Hallo,

ich habe laut Avira seit einigen Tagen W32/Murofet.A auf dem Rechner, der laut 17 Avira-Berichten 27 exe-Dateien besetzt hat.

Z.B. C:\Users\Chrissie\AppData\Roaming\Microsoft\Windows\Templates\G\USBAutoRun.exe

Ich habe hier auch schon von einigen gelesen, die das selbe Problem haben/hatten, doch bin ich mir nicht sicher, welcher/welche Reports hier am besten helfen, womit man mir helfen kann.

Auf dem Rechner ist jedenfalls Vista 32 bit. Ich habe bereits versucht einen älteren Systemwiederherstellungspunkt aufzuspielen, doch klappt das irgendwie nicht richtig. Woran das liegt, kann ich mir nicht erklären.

Ich hoffe, Ihr könnt/mögt mir helfen.

Gruß
Chrissie

Zitat:

der laut 17 Avira-Berichten 27 exe-Dateien besetzt hat.

Log bitte nachreichen

Z.B. folgende:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 11. Mai 2011 19:57

Es wird nach 2707717 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : SCHWEINCHEN-PC

Versionsinformationen:
BUILD.DAT : 10.0.0.648 31823 Bytes 01.04.2011 18:23:00
AVSCAN.EXE : 10.0.4.2 442024 Bytes 09.05.2011 21:07:38
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 11:42:16
LUKE.DLL : 10.0.3.2 104296 Bytes 09.12.2010 18:43:48
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 13:39:48
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 15:04:31
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 11:46:21
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 17:42:38
VBASE004.VDF : 7.11.5.226 2048 Bytes 07.04.2011 17:42:39
VBASE005.VDF : 7.11.5.227 2048 Bytes 07.04.2011 17:42:40
VBASE006.VDF : 7.11.5.228 2048 Bytes 07.04.2011 17:42:40
VBASE007.VDF : 7.11.5.229 2048 Bytes 07.04.2011 17:42:41
VBASE008.VDF : 7.11.5.230 2048 Bytes 07.04.2011 17:42:41
VBASE009.VDF : 7.11.5.231 2048 Bytes 07.04.2011 17:42:41
VBASE010.VDF : 7.11.5.232 2048 Bytes 07.04.2011 17:42:41
VBASE011.VDF : 7.11.5.233 2048 Bytes 07.04.2011 17:42:41
VBASE012.VDF : 7.11.5.234 2048 Bytes 07.04.2011 17:42:42
VBASE013.VDF : 7.11.6.28 158208 Bytes 11.04.2011 17:42:42
VBASE014.VDF : 7.11.6.74 116224 Bytes 13.04.2011 17:42:43
VBASE015.VDF : 7.11.6.113 137728 Bytes 14.04.2011 17:42:44
VBASE016.VDF : 7.11.6.150 146944 Bytes 18.04.2011 06:29:49
VBASE017.VDF : 7.11.6.192 138240 Bytes 20.04.2011 06:29:50
VBASE018.VDF : 7.11.6.237 156160 Bytes 22.04.2011 06:29:51
VBASE019.VDF : 7.11.7.45 427520 Bytes 27.04.2011 21:07:38
VBASE020.VDF : 7.11.7.64 192000 Bytes 28.04.2011 21:07:38
VBASE021.VDF : 7.11.7.97 182272 Bytes 02.05.2011 21:07:38
VBASE022.VDF : 7.11.7.127 467968 Bytes 04.05.2011 21:07:38
VBASE023.VDF : 7.11.7.183 185856 Bytes 09.05.2011 21:07:38
VBASE024.VDF : 7.11.7.184 2048 Bytes 09.05.2011 21:07:38
VBASE025.VDF : 7.11.7.185 2048 Bytes 09.05.2011 21:07:38
VBASE026.VDF : 7.11.7.186 2048 Bytes 09.05.2011 21:07:38
VBASE027.VDF : 7.11.7.187 2048 Bytes 09.05.2011 21:07:38
VBASE028.VDF : 7.11.7.188 2048 Bytes 09.05.2011 21:07:38
VBASE029.VDF : 7.11.7.189 2048 Bytes 09.05.2011 21:07:38
VBASE030.VDF : 7.11.7.190 2048 Bytes 09.05.2011 21:07:38
VBASE031.VDF : 7.11.7.214 112128 Bytes 10.05.2011 17:56:58
Engineversion : 8.2.4.228
AEVDF.DLL : 8.1.2.1 106868 Bytes 16.11.2010 19:01:12
AESCRIPT.DLL : 8.1.3.61 1253754 Bytes 09.05.2011 21:07:38
AESCN.DLL : 8.1.7.2 127349 Bytes 23.11.2010 18:46:51
AESBX.DLL : 8.1.3.2 254324 Bytes 23.11.2010 18:46:55
AERDL.DLL : 8.1.9.9 639347 Bytes 17.04.2011 17:43:02
AEPACK.DLL : 8.2.6.0 549237 Bytes 17.04.2011 17:42:59
AEOFFICE.DLL : 8.1.1.22 205178 Bytes 09.05.2011 21:07:38
AEHEUR.DLL : 8.1.2.113 3494263 Bytes 09.05.2011 21:07:38
AEHELP.DLL : 8.1.16.1 246134 Bytes 07.02.2011 15:05:10
AEGEN.DLL : 8.1.5.4 397684 Bytes 17.04.2011 17:42:50
AEEMU.DLL : 8.1.3.0 393589 Bytes 23.11.2010 18:46:36
AECORE.DLL : 8.1.20.2 196982 Bytes 17.04.2011 17:42:49
AEBB.DLL : 8.1.1.0 53618 Bytes 16.11.2010 19:01:12
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 11:59:07
AVREP.DLL : 10.0.0.9 174120 Bytes 09.05.2011 21:07:38
AVREG.DLL : 10.0.3.2 53096 Bytes 16.11.2010 19:01:12
AVSCPLR.DLL : 10.0.4.2 84840 Bytes 09.05.2011 21:07:38
AVARKT.DLL : 10.0.22.6 231784 Bytes 09.12.2010 18:43:44
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 09:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 13:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 16.11.2010 19:01:11

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4eaaff65\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch

Beginn des Suchlaufs: Mittwoch, 11. Mai 2011 19:57

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSwMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TOSCDSPD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWLan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleDesktop.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TCrdMain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SmoothView.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPwrMain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleDesktop.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Toshiba.Tempo.UI.TrayApplication.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NDSTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'xaudio.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ULCDRSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosIPCSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosCoSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TODDSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TNaviSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TempoSVC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Chrissie\AppData\Roaming\Microsoft\Windows\Templates\G\USBAutoRun.exe'
C:\Users\Chrissie\AppData\Roaming\Microsoft\Windows\Templates\G\USBAutoRun.exe
[FUND] Enthält Code des Windows-Virus W32/Murofet.A

Beginne mit der Desinfektion:
C:\Users\Chrissie\AppData\Roaming\Microsoft\Windows\Templates\G\USBAutoRun.exe
[FUND] Enthält Code des Windows-Virus W32/Murofet.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4af56adf.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 11. Mai 2011 19:58
Benötigte Zeit: 00:01 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
75 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
74 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread