hi, ich war mit meiner externen hdd neulich bei nem freund und als ich wieder zurückgekommen bin und sie wieder an meinen pc angeschlossen habe, kam plötzlich eine virusmeldung, dass die autorun.inf datei mit nem virus verseucht sei. hab darauf auf löschen geklickt und ale anderen autorun dateien gelöscht. nun funktioniert alles normal, ist mein pc bzw externe hdd jetzt virenfei?? kann nämlich nicht formatieren, da auf meiner hdd wichtige daten gespeichert sind!!
mfg judaas

naja formatieren wär schon mit das sicherste, aber scan erstmal dein system, und besser wärs du schickst uns mal dein HijackThis logfile

ja hb ich heut vormittag begonnen doch nach 1 1/2 Stunden war das Programm erst bei 5% und hat im root ordner meiner internen hdd einen trojaner gefunden. war da aber grad nicht anwesend, deswegen wurde er automatisch in quarantäne verschoben und ich konnte ihn nicht löschen, wie kann ich ihn löschen und einstellen dass funde gelöscht werden?? (avira antivir)
ich lad mir mal hjack this
mfg judaas

hier das logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:34:19, on 14.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Judaas\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [WiseStubReboot] MSIEXEC /quiet SKIP_PPU_DRIVER_INSTALL=1 /I "C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISDD1865F0AD7340FBB23E1822E02396FF_9_09_0203.MSI" TRANSFORMS="C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISDD1865F0AD7340FBB23E1822E02396FF_9_09_0203.MST" WISE_SETUP_EXE_PATH="c:\nvidia\winxp\182.50\is\PhysX_9.09.0203_SystemSoftware.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6304 bytes

wieso willst du ihn löschen? wenn er in den avira ordner verschoben wurde brauchst du keine panik haben, dann bist du eigentlich noch sicherer, mit avira kenn ich mich nicht so aus, deswegen kann ich dir dazu keine hilfe geben... achso und zum thema zurück: er hat ne lücke offen gelassen, guck mal unter C:/programme/bonjour.... wenn da eine datei ist die dir nicht vertraut ist lösche sie.! und scanne dann nochmal dein system

@Judaas Nicht auf Headhunterzz hören bitte


Lasse bitte Malwarebytes laufen. Stecke die externe Festplatte MIT drücken der SHIFT Taste an und lass auch sie von MAM durchsuchen.
Poste auch das Log hier.
Danach möchte ich das du RSIT Logs postest - so dass ich einen genaueren Überblick bekomme.

BTW: Stecke bitte bei ALLEN Scans die anfallen die Externe Festplatte mit drücken der SHIFT-taste an.

hab meinen pc und die externe mit avira antivir und dem windows tool zum entfernen bösartiger software gescannt und keinen conficker oder andere würmer gefunden, werde die beiden scans machen und die logs posten, aber was bringt es die externe mit shift anzushließen, wann muss ich shift drücken?? Die ganze zeit während des ansteckens bis sie erkannt wurde oder nur während des ansteckens??
mfg Judaas

Shift verhindert den Autostart, so wird vermieden, dass auf deinem PC böse Schädlinge drauf kommen durch die Autorun.Inf.

Drücke SHIFT vor dem anstecken der Platte, dann anstecken, 5 sekunden warten Shift loaslassen.

Edit: wenn keine Frage kommt wie Windows die Daten ausführen soll hats geklappt.

-.- ich weiß schon, mein fehler, ich bin mit den handy im inet deswegen übersieht man alles, aber danke dass deine korrektur so schnell kam, weil ich den einen eintrag löschen wollte aber ging nicht mehr
p.s. vergiß was ich geschrieben hab

hab aber damals einmal auf programm ausführen im autorun geklickt, wo der virus schon drauf war ich es aber noch nicht gewusst hab dann kam ne meldung dass die angegebene datei nicht gefunden wurde. später kam dann die avira meldung, dass ich einen conficker und einen kido wurm drauf hab. ich hab beide male auf löschen geklickt und anschließend alle restlichen autorun dateien gelöscht. jetzt gibt es zwar keine autorun funktion mehr, dafür funktioniert die platte einwandfrei ih kann sie normal im arbeitsplatz öffnen, etc. hab meinen pc und die externe mit dem besagten windows tool und antivir gescannt und nichts gefunden. Weiters hab ich ein Windows icherheitsupdate heruntergeladan, damit ich mir den virus nicht nochmal drauf hole. soll ich die besagten scans jetzt noch machen, und die logs posten???
mfg Judaas

Scan mit Malwarebytes. Log hierher!

Lasse bitte GMER Rootkit Detection durchlaufen.

Conficker fertigt versteckte Prozesse an.