Dann lass bitte folgendes Tool auf der XP Partition laufen.


Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe und drücke auf Start.
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.



Wenn du keine weiteren Probleme mehr hast, sind wir hier fertig.
Bitte folge den letzten paar Schritten.



Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.

Code: Alles auswählenAufklappen

ATTFilter

Combofix /Uninstall
         

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.



Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.



Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

• Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.
• Software Updates
  Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
  Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

• Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.

Zusätzlicher Schutz

• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
• WinPatrol
  Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

• SpywareBlaster
  Eine kurze Einführung findest du Hier
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.


Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Das werde ich nächstes Wochenende machen, begebe mich gerade in den Urlaub. Herzlichen Dank schon einmal für deine Hilfe!

Ich habe TFC nun aus Eindows XP heraus gestartet und es hat einiges entfernt. Allerdings hat mir Avira danach beim Win7 Start folgendes gemeldet:

Code: Alles auswählenAufklappen

ATTFilter

In der Datei 'C:\Users\Andi\Desktop\ComboFix.exe'
wurde ein Virus oder unerwünschtes Programm 'RKIT/Agent.4374153' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
         

Daraufhin habe ich eine vollständige Systemprüfung mit Avira durchgeführt, welche folgendes Ergebnis lieferte:

Code: Alles auswählenAufklappen

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Samstag, 14. Januar 2012  19:29

Es wird nach 3069807 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 x64
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : Andi
Computername   : TABULARASA

Versionsinformationen:
BUILD.DAT      : 12.0.0.872     41826 Bytes  15.12.2011 16:24:00
AVSCAN.EXE     : 12.1.0.18     490448 Bytes  26.10.2011 15:51:09
AVSCAN.DLL     : 12.1.0.17      65744 Bytes  11.10.2011 12:59:58
LUKE.DLL       : 12.1.0.17      68304 Bytes  11.10.2011 12:59:47
AVSCPLR.DLL    : 12.1.0.21      99536 Bytes  10.12.2011 14:33:48
AVREG.DLL      : 12.1.0.27     227536 Bytes  10.12.2011 14:33:48
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 09:07:39
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 20:06:44
VBASE003.VDF   : 7.11.19.171     2048 Bytes  20.12.2011 20:06:44
VBASE004.VDF   : 7.11.19.172     2048 Bytes  20.12.2011 20:06:44
VBASE005.VDF   : 7.11.19.173     2048 Bytes  20.12.2011 20:06:44
VBASE006.VDF   : 7.11.19.174     2048 Bytes  20.12.2011 20:06:44
VBASE007.VDF   : 7.11.19.175     2048 Bytes  20.12.2011 20:06:44
VBASE008.VDF   : 7.11.19.176     2048 Bytes  20.12.2011 20:06:44
VBASE009.VDF   : 7.11.19.177     2048 Bytes  20.12.2011 20:06:44
VBASE010.VDF   : 7.11.19.178     2048 Bytes  20.12.2011 20:06:44
VBASE011.VDF   : 7.11.19.179     2048 Bytes  20.12.2011 20:06:44
VBASE012.VDF   : 7.11.19.180     2048 Bytes  20.12.2011 20:06:44
VBASE013.VDF   : 7.11.19.217   182784 Bytes  22.12.2011 22:09:44
VBASE014.VDF   : 7.11.19.255   148480 Bytes  24.12.2011 15:08:53
VBASE015.VDF   : 7.11.20.29    164352 Bytes  27.12.2011 22:32:28
VBASE016.VDF   : 7.11.20.70    180224 Bytes  29.12.2011 23:40:50
VBASE017.VDF   : 7.11.20.102   240640 Bytes  02.01.2012 15:27:27
VBASE018.VDF   : 7.11.20.139   164864 Bytes  04.01.2012 17:07:34
VBASE019.VDF   : 7.11.20.178   167424 Bytes  06.01.2012 17:07:33
VBASE020.VDF   : 7.11.20.207   230400 Bytes  10.01.2012 18:08:15
VBASE021.VDF   : 7.11.20.236   150528 Bytes  11.01.2012 18:08:19
VBASE022.VDF   : 7.11.21.13    135168 Bytes  13.01.2012 18:08:23
VBASE023.VDF   : 7.11.21.14      2048 Bytes  13.01.2012 18:08:23
VBASE024.VDF   : 7.11.21.15      2048 Bytes  13.01.2012 18:08:23
VBASE025.VDF   : 7.11.21.16      2048 Bytes  13.01.2012 18:08:23
VBASE026.VDF   : 7.11.21.17      2048 Bytes  13.01.2012 18:08:23
VBASE027.VDF   : 7.11.21.18      2048 Bytes  13.01.2012 18:08:23
VBASE028.VDF   : 7.11.21.19      2048 Bytes  13.01.2012 18:08:25
VBASE029.VDF   : 7.11.21.20      2048 Bytes  13.01.2012 18:08:25
VBASE030.VDF   : 7.11.21.21      2048 Bytes  13.01.2012 18:08:25
VBASE031.VDF   : 7.11.21.28     26112 Bytes  13.01.2012 18:08:25
Engineversion  : 8.2.8.26  
AEVDF.DLL      : 8.1.2.2       106868 Bytes  26.10.2011 15:51:08
AESCRIPT.DLL   : 8.1.3.97      426363 Bytes  13.01.2012 18:09:28
AESCN.DLL      : 8.1.7.2       127349 Bytes  01.09.2011 21:46:02
AESBX.DLL      : 8.2.4.5       434549 Bytes  10.12.2011 14:33:45
AERDL.DLL      : 8.1.9.15      639348 Bytes  08.09.2011 21:16:06
AEPACK.DLL     : 8.2.15.1      770423 Bytes  13.12.2011 16:35:25
AEOFFICE.DLL   : 8.1.2.25      201084 Bytes  29.12.2011 23:40:54
AEHEUR.DLL     : 8.1.3.18     4297079 Bytes  13.01.2012 18:09:23
AEHELP.DLL     : 8.1.18.0      254327 Bytes  26.10.2011 15:51:06
AEGEN.DLL      : 8.1.5.17      405877 Bytes  10.12.2011 14:33:43
AEEMU.DLL      : 8.1.3.0       393589 Bytes  01.09.2011 21:46:01
AECORE.DLL     : 8.1.24.3      201079 Bytes  28.12.2011 23:15:58
AEBB.DLL       : 8.1.1.0        53618 Bytes  01.09.2011 21:46:01
AVWINLL.DLL    : 12.1.0.17      27344 Bytes  11.10.2011 12:59:41
AVPREF.DLL     : 12.1.0.17      51920 Bytes  11.10.2011 12:59:38
AVREP.DLL      : 12.1.0.17     179408 Bytes  11.10.2011 12:59:38
AVARKT.DLL     : 12.1.0.19     208848 Bytes  10.12.2011 14:33:46
AVEVTLOG.DLL   : 12.1.0.17     169168 Bytes  11.10.2011 12:59:37
SQLITE3.DLL    : 3.7.0.0       398288 Bytes  11.10.2011 12:59:51
AVSMTP.DLL     : 12.1.0.17      62928 Bytes  11.10.2011 12:59:39
NETNT.DLL      : 12.1.0.17      17104 Bytes  11.10.2011 12:59:47
RCIMAGE.DLL    : 12.1.0.17    4447952 Bytes  11.10.2011 13:00:00
RCTEXT.DLL     : 12.1.0.16      98512 Bytes  11.10.2011 13:00:00

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: löschen
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, H:, I:, K:, L:, P:, W:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Samstag, 14. Januar 2012  19:29

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'H:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'I:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'K:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'L:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'P:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'W:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Eine Instanz der ARK Library läuft bereits.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '107' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'SteamService.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'USBVaccine.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'CtHelper.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dropbox.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'Steam.exe' - '125' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '72' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '4982' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\Andi\Desktop\ComboFix.exe
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a875aaa.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\' <Games>
Beginne mit der Suche in 'H:\' <Data>
Beginne mit der Suche in 'I:\' <Elements>
Beginne mit der Suche in 'K:\' <PROGRAMS>
Beginne mit der Suche in 'L:\' <Carol>
Beginne mit der Suche in 'P:\' <Programme>
Beginne mit der Suche in 'W:\' <Windows>
W:\Dokumente und Einstellungen\Andi\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\27\4a11719b-10256766
  [0] Archivtyp: ZIP
  --> report/Generator.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.U
  --> report/HDDDetect.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.T
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 522d8f6f.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
W:\Dokumente und Einstellungen\Andi\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\48\7e736370-62c7e440
  [0] Archivtyp: ZIP
  --> main.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Pruno.F
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 0078d58d.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
W:\Dokumente und Einstellungen\Andi\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\50\c25df2-2b28b28f
  [0] Archivtyp: ZIP
  --> photo/Zoom.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.CH.2
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 66419a70.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.


Ende des Suchlaufs: Sonntag, 15. Januar 2012  02:21
Benötigte Zeit:  6:52:39 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

 143097 Verzeichnisse wurden überprüft
 2706125 Dateien wurden geprüft
      5 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      4 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      4 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 2706120 Dateien ohne Befall
  25389 Archive wurden durchsucht
      0 Warnungen
      4 Hinweise
         

Ich habe danach auf dem XP System weiter aufgeräumt und auch Java deinstalliert, und dann auf dem Win 7 System noch einmal einen Scan mit Avira ausgeführt und keinen Virus mehr gefunden.

Ich habe aufgrund der obigen Ereignisse mit dem Deinstallieren von Combofix, usw. noch nicht angefangen.

Ja, die AVP Firmen haben derzeit nen Fehler und finden in CF wiedermal alles mögliche. Nicht ungewöhnlich bei unseren Tools

In der Datei 'C:\Users\Andi\Desktop\ComboFix.exe'

Wäre ne Idee, CF einfach zu deinstallieren oder

Habe alles wieder entfernt wie vorgeschlagen, den PC sicherer gemacht und finde auch keine Viren mehr. Herzlichen Dank für die Hilfe!

Froh das wir helfen konnten

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen