Hallo,
auf einem PC (Vista SP1, Avira Premium Security Suite) wurde vor ca. 1 Woche festgestellt, dass der Virenscanner nicht mehr arbeitete. In der Taskleiste war das Avira-Symbol verschwunden. Beim manuellen Start des Scanners kam folgende Meldung:
<The application module "C:\Program Files\Avira\AntiVir Desktop\ccwkrlib.dll" cannot be found or has been modified or destroyed. The AVGNT.EXE cannot be started. Please check your installation.>

Ich habe dann zunächst mit der Avira-CD den Virenscanner noch mal installiert (vorher aber nicht deinstalliert!). Er lief dann auch wieder.

Danach hat Malwarebytes' Anti-Malware bei einem Scan an drei Stellen den "Trojan.BHO" gefunden und entfernt (siehe "mbam-log-2010-11-09 (18-00-03).txt"). Komisch war dann allerdings folgendes: Ich habe die angeblich infizierte und deshalb gelöschte Datei "toolbaru.dll" testweise wiederhergestellt und noch mal im Explorer über das Kontextmenü mit Malwarebytes' Anti-Malware geprüft. Jetzt wurde kein Virus angezeigt!

Meine Frage is nun, ob ich den PC wieder als "sauber" betrachten kann.

Ich habe deshalb mit OTL einen Scan ausgeführt und die beiden Logfiles (siehe "OTL.Txt", "Extras.Txt") erstellt. Kann jemand die Logfiles prüfen?

Und warum war der Avira-Scanner defekt? Der "Trojan.BHO" ist doch schon älter, da hätte er vom Avira-Scanner doch längst erkannt werden können, oder?

Im Voraus schon mal vielen Dank!

Viele Grüße
Rudi60

Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

• "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
  - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
  - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
• Charakteristische Merkmale/Profilinformationen:
  - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
• Die Systemprüfung und Bereinigung:
  - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
• Innerhalb der Betreuungszeit:
  - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
• Die Reihenfolge:
  - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
• Ansonsten unsere Forumsregeln:
  - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
• Alle Logfile mit einem vB Code Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen

Problem Nr.1:
Die vermutliche Ursache für dein Problem mit Avira, könnte die aktive Abwesenheit von ein zweites Antivirenprogramm, Symantec (Reste) sein...?

1.
- Lade dir Random's System Information Tool (RSIT) von random/random herunter
- an einen Ort deiner Wahl und führe die rsit.exe aus
- wird "Hijackthis" auch von RSIT installiert und ausgeführt
- RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten
**Kannst Du das Log in Textdatei speichern und hier anhängen (auf "Erweitert" klicken)

2.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool "Ccleaner" herunter
→ "Download"→ " Download from FileHippo.com"
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

gruß
Coverflow

Hallo Coverflow,
danke für Deine schnelle Antwort. Ich kann die gewünschten Infos leider nicht so spontan zur Verfügung stellen, da es sich um den PC eines Bekannten handelt, und da muss ich dann erst immer hinfahren. Ich denke, dass es in den nächsten Tagen klappt.

Viele Grüße
Rudi60

Hallo Coverflow,
sorry, aus beruflichen Gründen hat es mit den Dateien etwas gedauert. Jetzt habe ich sie erstellt. Die RSIT-Dateien wie gewünscht als Anhang.

Und hier die Liste der installierten Programme aus CCleaner.

Code: Alles auswählenAufklappen

ATTFilter

Activation Assistant for the 2007 Microsoft Office suites	Microsoft Corporation	22.08.2007	13,5MB	
Adobe Acrobat 5.0	Adobe Systems, Inc.	28.09.2008	13,4MB	5.0
Adobe Flash Player 10 Plugin	Adobe Systems Incorporated	28.08.2009		10.0.32.18
Adobe Flash Player 9 ActiveX	Adobe Systems	22.08.2007		9
Adobe Reader 9.4.1 - Deutsch	Adobe Systems Incorporated	19.11.2010	164,1MB	9.4.1
ArcSoft PhotoPrinter 5	ArcSoft	09.09.2007	24,5MB	
ArcSoft PhotoStudio 5.5	ArcSoft	09.09.2007	31,0MB	
Avira Premium Security Suite	Avira GmbH	06.11.2010	131,8MB	10.0.0.565
CCleaner	Piriform	19.11.2010	3,13MB	3.00
Haufe iDesk-Browser	Haufe	17.02.2008	18,2MB	7.07.25.4312
Haufe iDesk-Service	Haufe	17.02.2008	37,6MB	7.09.07.4355
HP Customer Participation Program 8.0	HP	07.09.2007	95,7MB	8.0
HP Deskjet All-In-One Software 8.0	HP	13.08.2008	16,1MB	8.0
HP Photosmart Essential	HP	07.09.2007	10,2MB	1.12.0.46
HP Solution Center 8.0	HP	07.09.2007	2,44MB	8.0
HP Update	Hewlett-Packard	05.11.2009	2,91MB	5.002.001.004
HPSSupply	Ihr Firmenname	07.09.2007	0,96MB	2.1.3.0000
ICQ Toolbar	ICQ	09.07.2008	1,24MB	3.0.0
ICQ6.5	ICQ	24.11.2009	42,4MB	6.5
Java(TM) 6 Update 2	Sun Microsystems, Inc.	17.02.2008	160,7MB	1.6.0.20
Java(TM) 6 Update 22	Sun Microsystems, Inc.	16.07.2010	97,2MB	6.0.220
LiveUpdate 3.2 (Symantec Corporation)	Symantec Corporation	22.08.2007	19,2MB	3.2.0.41
LiveUpdate Notice (Symantec Corporation)	Symantec Corporation	26.04.2007	4,50MB	1.2.0
Malwarebytes' Anti-Malware	Malwarebytes Corporation	06.11.2010	3,90MB	
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU	Microsoft Corporation	15.08.2009	37,0MB	
Microsoft .NET Framework 3.5 SP1	Microsoft Corporation	09.08.2009	37,0MB	
Microsoft .NET Framework 4 Client Profile	Microsoft Corporation	27.06.2010	120,3MB	4.0.30319
Microsoft .NET Framework 4 Client Profile DEU Language Pack	Microsoft Corporation	27.06.2010	24,5MB	4.0.30319
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053	Microsoft Corporation	31.07.2009	0,25MB	8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable	Microsoft Corporation	17.02.2008	0,41MB	8.0.56336
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148	Microsoft Corporation	03.09.2010	0,58MB	9.0.30729.4148
Microsoft Works	Microsoft Corporation	09.12.2009	288MB	08.05.0822
Mozilla Firefox (3.6.12)	Mozilla	29.10.2010	30,0MB	3.6.12 (de)
MSXML 4.0 SP2 (KB927978)	Microsoft Corporation	26.04.2007	1,24MB	4.20.9841.0
MSXML 4.0 SP2 (KB936181)	Microsoft Corporation	30.08.2007	1,27MB	4.20.9848.0
MSXML 4.0 SP2 (KB941833)	Microsoft Corporation	13.10.2007	1,27MB	4.20.9849.0
MSXML 4.0 SP2 (KB954430)	Microsoft Corporation	13.11.2008	1,28MB	4.20.9870.0
MSXML 4.0 SP2 (KB973688)	Microsoft Corporation	24.11.2009	1,34MB	4.20.9876.0
NVIDIA Drivers		22.08.2007		
OpenOffice.org 3.2	OpenOffice.org	16.07.2010	379MB	3.2.9502
Philips SPC500NC Webcam	Philips	13.05.2007	13,4MB	1.00.000
Philips VLounge	ArcSoft	22.08.2007	13,4MB	
RealPlayer	RealNetworks	20.10.2007	42,6MB	
Realtek High Definition Audio Driver	Realtek Semiconductor Corp.	26.04.2007	14,2MB	6.0.1.5397
RTC Client API v1.2	Microsoft	26.04.2007	0,11MB	1.2.0000
SPG-Verein		26.01.2009	89,0MB	
Steuer 2007	Lexware	17.02.2008	2.822MB	14.00
Steuer Hilfesammlung	Haufe Mediengruppe	17.02.2008	121,3MB	14.0.0.0
VC_MergeModuleToMSI	Default Company Name	02.03.2008	1,85MB	1.0.0
Viewpoint Media Player		22.08.2007	7,30MB	
Yahoo! BrowserPlus	Yahoo! Inc.	16.10.2009	35,1MB
         

Ich bin gespannt auf Deine Analyse-Ergebnisse.

Viele Grüße
Rudi60

Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen

1.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen

Code: Alles auswählenAufklappen

ATTFilter

R3 - URLSearchHook: (no name) - - (no file)
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
         

2.

Code: Alles auswählenAufklappen

ATTFilter

LiveUpdate 3.2 (Symantec Corporation) Symantec 
LiveUpdate Notice (Symantec Corporation)
         

wird nicht verwendet, da Avira/Antivir installiert ist?!
Norton Antivirus vollständig zu deinstallieren - gehe auf der Symantec-Webseite und suche nach den speziellen Deinstallations-Tools, mit denen die letzten Reste (auch) entfernt werden sollten:► Norton Removal Tool (für alle Produkte ab 2003 bis 2008) von hier herunterladen
oder hier: Norton Removal Tool für alle Produkte ab 2003 bis 2010 / wintotal.de

3.
Alte Java Versionen wegen Anfälligkeit sollte entfernt werden:
`Systemsteuerung → Software → Ändern/Entfernen...`

Code: Alles auswählenAufklappen

ATTFilter

Java(TM) 6 Update 2
         

4.
den Java-Cache leeren - wie unter Punkt 7. u. 8. beschrieben *klick
über Systemsteuerung -> Java...

5.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
c:\windows\temp
- anschließend den Papierkorb leeren

6.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

7.
>>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum
Führe dann einen Komplett-Systemcheck mit Nod32 durch
- folgendes bitte anhaken > "Remove found threads" und "Scan archives"
- die Scanergebnis als *.txt Dateien speichern)
- meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt"
- "Link:-> ESET Online Scanner
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

8.
poste erneut - nach der vorgenommenen Reinigungsaktion:
TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

Hallo Coverflow,
die Maßnahmen werde ich erst in 1-2w machen können, weil es wie gesagt nicht mein PC ist.

Frage zu Deinem Post in Pkt 7 (Online Scan): Muss ich den Scan mit dem Internet Explorer machen oder geht auch Firefox? Ich weiß nicht, ob der IE auf dem aktuellsten Stand ist. Wenn Firefox auch geht: Muss ich da bei den Sicherheitseinstellungen was beachten? (Ein Menü "Internetoptionen" gibt es da nicht?)

Viele Grüße
Rudi60

Zitat:

Zitat von Rudi60

Frage zu Deinem Post in Pkt 7 (Online Scan): Muss ich den Scan mit dem Internet Explorer machen oder geht auch Firefox?

ja, denn der Kostenlose Online-Virenscanner verwendet stets aktuelle Signaturdatei vom eigenen Server, das geht nur meist mit ActiveX-Komponenten und das hat Firefox nicht. Zwar gibt`s extra ein Plugin für FF damit es funktioniert, aber nicht immer "reibungslos".
- um den Scan zu starten: wenn du danach gefragt wirst (den Text in der Informationsleiste ) - "ActiveX-Steuerelement" installieren lassen
Ausserdem Java muss aktiviert sein
Einstellung für den IE, gehe bitte wie folgt vor:

Zitat:

So verhindern Sie, dass die Informationsleiste Datei- und Softwaredownloads blockiert

1.
Öffnen Sie Internet Explorer, indem Sie auf die Schaltfläche StartSchaltfläche "Start" klicken und dann auf Internet Explorer klicken.
2.
Klicken Sie auf die Schaltfläche Extras und dann auf Internetoptionen.
3.
Klicken Sie auf der Registerkarte Sicherheit auf Stufe anpassen.
4.
Führen Sie eine oder beide der folgenden Aktionen aus:
•
Um die Informationsleiste für ActiveX-Steuerelemente zu deaktivieren, klicken Sie im Listenabschnitt ActiveX-Steuerelemente und Plug-Ins unter Automatische Eingabeaufforderung für ActiveX-Steuerelemente auf Aktivieren.
•
Um die Informationsleiste bei Dateidownloads zu deaktivieren, klicken Sie im Abschnitt Download der Liste unter Automatische Eingabeaufforderung für Dateidownloads zulassen auf Aktivieren.
5.
Klicken Sie auf OK und dann auf Ja, um die gewünschten Änderungen zu bestätigen, und klicken Sie dann erneut auf OK.

Hallo Coverflow,
ich habe jetzt die von Dir vorgeschlagenen Maßnahmen durchgeführt. Alles hat geklappt. Nur der Scan mit dem Online-Scanner ging nicht, weil er beim Runterladen der Signaturen nach 5% abgebrochen hat (Meldung "Ist ein Proxy eingerichtet?"). Da wusste ich nicht weiter. Muss ein Proxy eingerichtet sein?

Im Anhang noch das Log-file des Scans mit HijackThis. Wäre schön, wenn Du dazu noch mal ein Feedback geben könntest.

Viele Grüße
Rudi60

- Hast Du dein Avira deaktiviert (für den Scanvorgang mit Eset/Nod32)?
- verwendest Du im Internet Explorer einen Proxy?: http://www.rrze.uni-erlangen.de/dien...8.shtml#name12
über das Menü Extras-> Internetoptionen-> Verbindungen-> den Unterpunkt LAN-Einstellungen
- Pluggins/Addons deaktiviert?

- Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen

Code: Alles auswählenAufklappen

ATTFilter

O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)