Hallo liebe Gemeinde, seit einigen Tagen meldet AntiVir die beiden o.g. Dateien, habe sie in Quarantäne verschieben lassen. Desweiteren habe ich HijackThis durchlaufen lassen, und Logfile erstellt. Brauche nun Hilfe bei der Auswertung, hier das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 14:05:28, on 17.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RunDLL32.exe
D:\Programme\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\duncaN\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://217.6.171.107/cccweb5/login/login.aspx
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://red.clientapps.yahoo.com/customize/fuji/defaults/su/*h**p://www.yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - D:\Programme\T-Online\DSL-Manager\TODslSvc.exe

Vorab schonmal vielen Dank für die Mühe!

mfg

ispektor-d

Moin,

wo werden die Dateien denn gemeldet?

bei einer Routineuntersuchung von AntiVir... Bericht davon habe ich hier:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Freitag, 16. Februar 2007 10:42

Es wird nach 672737 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 00*****96-A**IE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: duncaN
Computername: ****

Versionsinformationen:
BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00
AVSCAN.EXE : 7.0.3.5 208936 Bytes 15.01.2007 11:02:35
AVSCAN.DLL : 7.0.3.0 35880 Bytes 14.12.2006 11:08:28
LUKE.DLL : 7.0.3.2 143400 Bytes 14.12.2006 11:08:29
LUKERES.DLL : 7.0.2.0 9256 Bytes 14.12.2006 11:08:29
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 22:51:50
ANTIVIR1.VDF : 6.37.0.153 3131392 Bytes 12.01.2007 11:06:39
ANTIVIR2.VDF : 6.37.1.85 598016 Bytes 14.02.2007 15:09:22
ANTIVIR3.VDF : 6.37.1.101 23552 Bytes 16.02.2007 09:11:11
AVEWIN32.DLL : 7.3.1.37 2306560 Bytes 13.02.2007 14:43:11
AVPREF.DLL : 7.0.2.0 23592 Bytes 14.12.2006 11:08:27
AVREP.DLL : 6.37.1.100 1142824 Bytes 16.02.2007 09:11:11
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 31.05.2006 14:18:41
AVPACK32.DLL : 7.2.0.5 368680 Bytes 25.10.2006 14:44:18
AVREG.DLL : 7.0.1.2 30760 Bytes 15.01.2007 11:02:35
NETNT.DLL : 6.32.0.0 6696 Bytes 27.09.2005 06:56:47
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 14.12.2006 11:08:23
RCTEXT.DLL : 7.0.12.0 77864 Bytes 14.12.2006 11:08:24

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: ShlExt
Konfigurationsdatei..............: C:\DOKUME~1\duncaN\LOKALE~1\Temp\a2d033d3.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: aus
Durchsuche Registrierung.........: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Erweiterte Sucheinstellungen.....: 0x00000032

Beginn des Suchlaufs: Freitag, 16. Februar 2007 10:42

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\System Volume Information'
C:\System Volume Information\_restore{9FDD8D7F-DEDF-466A-808B-E0AA33CB1A8E}\RP25\A0009428.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Zlob.AK.4
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46057cc7.qua' verschoben!
C:\System Volume Information\_restore{9FDD8D7F-DEDF-466A-808B-E0AA33CB1A8E}\RP61\A0018155.exe
[FUND] Enthält Signatur des Droppers DR/Agent.aev
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46057d24.qua' verschoben!


Ende des Suchlaufs: Freitag, 16. Februar 2007 10:44
Benötigte Zeit: 02:38 min

Der Suchlauf wurde vollständig durchgeführt.

171 Verzeichnisse wurden überprüft
6381 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
6379 Dateien ohne Befall
66 Archive wurden durchsucht
0 Warnungen
0 Hinweise

Man kann im hijackthis-logfile nichts erkennen, richtig? Kann es vielleicht sein, dass es daran liegt, weil die beiden Dateien in Quarantäne sind?

beide schädlinge sind in der Systemwiederherstellung also müsste es genügen die Systemherstellung zu deaktivieren

Genau...

Schädlinge im Ordner der Systemwiederherstellung:
* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles überprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)

Cleriker