3 Trojaner auf meinem Rechner. :-(

#46 ah, interessant. vielen dank.
der scanner läuft jetzt seit ein paar stunden und die temperatur des motherboards und der festplatte seigen stetig an. momentan sind wir bei 60 grad für die festplatte und 46 des motherboards.
ich denke, ich pausiere den scan mal in einer stunde oder so und lass die temperatur sinken um dann weiter zu scannen. mal sehen, ob windows dann "brav" bleibt. :-)
lg

#47 Gute Idee Also so ab 65Grad ist dann vermutlich Feierabend und die Kiste fährt runter. Schau doch noch nach um welches Motherboard es sich handelt und welche Festplatte. Dann kannst Du sicher etwas über die Max. Temp. finden.

#48 guten morgen,
so, das mit dem scannen hat jetzt auf diese weise geklappt. :-)
das hier wurde gefunden: wobei das, wenn ich das richtig sehe, alles super alte sachen sind, die schon jahrelang auf meinem rechner sind.

Code

SUPERsetup20.exe/data002/data001\0001\E6\SUPER.exe    C:\Documents and Settings\Alexander\DoctorWeb\Quarantine\SUPERsetup20.exe/data002/data001    Wahrscheinlich DLOADER.Trojan    
data001    C:\Documents and Settings\Alexander\DoctorWeb\Quarantine    Container enthält infizierte Objekte    
data002    C:\Documents and Settings\Alexander\DoctorWeb\Quarantine    Container enthält infizierte Objekte    
SUPERsetup20.exe    C:\Documents and Settings\Alexander\DoctorWeb\Quarantine    Container enthält infizierte Objekte    Verschoben.
SUPERsetup22.exe/data002/data001\0001\E6\SUPER.exe    C:\Documents and Settings\Alexander\DoctorWeb\Quarantine\SUPERsetup22.exe/data002/data001    Wahrscheinlich DLOADER.Trojan    
data001    C:\Documents and Settings\Alexander\DoctorWeb\Quarantine    Container enthält infizierte Objekte    
data002    C:\Documents and Settings\Alexander\DoctorWeb\Quarantine    Container enthält infizierte Objekte    
SUPERsetup22.exe    C:\Documents and Settings\Alexander\DoctorWeb\Quarantine    Container enthält infizierte Objekte    Verschoben.
Ratten.exe    C:\Documents and Settings\Alexander\Dokumente\Dokumente\Fun\Spiele\Anwendungen    Joke.MouseShoot    
Ratten.exe    C:\Users\Alexander\Dokumente\Dokumente\Fun\Spiele\Anwendungen    Joke.MouseShoot    
Ratten.exe    J:\Dokumente\Dokumente\Fun\Spiele\Anwendungen    Joke.MouseShoot    

wie kann ich denn den bitdefender wieder loswerden? der lässt sich ie unter extras nicht deinstallieren?

hier nochmal die drei ursprünglichen trojaner, kopiert aus dem antivir-report. um die muss ich mir also keine sorgen mehr machen? die sind weg, oder?

Code

C:\Users\Alexander\AppData\Local\Temp\1B43.tmp.exe
    [FUND]      Ist das Trojanische Pferd TR/Riner.FA
C:\Users\Alexander\AppData\Local\Temp\1bda9d8a6241cdbc.exe
    [FUND]      Ist das Trojanische Pferd TR/Riner.FA.1
C:\Users\Alexander\AppData\Local\Temp\Setup_6ff5.exe
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen

ich glaube, du hast bald die ruhe von mir......... :-) wobei ich sagen muss, dass das mit deiner unterstützung fast ein wenig spass gemacht hat. :-)

schönen tag und lg!

#49 achso, ich habe dann bei dem scan auf "alles makieren" gedrückt und versucht zu desinfizieren bzw. zu verschieben. allerdings hatte er nur ein paar der dateien makiert gehabt. was ist mit dem rest?

lg

#50 Also meinst Du bei CureiT? Wäre schon wichtig gewesen dass auch alles markiert und gelöscht wird. Aber wie ich sehe sind die Dateien jo bereits in Quarantäne von Cureit.

Wie siehts denn aus mit der Temparatur?

#51 ja, ich meine cureit. es ließen sich nicht alle markieren. als die temperatur auf 57 grad war, habe ich den pc für ne stunde in den standby modus gefahren. mal sehen, wie es jetzt in zukunft ist.

aber, als ich gerade den pc hochgefahren habe, hat er sich von allein gleich wieder runtergefahren! das habe ich jetzt seit 1,5 wochen nicht mehr gehabt. ach mann, ich dachte, alles passt wieder.
in diesem moment meldet sich antivir mit der meldung, dass ein trojanisches pferd gefunden wurde: C:\Users\Alexander\AppData\Local\temp\Low\23631764.nls
Antivir sagt, es wäre das Trojanische Pferd TR/Ringer.LW

Was soll ich jetzt damit machen? Löschen, Zugriff verweigern oder in Quarantätne verschieben?

Vielen Dank,
Lg

#52 Ich werde mich morgen wieder melden. Muss nun auf Nachtschicht. Abe ich bin zuverischtlich. Lass den Fund in quarantäne verschieben und am besten nicht mehr mit dem System arbeiten bis morgen.

#53 ok, alles klar. vielen dank. ich habe ihn in quarantäne verschoben. aber mit dem system nicht mehr arbeiten geht leider gar nicht. der pc ist doch die basis von allem!!!!!!!!! gggggggrrrrrrrrr. aber auch ernsthaft, ich muß an diversen dingen arbeiten.
dann hab ne gute nachtschicht!
lg.

#54 Da muss mir wohl irgendwas entgangen sein.

Schritt 1

• Lade Avenger speichere es unter einem anderen Namen und starte es.

• Hake zusaetzlich "automaticaly disable any rootkit found".
• Schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)
• Klicke: Execute
• bestätige, dass der Rechner neu gestartet wird - klicke "yes"
• Poste das Log, welches erscheint.
Beantworte die Frage zum Neustart des Rechners (Reboot now?) ebenfalls mit "Ja". Nachdem der Rechner neu gestartet ist (das kann auch zweimal nötig sein und passieren!) und das DOS-Fenster, das der Avenger geöffnet hat, wieder geschlossen ist, öffnet Avenger Deinen Editor mit dem Avengerlog, zu finden auch unter C:\avenger.txt. Den Inhalt bitte posten.


Schritt 2

Zweiter Lauf mit Gmer

• Starte Gmer erneut.
• Dieses Mal machst Du einen Rechtsklick links in das weiße Feld und wählst im Kontext-Menü "Only non MS files".
• Dann klickst Du auf "Scan" und erlaubst damit Gmer erneut zu scannen.
• Wenn der Scan fertig ist, klickst Du auf den "Copy"-Button, womit der Inhalt ins Clipboard kopiert wird.
• Nun einen Rechtsklick auf den Desktop, wähle "Textdokument", was ein leeres Dokument auf dem Desktop erstellt.
• Öffne das Textdokument per Doppelklick, Rechtsklick im Textfeld und "Einfügen".
• Speichere das Dokument und poste mir den Inhalt hier in den Thread.

Schritt 3

Rootkitsuche mit Avira AntiRootkit

Lade Avira AntiRootkit herunter, indem Du auf den Download-Button klickst. Speichere die Datei auf Deinem Desktop.

• Du solltest jetzt antivir_rootkit.zip auf Deinem Desktop finden.
• Entpacke das Archiv auf Deinen Desktop (antivir_rootkit.zip kannst Du jetzt manuell löschen).
• Doppelklick auf die avirarkd.exe => OK.
• Klicke auf Start scan.
• Wenn der Suchlauf beendet ist, klicke auf View report und kopiere das Log hier in den Thread.


Schritt 4

Erneuter Systemscan mit OTL


• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte [COLOR=green]Use SafeList[/COLOR]
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in Code-Tags hier in den Thread.

#55 hallo, guten morgen.
ok, hier sind die resultate:

Schritt 1

Code

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Completed script processing.

*******************

Finished!  Terminate.

Nach dem Systemstart kam die Meldung. Ich denke, kann man ignorieren, aber ich lasse den Experten urteilen. :-)
Es befindet sich kein Datenträger im Laufwerk. Legen Sie einen Datenträger im Laufwerk\Device\Harddisk2\DR2 ein.

#56 Schritt 2 kann ich leider nicht poste, da der Text zu lange ist. Ich versuche es jetzt mal mit einem Dateianhang. Sorry.

#57 Schritt 3
Der ging leider nicht. Als ich das Programm ausführen wollte, kam diese Meldung:
The integrity check for one component cannot be checked. The application will exist.

Ich hatte alles so gemacht, wie Du es beschrieben hattest.


Schritt 4 muss ich wieder mit Textanhang machen, da der Text auch zu lange ist. :-(

So, das wars.
Vielen Dank!!!!!!!

Lg

#58 hallo,
ich habe jetzt nochmal antivir drüber laufen lassen. es hat das trojanische pferd gefunden und nach einem neustart auch entfernt. hier der bericht:

Code

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 25. März 2010  10:49

Es wird nach 1901069 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows Vista
Windowsversion : (Service Pack 2)  [6.0.6002]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : ALEX

Versionsinformationen:
BUILD.DAT      : 10.0.0.561     32098 Bytes  18.03.2010 15:35:00
AVSCAN.EXE     : 10.0.2.3      433832 Bytes  07.03.2010 16:57:03
AVSCAN.DLL     : 10.0.2.0       55144 Bytes  15.02.2010 15:03:11
LUKE.DLL       : 10.0.2.3      104296 Bytes  07.03.2010 17:32:59
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 18:27:49
VBASE002.VDF   : 7.10.3.1     3143680 Bytes  20.01.2010 16:37:42
VBASE003.VDF   : 7.10.3.75     996864 Bytes  26.01.2010 15:37:42
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 10:29:03
VBASE005.VDF   : 7.10.4.204      2048 Bytes  05.03.2010 10:29:03
VBASE006.VDF   : 7.10.4.205      2048 Bytes  05.03.2010 10:29:03
VBASE007.VDF   : 7.10.4.206      2048 Bytes  05.03.2010 10:29:03
VBASE008.VDF   : 7.10.4.207      2048 Bytes  05.03.2010 10:29:03
VBASE009.VDF   : 7.10.4.208      2048 Bytes  05.03.2010 10:29:03
VBASE010.VDF   : 7.10.4.209      2048 Bytes  05.03.2010 10:29:03
VBASE011.VDF   : 7.10.4.210      2048 Bytes  05.03.2010 10:29:03
VBASE012.VDF   : 7.10.4.211      2048 Bytes  05.03.2010 10:29:03
VBASE013.VDF   : 7.10.4.242    153088 Bytes  08.03.2010 14:43:21
VBASE014.VDF   : 7.10.5.17      99328 Bytes  10.03.2010 14:24:21
VBASE015.VDF   : 7.10.5.44     107008 Bytes  11.03.2010 16:41:40
VBASE016.VDF   : 7.10.5.69      92672 Bytes  12.03.2010 08:25:53
VBASE017.VDF   : 7.10.5.91     119808 Bytes  15.03.2010 08:39:58
VBASE018.VDF   : 7.10.5.121    112640 Bytes  18.03.2010 12:01:24
VBASE019.VDF   : 7.10.5.138    139776 Bytes  18.03.2010 09:17:54
VBASE020.VDF   : 7.10.5.164    113152 Bytes  22.03.2010 09:17:55
VBASE021.VDF   : 7.10.5.182    108032 Bytes  23.03.2010 09:17:55
VBASE022.VDF   : 7.10.5.199    123904 Bytes  24.03.2010 09:17:55
VBASE023.VDF   : 7.10.5.200      2048 Bytes  24.03.2010 09:17:55
VBASE024.VDF   : 7.10.5.201      2048 Bytes  24.03.2010 09:17:55
VBASE025.VDF   : 7.10.5.202      2048 Bytes  24.03.2010 09:17:55
VBASE026.VDF   : 7.10.5.203      2048 Bytes  24.03.2010 09:17:55
VBASE027.VDF   : 7.10.5.204      2048 Bytes  24.03.2010 09:17:55
VBASE028.VDF   : 7.10.5.205      2048 Bytes  24.03.2010 09:17:55
VBASE029.VDF   : 7.10.5.206      2048 Bytes  24.03.2010 09:17:55
VBASE030.VDF   : 7.10.5.207      2048 Bytes  24.03.2010 09:17:56
VBASE031.VDF   : 7.10.5.210     36352 Bytes  25.03.2010 09:17:56
Engineversion  : 8.2.1.196 
AEVDF.DLL      : 8.1.1.3       106868 Bytes  13.02.2010 11:16:21
AESCRIPT.DLL   : 8.1.3.18     1024378 Bytes  17.03.2010 10:09:47
AESCN.DLL      : 8.1.5.0       127347 Bytes  25.02.2010 17:38:41
AESBX.DLL      : 8.1.2.1       254323 Bytes  17.03.2010 10:09:47
AERDL.DLL      : 8.1.4.3       541043 Bytes  17.03.2010 10:09:47
AEPACK.DLL     : 8.2.1.1       426358 Bytes  25.03.2010 09:17:57
AEOFFICE.DLL   : 8.1.0.41      201083 Bytes  17.03.2010 10:09:46
AEHEUR.DLL     : 8.1.1.13     2470262 Bytes  17.03.2010 10:09:46
AEHELP.DLL     : 8.1.10.2      237941 Bytes  17.03.2010 10:09:46
AEGEN.DLL      : 8.1.3.2       373108 Bytes  25.03.2010 09:17:56
AEEMU.DLL      : 8.1.1.0       393587 Bytes  10.11.2009 08:04:22
AECORE.DLL     : 8.1.12.3      188789 Bytes  17.03.2010 10:09:45
AEBB.DLL       : 8.1.0.3        53618 Bytes  10.09.2009 11:15:06
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 10:59:07
AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 15:47:40
AVREG.DLL      : 10.0.1.2       52072 Bytes  29.01.2010 10:47:36
AVSCPLR.DLL    : 10.0.2.3       83304 Bytes  07.03.2010 17:02:25
AVARKT.DLL     : 10.0.0.13     227176 Bytes  07.03.2010 16:48:35
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 08:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08
RCTEXT.DLL     : 10.0.46.0      98664 Bytes  05.03.2010 09:09:35

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, J:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Donnerstag, 25. März 2010  10:49

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\program files\internet explorer\iexplore.exe
c:\Program Files\Internet Explorer\iexplore.exe
    [HINWEIS]   Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'vpnui.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'OfficeLiveSignIn.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '151' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '133' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '109' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehRecvr.exe' - '118' Modul(e) wurden durchsucht
Durchsuche Prozess 'mobsync.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehsched.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'TVESched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'YahooAUService.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'x10nets.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '7' Modul(e) wurden durchsucht
Durchsuche Prozess 'TVECapSvc.exe' - '111' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'PVRService.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSCamS32.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'LaunchU3.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'DevDetect.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'ipoint.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'itype.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'QTTask.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'ODSBCApp.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'TVEService.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'vVX3000.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '167' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'vpnagent.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '151' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'J:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1669' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\Users\Alexander\AppData\Local\temp\spss7736\23631764.nls
    [FUND]      Ist das Trojanische Pferd TR/Riner.LW
Beginne mit der Suche in 'D:\' <RECOVER>
Beginne mit der Suche in 'J:\' <HDDRIVE2GO>

Beginne mit der Desinfektion:
C:\Users\Alexander\AppData\Local\temp\spss7736\23631764.nls
    [FUND]      Ist das Trojanische Pferd TR/Riner.LW
    [WARNUNG]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
    [WARNUNG]   Fehler in der ARK Library
    [HINWEIS]   Die Datei wurde zum Löschen nach einem Neustart markiert.
Die Reparaturanweisungen wurden in die Datei 'C:\avrescue\rescue.avp' geschrieben.


Ende des Suchlaufs: Donnerstag, 25. März 2010  13:10
Benötigte Zeit:  2:18:28 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  38681 Verzeichnisse wurden überprüft
 832514 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 832513 Dateien ohne Befall
   6387 Archive wurden durchsucht
      1 Warnungen
      1 Hinweise
 722465 Objekte wurden beim Rootkitscan durchsucht
      1 Versteckte Objekte wurden gefunden

Lg

#59 Doch GMER hatten wir schon Hast Du ganz am Anfang gepostet:
http://board.protecus.de/t39311.htm#337565

Ich melde mioch gleich wieder.

#60 Schritt 1

Starte die avenger.exe erneut durch Doppelklick und akzeptiere mit OK die Nutzungsbedingungen. Füge den Inhalt der folgenden Codebox vollständig und unverändert bei "Input script here" ein und klicke auf "Execute". Beantworte die Frage, ob Du sicher bist, dass das Skript ausgeführt werden soll mit "Ja".

Code

Folders to delete:
C:\Users\Alexander\AppData\Local\temp\spss7736

Beantworte die Frage zum Neustart des Rechners (Reboot now?) ebenfalls mit "Ja". Nachdem der Rechner neu gestartet ist (das kann auch zweimal nötig sein und passieren!) und das DOS-Fenster, das der Avenger geöffnet hat, wieder geschlossen ist, öffnet Avenger Deinen Editor mit dem Avengerlog, zu finden auch unter C:\avenger.txt. Den Inhalt bitte posten. Ein Backup der entfernten Objekte wurde als C:\avenger\backup.zip angelegt.

Schritt 2

Temp File Cleaner

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe
Soltle TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.

Schritt 3

Ich habe noch was entdeckt:

Zitat

C:\Programme\Messenger Plus Live

Der *Messenger Plus* enthält einige Komponenten, die deinen Rechner ausspionieren (Trojaner) deshalb wird von diesem Programm abgeraten. Bei der Deinstallation
► *achte aber darauf, ob da etwas beim Deinstallieren mit da steht, wie "Partnerprogramme entfernen"!*

Wenn du unbedingt möchtest (es ist besser ein Spy- und Adware freies Messenger Tool einzusetzen - wie Trillian,kann man in der Basisversion von Trillian die Instant Messenger ICQ, AIM, Yahoo! Messenger, Windows Live Messenger (MSN) und IRC vereinen) oder Miranda ),kannst du nochmal installieren,aber alles genau durchlesen, und Partnerprogrammen,Sponsoren etc musst du abwählen!
Immer die benutzerdefinierte Installation wählen, nicht die Standardinstallation, weil dann oft Sachen mitinstalliert werden, die man nicht braucht oder nicht möchte.
also deinstallieren.

Falls Du die normale MSN Version willst dann lade diese von hier aber OHNE Sponsorprogramm.


Schritt 4

Combofix deinstallieren

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking (Norton) und Anti-Malware Programme deaktivieren.

Start => Ausführen (bei Vista (Windows-Taste + R) => dort reinschreiben ComboFix.exe /u => Enter drücken - damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch daraus die Schädlinge verschwinden. Es wird ein neuer Systemwiederherstellungspunkt erstellt. Gleichzeitig setzt Combofix die Zeiteinstellungen wieder auf die Ursprungseinstellungen, und setzt die Systemeinstellungen wieder so zurück, dass Dateierweiterungen und Systemdateien versteckt sind, was Du bei Bedarf im Explorer unter Extras => Ordneroptionen aber wieder ändern bzw. Deinen persönlichen Vorlieben entsprechend anpassen kannst.


Schritt 5

Wir müssen einmal ein wenig aufräumen

Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Doppelklick auf OTL.exe um das Programm auszuführen.
Vista-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
• Klicke auf den Button "CleanUp!"
• OTM fragt eventuell nach einem Neustart.
Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.