Hat avira anti vir meinen virus entfernt?
 

Hallo, ich wollte mir vor kurzem einen eigenen proxyserver mit phpmyproxy erstellen , aber dann ,als ich mir das frei verfügbare php file zihen wollte, kam die melung, dass maleware gefunden wurde, natürlich hab ich sofort auf entfernen geklickt, danach einen kompletten suchlauf gemacht, aber er hat nichts gefunde, aber hab ich den virus wirklich los von meinem pc, oder ist er noch da, deswegen poste ich diese hjackthislog, angaben zum system
cpu:amd phenom IIx61055t
ram:4gbgskill eco 1600mhz cl7
bs:vista 32bit sp 2

hjackthis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:19:30, on 18.11.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18975)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\DAODx.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe
C:\Program Files\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Metin2\metin2client.bin
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe
C:\Users\XXX\Downloads\HiJackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\XXX\Downloads\manuelstester.com.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe -r
O4 - HKLM\..\Run: [NUSB3MON] "C:\Program Files\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe"
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: XXX - C:\Users\XXX\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
O13 - Gopher Prefix:
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - h**p://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

--
End of file - 3979 bytes


hieraus sollte sich für euch profis wohl etwas offenbaren oder?

mfg,
Manuel

Hallo PCFREAK86,
schauen wir erstmal genauer nach. Macht dein PC denn irgendwelche Probleme?

Vorweg ein paar Hinweise (Bitte beachten!):

• Lies meine Anleitung für dich sorgfältig durch, bevor du beginnst. Führe alle Schritte unbedingt der Reihe nach aus, da manchmal der eine Punkt den anderen voraussetzt.
• Wenn dir etwas im Verlauf der Bereinigung unklar ist, frage bitte in deinem Thread nach, bevor du weitermachst.
• Lade alle hier angeordneten Programme nur durch die jeweiligen Links herunter! Wenn ein Link nicht funktionieren sollte, melde dich bitte.
• Installiere während der Bereinigung keine weiteren Programme, ausser denen, die wir dir für die Bereinigung anordnen.
• Berichte zu jedem Schritt, ob Du ihn abgearbeitet hast, bzw. ob und welche Probleme dabei aufgetreten sind.
• Sollten beim Abarbeiten der Anleitung Probleme auftauchen, bitte vorerst nicht weitermachen, sondern stoppen und das Problem hier im Thread schildern.
• Editiere alle persönlichen Daten wie z.B. vollständige Namen realer und privater Personen aus den geforderten Logfiles, bevor du sie postest.
• Und falls eine Antwort mal länger dauern wird, freu ich mich auch über einen hinweis :)

Ich geb mir Mühe, alles zu finden, was nicht auf dein System gehört, aber muss dich darauf hiweisen, dass Formatieren und Neuaufsetzen in den meisten Fällen die schnellste und sicherste Variante ist ein sauberes System zu bekommen. Wenn du trotzdem bereinigen möchtest, folgt hier die Anleitung:






1.) Avira Antivir - Was wurde gefunden?

Damit wir uns die Funde deines Antivirenprogrammes mal genau ansehen können, gehe bitte wie folgt vor:

• Starte Avira Antivir
• Unter dem Reiter Übersicht auf Ereignisse klicken
• Dort bitte überprüfen, dass oben Alle angehakt sind und unter Filter nur das Kästchen Fund, die anderen bitte auslassen.
• Alle Funde markieren (Sofern vorhanden)
• Oben auf den runden Pfeil klicken (Ausgewählte Ereignisse exportieren)
• Unter dem vorgegebenen Namen abspeichern und den Inhalt dieser .txt-Datei hier ebenfalls posten.

2.) Systemscan mit OTL
Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

3.) Gmer - Rootkitscan
Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
• Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  
  Code:

  ---

  WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

  ---

• Unbedingt auf "No" klicken,
  in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.
  
  .
  
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
• Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
  Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
• Wenn der Scan fertig ist, bleibt die Zeile leer.
  Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
  Mit "Ok" wird Gmer beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

Vielen Dank, für deine sehr ausführliche anleitung, erstmal zu problemen, eigentlich machte er keine, trotzdem wollte ich mal ein hjackthislog erstelln, aber dann kam das, was mich verunsichhert:
Ich musste die hjackthis exe umbenennen, damit es funktionierte, also habe ich mich dazu entschieden das hjackthislog zu posten, jetzt zu den logfiles:

Avira: Ereignisse

OTL logfile:

otl extras logfile:

gmer logfile:
so das wars
hoffentlich lässt sich damit was anfangen


mfg,
Manuel

Die Funde wurden in den temporären Internetdateien gemacht und haben sich nicht auf deinem Computer breitgemacht. Also erstmal halb so wild :)
Noch eine Frage, hast du diesen Benutzer angelegt?
und dann hab ich noch ein paar Anweisungen für dich:


1.) Fixen mit OTL

• Starte bitte die OTL.exe.
  Vista-&Win7-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt der folgenden Codebox in die Benutzerdefinierte Scans/Fixes - Textbox.
  
  
  Code:

  ---

  :OTL
O33 - MountPoints2\{96d65bb3-e04f-11df-a27e-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{96d65bb3-e04f-11df-a27e-806e6f6e6963}\Shell\AutoRun\command - "" = D:\.\Bin\ASSETUP.exe -- File not found
:Commands
[EMPTYTEMP]

  ---

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• Klick auf .
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

2.) Hijackthis
Du benutzt eine nicht aktuelle Version, die neueste ist HijackThis 2.0.4.
Deinstalliere Hijackthis und lade dir zb HIER die neueste Version 2.0.4. und installiere es. Schau mal, ob du das Programm dann ohne umbenennen benutzen kannst.
Btw. Kleiner Hinweis, wenn du eine Dateierweiterung ala "EXE" umändern möchtest, musst du vorher die Dateierweiterungen sichtbar machen, sonst hast du eine doppelte Endung bei der aber nur die zweite gültig ist:
C:\Users\XXX\Downloads\manuelstester.com.exe

Hallo, das Problem mit dem Umbennennen hat sich erledigt, hier nun nochmal das otl logfile

und hier das "neue" hajckthis log
Zu dem Benutzer \XXX\
den hab ich nur editiert, wobei mein BEnutzer name eh keinen Nachnamen sondern nur meinen Vornamen enthält, mit dem ich eh immer grüße, finde ich es nicht notwendig, ist es ok, wenn ich, falls nochmal Logfiles erforderlichsind, nur die Links editiere?

mfg,
Manuel

Ja, erstell bitte neue Logfiles mit OTL nach obiger Anleitung und lass die Benutzernamen dann stehen.

Und mach das bitte auch noch:

Start -> Ausführen -> compmgmt.msc reintippen oder hineinkopieren -> Unter "System" auf "Lokale Benutzer und Gruppen" -> Rechtsklick auf "Benutzer" und im Kontextmenü "Liste exportieren" wählen.
Speichere diese Liste auf dem Desktop und poste mir den Inhalt, schreib dazu hinter jeden aufgelisteten Benutzer, ob du ihn angelegt hast, bzw. nutzt.

So hier die neuen logfiles:

otl.txt:
CODE]OTL Logfile:
--- --- ---


extras.txt:

OTL Logfile:
--- --- ---


zu dem mit compmgmt.msc , dass hat nich tfunktioniert, weil ich lokale benutzer und gruppen nicht finde, kann es daran liegen, dass ich alleiniger benutzer und adminitrator zugleich bin?

mfg,
Manuel

:balla: Sorry, die Einstellung gibts gar nicht in deiner Vistaversion... Aber hat sich eh erledigt, alles okay :)

Hast du noch irgendwelche Probleme mit dem Rechner?

Ansonsten, dein Mozilla Firefox ist nicht ganz aktuell.
Firefox starten -> Hilfe -> Nach Updates suchen -> Anweisungen folgen.

Oh danke für den Hinweis mit firefox, sonst hab ich keine Probleme mehr, aber doch eins war schon vorher da, immer wenn ich Trackmania NationsForever gestartet habe kam nach so 10 Minuten ein Piepser aus dem Pc, also der Beeper, aber nicht der, wenn ein Virus gefunden wird, sondern, so einer wie bei start, neuerding kommt stattdessen immer ein Bluescreen, aber nur bei Trackmania, am besten ich poste mal den Stop Fehler:
danke für deine Hilfe,
Manuel

Gabs noch mehr Angaben, zb IRQL_NOT_LESS_OR_EQUAL oder ein anderer Text in Großbuchstaben in dem Bluescreen? Wird irgendeine Datei erwähnt?

Bluescreens können natürlich viele Ursachen haben. Veraltete oder beschädigte Treiber, nicht kompatible Hardware, Überhitzung. Wär natürlich gut, das alles mal zu prüfen.

Und das Piepsen, war das mehrfach gepiepst, nur einmal, kurz, lang,... ? Was für ein BIOS hast du? Könnte eventuell helfen.

Vielleicht aber auch mal den einfachen Weg versuchen und das Spiel mal ganz neu installieren? Ist deine Hardware auch ganz sicher an die Spielanforderungen zu Trackmania Nations Forever angepasst?

Hm soweit ich weiß nicht wirklich, ich versuch jetzt schon seit ner halben stunde den bluescreen "heraufzubeschwören" :D
aber es klappt nicht, das piepsen ist kurz und einmal, aber es passiert nichts, also es läuft alles ganz normal, ich versuch das Spiel nochmal neu zu installieren, si hoch läuft es eigtnlich nicht, ich habe die nach einem benchmark des Spiels empfohlenen Einstellungen übernommen und selbst in online games ruckeln nur die andern fahrer, wenn überhaupt.

mfg,
Manuel

*g* Tja, wenn man den BS mal braucht, dann kommt er nicht :D

Dann berichte nochmal, wenn du was neues weißt.

jo, morgen muss ich nich solange arbeiten, da kann ich dann etwas mehr zocken :freu

So jetzt hat er endlich mal wieder einen Bluescreen ausgeworfen, die nummer ist genau die gleiche, oben stand :
IRQL_NOT_LESS_OR_EQUAL

und dann nach etwas mehr text der stop fehler

mfg,
MAnuel