Hallo

ich würde so langsam aufgrund der vielen verschiedenen Funde, über eine Neuinstallation nachdenken (ich empfehle sie dir).
Der letzte Fund sitzt zwar nur in der Systemwiederherstellung des Laufwerks C:\, aber die Menge machts und ob nun alles entfernt wurde vermag ich nicht zu sagen.

Zitat:

muss ich mich eigentlich fürchten, dass auf meine passwörter zugegriffen wird (netbanking, email,...)? hab diese zwar nicht gespeichert, aber geht das trotzdem?

Gehe doch vom schlechtesten Fall aus dann bist auf der sicheren Seite.
Ändere einfach von einem sauberen Rechner oder nach der Neuinstallation alle deine verwendeten Pass- und Kennwörter.
Du solltest in Zukunft auch unbedingt die Finger von diesen Programmen

Zitat:

C:\Programme\emule.exe
C:\Programme\eMule0.45b

lassen, sie holen dir die Schädlinge erst ins System.
Wenn du Daten sichern möchtest verzichte auf ausführbare Dateien sowie Dateien aus unsicheren Quellen wie P2P.

Überprüfe bitte noch dein System mit dem MBR-Tool
MBR-Tool und poste das Logfile.

MFG

neu aufsetzen wäre ein problem, wenn ich keine .doc dateien mitnehmen darf. hab die gesamte arbeit für ein ganzes jahr als word-dokumente auf der festplatte. wäre eine katastrophe, wenn ich die löschen müsste. gibts wirklich keinen anderen ausweg (die probleme, die ich aufgrund der viren hatte, sind übrigens weg)
hier das mbr-log:

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         

avira antivir findet jetzt nichts mehr. nachstehend der report.

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 10. September 2008  19:13

Es wird nach 1606493 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     BLACKY

Versionsinformationen:
BUILD.DAT     : 8.1.0.331      16934 Bytes  12.08.2008 11:44:00
AVSCAN.EXE    : 8.1.4.7       315649 Bytes  18.07.2008 10:52:32
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  18.07.2008 10:52:32
LUKE.DLL      : 8.1.4.5       164097 Bytes  18.07.2008 10:52:32
LUKERES.DLL   : 8.1.4.0        12545 Bytes  18.07.2008 10:52:32
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18.07.2007 17:00:03
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24.06.2008 17:36:08
ANTIVIR2.VDF  : 7.0.6.94     2998784 Bytes  31.08.2008 17:11:23
ANTIVIR3.VDF  : 7.0.6.136     291840 Bytes  09.09.2008 20:06:46
Engineversion : 8.1.1.28  
AEVDF.DLL     : 8.1.0.5       102772 Bytes  15.04.2008 14:42:21
AESCRIPT.DLL  : 8.1.0.70      319866 Bytes  03.09.2008 17:12:34
AESCN.DLL     : 8.1.0.23      119156 Bytes  15.07.2008 19:06:54
AERDL.DLL     : 8.1.1.1       397683 Bytes  03.09.2008 17:12:33
AEPACK.DLL    : 8.1.2.1       364917 Bytes  15.07.2008 19:06:53
AEOFFICE.DLL  : 8.1.0.23      196987 Bytes  03.09.2008 17:12:31
AEHEUR.DLL    : 8.1.0.51     1397111 Bytes  03.09.2008 17:12:30
AEHELP.DLL    : 8.1.0.15      115063 Bytes  29.05.2008 18:20:10
AEGEN.DLL     : 8.1.0.36      315764 Bytes  22.08.2008 18:10:20
AEEMU.DLL     : 8.1.0.7       430452 Bytes  02.08.2008 12:37:05
AECORE.DLL    : 8.1.1.11      172406 Bytes  03.09.2008 17:12:25
AEBB.DLL      : 8.1.0.1        53617 Bytes  17.07.2008 10:09:47
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  18.07.2008 10:52:32
AVPREF.DLL    : 8.0.2.0        38657 Bytes  18.07.2008 10:52:31
AVREP.DLL     : 8.0.0.2        98344 Bytes  02.08.2008 12:37:03
AVREG.DLL     : 8.0.0.1        33537 Bytes  18.07.2008 10:52:32
AVARKT.DLL    : 1.0.0.23      307457 Bytes  15.04.2008 14:42:20
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  18.07.2008 10:52:31
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  15.04.2008 14:42:21
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  18.07.2008 10:52:32
NETNT.DLL     : 8.0.0.1         7937 Bytes  15.04.2008 14:42:21
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  18.07.2008 10:52:29
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  18.07.2008 10:52:29

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Mittwoch, 10. September 2008  19:13

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IoctlSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'raid_tool.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdfSaver3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OpWareSE4.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dragdiag.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '41' Prozesse mit '41' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD5
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '109' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Mittwoch, 10. September 2008  20:17
Benötigte Zeit:  1:04:34 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

   7615 Verzeichnisse wurden überprüft
 457401 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 457400 Dateien ohne Befall
   3046 Archive wurden durchsucht
      5 Warnungen
      0 Hinweise
         

Hallo

du solltest auf jeden Fall nochmal mit SDFix dein System prüfen
SDFix
wie gesagt meine Empfehlung steht

MFG

hallo!
anbei SDFix-log ("no trojan files found" - klingt doch ganz gut, oder?)

Code: Alles auswählenAufklappen

ATTFilter

SDFix: Version 1.224 
Run by Hxxxxr on 13.09.2008 at 11:36

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files : 

No Trojan Files Found






Removing Temp Files

ADS Check :
 


                                 Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-13 11:43:53
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\eMule0.45b\\emule.exe"="C:\\Programme\\eMule0.45b\\emule.exe:*:Enabled:eMule"
"C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Programme\\EA GAMES\\Command and Conquer Generals\\generals.exe"="C:\\Programme\\EA GAMES\\Command and Conquer Generals\\generals.exe:*:Enabled:Command & Conquer Generals"
"C:\\Programme\\EA GAMES\\Command and Conquer Generals\\WorldBuilder.exe"="C:\\Programme\\EA GAMES\\Command and Conquer Generals\\WorldBuilder.exe:*:Enabled:Command & Conquer Generals Worldbuilder"
"C:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat"="C:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat:*:Enabled:Die Schlacht um Mittelerde (tm)"
"C:\\Programme\\E-Mule neu\\eMule\\emule.exe"="C:\\Programme\\E-Mule neu\\eMule\\emule.exe:*:Enabled:eMule"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\EA GAMES\\Command and Conquer Generals\\game.dat"="C:\\Programme\\EA GAMES\\Command and Conquer Generals\\game.dat:*:Enabled:game"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :



Files with Hidden Attributes :

Mon  4 Oct 2004       417,792 A..H. --- "C:\Programme\Canon\Canon Setup Utility 2.0\Maint.exe"
Thu 27 May 2004        61,440 A..H. --- "C:\Programme\Canon\Canon Setup Utility 2.0\uinstrsc.dll"
Tue 17 Oct 2006       304,736 A..H. --- "C:\Programme\Canon\MP Navigator 3.0\Maint.exe"
Tue 17 Oct 2006        61,440 A..H. --- "C:\Programme\Canon\MP Navigator 3.0\uinstrsc.dll"
Sat 13 Nov 2004        37,376 ...H. --- "C:\Programme\Gemeinsame Dateien\Adobe\ESD\DLMCleanup.exe"

Finished!
         

Hallo

auch wenn jetzt scheinbar nix mehr gefunden wird, würde ich meine Daten sichern und bei nächster Gelegenheit tabula rasa walten lassen.
Wie gesagt, werf diesen Mist

Zitat:

"C:\\Programme\\eMule0.45b\\emule.exe"="C:\\Programme\\eMule0.45b\\emule.exe:*:Enabled:eMule"
"C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Programme\\E-Mule neu\\eMule\\emule.exe"="C:\\Programme\\E-Mule neu\\eMule\\emule.exe:*:Enabled:eMule"

von der Platte sonst wirst hier Dauergast.

MFG

okay, e-mule ist geschichte! ich hab nur noch eine letzte frage. darf ich beim Neuaufsetzen meine word-dateien mitnehmen, oder könnte sich da was drin versteckt haben?
ich dank dir vielmals für deine hilfe!!!

Hallo

Zitat:

darf ich beim Neuaufsetzen meine word-dateien mitnehmen

sichere sie auf jeden Fall

Zitat:

könnte sich da was drin versteckt haben?

Ja, das kann passieren, ist aber in diesem Fall denke ich eher nicht wahrscheinlich.
Überprüfe die Dateien vor dem Wiederverwenden auf dem neuen System mit einem aktuellem Antivirenprogramm, damit du dir nicht wieder etwas einschleppst.
Du kannst auch Bilder, Filme und Musik sichern, aber alles wie oben erwähnt vorher überprüfen.

MFG

uhm... kurze Frage (Ich hab nämlich fast genau dasselbe Problem mit den gleichen Kanditaten): Wenn ich eine externe Festplatte ansteck um meine Daten drauf zu schieben (--> =Sicherung), können dann die bösen tierchen (Viren,...) mit rüberwandern und mit die Platte ebenfalls versäuchen? Da sind nur Daten drauf. Keine Programme oder Programmteile (na ja, bis auf den Plattenautostart).

An dieser Stelle ein dickes Dankeschön an alle. Die Hinweise habe auch mir geholfen, die Plagegeister wieder loszuwerden...