Hallo,

ich poste im Folgenden ein logfile des Programms Malwarebytes.

Vor einiger Zeit meldete Antivir bei mir den Virus TR/Hiloti.D.1069. Da ich keine Zeit hatte, den PC zum Reparaturservice zu bringen, habe ich ihn ausgemacht und versuche nun, das Problem zunächst selbst zu beheben.
Dazu habe ich heute noch mal Antivir drüberlaufen lassen (das keine Viren gefunden hat, ich glaube ich brauche generell ein anderes Virensuchsystem...) und dann habe ich das Programm Malwarebytes installiert.
8 Viren wurden gefunden, die ich wie im Forum geraten in Quarantäne gesteckt, aber nicht gelöscht habe.

Nun also folgende Fragen: Kann ich die Viren/Trojaner jetzt in der Quarantäne löschen? Könnte der oben genannte Virus/Trojaner noch auf meinem PC sein? Muss ich etwa alle Dateien plus Betriebssystem neu installieren...?

Vielen, vielen Dank für jeglichen Antwortversuch und schon einmal Entschuldigung für "Anfängerfehler" und PC-Unkenntniss meinerseits.

Dummer_User




Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.16.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
GoWi :: GOWI-NETBOOK [Administrator]

Schutz: Aktiviert

17.07.2012 15:27:07
mbam-log-2012-07-17 (15-27-07).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 305067
Laufzeit: 2 Stunde(n), 9 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 1
C:\Dokumente und Einstellungen\GoWi\Startmenü\Programme\Windows Recovery (Trojan.FakeAV) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 6
C:\Dokumente und Einstellungen\GoWi\Startmenü\Programme\Windows Recovery\Uninstall Windows Recovery.lnk (Trojan.FakeAV) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\GoWi\Startmenü\Programme\Windows Recovery\Windows Recovery.lnk (Trojan.FakeAV) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\GoWi\Anwendungsdaten\Adobe\shed\thr1.chm (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\GoWi\Anwendungsdaten\Adobe\plugs\mmc109.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\GoWi\Anwendungsdaten\Adobe\plugs\mmc250.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\GoWi\Anwendungsdaten\Adobe\plugs\mmc84437031.txt (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

hi
was hat avira wo gefunden öffne es, ereignisse, poste fundmeldungen.
avira, berichte, logs mit funden posten

Hallo,
leider hatte ich damals einen USB-Stick verwendet und den Avirascan extern durchgeführt. Die genaue Virusmeldung hatte ich mir dann abgeschrieben, weil ich den Fundbericht nicht speichern konnte und Avira hat den Virus angeblich gelöscht... als ich den PC dann wieder normal mit Windows gestartet hatte, habe ich den Virus online nachgesehen und dann eben erst gemerkt, dass mein Vorgehen falsch war.
Ich habe meinen ganzen USB-Stick mit der externen Avira durchwühlt, da ist auch leider kein Bericht.
Kann ich jetzt noch irgendetwas tun? Kann ein anderes Virusprogramm sicher sagen, ob ich den Hiloti noch habe?

nutzt du den pc für onlinebanking, zum einkaufen für sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?

Onlinebanking habe ich gar nicht, aber beruflich benutze ich ihn schon öfters und meine Kontonummer an sich habe ich auch schon öfters eingegeben.
Die Frage lässt nichts gutes erahnen...

da diese erkennung zumindest darauf hindeutet, dass du malware hast, die sensible daten klaut, solltest du neu aufsetzen und absichern.
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
  Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• recovery cd oder recovery partition.
• falls dies ein fertig pc ist, nenne hersteller + typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

Hallo,
erst mal vielen Dank für die Tipps!
Ich war damit allerdings etwas überfordert und habe mir noch einmal "reale" Hilfe gesucht. Wir haben den Hiloti-Virus nun gefunden, anscheinend war er doch noch in der Avira-Quarantäne. Ist es plausibel, dass Malwarebytes ihn deswegen nicht mehr gefunden hat oder hätte er dennoch gefunden werden müssen?
Der Bericht ist leider trotzdem nicht auffindbar... ich habe aber einen Screenshot der Avira-Quarantäne mit genauem Ort des Viruses angefügt.
Soll ich jetzt trotzdem den PC neu formatieren etc., so wie du es beschrieben hast?

Entschuldigung, und noch einmal eine sehr dumme Frage: Was soll ich mit den Viren denn genau machen?? In der Quarantäne lassen oder versuchen zu löschen? (Bei Malwarebytes habe ich auch alles in der Quarantäne gelassen)

poste mir mal die pfadangabe aus avira, kanns auf dem screen nicht erkennen

Den Pfad hatte ich in dem Bild darüber kopiert, vielleicht zu klein. Er lautet: C:\Dokumente und Einstellungen\GoWi\Lokale Einstellungen\Anwendungsdaten\{03597FCF-9313-47E6-A3D4-529513BFB0CE}\chrome\content\overlay.xul.vir

Zeigt die Endung .vir immer an, dass es sich um einen Virus handelt?
Das ist jetzt der Hiloti-Virus, den Avira erkannt hat.

nein, das heißt das die datei umbenannt wurde
die funde in adobe deuten auf ältere infektionen hin,würd deshalb auf jeden fall neu aufsetzen

OK, danke! Dann versuche ich das in den nächsten Tagen hinzubekommen und melde mich dann noch mal.
Dir ein schönes Wochenende und danke für die Hilfe :-).

ok meld dich dann.