Gestern Abend habe ich mir „Antivir XP 2008“ eingefangen und die ganze Nacht daran gesessene, dieses bösartige Programm zu entfernen. Dank der zufällig im Netz gefundenen Hinweise auf dieser Website ist es mir mit „Malwarebytes’ Anti-Malware“ gelungen. Hernach habe ich noch zweimal „Antivir PE“ sowie auch zweimal „Sophos“ das System durchscannen lassen.

Dennoch habe ich nun noch drei Fragen und bitte um ‚laienverständliche’ Antworten :

1. Irgendwie habe ich auf diesem Laptop (geliehen) keinen Zugriff auf „Sophos“ - halte ohnehin nicht viel davon - und kann also keine Updates durchführen. Auch „Windows XP“ scheint keine automatischen Updates durchführen zu können und das Antiviren-Programm überhaupt nicht zu erkennen. Also habe ich gestern einfach „Antivir PE“ dazuinstalliert. Ist das in Ordnung oder kann das langfristig Probleme geben? (Wie ich soeben gesehen habe, hat der „XP Sicherheitscenter“ „Antivir PE“ sofort erkannt.

2. Trotz der erfolgreichen Entfernung von „Antivir XP 2008“ ist das Gerät besonders beim Hochfahren meines Erachtens noch ein weniger langsamer wie zuvor und arbeitet hörbar. Besonders die „Desktop-Einstellungen“ erscheinen mir etwas langsam und „gestört“. Was kann man da tun?

3. Beim nochmaligen Durchlauf von „Antivir PE“ und auch bei einem nochmaligen Durchlauf von „Sophos“ wurde eine Reihe von Dateien aufgefunden, die nicht geöffnet werden konnten. Dies kenne ich auch von meinem derzeit leider kaputten privaten Laptop. Handelt es sich bei einigen von diesen „Warnungen“ um Fragmente von obigem ‚Dämon’ - ich meine „Antivir XP 2008“??

Ich wäre Euch sehr verbunden, wenn Ihr mir darüber Auskunft geben könntet:

Anbei die entsprechenden Daten:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 17. August 2008 16:56

Es wird nach 1559120 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 13:54:15
ANTIVIR2.VDF : 7.0.6.10 2587136 Bytes 14.08.2008 00:09:13
ANTIVIR3.VDF : 7.0.6.24 103424 Bytes 16.08.2008 00:09:13
Engineversion : 8.1.1.19
AEVDF.DLL : 8.1.0.5 102772 Bytes 09.07.2008 08:38:31
AESCRIPT.DLL : 8.1.0.63 311673 Bytes 17.08.2008 00:09:19
AESCN.DLL : 8.1.0.23 119156 Bytes 17.08.2008 00:09:19
AERDL.DLL : 8.1.0.20 418165 Bytes 09.07.2008 08:38:31
AEPACK.DLL : 8.1.2.1 364917 Bytes 17.08.2008 00:09:18
AEOFFICE.DLL : 8.1.0.21 192891 Bytes 17.08.2008 00:09:17
AEHEUR.DLL : 8.1.0.47 1368437 Bytes 17.08.2008 00:09:17
AEHELP.DLL : 8.1.0.15 115063 Bytes 09.07.2008 08:38:31
AEGEN.DLL : 8.1.0.35 315764 Bytes 17.08.2008 00:09:15
AEEMU.DLL : 8.1.0.7 430452 Bytes 17.08.2008 00:09:15
AECORE.DLL : 8.1.1.8 172406 Bytes 17.08.2008 00:09:14
AEBB.DLL : 8.1.0.1 53617 Bytes 24.04.2008 08:50:42
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 17.08.2008 00:09:14
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Sonntag, 17. August 2008 16:56

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SavProgress.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtProc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosOBEX.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosAVRC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtHSP.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtHid.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosA2dp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtMng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FUJ02E3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'uphclean.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RouterNT.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ManagementAgentNT.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'snmp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcpsvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SAVAdminService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'o2flash.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iviRegMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'scardsvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SavService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsMpEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '57' Prozesse mit '57' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '75' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\SoftwareDistribution\Download\08a7f9c65397257d6349b531b2557183\BIT6.tmp
[0] Archivtyp: CAB (Microsoft)
--> _sfx_0009._p
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'D:\' <Daten>


Ende des Suchlaufs: Sonntag, 17. August 2008 17:27
Benötigte Zeit: 31:10 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

6153 Verzeichnisse wurden überprüft
274119 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
274117 Dateien ohne Befall
1395 Archive wurden durchsucht
3 Warnungen
0 Hinweise

Hallo und

zu 1.) Langfristig machen zwei oder gar mehr Virenscanner mit aktiven Hintergrundwächtern Probleme. Zum einen kommen sie sich gegenseitig in die Quere, zum anderen bremst Du das System unnötig aus. Deinstalliere Sophos, am besten dazu beide Wächter abschalten und erst wenn nur noch AniVir drauf ist, den Wächter davon reaktivieren.

zu 2.) Dazu gleich mehr für weitere Analysen.

zu 3.) Manche Systemdateien sind von Windows exklusiv gesperrt, das ist normal das davon nicht gelesen werden kann. AntiVir meldete bei Dir die hiberfil.sys und die pagefile.sys. Erstere dient für den Ruhezustand, letztere ist die Auslagerungsdatei für virtuellen Arbeitsspeicher. Eine Tempdatei wurde auch noch gemeldet, das läßt sich nicht eindeutig bestimmen, woher die kommt. Es kann von einem Schädling sein, oder auch nicht.

Nun für weitere Analysen:

A.) Poste ein Hijackthis Logfile.

B.) Führe dieses MBR-Tool aus und poste die Ausgabe

C.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

D.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

E.) Mach auch ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.