FUND] Enthält Erkennungsmuster des Exploits EXP/Pidief.aoj
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '67ef790d.qua' verschoben!
C:\Users\Totty\AppData\Local\Mozilla\Firefox\Profiles\6x1kghqp.default\Cache\5\90\A3BEBd01
[FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/DarDuk.E
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '226b5430.qua' verschoben!
C:\Users\Totty\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WY64FRGZ\about[1].exe
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.Y.686
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5d45662e.qua' verschoben!
C:\Users\Totty\AppData\Local\0f49d8b4\X
[FUND] Ist das Trojanische Pferd TR/Offend.7101780
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '11ba4a64.qua' verschoben!


Ende des Suchlaufs: Dienstag, 3. Januar 2012 13:03
Benötigte Zeit: 1:51:26 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

24081 Verzeichnisse wurden überprüft
463034 Dateien wurden geprüft
8 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
7 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
463026 Dateien ohne Befall
5744 Archive wurden durchsucht
0 Warnungen
7 Hinweise
499506 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Vielen Dank für eure Hilfe
Gruß
Waputzi

Zitat:

1. Muss ich die Dateien in der Antivir-Quarantäne löschen, bevor ich die anderen Scans mache?

Du weißt, was eine Quarantäne ist? Ob da die schädliche Datei drinbleibt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Quarantäne an die Datei ran.

Zitat:

2. Es sind ein paar Programm-Aktualisierungen fällig (Adobe reader, firefox usw.), soll ich die vorher machen oder erst, wenn das System nochmal überprüft worden ist?

Sowas macht man sinnvollerweise wenn das System bereinigt wurde und wieder problemlos läuft.

Zitat:

3. Von einigen Dateien auf meinem Computer habe ich noch keine backups, soll ich die erst danach machen?

Das ist schlecht. Backups macht man sinnvollerweise immer regelmäßig und nicht erst dann wenn ein Problem da ist. Aber nun gut...es folgt eine Anleitung wie man IMHO am besten Daten sichert wenn das System infiziert ist bzw. wenn man davon ausgehen muss es ist infiziert. Sag Bescheid wenn du alle wichtigen Daten gesichert hast.

Datensicherung von infizierten Systemen; mach das über ne Live-CD wie Knoppix, Ubuntu (zweiter Link in meiner Signatur) oder über PartedMagic. Grund: Bei einem Live-System sind keine Schädlinge des infizierten Windows-Systems aktiv, damit ist dann auch eine negative Beeinflussung des Backups durch Schädlinge ausgeschlossen.

Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte eine externe Platte sein. Sofern du nicht allzuviel sichern musst, kann auch ein USB-Stick ausreichen.

Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipell so aber fast genauso mit allen anderen Live-Systemen auch.

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist



4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partitionen wo Windows installiert ist, meistens isses /dev/sda1 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind)
6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!
7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote von der Windows-DVD zur Neuinstallation (Anleitung beachten)