Avira fund RKIT/AGENT.4370492 und WORM/CONFICKER.Z59.Kan ich die sicher entfernen?
 

Hallo,
ich habe einenToschiba Intel(R) Pentium(R)M Prozessor 1,0 GHz 0,99 GB RAM Laptop mit Windows xp Professional 2002 Service Pack 3 drauf.Avira hat 2 Funde gemacht(AGENT.4370492 und WORM/CONFICKER.Z59.)
Diese Habe ich dan in Quarantäne gesetz weil Löschen bei Avira nicht geht.
Danach habe ich leider aus Panik ein paar software Programme gelöcht.Und dan ein Scan mit Malewarebytes&ESSET(Internet Scan) durchgeführt wo bei beiden nichts Verdächtiges gefunden wurde.Ich habe gelesen das wenn die Vieren in Quarantäne sind nichts passieren kann.Ich würde die aber trotzdem gerne Löschen.Das Proplem ist ich brauche ein sauberes system,da ich eine ubuntu cd für die datensicherung meines Hauptrechners Brennen muss.Als Leihe kann ich leider nicht Prüfen op nach der qurantäne und den anderen scans der Laptop wirklich Sauber ist.Deshalb wäre ich euren Team wirklich dankbar wenn ihr mir weiter helfen könntet.
gruß senor d

Habe allles so gemacht wie in der checkliste stand,aber mit der defogger sache hat bei mir nicht funktioniert.Sende noch die Avira Berichte und den von Malewarebyte mit.

OTL.txt
Extras.txt
Gmer.txt
defogger_desable
Avira Report
Malewarebytes rebort

Avira Rebort 1
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 9. Januar 2012 17:06

Es wird nach 3031228 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : home
Computername : HOME-DE583A83ED

Versionsinformationen:
BUILD.DAT : 12.0.0.872 41826 Bytes 15.12.2011 16:24:00
AVSCAN.EXE : 12.1.0.18 490448 Bytes 15.12.2011 13:59:39
AVSCAN.DLL : 12.1.0.17 65744 Bytes 15.12.2011 13:59:56
LUKE.DLL : 12.1.0.17 68304 Bytes 15.12.2011 13:59:47
AVSCPLR.DLL : 12.1.0.21 99536 Bytes 15.12.2011 13:59:39
AVREG.DLL : 12.1.0.27 227536 Bytes 15.12.2011 13:59:38
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:31:49
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 13:04:57
VBASE003.VDF : 7.11.19.171 2048 Bytes 20.12.2011 13:04:59
VBASE004.VDF : 7.11.19.172 2048 Bytes 20.12.2011 13:04:59
VBASE005.VDF : 7.11.19.173 2048 Bytes 20.12.2011 13:04:59
VBASE006.VDF : 7.11.19.174 2048 Bytes 20.12.2011 13:04:59
VBASE007.VDF : 7.11.19.175 2048 Bytes 20.12.2011 13:04:59
VBASE008.VDF : 7.11.19.176 2048 Bytes 20.12.2011 13:04:59
VBASE009.VDF : 7.11.19.177 2048 Bytes 20.12.2011 13:04:59
VBASE010.VDF : 7.11.19.178 2048 Bytes 20.12.2011 13:04:59
VBASE011.VDF : 7.11.19.179 2048 Bytes 20.12.2011 13:04:59
VBASE012.VDF : 7.11.19.180 2048 Bytes 20.12.2011 13:04:59
VBASE013.VDF : 7.11.19.217 182784 Bytes 22.12.2011 13:05:08
VBASE014.VDF : 7.11.19.255 148480 Bytes 24.12.2011 13:05:13
VBASE015.VDF : 7.11.20.29 164352 Bytes 27.12.2011 13:05:19
VBASE016.VDF : 7.11.20.70 180224 Bytes 29.12.2011 13:05:26
VBASE017.VDF : 7.11.20.102 240640 Bytes 02.01.2012 13:05:31
VBASE018.VDF : 7.11.20.139 164864 Bytes 04.01.2012 13:05:35
VBASE019.VDF : 7.11.20.178 167424 Bytes 06.01.2012 12:57:25
VBASE020.VDF : 7.11.20.179 2048 Bytes 06.01.2012 12:57:25
VBASE021.VDF : 7.11.20.180 2048 Bytes 06.01.2012 12:57:25
VBASE022.VDF : 7.11.20.181 2048 Bytes 06.01.2012 12:57:25
VBASE023.VDF : 7.11.20.182 2048 Bytes 06.01.2012 12:57:25
VBASE024.VDF : 7.11.20.183 2048 Bytes 06.01.2012 12:57:25
VBASE025.VDF : 7.11.20.184 2048 Bytes 06.01.2012 12:57:25
VBASE026.VDF : 7.11.20.185 2048 Bytes 06.01.2012 12:57:25
VBASE027.VDF : 7.11.20.186 2048 Bytes 06.01.2012 12:57:25
VBASE028.VDF : 7.11.20.187 2048 Bytes 06.01.2012 12:57:25
VBASE029.VDF : 7.11.20.188 2048 Bytes 06.01.2012 12:57:25
VBASE030.VDF : 7.11.20.189 2048 Bytes 06.01.2012 12:57:25
VBASE031.VDF : 7.11.20.194 3584 Bytes 06.01.2012 15:22:29
Engineversion : 8.2.8.18
AEVDF.DLL : 8.1.2.2 106868 Bytes 15.12.2011 13:59:36
AESCRIPT.DLL : 8.1.3.95 479612 Bytes 05.01.2012 13:06:43
AESCN.DLL : 8.1.7.2 127349 Bytes 14.12.2011 23:31:02
AESBX.DLL : 8.2.4.5 434549 Bytes 15.12.2011 13:59:35
AERDL.DLL : 8.1.9.15 639348 Bytes 14.12.2011 23:31:02
AEPACK.DLL : 8.2.15.1 770423 Bytes 15.12.2011 13:59:35
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 05.01.2012 13:06:40
AEHEUR.DLL : 8.1.3.14 4260216 Bytes 05.01.2012 13:06:37
AEHELP.DLL : 8.1.18.0 254327 Bytes 15.12.2011 13:59:31
AEGEN.DLL : 8.1.5.17 405877 Bytes 15.12.2011 13:59:31
AEEMU.DLL : 8.1.3.0 393589 Bytes 14.12.2011 23:30:58
AECORE.DLL : 8.1.24.3 201079 Bytes 05.01.2012 13:05:50
AEBB.DLL : 8.1.1.0 53618 Bytes 14.12.2011 23:30:58
AVWINLL.DLL : 12.1.0.17 27344 Bytes 15.12.2011 13:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 15.12.2011 13:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 15.12.2011 13:59:38
AVARKT.DLL : 12.1.0.19 208848 Bytes 15.12.2011 13:59:36
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 15.12.2011 13:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 15.12.2011 13:59:50
AVSMTP.DLL : 12.1.0.17 62928 Bytes 15.12.2011 13:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 15.12.2011 13:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 15.12.2011 13:59:58
RCTEXT.DLL : 12.1.0.16 98512 Bytes 15.12.2011 13:59:59

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Manuelle Auswahl
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\folder.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: F:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Montag, 9. Januar 2012 17:06

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NIHardwareService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1091' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'F:\'
F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Conficker.Z.59

Beginne mit der Desinfektion:
F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Conficker.Z.59
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c53b569.qua' verschoben!


Ende des Suchlaufs: Montag, 9. Januar 2012 17:07
Benötigte Zeit: 00:46 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

12 Verzeichnisse wurden überprüft
1151 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1150 Dateien ohne Befall
5 Archive wurden durchsucht
0 Warnungen
1 Hinweise

Avira Report 2
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 11. Januar 2012 22:34

Es wird nach 3059714 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : HOME-DE583A83ED

Versionsinformationen:
BUILD.DAT : 12.0.0.872 41826 Bytes 15.12.2011 16:24:00
AVSCAN.EXE : 12.1.0.18 490448 Bytes 15.12.2011 13:59:39
AVSCAN.DLL : 12.1.0.17 65744 Bytes 15.12.2011 13:59:56
LUKE.DLL : 12.1.0.17 68304 Bytes 15.12.2011 13:59:47
AVSCPLR.DLL : 12.1.0.21 99536 Bytes 15.12.2011 13:59:39
AVREG.DLL : 12.1.0.27 227536 Bytes 15.12.2011 13:59:38
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:31:49
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 13:04:57
VBASE003.VDF : 7.11.19.171 2048 Bytes 20.12.2011 13:04:59
VBASE004.VDF : 7.11.19.172 2048 Bytes 20.12.2011 13:04:59
VBASE005.VDF : 7.11.19.173 2048 Bytes 20.12.2011 13:04:59
VBASE006.VDF : 7.11.19.174 2048 Bytes 20.12.2011 13:04:59
VBASE007.VDF : 7.11.19.175 2048 Bytes 20.12.2011 13:04:59
VBASE008.VDF : 7.11.19.176 2048 Bytes 20.12.2011 13:04:59
VBASE009.VDF : 7.11.19.177 2048 Bytes 20.12.2011 13:04:59
VBASE010.VDF : 7.11.19.178 2048 Bytes 20.12.2011 13:04:59
VBASE011.VDF : 7.11.19.179 2048 Bytes 20.12.2011 13:04:59
VBASE012.VDF : 7.11.19.180 2048 Bytes 20.12.2011 13:04:59
VBASE013.VDF : 7.11.19.217 182784 Bytes 22.12.2011 13:05:08
VBASE014.VDF : 7.11.19.255 148480 Bytes 24.12.2011 13:05:13
VBASE015.VDF : 7.11.20.29 164352 Bytes 27.12.2011 13:05:19
VBASE016.VDF : 7.11.20.70 180224 Bytes 29.12.2011 13:05:26
VBASE017.VDF : 7.11.20.102 240640 Bytes 02.01.2012 13:05:31
VBASE018.VDF : 7.11.20.139 164864 Bytes 04.01.2012 13:05:35
VBASE019.VDF : 7.11.20.178 167424 Bytes 06.01.2012 12:57:25
VBASE020.VDF : 7.11.20.207 230400 Bytes 10.01.2012 19:15:08
VBASE021.VDF : 7.11.20.236 150528 Bytes 11.01.2012 19:14:56
VBASE022.VDF : 7.11.20.237 2048 Bytes 11.01.2012 19:14:56
VBASE023.VDF : 7.11.20.238 2048 Bytes 11.01.2012 19:14:56
VBASE024.VDF : 7.11.20.239 2048 Bytes 11.01.2012 19:14:57
VBASE025.VDF : 7.11.20.240 2048 Bytes 11.01.2012 19:14:57
VBASE026.VDF : 7.11.20.241 2048 Bytes 11.01.2012 19:14:57
VBASE027.VDF : 7.11.20.242 2048 Bytes 11.01.2012 19:14:57
VBASE028.VDF : 7.11.20.243 2048 Bytes 11.01.2012 19:14:57
VBASE029.VDF : 7.11.20.244 2048 Bytes 11.01.2012 19:14:57
VBASE030.VDF : 7.11.20.245 2048 Bytes 11.01.2012 19:14:57
VBASE031.VDF : 7.11.20.248 2048 Bytes 11.01.2012 19:14:57
Engineversion : 8.2.8.22
AEVDF.DLL : 8.1.2.2 106868 Bytes 15.12.2011 13:59:36
AESCRIPT.DLL : 8.1.3.96 434554 Bytes 09.01.2012 19:48:51
AESCN.DLL : 8.1.7.2 127349 Bytes 14.12.2011 23:31:02
AESBX.DLL : 8.2.4.5 434549 Bytes 15.12.2011 13:59:35
AERDL.DLL : 8.1.9.15 639348 Bytes 14.12.2011 23:31:02
AEPACK.DLL : 8.2.15.1 770423 Bytes 15.12.2011 13:59:35
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 05.01.2012 13:06:40
AEHEUR.DLL : 8.1.3.15 4264310 Bytes 09.01.2012 19:48:50
AEHELP.DLL : 8.1.18.0 254327 Bytes 15.12.2011 13:59:31
AEGEN.DLL : 8.1.5.17 405877 Bytes 15.12.2011 13:59:31
AEEMU.DLL : 8.1.3.0 393589 Bytes 14.12.2011 23:30:58
AECORE.DLL : 8.1.24.3 201079 Bytes 05.01.2012 13:05:50
AEBB.DLL : 8.1.1.0 53618 Bytes 14.12.2011 23:30:58
AVWINLL.DLL : 12.1.0.17 27344 Bytes 15.12.2011 13:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 15.12.2011 13:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 15.12.2011 13:59:38
AVARKT.DLL : 12.1.0.19 208848 Bytes 15.12.2011 13:59:36
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 15.12.2011 13:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 15.12.2011 13:59:50
AVSMTP.DLL : 12.1.0.17 62928 Bytes 15.12.2011 13:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 15.12.2011 13:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 15.12.2011 13:59:58
RCTEXT.DLL : 12.1.0.16 98512 Bytes 15.12.2011 13:59:59

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Mittwoch, 11. Januar 2012 22:34

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '119' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'NIHardwareService.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '11' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '110' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '170' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1009' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\System Volume Information\_restore{300FF6BB-8CEC-429F-8EB1-35A27128CD31}\RP26\A0031698.exe
Beginne mit der Suche in 'D:\'

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{300FF6BB-8CEC-429F-8EB1-35A27128CD31}\RP26\A0031698.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.4370492
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c10ac3c.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 11. Januar 2012 23:07
Benötigte Zeit: 32:47 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

4020 Verzeichnisse wurden überprüft
151922 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
151921 Dateien ohne Befall
740 Archive wurden durchsucht
0 Warnungen
1 Hinweise
208868 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Malewarebyte Report
Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.12.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
home :: HOME-DE583A83ED [Administrator]

12.01.2012 12:02:47
mbam-log-2012-01-12 (12-02-47).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 191930
Laufzeit: 38 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Notfalls kann man auch von einem infizierten system Ubuntu brennen, Windows-Schädlinge greifen nicht in den Linuxprogrammteilen und sind auf dieser Plattform auch nicht lauffähig. Das Optimum ist das aber nicht.

Ist leider nicht hifreich wenn du nicht postest du da gelöscht hast.
Und die Logs von Malwarebytes und ESET hätte ich auch gern mal alle gesehen, egal ob Fund oder kein FUnd.

Sorry das es so lange gedauert hat.
Also ich habe virtuell dj,gold wave und native instruments gelöcht letzteres konnte ich nicht komplett löschen und habe es auch wieder neu instaliert weil ich es brauche.
hier die Malewarebytes und ESET Logs:
ESET Log:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4f6c498d21b0a841a0d7cd5408cdd04a
# end=finished
# remove_checked=false
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-12 01:09:39
# local_time=2012-01-12 02:09:39 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777175 100 0 607922 607922 0 0
# compatibility_mode=8192 67108863 100 0 3867 3867 0 0
# scanned=20838
# found=0
# cleaned=0
# scan_time=1290


Malewarebytes log:
Malwarebytes Anti-Malware 1.60.0.1800
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.01.12.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
home :: HOME-DE583A83ED [Administrator]

12.01.2012 12:02:47
mbam-log-2012-01-12 (12-02-47).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 191930
Laufzeit: 38 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

gruß senor d

Gelöscht warum? Hat der Virenscanner darin was gesehen? :pfeiff:

Nein er hat da nichts gefunden.Ich habe auch nicht wirklch ahnung von pc s und habe in meiner Panik schnell gold wave&Virtuell (free ware)gelöcht,weil ich gehört habe das man sich auch ein virus holen kann wenn man Programme im nets Runterlädt.Ich wollte auch noch die anderen Programme wie zip,avira,u.s.w.löschen bis ich dan aber gelesen habe das man erst mal nichts voreilig deeinstalieren sollte.
gruß senor d

hy,also wollte ma fragen was ich jetzt machen soll da keine antwort mehr kommt aber sicherlich hasbt ihr viel zu tun und ich sollte mich etwas gedulden.Es wäre wirklich schön wenn ich den laptop noch sauber bekomme!

So? Aus welcher Quelle hast du es denn runtergeladen?

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Weiß es nicht mehr so genau Gold Wave habe ich glaube bei chip de und Virtuell dj über you tupe da war ein link.
Hier der OTL Text

gruß senor d

Ist unauffällig.

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

hier der TDSS Killer log

gruß senor d

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Habe Vergessen zu sagen,das TDSS Killer ein paar objekte bemängelt hat!Die ich dan wie beschrieben,mit der Aktion Skip behandelt habe.

gruß senor d

Das seh ich schon selbst in den Logs. http://cheesebuerger.de/images/midi/froehlich/a048.gif

Habe leider 2 Versuche gebraucht um das log zu bekommen.Beim 1 Anlauf war Combofix auch schon fast fertig und es stand da das es noch eine weile brauch um die log daten Fertig zu stellen,in der gleichen zeit tauchte eine Fehlermeldung auf.
"Die Anweisung in 0 x 77ef65ad verweißt auf speicher in 0xfffffff der red konnte nicht durchgeführt werden.Drücken Sie ok um das Program zu beenden." Da in der Anleitung Stand das man die Maus nicht bewegen soll wärend Combo Fix arbeitet,habe ich erst mal
gewartet.Nachdem lange nichts passiert ist beendete ich Combo Fix,weil die Fehler Meldungen trotz OK drückens nicht verschwunden sind und Combo Fix kein Log erstellte.Jetzt habe ich Combo Fix nochmals gestartet danach hat es auch wie in der Anleitung Funktioniert.Ich hoffe das meine Handlung nicht Falsch war und dadurch mein System ein Schaden davon trägt oder die Arbeit für euer Team erschwert wird.
Darf ich jetzt Combo Fix Wieder Deinstalieren?

Hier der Log:
Combofix Logfile:
--- --- ---

Grüße senor d

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).