Das Log sieht gut aus.
Allerdings solltest Du nun noch zwei Deiner Drei Virenscanner deinstallieren.
So gewinnst Du Performance, Speicherplatz und Probleme bei der Interoperabilität gehst Du so aus dem Weg.
Ich in Deinem Fall würde Sophos und Symantec deinstallieren.
Abschließend das System nun mit Avira (oder dem Programm Deiner Wahl, vorher updaten und wie hier beschrieben einstellen) scannen.
Den Scanbericht hier posten, es kann durchaus sein das noch Kopien in der Systemwiederherstellung zu finden sind.

Ersteinmal SUPER VIELEN DANK für Deine kompetente Hilfe!
Ich wusste gar nicht das ich Sophos noch drauf habe, ich dachte ich hätte es runtergeschmissen... Kann dafür leider keinen "Uninstaller" finden und in der Systemsteuerung/Software tauchts nicht auf. Sophos Ordner ist aber unter Programme vorhanden. Wie wird man es los?
Von Symantec benutze ich nur die Firewall.
Werde mein Antivir mal trimmen und dann nochmal rüberjagen. Allerdings nicht mehr heute, muss nämlich morgen früh arbeiten... Werde das Ergebnis dann sobald wie möglich hier posten.
Vielleicht hast Du noch eine Idee wie ich Sophos loswerde (läuft da noch ein Guard oder ähnliches?)

Gruss
Dorian

Bitte kopiere das folgende (Strg+C) und füge es (Strg+V) in eine Notepad Fenster ein (Start / Ausführen / notepad [Enter])
Speichere die Datei auf dem Desktop, stelle den Dateityp auf "Textdateien(*.txt) ein und nenn die Datei FixServices.bat

CODE
@echo off
sc stop SWEEPSRV
sc delete SWEEPSRV
sc stop SWNETSUP
sc delete SWNETSUP

exit

Jetzt die Datei doppelklicken und damit ausführen. Nun solltest Du den Ordner C:\Programme\Sophos SWEEP for NT löschen können.

Bitte noch folgendes: Die Version Deines Acrobat Reader ist veraltet, aktualisiere Deine Version hier.
Bei der Installation darauf achten, ihn ohne die Toolbar zu installieren!

Danke für die Tips! Mache ich morgen, muss jetzt leider schlafen gehen.

Bis dann
Dorian

Zitat:

Zitat von BataAlexander

CODE
@echo off
sc stop SWEEPSRV
sc delete SWEEPSRV
sc stop SWNETSUP
sc delete SWNETSUP

exit

Ohne das "CODE" am Anfang, oder? (bitte nich hauen )

Zitat:

Zitat von -SkY-

Ohne das "CODE" am Anfang, oder?

Oder mit einem Code am Ende.

Code: Alles auswählenAufklappen

ATTFilter

@echo off
sc stop SWEEPSRV
sc delete SWEEPSRV
sc stop SWNETSUP
sc delete SWNETSUP 

exit
         

Danke -Sky-

Hallo, war gestern leider offline...
Habe Antivir getrimmt und einen kompletten Suchlauf gestartet. Die Funde von ComboFix und SmitfrautFix habe ich ignoriert. Leider wurde trotzdem noch etwas gefunden (habe ich in Quarantäne geschickt). Kannst Du Dir das mal anschauen?
Habe noch eine Frage: Was macht Dein kleines Skript (zum entfernen von Sophos) eigentlich? Zusätzlich gibt es im Programme Ordner auch noch einen "Sophos" Ordner.

Schon mal Danke für Deine Hilfe!

LOG-file:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 30. April 2008 20:28

Es wird nach 1245960 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ID14TMP2

Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 20.04.2008 23:26:54
AVSCAN.DLL : 8.1.1.0 57601 Bytes 20.04.2008 23:26:54
LUKE.DLL : 8.1.2.9 151809 Bytes 20.04.2008 23:26:55
LUKERES.DLL : 8.1.2.0 12545 Bytes 20.04.2008 23:26:55
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 06:54:46
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 21:22:23
ANTIVIR2.VDF : 7.0.3.197 1260032 Bytes 22.04.2008 20:19:28
ANTIVIR3.VDF : 7.0.3.235 248832 Bytes 30.04.2008 19:19:22
Engineversion : 8.1.0.37
AEVDF.DLL : 8.1.0.5 102772 Bytes 20.04.2008 23:26:56
AESCRIPT.DLL : 8.1.0.28 233851 Bytes 30.04.2008 19:19:29
AESCN.DLL : 8.1.0.15 119157 Bytes 30.04.2008 19:19:28
AERDL.DLL : 8.1.0.20 418165 Bytes 28.04.2008 20:19:35
AEPACK.DLL : 8.1.1.4 364918 Bytes 30.04.2008 19:19:26
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 20.04.2008 23:26:56
AEHEUR.DLL : 8.1.0.21 1196407 Bytes 30.04.2008 19:19:25
AEHELP.DLL : 8.1.0.14 115063 Bytes 20.04.2008 23:26:56
AEGEN.DLL : 8.1.0.18 299381 Bytes 28.04.2008 20:19:32
AEEMU.DLL : 8.1.0.5 430450 Bytes 20.04.2008 23:26:55
AECORE.DLL : 8.1.0.27 168310 Bytes 20.04.2008 23:26:55
AVWINLL.DLL : 1.0.0.7 14593 Bytes 20.04.2008 23:26:54
AVPREF.DLL : 8.0.0.1 25857 Bytes 20.04.2008 23:26:54
AVREP.DLL : 7.0.0.1 155688 Bytes 26.04.2007 08:42:25
AVREG.DLL : 8.0.0.0 30977 Bytes 20.04.2008 23:26:54
AVARKT.DLL : 1.0.0.23 307457 Bytes 20.04.2008 23:26:54
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 20.04.2008 23:26:54
SQLITE3.DLL : 3.3.17.1 339968 Bytes 20.04.2008 23:26:55
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 20.04.2008 23:26:55
NETNT.DLL : 8.0.0.1 7937 Bytes 20.04.2008 23:26:55
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 20.04.2008 23:26:33
RCTEXT.DLL : 8.0.32.0 86273 Bytes 20.04.2008 23:26:33

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 30. April 2008 20:28

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avnotify.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dot1XCfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RMClockHLT.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RMClock.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAMASST.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TOSCDSPD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApntEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsnpstd3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FixCamera.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iFrmewrk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZCfgSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tfswctrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCAPP.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZoomingHook.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SmoothView.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EzButton.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CeEKey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CePMTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmmsg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PadExe.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'symwsc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SWNETSUP.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DVDRAMSV.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CeEPwrSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCPROXY.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCEVTMGR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SNDSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCSETMGR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '66' Prozesse mit '66' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '54' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Dorian\Desktop\ComboFix\ComboFix.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.PV-Programmes
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\Dorian\Desktop\SmitfrautFix\SmitfraudFix.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Tool.Reboot.F.89
C:\Dokumente und Einstellungen\Dorian\Desktop\SmitfrautFix\SmitfraudFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> SmitfraudFix\Reboot.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes
--> SmitfraudFix\restart.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\Dorian\Desktop\SmitfrautFix\SmitfraudFix\Reboot.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\Dorian\Desktop\SmitfrautFix\SmitfraudFix\restart.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\Dorian\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\6n9wzbnw.default\Cache\0C5F4A29d01
[FUND] Enthält Erkennungsmuster des Droppers DR/Tool.Reboot.F.89
C:\Dokumente und Einstellungen\Dorian\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\6n9wzbnw.default\Cache\0C5F4A29d01
[0] Archivtyp: RAR SFX (self extracting)
--> SmitfraudFix\Reboot.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes
--> SmitfraudFix\restart.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '484dd4d3.qua' verschoben!
C:\Dokumente und Einstellungen\Dorian\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\6n9wzbnw.default\Cache\FA4CCC3Fd01
[FUND] Enthält Erkennungsmuster des SPR/Tool.PV-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '484cd4fa.qua' verschoben!
C:\Programme\Mozilla Firefox\plugins\npWTHost.dll
[FUND] Enthält Erkennungsmuster des SPR/WildTangent.B.1-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '486fdca9.qua' verschoben!
C:\Programme\Mozilla Thunderbird\plugins\npWTHost.dll
[FUND] Enthält Erkennungsmuster des SPR/WildTangent.B.1-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '486fdcbf.qua' verschoben!
C:\System Volume Information\_restore{AD75C7A0-8634-4851-8FE2-E6E685C78125}\RP214\A0083159.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.lqg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4848e1af.qua' verschoben!
C:\System Volume Information\_restore{AD75C7A0-8634-4851-8FE2-E6E685C78125}\RP218\A0083560.dll
[FUND] Enthält Erkennungsmuster des SPR/WildTangent.B.1-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4848e1d6.qua' verschoben!
C:\System Volume Information\_restore{AD75C7A0-8634-4851-8FE2-E6E685C78125}\RP218\A0083561.dll
[FUND] Enthält Erkennungsmuster des SPR/WildTangent.B.1-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4848e1dd.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 30. April 2008 22:25
Benötigte Zeit: 1:56:32 min

Der Suchlauf wurde vollständig durchgeführt.

8871 Verzeichnisse wurden überprüft
551025 Dateien wurden geprüft
15 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
7 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
551010 Dateien ohne Befall
17516 Archive wurden durchsucht
6 Warnungen
7 Hinweise

Das Script beendet die Dienste, die von Sophos noch aktiv sind. Danach kannst Du den Sophos Ordner unter c:\Programme löschen.

Die Funde von Avira sind zu vernachlässigen, die einzigen die nicht von SMF oder Combofix kommen, resultieren wohl von der HP Software.

Ansonsten Auffälligkeiten im System?

Nein, ansonsten läuft alles prima.
Leider kann ich das Sophos nicht löschen. Deine bat-Datei scheint leider nicht zu funktionieren. SWNETSUP.exe kann nicht gelöscht werden. Den anderen Sophos Ordner habe ich gelöscht.

Gruss
Dorian

1. Öffne bitte HijackThis nochmal, klicke auf "Open the Misc Tools Section".


2. Klicke auf "Delete an NT Service"


3. Gib den Namen der beiden Dienste SWEEPSRV und SWNETSUP ein. Klicke dann auf OK


Damit solltest Du die Dienste beenden können und dann den Ordner löschen.

Sorry, geht leider nicht. Ich bekomme folgende Fehlermeldung von HiJackthis:

Service ´SWNETSUP´ was not found in the registry
Make sure you entered the short name of the service., vbExclamation

Dies gilt für beide Dateien...

Ok, dann hat die Batch wohl doch funktioniert.

Gehe wiefolgt vor

Bitte öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS


dann Klicke Fix Checked. Schließe HiJackThis. Kannst Du nach einem Reboot nun alle Ordner löschen?

Leider nein. Der Zugriff auf die SWNETSUP.EXE wird immer noch verweigert.

OK, gehen wir wieder mit HJT vor

1) Open the Misc Tools Section


2) Open process manager


3) Prozess suchen, in diesem Fall C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE (oder liegt die Datei woanders?) auf "Kill process" klicken und mit Ja bestätigen.


4) Nun solltest Du diese Datei löschen können.

So hat es leider auch nicht geklappt, da der Prozess von Windows geschützt ist. Ich habe aber das Programm "Unlocker" verwendet, welches die EXE nach einem Neustart löschen konnte. Somit konnte ich auch meinen Sophos NT Ordner löschen. Das sollte dann genügen.
Das System läuft jetzt wie vorher und ich bin super glücklich.
VIELEN DANK für Deine Hilfe !!!