PC infiziert und fast lahmgelegt,Schutzprogramme schlagen nicht an...

captn future · 06.08.2008, 20:49

HTML-Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:43:43, on 06.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Noun Hide] C:\DOKUME~1\ADMINI~1\ANWEND~1\SHOWTH~1\AudioLongPlay.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O20 - AppInit_DLLs: vdjevq.dll mrovnj.dll
O20 - Winlogon Notify: geBqQGaX - C:\WINDOWS\
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

--
End of file - 5460 bytes

ich habe heute alles was ich so in den anderen programmen finden konnte versucht manuell zu löschen nachdem ich die versteckten dateien sichtbar gemacht habe,sehe aber anhand des hijackthis.log nicht ob ich noch irgendwelche malware,trojaner oder sonstiges draufhabe?!

Taranis · 06.08.2008, 21:19

Ja, ist alles noch da:

Code:

ATTFilter

O20 - AppInit_DLLs: vdjevq.dll mrovnj.dll
O20 - Winlogon Notify: geBqQGaX - C:\WINDOWS\

Lade bitte mal die Datei

AudioLongPlay.exe

bei VirusTotal - Free Online Virus and Malware Scan hoch oder deinstalliere das Programm gleich (über Systemsteuerung -> Software).

Taranis · 06.08.2008, 21:51

Du kannst folgendes mal versuchen, allerdings ohne Garantie für Leib und Leben

:

Lade dir bitte die
SafeModeRepair runter und entpacke sie auf deinem Desktop.

Lass Malwarebytes nochmals durchlaufen und alles Löschen, was es findet. Starte den Rechner danach neu.

Suche die folgenden drei Dateien auf deinem Rechner und merk dir, wo sie sind

Code:

ATTFilter

vdjevq.dll 
mrovnj.dll
geBqQGaX

Dann starte den Rechner in den abgesicherten Modus.
Starte HijackThis und klicke auf Misc Tools
Wähle hier Delete files on reboot
Wähle nacheinander die obigen drei Dateien aus, die Frage nach dem Neustart beantworte solange mit nein, bis du alle Dateien ausgewählt hast.
Dann bestätige den Neustart mit ja.

Sollte dann ein Start in den normalen Modus nicht mehr möglich sein, geh wieder in den abgesicherten Modus und mach einen Doppelklick auf die SafeModeRepair.reg, danach sollte das Starten in den normalen Modus wieder funktionieren.

LG
Taranis

captn future · 06.08.2008, 22:12

Zitat:

Zitat von Taranis

Ja, ist alles noch da:

Code:

ATTFilter

O20 - AppInit_DLLs: vdjevq.dll mrovnj.dll
O20 - Winlogon Notify: geBqQGaX - C:\WINDOWS\

Lade bitte mal die Datei

AudioLongPlay.exe

bei VirusTotal - Free Online Virus and Malware Scan hoch oder deinstalliere das Programm gleich (über Systemsteuerung -> Software).

also das mit dem abgesicherten modus ist so eine sache,ich habe den noch nie ausgeführt und kenne keinen im bekanntenkreis der mich im fall der fälle "retten" würde...gibt es keine andere möglichkeit?
audilongplay findet mein pc unter suche C: nicht,ich weiss nicht wo ich danach noch schauen soll?in software habe ich so ein programm auch nicht drin...

captn future · 06.08.2008, 22:15

HTML-Code:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 6. August 2008  21:57

Es wird nach 1533821 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     HOMEPC

Versionsinformationen:
BUILD.DAT     : 8.1.00.295      16479 Bytes  09.04.2008 16:22:00
AVSCAN.EXE    : 8.1.2.12       311553 Bytes  18.03.2008 09:02:52
AVSCAN.DLL    : 8.1.1.0         57601 Bytes  30.01.2008 15:10:50
LUKE.DLL      : 8.1.2.9        151809 Bytes  28.02.2008 08:41:20
LUKERES.DLL   : 8.1.2.0         12545 Bytes  19.02.2008 08:39:40
ANTIVIR0.VDF  : 6.40.0.0     11030528 Bytes  18.07.2007 10:33:34
ANTIVIR1.VDF  : 7.0.5.1       8182784 Bytes  24.06.2008 19:27:23
ANTIVIR2.VDF  : 7.0.5.207     2316800 Bytes  04.08.2008 19:38:45
ANTIVIR3.VDF  : 7.0.5.212       37376 Bytes  04.08.2008 19:38:45
Engineversion : 8.1.1.15  
AEVDF.DLL     : 8.1.0.5        102772 Bytes  25.02.2008 09:58:21
AESCRIPT.DLL  : 8.1.0.61       311675 Bytes  01.08.2008 19:27:35
AESCN.DLL     : 8.1.0.23       119156 Bytes  01.08.2008 19:27:35
AERDL.DLL     : 8.1.0.20       418165 Bytes  01.08.2008 19:27:34
AEPACK.DLL    : 8.1.2.1        364917 Bytes  01.08.2008 19:27:34
AEOFFICE.DLL  : 8.1.0.21       192891 Bytes  01.08.2008 19:27:33
AEHEUR.DLL    : 8.1.0.44      1343863 Bytes  01.08.2008 19:27:32
AEHELP.DLL    : 8.1.0.15       115063 Bytes  01.08.2008 19:27:31
AEGEN.DLL     : 8.1.0.32       315765 Bytes  01.08.2008 19:27:30
AEEMU.DLL     : 8.1.0.7        430452 Bytes  01.08.2008 19:27:30
AECORE.DLL    : 8.1.1.8        172406 Bytes  01.08.2008 19:27:29
AEBB.DLL      : 8.1.0.1         53617 Bytes  01.08.2008 19:27:29
AVWINLL.DLL   : 1.0.0.7         14593 Bytes  23.01.2008 17:05:55
AVPREF.DLL    : 8.0.0.1         25857 Bytes  18.02.2008 10:29:37
AVREP.DLL     : 8.0.0.2         98344 Bytes  01.08.2008 19:27:28
AVREG.DLL     : 8.0.0.0         30977 Bytes  23.01.2008 17:05:52
AVARKT.DLL    : 1.0.0.23       307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.11       114945 Bytes  28.02.2008 08:31:27
SQLITE3.DLL   : 3.3.17.1       339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL   : 1.2.0.19        28929 Bytes  23.01.2008 17:06:34
NETNT.DLL     : 8.0.0.1          7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL   : 8.0.0.35      2371841 Bytes  10.03.2008 14:34:46
RCTEXT.DLL    : 8.0.32.0        86273 Bytes  06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, 
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Mittwoch, 6. August 2008  21:57

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '29' Prozesse mit '29' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
      [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
      [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '22' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Mittwoch, 6. August 2008  22:47
Benötigte Zeit: 50:18 min

Der Suchlauf wurde vollständig durchgeführt.

   3571 Verzeichnisse wurden überprüft
 172920 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 172920 Dateien ohne Befall
   1195 Archive wurden durchsucht
      2 Warnungen
      0 Hinweise

ich finde das sehr merkwürdig,diese pagefile und hiberfil file kann ich nicht bei virustotal hochladen,da steht dann nur 0 byte recieved.wenn ich es löschen will steht das sie von jemand anderem genützt wird...wie kann ich die dinger scannen bzw löschen?

EDIT

google geht ja wieder...habs rausgegoogelt wofür die da sind
http://www.supportnet.de/stat/2002/12/id119510.asp

aber trotzdem weiss ich nicht wo taranis dieses audiolongplay her hat und die anderen 2 dateien

captn future · 06.08.2008, 23:21

ich hab sie gelöscht.

vdjevq.dll
mrovnj.dll
geBqQGaX

waren schreibgeschützt,aber der thread mit der nützlichen software hats möglich gemacht
http://www.computerhilfen.de/hilfen-5-66376-0.html

hab da noch so einen verdächtigen ordner in C:

"System Volume Information"

der ordner ist leer steht da,ich kann ihn aber weder einsehen noch löschen...wie kann ich rausfinden was das ist?

Taranis · 06.08.2008, 23:27

Bin durchs DSS-Log auf die Idee gekommen, dass das Programm unter Systemsteuerung -> Software angezeigt werden könnte. Ist aber wohl nicht so.

Die Datei AudioLongPlay.exe sollte sich unter
C:\Dokumente und Einstellungen\Administrator\Anwendungen\Showth...
befinden. Beim letzten Wort bin ich mir nicht sicher, wie das vollständig heißt, ansonsten kannst du auch mal versuchen, dahin zu kommen, indem du den verkürzten Dateipfad in die Explorer-Leiste kopierst (ohne das AudioLongPlay.exe)

Code:

ATTFilter

C:\DOKUME~1\ADMINI~1\ANWEND~1\SHOWTH~1\AudioLongPlay.exe

Ob man ums Arbeiten im abgesicherten Modus drumherumkommt und welche anderen Möglichkeiten es noch gibt, kann ich dir nicht sagen, das müsste sich mal jemand mit mehr Ahnung ankucken.

LG
Taranis

EDIT: System Volume Information - Systemwiederherstellung

captn future · 07.08.2008, 00:10

Zitat:

Zitat von Taranis

Bin durchs DSS-Log auf die Idee gekommen, dass das Programm unter Systemsteuerung -> Software angezeigt werden könnte. Ist aber wohl nicht so.

Die Datei AudioLongPlay.exe sollte sich unter
C:\Dokumente und Einstellungen\Administrator\Anwendungen\Showth...
befinden. Beim letzten Wort bin ich mir nicht sicher, wie das vollständig heißt, ansonsten kannst du auch mal versuchen, dahin zu kommen, indem du den verkürzten Dateipfad in die Explorer-Leiste kopierst (ohne das AudioLongPlay.exe)

Code:

ATTFilter

C:\DOKUME~1\ADMINI~1\ANWEND~1\SHOWTH~1\AudioLongPlay.exe

Ob man ums Arbeiten im abgesicherten Modus drumherumkommt und welche anderen Möglichkeiten es noch gibt, kann ich dir nicht sagen, das müsste sich mal jemand mit mehr Ahnung ankucken.

LG
Taranis

EDIT: System Volume Information - Systemwiederherstellung

jep,habs grad gegoogelt,stimmt,ist systemwiederherstellung,danke.

show that heisst der ordner,er ist aber leer,diese datei kann ich dort nicht finden...unter suche auch nix,auch ohne den zusatz exe.
ich weiss einfach nicht wie ich es finden soll...

Taranis · 07.08.2008, 09:23

Scan mal mit fsecure Blacklight:
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
Das Log ist eine Textdatei, die fsbl-xxx heist, wobei xxx Zahlen sind.

captn future · 07.08.2008, 18:00

Zitat:

Zitat von Taranis

Scan mal mit fsecure Blacklight:
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
Das Log ist eine Textdatei, die fsbl-xxx heist, wobei xxx Zahlen sind.

hmm,der scheint auch nichts gefunden zu haben

08/07/08 12:29:42 [Info]: BlackLight Engine 1.0.70 initialized
08/07/08 12:29:42 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/07/08 12:29:42 [Note]: 7019 4
08/07/08 12:29:42 [Note]: 7005 0
08/07/08 12:29:57 [Note]: 7006 0
08/07/08 12:29:58 [Note]: 7011 1196
08/07/08 12:29:58 [Note]: 7035 0
08/07/08 12:29:59 [Note]: 7026 0
08/07/08 12:29:59 [Note]: 7026 0
08/07/08 12:30:40 [Note]: FSRAW library version 1.7.1024
08/07/08 12:44:04 [Note]: 7006 0
08/07/08 12:44:05 [Note]: 7011 1196
08/07/08 12:44:05 [Note]: 7035 0
08/07/08 12:44:06 [Note]: 7026 0
08/07/08 12:44:07 [Note]: 7026 0
08/07/08 12:44:18 [Note]: FSRAW library version 1.7.1024
08/07/08 12:44:19 [Note]: 7007 0

genauso wie der spybot,der sonst eigentlich alles gefunden hat,der mir gratuliert hat das ich nichts verdächtiges drauf habe,aber antivir hat in diesem systemwiederherstellungsordner "system volume information" trojaner gefunden!wie soll ich nun mit diesem ordner umgehen,antivir hat sie zwar gelöscht aber bin fast sicher die sind noch drauf...

captn future · 07.08.2008, 18:01

HTML-Code:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 7. August 2008  14:54

Es wird nach 1539216 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     HOMEPC

Versionsinformationen:
BUILD.DAT     : 8.1.00.295      16479 Bytes  09.04.2008 16:22:00
AVSCAN.EXE    : 8.1.2.12       311553 Bytes  18.03.2008 09:02:52
AVSCAN.DLL    : 8.1.1.0         57601 Bytes  30.01.2008 15:10:50
LUKE.DLL      : 8.1.2.9        151809 Bytes  28.02.2008 08:41:20
LUKERES.DLL   : 8.1.2.0         12545 Bytes  19.02.2008 08:39:40
ANTIVIR0.VDF  : 6.40.0.0     11030528 Bytes  18.07.2007 10:33:34
ANTIVIR1.VDF  : 7.0.5.1       8182784 Bytes  24.06.2008 19:27:23
ANTIVIR2.VDF  : 7.0.5.207     2316800 Bytes  04.08.2008 19:38:45
ANTIVIR3.VDF  : 7.0.5.227      118272 Bytes  07.08.2008 12:49:58
Engineversion : 8.1.1.19  
AEVDF.DLL     : 8.1.0.5        102772 Bytes  25.02.2008 09:58:21
AESCRIPT.DLL  : 8.1.0.63       311673 Bytes  07.08.2008 12:50:02
AESCN.DLL     : 8.1.0.23       119156 Bytes  01.08.2008 19:27:35
AERDL.DLL     : 8.1.0.20       418165 Bytes  01.08.2008 19:27:34
AEPACK.DLL    : 8.1.2.1        364917 Bytes  01.08.2008 19:27:34
AEOFFICE.DLL  : 8.1.0.21       192891 Bytes  01.08.2008 19:27:33
AEHEUR.DLL    : 8.1.0.47      1368437 Bytes  07.08.2008 12:50:01
AEHELP.DLL    : 8.1.0.15       115063 Bytes  01.08.2008 19:27:31
AEGEN.DLL     : 8.1.0.35       315764 Bytes  07.08.2008 12:49:59
AEEMU.DLL     : 8.1.0.7        430452 Bytes  01.08.2008 19:27:30
AECORE.DLL    : 8.1.1.8        172406 Bytes  01.08.2008 19:27:29
AEBB.DLL      : 8.1.0.1         53617 Bytes  01.08.2008 19:27:29
AVWINLL.DLL   : 1.0.0.7         14593 Bytes  23.01.2008 17:05:55
AVPREF.DLL    : 8.0.0.1         25857 Bytes  18.02.2008 10:29:37
AVREP.DLL     : 8.0.0.2         98344 Bytes  01.08.2008 19:27:28
AVREG.DLL     : 8.0.0.0         30977 Bytes  23.01.2008 17:05:52
AVARKT.DLL    : 1.0.0.23       307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.11       114945 Bytes  28.02.2008 08:31:27
SQLITE3.DLL   : 3.3.17.1       339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL   : 1.2.0.19        28929 Bytes  23.01.2008 17:06:34
NETNT.DLL     : 8.0.0.1          7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL   : 8.0.0.35      2371841 Bytes  10.03.2008 14:34:46
RCTEXT.DLL    : 8.0.32.0        86273 Bytes  06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, 
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Donnerstag, 7. August 2008  14:54

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '30' Prozesse mit '30' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
      [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
      [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '23' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{4111560F-C45B-4F5B-BDC9-9A9D5E65B6B2}\RP621\A0533032.dll
      [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
      [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{4111560F-C45B-4F5B-BDC9-9A9D5E65B6B2}\RP621\A0533033.dll
      [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
      [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{4111560F-C45B-4F5B-BDC9-9A9D5E65B6B2}\RP621\A0533034.dll
      [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
      [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{4111560F-C45B-4F5B-BDC9-9A9D5E65B6B2}\RP621\A0533035.dll
      [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
      [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{4111560F-C45B-4F5B-BDC9-9A9D5E65B6B2}\RP621\A0533036.dll
      [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
      [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{4111560F-C45B-4F5B-BDC9-9A9D5E65B6B2}\RP623\A0536169.exe
      [FUND]      Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen
      [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{4111560F-C45B-4F5B-BDC9-9A9D5E65B6B2}\RP624\A0536190.exe
      [FUND]      Ist das Trojanische Pferd TR/Swizzor.1.3039
      [HINWEIS]   Die Datei wurde gelöscht.


Ende des Suchlaufs: Donnerstag, 7. August 2008  16:49
Benötigte Zeit:  1:55:39 min

Der Suchlauf wurde vollständig durchgeführt.

   3590 Verzeichnisse wurden überprüft
 174049 Dateien wurden geprüft
      7 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      7 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 174042 Dateien ohne Befall
   1247 Archive wurden durchsucht
      2 Warnungen
      7 Hinweise

Taranis · 07.08.2008, 18:52

Systemwiederherstellung ausschalten, neu starten, und dann Systemwiederherstellung wieder anschalten.
Dann ist alles, was bis dahin in der Systemwiederherstellung drin ist, weg.

Systemwiederherstellung ausschalten:
Start > Systemsteuerung > System > Registerreiter Systemwiederherstellung > Systemwiederherstellung auf allen Laufwerken deaktivieren anklicken

captn future · 18.08.2008, 13:54

also so wie es aussieht ist mein pc geheilt.habe die letzten tage immer wieder mal antivir durchlaufen lassen und alles war sauber...

EIN RIESENGROßES DANKESCHÖN AN TARANIS!!!

jetz hab ich nur noch paar fragen:
1. sollte ich nun die versteckten dateien wieder unsichtbar machen oder spielt das keine rolle?
2.mein pc bleibt nun immer wieder hängen beim anwenden,woran könnte das liegen?

PC infiziert und fast lahmgelegt,Schutzprogramme schlagen nicht an...

Plagegeister aller Art und deren Bekämpfung: PC infiziert und fast lahmgelegt,Schutzprogramme schlagen nicht an...