Hallo Leute,
Ich kämpfe bereits seit einigen Tagen mit ein paar Würmern. Wie kann ich diese Biester loswerden ohne gleich das ganze System platt zu machen? Ich habe zwar meine Admin-Rechte zurück erkämpft (Taskmanager, regedit) aber die Firewall kann ich immer noch nicht aktivieren und die Virusfunde werden auch mehr statt weniger. Anbei die Logfiles von Avira und Hijackthis. Erbitte eure Hilfe. Ach ja, da ich hier neu und auch kein ausgesprochener Computerspezialist bin bitte ich euch in euren Postings "Klartext" zu sprechen, welchen auch ein "Otto Normalverbraucher" versteht.

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 10. Oktober 2009 02:29

Es wird nach 1787120 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : HILDE-1

Versionsinformationen:
BUILD.DAT : 9.0.0.410 18074 Bytes 25.09.2009 11:51:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 21.07.2009 12:36:08
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 08:21:42
ANTIVIR2.VDF : 7.1.6.50 4333568 Bytes 29.09.2009 21:42:46
ANTIVIR3.VDF : 7.1.6.95 404480 Bytes 09.10.2009 23:14:09
Engineversion : 8.2.1.35
AEVDF.DLL : 8.1.1.2 106867 Bytes 23.09.2009 16:28:36
AESCRIPT.DLL : 8.1.2.35 483707 Bytes 07.10.2009 21:42:55
AESCN.DLL : 8.1.2.5 127346 Bytes 23.09.2009 16:28:35
AERDL.DLL : 8.1.3.2 479604 Bytes 07.10.2009 21:42:54
AEPACK.DLL : 8.2.0.0 422261 Bytes 23.09.2009 16:28:35
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.07.2009 08:59:39
AEHEUR.DLL : 8.1.0.167 2011511 Bytes 09.10.2009 23:14:13
AEHELP.DLL : 8.1.7.0 237940 Bytes 23.09.2009 16:28:30
AEGEN.DLL : 8.1.1.67 364916 Bytes 07.10.2009 21:42:49
AEEMU.DLL : 8.1.1.0 393587 Bytes 07.10.2009 21:42:48
AECORE.DLL : 8.1.8.1 184693 Bytes 23.09.2009 16:28:29
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 23.09.2009 16:28:36
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Samstag, 10. Oktober 2009 02:29

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '39433' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinPatrol.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mscorsvw.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsPMSPSv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '26' Prozesse mit '26' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '51' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Heinz Hilde\Lokale Einstellungen\Temp\03.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\Dokumente und Einstellungen\Heinz Hilde\Lokale Einstellungen\Temp\32.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\Dokumente und Einstellungen\Heinz Hilde\Lokale Einstellungen\Temp\83.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5GT4FLO1\d[1].txt
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
C:\System Volume Information\_restore{3021385E-CC7F-491A-B631-6C6E4A1E7F70}\RP81\A0052405.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/IrcBot.54784.5
C:\System Volume Information\_restore{3021385E-CC7F-491A-B631-6C6E4A1E7F70}\RP81\A0052406.scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.63488.7
C:\System Volume Information\_restore{3021385E-CC7F-491A-B631-6C6E4A1E7F70}\RP81\A0052407.scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.63488.7
C:\System Volume Information\_restore{3021385E-CC7F-491A-B631-6C6E4A1E7F70}\RP84\A0052446.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.63488.7
C:\System Volume Information\_restore{3021385E-CC7F-491A-B631-6C6E4A1E7F70}\RP84\A0052453.sys
[FUND] Ist das Trojanische Pferd TR/Hacktool.Tcpz.A
C:\System Volume Information\_restore{3021385E-CC7F-491A-B631-6C6E4A1E7F70}\RP84\A0052481.sys
[FUND] Ist das Trojanische Pferd TR/Hacktool.Tcpz.A
C:\System Volume Information\_restore{3021385E-CC7F-491A-B631-6C6E4A1E7F70}\RP84\A0052489.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\System Volume Information\_restore{3021385E-CC7F-491A-B631-6C6E4A1E7F70}\RP86\A0060726.sys
[FUND] Ist das Trojanische Pferd TR/Hacktool.Tcpz.A
C:\WINDOWS\system\winrsc.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.63488.7
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1DC438MK\d[1].txt
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1DC438MK\d[2].txt
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1DC438MK\istcrypt[1].exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\75YGZYY2\bb[1].exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\WINDOWS\Temp\06.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\WINDOWS\Temp\30.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\WINDOWS\Temp\44.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
Beginne mit der Suche in 'D:\' <DATEN>
Beginne mit der Suche in 'E:\' <RECOVER>

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Heinz Hilde\Lokale Einstellungen\Temp\03.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4afde0fb.qua' verschoben!
C:\Dokumente und Einstellungen\Heinz Hilde\Lokale Einstellungen\Temp\32.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4afde0fa.qua' verschoben!
C:\Dokumente und Einstellungen\Heinz Hilde\Lokale Einstellungen\Temp\83.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4956a054.qua' verschoben!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5GT4FLO1\d[1].txt
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b00e124.qua' verschoben!
C:\System Volume Information\_restore{3021385E-CC7F-491A-B631-6C6E4A1E7F70}\RP81\A0052405.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/IrcBot.54784.5
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4affe0f9.qua' verschoben!
C:\System Volume Information\_restore{3021385E-CC7F-491A-B631-6C6E4A1E7F70}\RP81\A0052406.scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.63488.7
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4950bf32.qua' verschoben!
C:\System Volume Information\_restore{3021385E-CC7F-491A-B631-6C6E4A1E7F70}\RP81\A0052407.scr
[FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.63488.7
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4963c15a.qua' verschoben!
C:\System Volume Information\_restore{3021385E-CC7F-491A-B631-6C6E4A1E7F70}\RP84\A0052446.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.63488.7
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4952b0c2.qua' verschoben!
C:\System Volume Information\_restore{3021385E-CC7F-491A-B631-6C6E4A1E7F70}\RP84\A0052453.sys
[FUND] Ist das Trojanische Pferd TR/Hacktool.Tcpz.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f792132.qua' verschoben!
C:\System Volume Information\_restore{3021385E-CC7F-491A-B631-6C6E4A1E7F70}\RP84\A0052481.sys
[FUND] Ist das Trojanische Pferd TR/Hacktool.Tcpz.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4affe0fa.qua' verschoben!
C:\System Volume Information\_restore{3021385E-CC7F-491A-B631-6C6E4A1E7F70}\RP84\A0052489.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f7731a3.qua' verschoben!
C:\System Volume Information\_restore{3021385E-CC7F-491A-B631-6C6E4A1E7F70}\RP86\A0060726.sys
[FUND] Ist das Trojanische Pferd TR/Hacktool.Tcpz.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f7639db.qua' verschoben!
C:\WINDOWS\system\winrsc.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.63488.7
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b3de133.qua' verschoben!
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1DC438MK\d[1].txt
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b00e125.qua' verschoben!
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1DC438MK\d[2].txt
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b01e125.qua' verschoben!
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1DC438MK\istcrypt[1].exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b43e13e.qua' verschoben!
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\75YGZYY2\bb[1].exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b2ae12d.qua' verschoben!
C:\WINDOWS\Temp\06.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4afde101.qua' verschoben!
C:\WINDOWS\Temp\30.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f770014.qua' verschoben!
C:\WINDOWS\Temp\44.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4afde0ff.qua' verschoben!


Ende des Suchlaufs: Samstag, 10. Oktober 2009 03:18
Benötigte Zeit: 47:54 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

3248 Verzeichnisse wurden überprüft
192067 Dateien wurden geprüft
20 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
20 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
192045 Dateien ohne Befall
6389 Archive wurden durchsucht
2 Warnungen
22 Hinweise
39433 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

==================================================

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:20:09, on 10.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.krone.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

--
End of file - 2657 bytes

Hallo und

Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

Bitte danach diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hallo cosinus,

danke für deine schnelle Antwort. Es wird leider noch etwas dauern, da der verseuchte Rechner nicht meiner ist. Ich werde aber heute Abend deine Anweisungen abarbeiten und die Protokolle anschließend posten.

Hallo,

hat doch noch länger gedauert aber jetzt mal das erste Ergebnis.


http://www.file-upload.net/download-1938778/lopR.txt.html

Der Rest folgt

Nächster Schritt. Ich habe CCleaner installiert und alle Schritte abgearbeitet. Bei der Bereinigung der Registry kommt ein und derselbe Fehler immer wieder??

Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Zitat:

Zitat von IQdown

Bei der Bereinigung der Registry kommt ein und derselbe Fehler immer wieder??

Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Das kannst Du erstmal ignorieren, wichtiger sind die anderen Logfiles.

Anbei der nächste Logfile

http://www.file-upload.net/download-1939280/mbam-log-2009-10-11--17-39-08-.txt.html

Und die letzten Files

http://www.file-upload.net/download-1939304/rist.zip.html

Bitte mal ein Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hi,

anbei das ComboFix Logfile

http://www.file-upload.net/download-1943829/ComboFix.txt.html

Ach ja,

ist es normal dass ich AntiVir nicht beenden kann. Weder über das AntiVir Menü noch über den Taskmanager??? Ich kann nur den AVGuard beenden.

Ja, das ist der Selbstschutz, denke ich mal dass Du das meinst. Du kannst im Grunde nur den Wächter deaktivieren (Regenschirm einklappen )

Das Logfile sieht soweit ok aus. Wenn Du möchstest kannst Du weitere Kontrollscans ausführen, mach Du auch wenn noch weitere Probleme bzgl. Viren da sind:

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

Hallo cosinus,

vielen Dank für deine Hilfe. Im Moment läuft das System einwandfrei. Ich bin derzeit etwas knapp in der Zeit. Wenn ich mal wieder mehr Zeit habe werde ich nochmals einen kompletten Systemcheck durchführen.

Nochmals vielen Dank

Ich habe mir doch noch die Zeit genommen und prevX laufen lassen. Dabei wurde das gefunden und bereinigt.

Ach ja, und die XP Firewall ist jetzt auch wieder aktiv

Nochmals Danke