Hallo,
kann mir bitte jemand helfen, wie ich die gefundenen Schädlinge endgültig und sicher lösche und ob ich sicher sein kann, dass alle gefunden wurden?

Problem:

Rechner ist extrem langsam, CPU-Auslastung online sehr hoch, braucht ewig, um überhaupt z.B. Word zu öffnen oder Suchanfrage in google einzugeben.
Aufgefallen ist mir dabei, dass der svchost.exe SYSTEM Prozess viel Auslastung verursacht, aktuell 307.368 K.

Habe (bei Kauf drauf gewesen) G Data AntiVirus Vollversion als Virenscanner drauf. Dieser hat aktuell folgendes Ergebnis ausgespuckt:

Virenprüfung mit G Data AntiVirus
Version 20.2.4.2 (20.04.2010)
Virensignaturen vom 21.09.2010
Job: Lokale Festplatten
Startzeit: 22.09.2010 09:44:29
Virensignaturen:
Heuristik: Ein
Archive: Ein
Systembereiche: Ein
RootKits prüfen: Ein

Prüfung der Systembereiche...
Prüfung auf RootKits...
Prüfung aller lokalen Festplatten...
Objekt: PCW_CAB_H15\MSTORDB.EXE
In Archiv: C:\Windows\Installer\867ad3.msp
Status: Virus gefunden
Virus: Win32:Malware-gen
Objekt: 867ad3.msp
Pfad: C:\Windows\Installer
Status: Virus gefunden
Virus: Win32:Malware-gen
Objekt: MSTORDB.EXE
Pfad: C:\Program Files (x86)\Microsoft Office\OFFICE11
Status: Datei in Quarantäne verschoben
Virus: Win32:Malware-gen

Analyse vollständig durchgeführt: 22.09.2010 13:52:26
217305 Dateien überprüft
2 infizierte Dateien gefunden
0 verdächtige Dateien gefunden

Daraus ergeben sich für mich folgende Fragen:

1.) Wie kann ich nun diesen infizierten Dateien endgültig den Garaus machen? Bislang sind sie ja nur in Quarantäne verschoben worden und da ich mich nicht wirklich gut auskenne, weiß ich nicht, ob das ausreicht oder ob so noch Schadensgefahr besteht.

2.) Weiterhin weiß ich nicht, wie die Schädlinge drauf gekommen sind, da G Data immer läuft. Gibt es dafür eine Erklärung?

3.) Kann ich halbwegs sicher sein, dass alles gefunden wurde bzw. was muss ich noch tun?

Herzlichen Dank schon mal im Voraus!

Hallo und

Zitat:

1.) Wie kann ich nun diesen infizierten Dateien endgültig den Garaus machen?

Erstmal sollte man klären, ob das tatsächlich Schädlinge sind. Schau Dir mal die Verzeichnisse an, ich find das sehr ungewöhnlich, dass im Installationspfad von Office Schädlinge sein sollen. Virenscanner sind nicht perfekt und haben auch garnicht so selten Fehlalarme!

Zitat:

2.) Weiterhin weiß ich nicht, wie die Schädlinge drauf gekommen sind, da G Data immer läuft. Gibt es dafür eine Erklärung?

Wenn es denn Schädlinge sind; wie oben bereits erwähnt sind Virenscanner weit weg von der Perfektion und es gibt immer wieder neue Schädlinge, die von den Scannern nicht erkannt werden. Auch wenn die Hersteller dieser Software aus den Jubelarien tw. nicht herauskommen und "100% Schutz" oder "unknackbare Technologien" versprechen - das stimmt nicht, das sind reine Marketingsprüche! Vor neuen Schädlingen bietet kein Virenscanner einen vernünftigen Schutz!! Lesen => Computersicherheit - Virenscanner

Zitat:

3.) Kann ich halbwegs sicher sein, dass alles gefunden wurde bzw. was muss ich noch tun?

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Vielen Dank für die schnelle Antwort - anbei mal die log-Datei des Malewarebytes-Scans, nehme an, dass es sich um Fehlalarm handelt, da Anstoss 2005 von neuer Original-CD zu installieren versucht, was aber mangels Kompatibilität zu meinem Windows 7 64-bit nicht ging.

Anderer OTL Scan wird gleich durchgeführt.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4676

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

23.09.2010 16:29:46
mbam-log-2010-09-23 (16-29-46).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|K:\|)
Durchsuchte Objekte: 353671
Laufzeit: 58 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Program Files (x86)\ASCARON Entertainment\ANSTOSS 2005\DSETUP.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.

Hmmm, kann die OTl Logs nicht posten, erhalten folgende Fehlermeldung vom hiesigen Board:

Fatal error: Maximum execution time of 30 seconds exceeded in /www/htdocs/tbcom/includes/functions.php on line 1838


Vielleicht zu lang, meine Logs? Beide zusammen sind auf MS-Word 38 Seiten - zu viel um hier als Text zu posten? Lieber als Anhang? Wenn ja, welches Format?

Besten Dank
FunkerM

Kann leider die Logs auch nicht als Word-Datei hochladen, da 133 KB respektive 97 KB groß - was mache ich jetzt?????

Zitat:

C:\Program Files (x86)\ASCARON Entertainment\ANSTOSS 2005\DSETUP.dll

Was ist das hier? Wo hast Du das Spiel her?

Zitat:

Kann leider die Logs auch nicht als Word-Datei hochladen

Bitte nicht als .doc abspeichern!! Lass die .txt so wie sie ist!
Die Logs kannst Du in eine Datei zippen und hier anhängen.

Zitat:

Zitat von cosinus

Was ist das hier? Wo hast Du das Spiel her?

Anstoss 2005 ist ein Fussballmanagerspiel - OVP und Neu vor Jahren bei Amazon gekauft und jahrelang auf meinem Vorgänger Rechner unter XP tadellos gelaufen.

Zitat:

Zitat von cosinus

Bitte nicht als .doc abspeichern!! Lass die .txt so wie sie ist!
Die Logs kannst Du in eine Datei zippen und hier anhängen.

Danke, Datei anbei!

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O32 - AutoRun File - [2008.12.15 11:52:18 | 000,000,080 | ---- | M] () - K:\Autorun.inf -- [ NTFS ]
O33 - MountPoints2\{59c4baa1-c6fd-11de-8490-00251151293a}\Shell - "" = AutoRun
O33 - MountPoints2\{59c4baa1-c6fd-11de-8490-00251151293a}\Shell\AutoRun\command - "" = K:\pushinst.exe -- File not found
@Alternate Data Stream - 146 bytes -> C:\ProgramData\Temp:AB689DEA
@Alternate Data Stream - 129 bytes -> C:\ProgramData\Temp:1D32EC29
@Alternate Data Stream - 102 bytes -> C:\ProgramData\Temp:CB0AACC9
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Ok, habe es durchgeführt. Allerdings kam bei Durchführen eine Fehlermeldung mit sinngemäß dem Inhalt, dass nicht alle Dateien vollständig erkannt/bearbeitet oder sonst was werden konnten, weil sie verändert oder bewegt worden sein.

Liegt wohl - mea culpa - daran, dass ich in der Zwischenzeit auch am Rechner gearbeitet habe. Hoffe, dass deswegen nicht alles umsonst oder muss man jetzt nochmals ein paar Schritte zurückgehen und Vorgänge wiederholen? Falls ja, bitte Geduld haben, ich gelobe Besserung.

Hier das Log-File:


All processes killed
========== OTL ==========
K:\Autorun.inf moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{59c4baa1-c6fd-11de-8490-00251151293a}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{59c4baa1-c6fd-11de-8490-00251151293a}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{59c4baa1-c6fd-11de-8490-00251151293a}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{59c4baa1-c6fd-11de-8490-00251151293a}\ not found.
File K:\pushinst.exe not found.
ADS C:\ProgramData\Temp:AB689DEA deleted successfully.
ADS C:\ProgramData\Temp:1D32EC29 deleted successfully.
ADS C:\ProgramData\Temp:CB0AACC9 deleted successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: AppData

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: FHQ
->Temp folder emptied: 27440760 bytes
->Temporary Internet Files folder emptied: 8386756 bytes
->Java cache emptied: 124394298 bytes
->FireFox cache emptied: 99756144 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 7907 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 22528 bytes
%systemroot%\System32 (64bit) .tmp files removed: 5152768 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 6638 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50300 bytes
RecycleBin emptied: 10741064 bytes

Total Files Cleaned = 263,00 mb


OTL by OldTimer - Version 3.2.14.1 log created on 09232010_212152

Files\Folders moved on Reboot...
C:\Users\FHQ\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Ok, anbei die Log-Datei. Warum erscheint hier nun Drive K nicht mehr? So wie es bislang aussah, stimmte doch auf diesem etwas nicht, oder?

Zitat:

Warum erscheint hier nun Drive K nicht mehr? So wie es bislang aussah, stimmte doch auf diesem etwas nicht, oder?

Code: Alles auswählenAufklappen

ATTFilter

Drive K: | 465,76 Gb Total Space | 463,74 Gb Free Space | 99,57% Space Free | Partition Type: NTFS
         

Schau mal was K: ist. Sieht nach einer Festplatte (extern?) aus, solltest Du wissen, was das ist. Laufwerk K: ist noch quasi leer.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Super, vielen Dank schon mal! Die beiden Scans mache ich morgen, ok? K ist externe Festplatte, klar. War da was Übles drauf? Sah für mich als Laien zumindest so aus - vielen Dank schon mal für die Antwort.

Und falls Scan direkt noch im laufenden Betrieb vorgenommen werden sollte, lass es mich bitte wissen, dann mache ich es heute noch - vielen Dank!

Hier mal zunächst das Malwarebytes-Log - was ist dieses gefundende Ding bzgl. des FLV-Players? Diesen besser komplett deinstallieren?

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4680

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

24.09.2010 12:38:57
mbam-log-2010-09-24 (12-38-57).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|K:\|)
Durchsuchte Objekte: 352972
Laufzeit: 3 Stunde(n), 8 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\FLVPlayer.exe (Adware.FLVPlayer) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zitat:

was ist dieses gefundende Ding bzgl. des FLV-Players? Diesen besser komplett deinstallieren?

Ich kenn nicht nicht alle alle Programme, die für den PC verfügbar sind. Wenn Du meinst, der FLV-Player ist ok, dann behalt ihn und bewerte den Fund von Malwarebytes als Fehlalarm.