Hallo,
ich habe gerade ein Fullscan mit Antivir gemacht und folgendes gefunden (und in die Quarantäne verschoben):

HTML-Code:

C:\Dokumente und Einstellungen\*eingeschr. Benutzer*\Lokale Einstellungen\Temp\jar_cache2777882797088858390.tmp
[0] Archivtyp: ZIP
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.IV
--> news/messenger.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.IV
C:\Dokumente und Einstellungen\*eingeschr. Benutzer*\Lokale Einstellungen\Temp\jar_cache3564569897641648549.tmp
[0] Archivtyp: ZIP
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.HT.2
--> applet.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.HT.2
--> tools.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.ID.2

Vor ca. 3 Wochen ist mir der PC beim surfen hängen geblieben und wollte WinXP SP3 nicht wieder gescheit starten. Ich habe dann den MBR neu geschrieben und "chkdsk" hat einige Einträge repariert. Seitdem läuft mein Rechner wieder, allerdings (gefühlt) langsamer als vorher.
Ich bin zuerst von einem Fehler der Festplatte ausgegangen, aber weitere Festplattenchecks haben nichts gemeldet.
(Bis jetzt habe ich mit dem Rechner auch nicht mehr viel gemacht, ausser WinXP und einige Programme aktualisiert )

Virenscan habe ich erst jetzt gemacht, weil ich gar nicht auf die Idee eines Virus gekommen bin.



MBAMlogfile: h**p://www.file-upload.net/download-3097582/mbam-log-2011-01-02--20-41-59-.txt.html

RSIT meldet beim Ausführen einen Fehler: h**p://www.file-upload.net/view-3097575/rsit_fehler.JPG.html

Wenn ich noch weiteres nachliefern soll, bitte bescheid sagen.

Wäre nett, wenn mir jmd. helfen kann.
Dankeschön,
Firestriker

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Hallo cosinus,

es gibt noch 2 logs vom Jahresende (nachdem die Probleme aufgetreten sind), allerdings leider nur von Quick-Scans.

h**p://www.file-upload.net/download-3098971/MBAM_Logs.rar.html

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

done,

h**p://www.file-upload.net/download-3100374/OTL_logs.rar.html

Ich habe wie auf dem Screenshot im Toturial zu sehen ist auch "LOP -" und "Purity-Prüfung" und "scanne alle Benutzer" ausgewählt.

Rel. unauffällig. Mach mal ein Log mit CF:


ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Werde die Liste gleich abarbeiten.
Vorher habe ich noch eine Nachfrage:

- Gibt es eine Option den CCleaner für alle Nutzer auszuführen, oder muss ich mich jeweils einloggen und unter dem jeweiligen Benutzer ausführen? Bei bisherigen Clean-Vorgängen ist mir aufgefallen, dass z.b. Cockies etc. nur vom aktiven Nutzer gelöscht werden.


(Antivir kann ich ja nicht beenden, sondern nur deaktivieren oder bin ich nur zu blind? )

Zitat:

dass z.b. Cockies etc. nur vom aktiven Nutzer gelöscht werden.

Dafür hab ich auch noch keine Lösung gefunden, beschäftige mich aber auch nicht wirklich mehr damit. Grundsätzlich reicht es, wenn du das Profil des Users aufräumst, der auch CF ausführt.

Ich habe jetzt mal beim Admin und beim eingeschr. Nutzer CCleaner durchlaufen lassen.

Hier die Log-Datei von combofix:
h**p://www.file-upload.net/download-3101817/cofi_log.txt.html

btw.: Habe ich der installierten Wiederherstellungskonsole zu verdanken, dass sich der IE wieder als Standard-Browser definiert hat?

Danke!

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hi,

also GMER ist jedes Mal bei scannen hängen geblieben.
osam und mbrcheck habe ich gemacht.

h**p://www.file-upload.net/download-3102084/log_osam_gmer_mbr.rar.html

Ich habe mal das, was GMER im ersten Scan schon ausgespuckt hatte in eine Textdatei geschrieben und auch hochgeladen.

Zitat:

"vsdatant" (vsdatant) - "Zone Labs, LLC" - C:\WINDOWS\system32\vsdatant.sys

Hattest du mal ZoneAlarm draf? wenn ja, kannst du das mit OSAM fixen

Und wenn nicht? Sehr merkwürdig, ich hatte seit einer Neuinstallation vor wenigen Monaten keine Personal-Firewall mehr installiert.

btw: Der Windowsstart dauert trotz SSD noch ungewöhnlich lange.

edit: Nur als Nachfrage nochmal: Bei den ganzen Scans werden doch auch alle Nutzer mitgescannt, oder? Die Viren hatte sich ja im "Temp"-Verzeichnis meines eingeschr. Benutzers versteckt.

Zitat:

Und wenn nicht? Sehr merkwürdig, ich hatte seit einer Neuinstallation vor wenigen Monaten keine Personal-Firewall mehr installiert.

vsdatant ist aber typisch ZA
Kannst ja erstmal nur deaktivieren und wenns keine Probleme gibt endgültig kicken (delete from storage)

Zitat:

btw: Der Windowsstart dauert trotz SSD noch ungewöhnlich lange.

Wie lange genau?

Also ZA war definitiv nicht installiert! (Kann sein, dass ich zu Anfang die *.exe runtergeladen habe, aber mich danach etwas mit Personal-Firewalls auseinandergesetzt und die Datei wieder gelöscht. Aber davon sollte wohl kein Eintrag entstanden sein?!)

Windowsstart (bis ich den Benutzer auswählen kann): etwa 2 min 20 sek (vorher gute 30-40 sek)

Werde das auf jeden Fall deaktivieren!