MBAM hat heute folgendes gefunden...

#16 Wenn du ein mailprogramm nutzt öffnest du das dann auf neue nachicht, dann fügst du meine adresse ein dann gehst du auf einfügen anlagen navigierst dort hin wo die datei ist drückst enter dann sollte das file eingefügt sein, dann sendest du dei mail.
wenn net melde dich auf der seite an, wo du deine adresse hast, dann neue nachicht anlage durchsuchen und dann suchst du wieder die datei und sendest sie mir zu.

#17 ich habe nochmal MBAM durchlaufen lassen... der scan wurde gestoppt und dann kommt von Avira folgende Meldung:

"In der Datei 'C:\System Volume Information\_restore{8F03C794-54C4-4072-AB39-2063B82419B9}\RP126\A0015990.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Killav.28714' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern"

was soll ich jetzt bitte tun?

#18 Hat hier irgendwer etwas von einem scan mit malwareBytes geschrieben?
derfindet eh nur diedatei die ich haben möchte, da wir sie ja wieder an ihren Ursprungsort getan haben.
also sende mir sie zu oder du kannst sie auch in deiner nächsten antwort hier hochladen.
Systemwiederherstellung:
Rechtsklick auf arbeitsplatz,eigenschaften,systemwiederherstellung wähle auf allen laufwerken deaktiviren, übernehmen ok.
warte 10 min und schalte sie wieder ein, dann ist der fund gelöcht, den antivir macht.

#19 ich habe dir die datei zugeschickt gerade

#20 hast du auch schon start ausfüren
combofix /u
enter
ausgefürt?

#21 ja, habe ich gemacht...in 5 min werde ich die laufwerke wieder aktivieren. den PC muss dafür doch nicht runterfahren, oder? und dann 10 min warten?

#22 hast du schon version neun von antivir?

#23 ja..version 9 habe ich


was soll ich nun machen bitte? und was hat das mit dieser Meldung bei MBAM zu bedeuten? ist das egal, wenn die jetzt immer kommt?

#24 Ist ein false positive und wird behoben, updaten und bei den nächsten scans darauf achten das file nicht zu löschen.

#25 danke für die antwort. kannst du mir denn sagen, warum avira auch darauf angeschlagen hat und meinte, es wäre ein Trojaner?

warum habe ich alle wiederherstellungspunkte löschen sollen bitte?

#26 avira hat etwas anderes gefunden in der systemwiederherstellung, deswegen solltest du sie löschen, wir können ja ncoh einen scan mit avira machen:
http://www.paules-pc-forum.de/forum/4-pc-sicherheit/112535-avira-antivir-anleitung-zur-einrichtung.html
du kannst web und mailguard weglassen, du hast ja die free-version.
wähle lokaler schutz dann manuelle auswahl und dort alles anklicken, nur so wird mit den von uns gemachten einstellungen gescannt. bitte funde in quarantäne, log posten.

#27 ok...ich lasse Avira gerade durchlaufen, nachdem die Änderungen der Einstellungen von Avira vorgenommen habe..

darf ich fragen, warum man den produktupdate deaktivieren soll?

werde gleich den log posten von avira..

#28 Naja, falls es ein Produktupdate gibt...

#29 Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 23. April 2009 14:10

Es wird nach 1362962 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : DAN

Versionsinformationen:
BUILD.DAT : 9.0.0.387 17962 Bytes 24.03.2009 11:03:00
AVSCAN.EXE : 9.0.3.3 464641 Bytes 24.02.2009 11:13:22
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 19:33:26
ANTIVIR2.VDF : 7.1.3.63 1588224 Bytes 16.04.2009 15:47:22
ANTIVIR3.VDF : 7.1.3.98 118272 Bytes 23.04.2009 12:09:44
Engineversion : 8.2.0.148
AEVDF.DLL : 8.1.1.0 106868 Bytes 27.01.2009 16:36:42
AESCRIPT.DLL : 8.1.1.75 373113 Bytes 14.04.2009 15:59:33
AESCN.DLL : 8.1.1.10 127348 Bytes 04.04.2009 15:47:18
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 17:24:41
AEPACK.DLL : 8.1.3.14 397685 Bytes 18.04.2009 15:47:17
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 19:01:56
AEHEUR.DLL : 8.1.0.119 1724791 Bytes 18.04.2009 15:47:16
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 19:01:56
AEGEN.DLL : 8.1.1.36 340341 Bytes 18.04.2009 15:47:16
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.6.9 176500 Bytes 14.04.2009 15:59:29
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.1 292609 Bytes 09.02.2009 06:52:20
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 10:41:16
RCTEXT.DLL : 9.0.35.0 87809 Bytes 11.03.2009 14:50:50

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 23. April 2009 14:10

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\WINDOWS\system32\svchost.exe'
Signiert -> 'C:\WINDOWS\system32\winlogon.exe'
Signiert -> 'C:\WINDOWS\explorer.exe'
Signiert -> 'C:\WINDOWS\system32\smss.exe'
Signiert -> 'C:\WINDOWS\system32\wininet.DLL'
Signiert -> 'C:\WINDOWS\system32\wsock32.DLL'
Signiert -> 'C:\WINDOWS\system32\ws2_32.DLL'
Signiert -> 'C:\WINDOWS\system32\services.exe'
Signiert -> 'C:\WINDOWS\system32\lsass.exe'
Signiert -> 'C:\WINDOWS\system32\csrss.exe'
Signiert -> 'C:\WINDOWS\system32\drivers\kbdclass.sys'
Signiert -> 'C:\WINDOWS\system32\spoolsv.exe'
Signiert -> 'C:\WINDOWS\system32\alg.exe'
Signiert -> 'C:\WINDOWS\system32\wuauclt.exe'
Signiert -> 'C:\WINDOWS\system32\advapi32.DLL'
Signiert -> 'C:\WINDOWS\system32\user32.DLL'
Signiert -> 'C:\WINDOWS\system32\gdi32.DLL'
Signiert -> 'C:\WINDOWS\system32\kernel32.DLL'
Signiert -> 'C:\WINDOWS\system32\ntdll.DLL'
Signiert -> 'C:\WINDOWS\system32\ntoskrnl.exe'
NICHT signiert -> 'C:\WINDOWS\system32\ctfmon.exe'
[FUND] Enthält verdächtigen Code: HEUR/Modified.SystemFile
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a565b3a.qua erstellt ( QUARANTÄNE )
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '26593' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Matrox.PowerDesk SE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NDSTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Matrox.PowerDesk.Services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '33' Prozesse mit '33' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:

Der Suchlauf über die Bootsektoren wird begonnen:

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '53' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\' <Data>


Ende des Suchlaufs: Donnerstag, 23. April 2009 14:22
Benötigte Zeit: 11:51 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

2410 Verzeichnisse wurden überprüft
177851 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
177849 Dateien ohne Befall
1181 Archive wurden durchsucht
1 Warnungen
2 Hinweise
26593 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

in quarantäne habe ich jetzt einen eintrag...muss ich den auch noch posten und wenn ja, wie mache ich das bitte?

#30 hi, bitte eine datei an avira senden:
c:\windows\system32\ctfmon.exe
http://analysis.avira.com
teile uns das ergebniss mit.
hast du die heuristik auf hoch gestellt?