Hier Osam als Logfile, hatte es vorhin als html Logfile:
OSAM Logfile:
--- --- ---
If You have questions or want to get some help, You can visit Online Solutions :: Index

Was hat es mit mbr.sys und axtyapob.sys auf sich. Habe die beiden Einträge in der Registry gelöscht aber nach einem erneuten scan mit osam findet er sie immer noch.

Habe mal zur Sicherheit Avira Antirootkit drüber laufen lassen dieser findet nichts. Osam zeigt mbr.sys und axtyapob.sys an, obwohl ich in der Registry nichts mehr finde. Was soll ich mit den Java Trojanern machen sie sind noch in meiner Quarantäne.

Hier der Logfile:

Avira AntiRootkit Tool (1.1.0.1)

========================================================================================================
- Scan started Freitag, 6. August 2010 - 13:34:17
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 148.89 GB
- Working disk free size : 73.33 GB (49 %)
--------------------------------------------------------------------------------------------------------

Scan task finished. No hidden objects detected!

--------------------------------------------------------------------------------------------------------
Files: 0/119175
Registry items: 0/371160
Processes: 0/58
Scan time: 00:05:19
--------------------------------------------------------------------------------------------------------
Active processes:
- System (PID 4)
- svchost.exe (PID 1708)
- svchost.exe (PID 1408)
- lsm.exe (PID 712)
- svchost.exe (PID 1356)
- svchost.exe (PID 1844)
- smss.exe (PID 492)
- svchost.exe (PID 1576)
- svchost.exe (PID 528)
- svchost.exe (PID 1208)
- CFSvcs.exe (PID 572)
- avguard.exe (PID 588)
- csrss.exe (PID 580)
- wininit.exe (PID 652)
- csrss.exe (PID 644)
- lsass.exe (PID 704)
- svchost.exe (PID 1016)
- taskeng.exe (PID 2764)
- winlogon.exe (PID 788)
- services.exe (PID 688)
- svchost.exe (PID 504)
- svchost.exe (PID 908)
- PresentationFontCache.exe (PID 972)
- svchost.exe (PID 1196)
- aidxpaza.exe (PID 6048) (Avira AntiRootkit Tool)
- wmpnetwk.exe (PID 4080)
- svchost.exe (PID 1056)
- ehtray.exe (PID 3668)
- Ati2evxx.exe (PID 1124)
- svchost.exe (PID 1160)
- ICQ Service.exe (PID 1132)
- SearchIndexer.exe (PID 2444)
- wlanext.exe (PID 1860)
- audiodg.exe (PID 1332)
- SLsvc.exe (PID 1376)
- Ati2evxx.exe (PID 1688)
- spoolsv.exe (PID 1808)
- sched.exe (PID 1832)
- TemproSvc.exe (PID 2076)
- explorer.exe (PID 684)
- avgnt.exe (PID 3608)
- TNaviSrv.exe (PID 2240)
- TODDSrv.exe (PID 2260)
- TosCoSrv.exe (PID 2304)
- TosBtSrv.exe (PID 2316)
- TosIPCSrv.exe (PID 2376)
- ULCDRSvr.exe (PID 2400)
- svchost.exe (PID 2420)
- dwm.exe (PID 2808)
- taskeng.exe (PID 3080)
- MSASCui.exe (PID 3576)
- TPwrMain.exe (PID 3584)
- TCrdMain.exe (PID 3592)
- jusched.exe (PID 3656)
- ehmsas.exe (PID 3820)
- wmpnscfg.exe (PID 4044)
- conime.exe (PID 5772)
- avirarkd.exe (PID 3320)
========================================================================================================
- Scan finished Freitag, 6. August 2010 - 13:39:36
========================================================================================================

Bitte nichts auf eigene Faust einfach löschen v.a. wenn Du nichts davon weißt!
Beides ist von GMER. Die eine für MBR-Analysen, die andere für den Rootkitscan:

Wie gehen wir jetzt weiter vor oder ist alles sauber. Eine Frage noch die du nicht beantwortet hast. Soll ich die Java trojaner aus der Quarantäne löschen?

Du weißt, was eine Quarantäne ist? Ob da die schädliche Datei drinbliebt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Quarantäne an die Datei ran.


Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

hier ist der superantispyware logfile:

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generated 08/06/2010 at 05:01 PM

Application Version : 4.41.1000

Core Rules Database Version : 5325
Trace Rules Database Version: 3137

Scan type : Complete Scan
Total Scan Time : 01:15:41

Memory items scanned : 653
Memory threats detected : 0
Registry items scanned : 8531
Registry threats detected : 0
File items scanned : 112618
File threats detected : 2

Trojan.Agent/Gen-Cryptor[Virut]
C:\TOSHIBA\WEBSHOPS\ADDEBAYTOOLBARBUTTON.EXE

Adware.Tracking Cookie
www.naiadsystems.com [ C:\Users\Onur\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\68CUGSYE ]

hier ist der malwarebytes logfile:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4399

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18928

06.08.2010 18:01:27
mbam-log-2010-08-06 (18-01-27).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 238641
Laufzeit: 50 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hm, durchwachsenes Ergebnis. Rechner wieder ok oder noch Auffälligkeiten?

Wenn ich "Virut" lese wird mir schlecht, ich hoffe das ist nur ein Fehlalarm :balla:
Virut ist ein Fileinfector, der sämtliche *.exe infiziert, seinen Code quasi an ausführbare Dateien "dranklebt". Hattest Du mal Meldungen vom Virut bekommen? Im Moment stufe ich das eher als Fehlalarm ein, weil keine viruttypischen Einträge zu sehen waren bisher. Oder hatte dieses System schon vorher eine Bereinigung hinter sich?

Nein ich hatte vorher noch nie einen Virut genauso wenig hatte ich auch scho einmal eine Bereinigung. Der Virut ist in der Quarantäne kann er dort immer noch etwas anrichten?

Was kann denn ein Virut meinen PC ausspionieren?

Dann wird das ein Fehlalarm sein. Der Virut ist ein sehr aggressiver Schädling. Er heftet sich an alle *.exe Dateien ran, das war zu DOS-Zeiten eine weit verbreitete Infektionsmethode, die in den letzten Jahren eigentlich kaum noch auftrat. Aber Fileinfectoren wie Virut und Sality machen sowas (wieder). Deswegen müsstest Du bei einer Infektion schon viel eher was von Virut gesehen haben.

Vielen Dank für deine bisherige Hilfe Arne.

Ich hätte da noch eine Frage. Wie kann ich absolut sicher gehen, dass ich keinen Virut habe ( geht mir nicht mehr aus dem Kopf). Wenn ich das richtig verstanden habe, dann müssten in der nächsten Zeit von superAntispyware weitere Virut Befälle gefunden werden, da sich der Virut ja an andere .exe Dateien dranhängt. Kannst du mir bitte einen Lösungsweg geben?

Wenn Du noch absolut sicher fragst, führt nichts an format c: plus Neuinstallation von Windows vorbei! Du darfst auch keine *.exe-Dateien aus dem infizierten System übernehmen.

Haben wir hier so einen Guide/Tutorial für Neuinstallation bei einem Virutbefall. Und noch was habe mein System ohne Originale Windows CD bekommen also nur eine OEM Version. Auf dem Desktop war ein Programm namens Recovery CD Creator fungiert diese wenn ich sie brenne als Betriebssystem?

Müsste nicht Superanti Spyware weitere Virutbefälle erkennen, da sich ja der Virut normal ja an andere .exe Dateien dranhängt?

Ja, deswegen habe ich doch gesagt, dass es eher ein Fehlalarm ist! Auch andere Tools hätten zumindest irgendwie Virut-Überreste sehen müssen!