Hallo,

hatte verschiedene Vieren auf dem PC. Würde gerne wissen ob ich alle los bin.

Entefernt wurden sie mir Antivir (von anderem Rechner aus), CT-Desindec't mit 3 Vierenscannern, Combofix nach Anleitung hxxp://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird , Malwarebytes' Anti Malware, CCleaner, Hjackthis.

Schaut doch bitte mal die aktuellen (nachher.zip) Log-Files an ob noch was verdächtiges drauf ist.
Vielen Dank!!! Gruß Trexer

Hallo und

Zitat:

Entefernt wurden sie mir Antivir (von anderem Rechner aus), CT-Desindec't mit 3 Vierenscannern

Die Logs braucht man auch, es ist doch unvollständig wenn das fehlt und niemand nachvollziehen kann, was da noch auf dem Rechner war!

Ich würde auch gern wissen warum du auf eigene Faust Combofix ausführts! Das sollst Du erst auf Anweisung hin ausführen - so steht es jedenfalls überall hier dick und fett, unübersehbar!

Hallo cosinus! Vielen Dank für deine Antwort. Desindec't ist leider abgestürzt und daher habe ich davon keine Logfile, aber ich denke es handelt sich um alle .xxx datein die damit schon gefunden wurden. Antivir Logfile wie gesagt von einem anderen pc aus:

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 14. November 2010  11:59

Es wird nach 3043866 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : user
Computername   : RUPRECHT


Versionsinformationen:
BUILD.DAT      : 10.0.0.937     41276 Bytes  19.07.2010 10:57:00
AVSCAN.EXE     : 10.0.3.1      434344 Bytes  12.07.2010 12:57:56
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  12.07.2010 12:58:20
LUKE.DLL       : 10.0.2.3      104296 Bytes  12.07.2010 12:58:12
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 11:56:36
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 11:07:36
VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 11:07:36
VBASE002.VDF   : 7.10.3.1     3143680 Bytes  20.01.2010 11:07:38
VBASE003.VDF   : 7.10.3.75     996864 Bytes  26.01.2010 11:07:38
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 11:07:38
VBASE005.VDF   : 7.10.6.82    2494464 Bytes  15.04.2010 11:07:38
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 11:07:38
VBASE007.VDF   : 7.10.9.165   4840960 Bytes  23.07.2010 11:07:40
VBASE008.VDF   : 7.10.11.133  3454464 Bytes  13.09.2010 11:07:40
VBASE009.VDF   : 7.10.13.80   2265600 Bytes  02.11.2010 11:07:40
VBASE010.VDF   : 7.10.13.81      2048 Bytes  02.11.2010 11:07:40
VBASE011.VDF   : 7.10.13.82      2048 Bytes  02.11.2010 11:07:40
VBASE012.VDF   : 7.10.13.83      2048 Bytes  02.11.2010 11:07:40
VBASE013.VDF   : 7.10.13.116   147968 Bytes  04.11.2010 11:07:40
VBASE014.VDF   : 7.10.13.147   146944 Bytes  07.11.2010 11:07:40
VBASE015.VDF   : 7.10.13.180   123904 Bytes  09.11.2010 11:07:40
VBASE016.VDF   : 7.10.13.211   122368 Bytes  11.11.2010 11:07:40
VBASE017.VDF   : 7.10.13.212     2048 Bytes  11.11.2010 11:07:40
VBASE018.VDF   : 7.10.13.213     2048 Bytes  11.11.2010 11:07:40
VBASE019.VDF   : 7.10.13.214     2048 Bytes  11.11.2010 11:07:40
VBASE020.VDF   : 7.10.13.215     2048 Bytes  11.11.2010 11:07:40
VBASE021.VDF   : 7.10.13.216     2048 Bytes  11.11.2010 11:07:40
VBASE022.VDF   : 7.10.13.217     2048 Bytes  11.11.2010 11:07:40
VBASE023.VDF   : 7.10.13.218     2048 Bytes  11.11.2010 11:07:40
VBASE024.VDF   : 7.10.13.219     2048 Bytes  11.11.2010 11:07:40
VBASE025.VDF   : 7.10.13.220     2048 Bytes  11.11.2010 11:07:40
VBASE026.VDF   : 7.10.13.221     2048 Bytes  11.11.2010 11:07:40
VBASE027.VDF   : 7.10.13.222     2048 Bytes  11.11.2010 11:07:40
VBASE028.VDF   : 7.10.13.223     2048 Bytes  11.11.2010 11:07:40
VBASE029.VDF   : 7.10.13.224     2048 Bytes  11.11.2010 11:07:40
VBASE030.VDF   : 7.10.13.225     2048 Bytes  11.11.2010 11:07:40
VBASE031.VDF   : 7.10.13.237    73728 Bytes  13.11.2010 11:08:04
Engineversion  : 8.2.4.98  
AEVDF.DLL      : 8.1.2.1       106868 Bytes  12.11.2010 11:07:34
AESCRIPT.DLL   : 8.1.3.46     1364347 Bytes  12.11.2010 11:07:34
AESCN.DLL      : 8.1.6.1       127347 Bytes  12.11.2010 11:07:34
AESBX.DLL      : 8.1.3.1       254324 Bytes  12.11.2010 11:07:34
AERDL.DLL      : 8.1.9.2       635252 Bytes  12.11.2010 11:07:34
AEPACK.DLL     : 8.2.3.11      471416 Bytes  12.11.2010 11:07:34
AEOFFICE.DLL   : 8.1.1.8       201081 Bytes  12.11.2010 11:07:34
AEHEUR.DLL     : 8.1.2.41     3043703 Bytes  12.11.2010 11:07:34
AEHELP.DLL     : 8.1.14.0      246134 Bytes  12.11.2010 11:07:32
AEGEN.DLL      : 8.1.3.24      401781 Bytes  12.11.2010 11:07:32
AEEMU.DLL      : 8.1.2.0       393588 Bytes  12.11.2010 11:07:32
AECORE.DLL     : 8.1.17.0      196982 Bytes  12.11.2010 11:07:32
AEBB.DLL       : 8.1.1.0        53618 Bytes  12.11.2010 11:07:32
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  12.07.2010 12:57:58
AVPREF.DLL     : 10.0.0.0       44904 Bytes  12.07.2010 12:57:56
AVREP.DLL      : 10.0.0.8       62209 Bytes  14.11.2010 11:08:12
AVREG.DLL      : 10.0.3.2       53096 Bytes  12.07.2010 12:57:56
AVSCPLR.DLL    : 10.0.3.1       83816 Bytes  12.07.2010 12:57:56
AVARKT.DLL     : 10.0.0.14     227176 Bytes  12.07.2010 12:57:54
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  12.07.2010 12:57:54
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  17.06.2010 14:10:32
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  12.07.2010 12:57:56
NETNT.DLL      : 10.0.0.0       11624 Bytes  17.06.2010 14:10:32
RCIMAGE.DLL    : 10.0.0.32    2856808 Bytes  01.04.2010 12:58:02
RCTEXT.DLL     : 10.0.58.0      98152 Bytes  12.07.2010 12:58:20

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Manuelle Auswahl
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\folder.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: E:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Sonntag, 14. November 2010  12:10

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'raid_tool.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [FUND]      Enthält Code des Bootsektorvirus BOO/Alureon.A
    [HINWEIS]   Der Sektor wurde nicht neu geschrieben!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'E:\'
    [FUND]      Enthält Code des Bootsektorvirus BOO/Alureon.A
    [HINWEIS]   Der Sektor wurde nicht neu geschrieben!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '324' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'E:\' <System>
E:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\14\596e40e-69248971.XXX
[0] Archivtyp: ZIP
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212
--> bpac/a.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212
E:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\16\42d5d810-18565c38.XXX
[0] Archivtyp: ZIP
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212
--> bpac/a.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212
E:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\17\3ab99dd1-43e9bf41.XXX
[0] Archivtyp: ZIP
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212
--> bpac/a.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212
E:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\36\d059a64-6702dd50.XXX
[0] Archivtyp: ZIP
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212
--> bpac/a.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212
E:\Dokumente und Einstellungen\schuster.PANKRAZ.001\Lokale Einstellungen\Temp\PRAGMA270.tmp.XXX
    [FUND]      Ist das Trojanische Pferd TR/Patched.FJ.3
E:\Dokumente und Einstellungen\schuster.PANKRAZ.010\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\4\7cf05484-1383944f.XXX
[0] Archivtyp: ZIP
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/OpenStream.A
--> bpac/Bombapack.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/OpenStream.A
E:\Dokumente und Einstellungen\schuster.PANKRAZ.010\Vorlagen\memory.tmp.XXX
    [FUND]      Ist das Trojanische Pferd TR/Drooptroop.hdy
E:\Programme\Security Toolbar\Security Toolbar.dll.XXX
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Zlob.TJ
E:\WINDOWS\caclpgds.dll
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
E:\WINDOWS\explorer.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.10
E:\WINDOWS\explorer.exe.XXX
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.10
E:\WINDOWS\PRAGMAhtxtueqxtf\PRAGMAc.dll.XXX
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen3
E:\WINDOWS\PRAGMAhtxtueqxtf\PRAGMAd.sys.XXX
    [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen2
E:\WINDOWS\system32\caclpgds.dll
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
E:\WINDOWS\system32\sdra64 old.exe.XXX
    [FUND]      Ist das Trojanische Pferd TR/Oficla.8755212
E:\WINDOWS\Temp\0.364403856115049.exe.XXX
    [FUND]      Ist das Trojanische Pferd TR/Oficla.8755212
E:\WINDOWS\Temp\0.6668324431069752.exe.XXX
    [FUND]      Ist das Trojanische Pferd TR/Oficla.8755212

Beginne mit der Desinfektion:
E:\WINDOWS\Temp\0.6668324431069752.exe.XXX
    [FUND]      Ist das Trojanische Pferd TR/Oficla.8755212
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48717cad.qua' verschoben!
E:\WINDOWS\Temp\0.364403856115049.exe.XXX
    [FUND]      Ist das Trojanische Pferd TR/Oficla.8755212
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50e1530a.qua' verschoben!
E:\WINDOWS\system32\sdra64 old.exe.XXX
    [FUND]      Ist das Trojanische Pferd TR/Oficla.8755212
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '02fd09a8.qua' verschoben!
E:\WINDOWS\system32\caclpgds.dll
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '64d94677.qua' verschoben!
E:\WINDOWS\PRAGMAhtxtueqxtf\PRAGMAd.sys.XXX
    [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen2
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '213f6b7a.qua' verschoben!
E:\WINDOWS\PRAGMAhtxtueqxtf\PRAGMAc.dll.XXX
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen3
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5e24591b.qua' verschoben!
E:\WINDOWS\explorer.exe.XXX
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.10
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '12f3758b.qua' verschoben!
E:\WINDOWS\explorer.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.10
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6eeb35da.qua' verschoben!
E:\WINDOWS\caclpgds.dll
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '43bc1a7c.qua' verschoben!
E:\Programme\Security Toolbar\Security Toolbar.dll.XXX
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Zlob.TJ
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5ad421fa.qua' verschoben!
E:\Dokumente und Einstellungen\sxxxr\Vorlagen\memory.tmp.XXX
    [FUND]      Ist das Trojanische Pferd TR/Drooptroop.hdy
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '36860dca.qua' verschoben!
E:\Dokumente und Einstellungen\sxxxr\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\4\7cf05484-1383944f.XXX
    [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/OpenStream.A
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4736345d.qua' verschoben!
E:\Dokumente und Einstellungen\sxxxr\Lokale Einstellungen\Temp\PRAGMA270.tmp.XXX
    [FUND]      Ist das Trojanische Pferd TR/Patched.FJ.3
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494904b5.qua' verschoben!
E:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\36\d059a64-6702dd50.XXX
    [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0c547d95.qua' verschoben!
E:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\17\3ab99dd1-43e9bf41.XXX
    [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '050a796d.qua' verschoben!
E:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\16\42d5d810-18565c38.XXX
    [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5d496055.qua' verschoben!
E:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\14\596e40e-69248971.XXX
    [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '71eb19e0.qua' verschoben!


Ende des Suchlaufs: Sonntag, 14. November 2010  13:37
Benötigte Zeit: 59:18 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   6195 Verzeichnisse wurden überprüft
 491118 Dateien wurden geprüft
     19 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     17 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 491101 Dateien ohne Befall
   8072 Archive wurden durchsucht
      0 Warnungen
     19 Hinweise
         

Sorry das mit ComboFix hab ich gerade erst bei euch hier gelsen. Anderswo wird es als Malware Removal Tool angeboten: hxxp://www.combofix.org/
Irgendwie bin ich damit aber gut gefahren weil es mir die explorer.exe und winlogon.exe vierenfrei gemacht hat... Sorry wenn ich das nicht hätte ausführen sollen.

Den bootsektor-virus bin ich mit fixmbr los geworden. Vorhin nochmal mit MBRCheck überprüft, der scheint auch weg zu sein.

Ich habe alle Java-Komponenten über Systemsteuerung, Software deinstalliert.

Zitat:

Zitat:

combofix.org ist keine offizielle Seite vom Autor sUBs! => Ein Leitfaden und Tutorium zur Nutzung von ComboFix

mea culpa!

Hast du nur Quickscans mit MBAM gemacht?
Mach mal routinemäßig einen Vollscan mit Malwarebytes und poste das Log.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls noch weitere Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!