Avira findet 2 Trojaner Java-Virus JAVA/Agent.BH und Exploit EXP/Pidief.coi
 

Liebe Spezialisten,

mein Avira-Programm hatte heute o.g. 2 Funde:

H:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\jar_cache4748052305929033803.tmp
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.BH

und

H:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\plugtmp-9\plugin-Notes1.pdf
[FUND] Enthält Erkennungsmuster des Exploits EXP/Pidief.coi

Beide Dateien befinden sich jetzt in Quarantäne.

Ein Vollscan mit Malwarebytes ergab danach keinerlei Fund mehr.

Ich habe leider schon seit einiger Zeit nicht mehr scannen lassen, insofern kann ich nicht sagen, wie lange die Viren/Trojaner schon drauf sind.

Ich wäre sehr dankbar, wenn Ihr mir helfen könntet herauszufinden, ob mein System irgendwo angegriffen ist und wenn ja, mir helft, es wieder sauber zu bekommen.
Die Logfiles von Avira und MB hänge ich hier an.

Vielen Dank schon mal im Voraus für Eure Hilfe und ein gutes neues Jahr!

PS: ich bin standardmäßig NICHT als Administrator eingeloggt. Wenn ich also irgendetwas unbedingt als Admin machen muss, wäre ich für einen kurzen Hinweis dankbar.

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Lieber Arne,

anbei die beiden Logfiles.

Während des Scanvorgangs bekam ich eine Fehlermeldung, von der ich Dir einen Screenshot anhänge.
Erst passierte garnichts, als ich mehrfach auf "abbrechen", "weiter" und "wiederholen" klickte, und irgendwann lief der Scan dann doch weiter.

Danke schon mal für Deine Hilfe.

Ist rel. unauffällig. Mach mal ein Log mit CF:


ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

ich wollte ComboFix laufen lassen, aber er sagt mir immer gleich zu Beginn, dass mein Avira-Guard noch laufen würde, obwohl ich den vorher deaktiviert hatte (Avira-Schirm ist geschlossen).

Im Task Manager sehe ich trotz Deaktivierung des Avira-Guards einen Prozess namens "avguard.exe" (Benutzer: System) - wenn ich den manuell beenden will, bekomme ich die Fehlermeldung "der Vorgang konnte nicht beendet werden - Zugriff verweigert".

Was soll ich nun tun? ComboFix warnt natürlich, dass das zu Systembeschädigungen führen kann, wenn der Guard nicht deaktiviert ist, daher habe ich nicht weiterlaufen lassen...

Wenn der Regenschirm geschlossen ist, kannst du CF durchlaufen lassen. Ist ein kleiner Bug.

Lieber Arne,

das CF-Fenster mit der Nachricht

"Suche nach infizierten Dateien - dies dauert normalerweise nicht länger als zehn Minuten. Die Scanzeit für stark infizierte Rechner kann sich leicht verdoppeln"

steht jetzt bereits über 2 Stunden bei mir auf dem Desktop.
Ist das normal?

(ich poste jetzt von einem anderen Computer aus)

Ja warte noch ein bisschen ab :rolleyes:

okay, mach' ich :rolleyes:

Aber bevor Du in die wohlverdiente Nachtruhe gehst, noch schnell eine Frage: sollte sich in zwei Stunden immer noch nichts getan haben, darf ich dann das Fenster mit Klick aufs Kreuz schließen, oder mach' ich da was am System kaputt?

Ich hab' Besuch, der in diesem Zimmer schläft, deshalb kann ich den Computer nicht die ganze Nacht laufen lassen...

Danke für Deine Geduld - ich kenn' mich mit CF leider gar nicht aus, drum bin ich so vorsichtig... ;)

mittlerweile ist es 1 Uhr nachts und es tut sich immer noch nichts. CF läuft jetzt schon seit über fünf Stunden, aber ich hab' immer noch den Bildschirm, den ich in meinem letzten Post beschrieben habe.

Arne, bitte gib mir doch Bescheid, was ich machen soll, sobald Du das liest. Vielen Dank!

Mach einen Neustart

Morgen Arne,

nur zu Deiner Info: ich hatte den Computer jetzt doch die ganze Nacht an (allerdings hatte ich den Monitor ausgeschaltet), es hat sich aber nichts geändert, das CF-Fenster steht unverwandt da. Wenn ich auf das Kreuz klicke, um das CF-Fenster zu schließen, tut sich auch nichts.

Jetzt habe ich auf "Start" und "Neu starten" geklickt, auch da tut sich aber nichts.

Soll ich den PC nun einfach mittels "Ein/Aus"-Knopf drücken ausschalten und dann wieder hochfahren?

Und soll ich dann CF nochmals starten?

Ja mach es mal so

zweiter Versuch läuft jetzt seit drei Stunden - leider wieder das selbe Bild.
Der CF-Bildschirm sagt "Suche nach infizierten Dateien...", aber seit drei Stunden tut sich nichts.

Ich schätze, das wird auch wieder nichts werden.

Hast Du eine Idee, woran es liegen kann, bzw. was wir jetzt tun können?

das ist jetzt vielleicht eine blöde Frage, aber ich stell' sie mal trotzdem ;):

bei dem CF-Fenster gibt es ja so ein kleines Symbol mit "C:/". Kann es sein, dass CF nicht startet, weil meine Festplatte nicht "C", sondern "H" ist?