[s4bsy]

Hey leute, hab gestern meinen laptop neu aufgesetzt und heut alle programme drauf gespielt so und jetzt hab ich mal ne antivirus software drüber laufen lassen und die hat natürlich prompt wieder ein paar gefunden!!! Könnt mir vielleicht jemand helfen und mir sagen, was ich davon löschen muss und soll und was nicht gefährlich ist! Ich danke allen schon mal im vorraus ) - Ich poste mal den Prüfbericht:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 24. September 2008 14:53

Es wird nach 1636221 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: YOUR-CF5ED83388

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 13:54:15
ANTIVIR2.VDF : 7.0.6.153 3341312 Bytes 12.09.2008 00:33:48
ANTIVIR3.VDF : 7.0.6.202 344576 Bytes 23.09.2008 00:34:06
Engineversion : 8.1.1.34
AEVDF.DLL : 8.1.0.5 102772 Bytes 09.07.2008 08:38:31
AESCRIPT.DLL : 8.1.0.76 319867 Bytes 24.09.2008 00:35:33
AESCN.DLL : 8.1.0.23 119156 Bytes 24.09.2008 00:35:27
AERDL.DLL : 8.1.1.2 438644 Bytes 24.09.2008 00:35:23
AEPACK.DLL : 8.1.2.1 364917 Bytes 24.09.2008 00:35:13
AEOFFICE.DLL : 8.1.0.25 196986 Bytes 24.09.2008 00:35:00
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 24.09.2008 00:34:54
AEHELP.DLL : 8.1.0.15 115063 Bytes 09.07.2008 08:38:31
AEGEN.DLL : 8.1.0.36 315764 Bytes 24.09.2008 00:34:26
AEEMU.DLL : 8.1.0.7 430452 Bytes 24.09.2008 00:34:18
AECORE.DLL : 8.1.1.11 172406 Bytes 24.09.2008 00:34:12
AEBB.DLL : 8.1.0.1 53617 Bytes 24.04.2008 08:50:42
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 24.09.2008 00:34:07
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, E:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Mittwoch, 24. September 2008 14:53

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'web 'n' walk Manager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxcrcoms.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ezprint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxcrmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPSBattM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iFrmewrk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TFncKy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TvsTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPSMain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'THotkey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'X10nets.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TAPPSRV.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehrecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '47' Prozesse mit '47' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '63' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP21\A0003060.EXE
[FUND] Ist das Trojanische Pferd TR/Agent.55481
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490a479f.qua' verschoben!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'E:\' <Speedy_Trekstor>
E:\Start.exe
[FUND] Ist das Trojanische Pferd TR/Spy.VB.aho
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '493b4aa8.qua' verschoben!
E:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP22\A0003764.exe
[FUND] Ist das Trojanische Pferd TR/Spy.VB.aho
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490a4b7b.qua' verschoben!
E:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP22\A0003765.exe
[FUND] Ist das Trojanische Pferd TR/Agent.282112.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490a4b7f.qua' verschoben!
E:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP9\A0001876.EXE
[FUND] Ist das Trojanische Pferd TR/Agent.55461
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490a4bae.qua' verschoben!
E:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP9\A0001893.EXE
[FUND] Ist das Trojanische Pferd TR/Agent.55481
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490a4bc2.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 24. September 2008 16:21
Benötigte Zeit: 1:28:07 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

11728 Verzeichnisse wurden überprüft
387001 Dateien wurden geprüft
9 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
9 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
386989 Dateien ohne Befall
8634 Archive wurden durchsucht
3 Warnungen
9 Hinweise

[Account gelöscht]

1. ERST virensoftware, dann den Rest.... (DANN erst inet aktivieren), wie dem auch sei

2. Avira AntiVir PersonalEdition Classic <-- der sucht nur, verschiebt sie oder löscht vierenverseuchte dateien, kann sie aber nicht reparieren. also damit wirst du sie nicht "los", ausser löschen, ABER

3. da aber ein paar der vieren in winverzeichnissen (\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}) sind, wirst du diese mit antivir oder ähnlichen verwandten nicht los...

4. zB die A0003764.exe muss nicht zwingend einen virus haben - installdateien oder ähnliches werden auch oft als spyware erkannt (grade von avira). in deinem fall ist sie aber nicht sauber, daher

5. versuche die datei manuell zu löschen (im dos modus!!) oder nen dos- (oder rettungsOS) virenscanner zu nutzen.

Also ich würd dir echt raten neu aufzusetzen.. andernfalls check ma hijack (könnte behilflich sein)

[samuk]

poste mal n hijack! *EDIT* eeh... n logfile

[Elorie]

Vor allem sieht es verdammt danach aus als ob ein Teil davon in deiner Datensicherung hockt, also wirklich mit ner entsprechenden boot-diskette/cd an die die Daten ran.

Und spielst du direkt die alten Emails wieder mit ein? das wäre Möglichkeit 2 wo direkt nach dem aufsetzen was drinnen sein kann.


(So als kleine Bemerkung am Rande)

Also wirklich erst Virus-Prog, evtl. sogar noch nen Spyware-Prog drauf und dann Daten zurückspielen und Software installieren...

[l3mon]

erstmal - warum hast du die kiste neu aufgesetzt? schon virenbefallen gewesen?? wenn ja, und du hast pech, sitzt der im mbr (masterbootrecord) und an den kommst über ne neuinstallation nur schwer ran (fdisk /mbr kann helfen). was sicher hilft, wär mit nem linux drauffahren - komplettes file-system überschreiben - dann wieder win drauf - nochmal das komplete filesystem und die partitionen neu anlegen.

und nimm mal den hier als antivirales progi

[samuk]

oder wie schon erwähnt: mach mal n hijackthis!
exe runterladen ---> logfile pasten ---> bugs fixen.

wenn dir nämlich ein trojaner im hintergrund läuft, nützt auch kein antivir!