Windows restore / Daten wiederherstellbar?

Guda · 27.04.2011, 15:19

Ab und zu poppt noch die Viruswarunung von Antivir auf !!
(insbesondere wenn ich mir bei youtube video anschaue...)
Der Virus scheint also noch nicht vollkommen verschwunden zu sein, oder?

cosinus · 27.04.2011, 15:37

POste bitte was genau gefunden wird von AntiVir!

Guda · 27.04.2011, 17:18

Wie kann ich screenshots posten bzw. Dateien anhängen?

cosinus · 27.04.2011, 18:41

Büroklammersymbol hier in der erweiterten Ansicht beim Erstellen des Postings.

Guda · 28.04.2011, 14:58

Kann den Screenshot als worddatei nicht anhängen, da Datei zu groß.
Der Antivir guard enthält die Information:
HTML/infected.webpage.gen (HTML Scriptvirus)

cosinus · 28.04.2011, 15:58

Wieso Worddatei??

Textdateien postest man als Dateityp TXT! Bilddateien als PNG oder JPG!! Aber KEINE Worddatei!

Guda · 28.04.2011, 18:39

Anbei der screenshot

cosinus · 28.04.2011, 19:12

Das ist unbrauchbar. Schau bitte ins AntiVir Log uns poste die relevanten Infos.

Guda · 28.04.2011, 21:48

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 28. April 2011 21:47

Es wird nach 1165085 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: NOTEBOOK

Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:37:32
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 13:08:58
ANTIVIR2.VDF : 7.0.3.62 337408 Bytes 21.03.2008 19:12:34
ANTIVIR3.VDF : 7.0.3.68 57856 Bytes 25.03.2008 08:27:50
Engineversion : 8.1.0.28
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.19 229754 Bytes 07.04.2008 15:34:44
AESCN.DLL : 8.1.0.12 115060 Bytes 07.04.2008 15:34:44
AERDL.DLL : 8.1.0.19 418164 Bytes 07.04.2008 15:34:44
AEPACK.DLL : 8.1.1.0 364918 Bytes 18.03.2008 11:20:42
AEOFFICE.DLL : 8.1.0.15 192889 Bytes 07.04.2008 15:34:44
AEHEUR.DLL : 8.1.0.15 1147253 Bytes 07.04.2008 15:34:44
AEHELP.DLL : 8.1.0.11 115061 Bytes 07.04.2008 15:34:43
AEGEN.DLL : 8.1.0.15 299379 Bytes 07.04.2008 15:34:43
AEEMU.DLL : 8.1.0.5 430450 Bytes 07.04.2008 15:34:43
AECORE.DLL : 8.1.0.25 168309 Bytes 08.04.2008 09:58:32
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Donnerstag, 28. April 2011 21:47

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtProc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosOBEX.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtHSP.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtHid.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosA2dp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtMng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLTRAY.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stsystra.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BCMWLTRY.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLTRYSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '53' Prozesse mit '53' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '30' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\EuFH\Desktop\cofi.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\n.pif
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Crypted)
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{87213BCC-9279-448F-BAC1-883FD93990A2}\RP460\A0081867.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{87213BCC-9279-448F-BAC1-883FD93990A2}\RP460\A0081868.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{87213BCC-9279-448F-BAC1-883FD93990A2}\RP461\A0081948.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{87213BCC-9279-448F-BAC1-883FD93990A2}\RP461\A0081949.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{87213BCC-9279-448F-BAC1-883FD93990A2}\RP464\A0082098.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\n.pif
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Crypted)
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4de9c9d3.qua' verschoben!
C:\System Volume Information\_restore{87213BCC-9279-448F-BAC1-883FD93990A2}\RP467\A0083359.sys
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4de9ca00.qua' verschoben!
C:\System Volume Information\_restore{87213BCC-9279-448F-BAC1-883FD93990A2}\RP467\A0083360.sys
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4de9ca05.qua' verschoben!
C:\System Volume Information\_restore{87213BCC-9279-448F-BAC1-883FD93990A2}\RP468\A0083454.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\n.pif
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Crypted)
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4de9cf13.qua' verschoben!
Beginne mit der Suche in 'D:\' <Daten>

Ende des Suchlaufs: Donnerstag, 28. April 2011 22:47
Benötigte Zeit: 59:46 min

Der Suchlauf wurde vollständig durchgeführt.

6843 Verzeichnisse wurden überprüft
254565 Dateien wurden geprüft
9 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
5 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
254556 Dateien ohne Befall
1452 Archive wurden durchsucht
1 Warnungen
9 Hinweise

cosinus · 29.04.2011, 10:03

Das sind harmlose Funde bzw. Fehlalarm.
Noch weitere Probleme?

Guda · 29.04.2011, 11:31

Ne. Bis jetzt nicht...
Muss ich noch irgendwas beachten?
Bzw. sollte ich den Rechner einmal komplett "platt" machen?

cosinus · 29.04.2011, 12:20

Zitat:

Bzw. sollte ich den Rechner einmal komplett "platt" machen?

Wäre ganz schön absurd, erst machen wir hier uns die Reinigungsarbeit bis du keine Probleme mehr hast und dann macht man eine komplette Löschung des Systems?

Nein wir sind jetzt durch!!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

27.04.2011, 15:37	#32
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Windows restore / Daten wiederherstellbar? POste bitte was genau gefunden wird von AntiVir! __________________ __________________

27.04.2011, 18:41	#34
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Windows restore / Daten wiederherstellbar? Büroklammersymbol hier in der erweiterten Ansicht beim Erstellen des Postings. __________________ Logfiles bitte immer in CODE-Tags posten

28.04.2011, 15:58	#36
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Windows restore / Daten wiederherstellbar? Wieso Worddatei?? Textdateien postest man als Dateityp TXT! Bilddateien als PNG oder JPG!! Aber KEINE Worddatei! __________________ --> Windows restore / Daten wiederherstellbar?

28.04.2011, 19:12	#38
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Windows restore / Daten wiederherstellbar? Das ist unbrauchbar. Schau bitte ins AntiVir Log uns poste die relevanten Infos. __________________ Logfiles bitte immer in CODE-Tags posten

29.04.2011, 10:03	#40
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Windows restore / Daten wiederherstellbar? Das sind harmlose Funde bzw. Fehlalarm. Noch weitere Probleme? __________________ Logfiles bitte immer in CODE-Tags posten

Windows restore / Daten wiederherstellbar?

Plagegeister aller Art und deren Bekämpfung: Windows restore / Daten wiederherstellbar?