Hallo,

ich habe neben meiner sporadischen Trojaner-Attacken zusätzlich diesen Malware Defender seit heute abend auf dem Rechner. Ich dachte zuerst, das wäre ein Windows Update oder der Windows eigene Security würde sich melden.
Nun, jedenfalls bekomme ich dieses Ding nicht ganz los.
Seitdem ich im abgesicherten Modus meine Temps gelöscht habe, erscheint er zwar nicht mehr (mit seiner aufgezwängten Installation usw), allerdings lassen sich mein Avira und Malwarebytes immernoch nicht starten und Popups sowie irgendwelche Internetseiten, die ich garnicht in der http-Leiste eingegeben habe, ploppen von selbst auf.

Ich habe vorerst versucht dieser Anleitung hier von Mask-Miot: http://www.trojaner-board.de/81023-m...defense-2.html
zu folgen, allerdings funktioniert es nicht. Ich kann mit einem Rechtsklick auf "Arbeitsplatz" weder was aktivieren, noch deaktivieren. Im Abgesichertem Modus fand ich keinerlei dll-Dateien im Temp-Ordner noch exe-Dateien von Malware Defense.
Ich konnte praktisch nichts von dem erreichen, was hier zur Beseitgung dieses Fake-AV-Programms aufgelistet wurde.

Habt ihr noch eine Idee, was ich tun könnte, damit mein Rechner wieder normal funktioniert und anständig geschützt ist?

Hi,

da kommt üblicherweise ein Rookit mit...

Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-01-17 21:43:40
Windows 5.1.2600 Service Pack 3
Running: pvqklqbb.exe; Driver: C:\DOKUME~1\Amy\LOKALE~1\Temp\pxtdrpow.sys


---- System - GMER 1.0.15 ----

Code 83B6A4C8 ZwEnumerateKey
Code 83A4E6B8 ZwFlushInstructionCache
Code 83C1AAC6 IofCallDriver
Code 83A2C53E IofCompleteRequest

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\H8SRTklllxfqfep.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----

Hi,

wie gedacht.
Dann blasen wir dem Rootkit mal das Licht aus....

Bereinigung für Rootkit "H8SRTd"

Zuerst versucht ihr MAM zu installieren, dazu benennt es bereits im Downloaddialog auf
z.B. Test.exe um. Startet es nach der Installation nicht, wartet bis Avenger den
Rootkit "ausgeknippst" hat und lasst es dann sofort laufen (nach dem Update der Signaturen!)

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Falls MAM bereits installiert ist, weiter mit Avenger...

Anleitung Avenger (by swandog46)

1.) Ladet das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
H8SRTd.sys
         

3.) Schliesst alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach Ausführen des Avengers wird das System neu gestartet.

4.) Um Avenger zu starten klicke auf -> Execute
Dann bestätigt mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt
Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board.

Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten:
Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe)
auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie
auf den ursprünglichen Namen (mbam.exe) zurück.

chris

Hi,
hab selbiges rootkit abbekommen. Komm allerdings wenn ich auf den geposteten Link oder auch über google nach The Avenger such nirgends raus weil die Seite scheinbar nicht reagiert. Irgendwer'ne Ahnung was ich tun kann?

danke euch!!!

Vielleicht hilft euch das hier weiter (leider auf Englisch):
Remove Malware Defense (Uninstall Guide)

Gruß
MetalAss

Hi,

mom, stelle ihn kurz hoch...
so: http://www.file-upload.net/download-...er_le.exe.html
Ist umbennant, damit der Download nicht geblockt wird...

chris

Danke, es hat gekklappt mit dem Avenger.
Allerdings ist die Logdatei nach dem Systemscan mit Malwarebytes verschwunden.

Mein Log:

Zitat:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3523
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

17.1.2010 23:07:52
mbam-log-2010-01-17 (23-07-48).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 182241
Laufzeit: 37 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\malware defense (Rogue.MalwareDefense) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\H8SRTixuweppgll.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\H8SRTkhppqsiorg.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\h8srtkrl32mainweq.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\H8SRTpxhgomfhbo.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\h8srtshsyst.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\H8SRTtlwbrsowtm.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\H8SRTsvdkmovymy.dat (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\drivers\H8SRTklllxfqfep.sys (Rootkit.TDSS) -> No action taken.
C:\Dokumente und Einstellungen\Keewee\Lokale Einstellungen\Temp\H8SRT953d.tmp (Rootkit.TDSS) -> No action taken.

Hi,

ich hoffe Du hast alle Funde von MAM entfernen lassen...

Poste noch ein GMER-Log und scanne mit AVIRA:
Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben:
http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html

chris

Dauerte zwar sehr lange, aber habe alles gemacht.

Gmer Log:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-18 00:29:05
Windows 5.1.2600 Service Pack 3
Running: pvqklqbb.exe; Driver: C:\DOKUME~1\Keewee\LOKALE~1\Temp\pxtdrpow.sys


---- System - GMER 1.0.15 ----

SSDT   F7C14C7E                                  ZwCreateKey
SSDT   F7C14C74                                  ZwCreateThread
SSDT   F7C14C83                                  ZwDeleteKey
SSDT   F7C14C8D                                  ZwDeleteValueKey
SSDT   F7C14C92                                  ZwLoadKey
SSDT   F7C14C60                                  ZwOpenProcess
SSDT   F7C14C65                                  ZwOpenThread
SSDT   F7C14C9C                                  ZwReplaceKey
SSDT   F7C14C97                                  ZwRestoreKey
SSDT   F7C14C88                                  ZwSetValueKey
SSDT   F7C14C6F                                  ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

?      lbigkps.sys                               Das System kann die angegebene Datei nicht finden. !
.text  C:\WINDOWS\system32\DRIVERS\nv4_mini.sys  section is writeable [0xF6A9D380, 0x346307, 0xE8000020]

---- EOF - GMER 1.0.15 ----
         

Avira Log:

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 18. Januar 2010  00:30

Es wird nach 1550020 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : Keewee

Versionsinformationen:
BUILD.DAT      : 9.0.0.418     21723 Bytes   2.12.2009 16:23:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  19.11.2009 15:05:32
AVSCAN.DLL     : 9.0.3.0       49409 Bytes   13.2.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes   20.2.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes   26.1.2009 09:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes   6.11.2009 15:05:32
VBASE001.VDF   : 7.10.1.0    1372672 Bytes  19.11.2009 15:03:03
VBASE002.VDF   : 7.10.1.1       2048 Bytes  19.11.2009 15:03:04
VBASE003.VDF   : 7.10.1.2       2048 Bytes  19.11.2009 15:03:04
VBASE004.VDF   : 7.10.1.3       2048 Bytes  19.11.2009 15:03:04
VBASE005.VDF   : 7.10.1.4       2048 Bytes  19.11.2009 15:03:04
VBASE006.VDF   : 7.10.1.5       2048 Bytes  19.11.2009 15:03:04
VBASE007.VDF   : 7.10.1.6       2048 Bytes  19.11.2009 15:03:04
VBASE008.VDF   : 7.10.1.7       2048 Bytes  19.11.2009 15:03:04
VBASE009.VDF   : 7.10.1.8       2048 Bytes  19.11.2009 15:03:04
VBASE010.VDF   : 7.10.1.9       2048 Bytes  19.11.2009 15:03:04
VBASE011.VDF   : 7.10.1.10      2048 Bytes  19.11.2009 15:03:04
VBASE012.VDF   : 7.10.1.11      2048 Bytes  19.11.2009 15:03:04
VBASE013.VDF   : 7.10.1.79    209920 Bytes  25.11.2009 22:23:06
VBASE014.VDF   : 7.10.1.128    197632 Bytes  30.11.2009 16:09:03
VBASE015.VDF   : 7.10.1.178    195584 Bytes   7.12.2009 21:55:22
VBASE016.VDF   : 7.10.1.224    183296 Bytes  14.12.2009 14:33:06
VBASE017.VDF   : 7.10.1.247    182272 Bytes  15.12.2009 14:33:09
VBASE018.VDF   : 7.10.2.30    198144 Bytes  21.12.2009 16:42:42
VBASE019.VDF   : 7.10.2.63    187392 Bytes  24.12.2009 14:28:38
VBASE020.VDF   : 7.10.2.93    195072 Bytes  29.12.2009 19:31:00
VBASE021.VDF   : 7.10.2.131    201216 Bytes    7.1.2010 15:25:57
VBASE022.VDF   : 7.10.2.158    192000 Bytes   11.1.2010 15:26:12
VBASE023.VDF   : 7.10.2.186    200704 Bytes   14.1.2010 15:36:53
VBASE024.VDF   : 7.10.2.205    201728 Bytes   15.1.2010 16:00:10
VBASE025.VDF   : 7.10.2.206      2048 Bytes   15.1.2010 16:00:10
VBASE026.VDF   : 7.10.2.207      2048 Bytes   15.1.2010 16:00:10
VBASE027.VDF   : 7.10.2.208      2048 Bytes   15.1.2010 16:00:10
VBASE028.VDF   : 7.10.2.209      2048 Bytes   15.1.2010 16:00:10
VBASE029.VDF   : 7.10.2.210      2048 Bytes   15.1.2010 16:00:10
VBASE030.VDF   : 7.10.2.211      2048 Bytes   15.1.2010 16:00:10
VBASE031.VDF   : 7.10.2.212    101888 Bytes   17.1.2010 16:00:10
Engineversion  : 8.2.1.142
AEVDF.DLL      : 8.1.1.2      106867 Bytes   15.9.2009 17:31:13
AESCRIPT.DLL   : 8.1.3.7      594296 Bytes    4.1.2010 23:04:03
AESCN.DLL      : 8.1.3.1      127348 Bytes   14.1.2010 15:45:51
AESBX.DLL      : 8.1.1.1      246132 Bytes  19.11.2009 15:05:32
AERDL.DLL      : 8.1.3.4      479605 Bytes   1.12.2009 16:09:09
AEPACK.DLL     : 8.2.0.5      422262 Bytes   14.1.2010 15:45:49
AEOFFICE.DLL   : 8.1.0.38     196987 Bytes   19.7.2009 11:42:51
AEHEUR.DLL     : 8.1.0.195   2232695 Bytes   14.1.2010 15:45:46
AEHELP.DLL     : 8.1.10.0     237942 Bytes   14.1.2010 15:45:32
AEGEN.DLL      : 8.1.1.83     369014 Bytes    4.1.2010 23:03:57
AEEMU.DLL      : 8.1.1.0      393587 Bytes   3.10.2009 23:13:51
AECORE.DLL     : 8.1.9.5      184693 Bytes   14.1.2010 15:45:31
AEBB.DLL       : 8.1.0.3       53618 Bytes   9.10.2008 13:32:40
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes    9.9.2009 14:09:17
AVREP.DLL      : 8.0.0.3      155905 Bytes   20.1.2009 13:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes   7.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes   24.3.2009 14:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes   30.1.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes   28.1.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes    2.2.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes   7.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes   15.5.2009 14:35:17
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  19.11.2009 15:05:31

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, E:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Montag, 18. Januar 2010  00:30

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '38664' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCDsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WlanCU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhLeAutoRun.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VT001HSN.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VT001SNP.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBHGui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '42' Prozesse mit '42' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '67' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\System Volume Information\_restore{7C49FE5D-7CDE-435F-B53A-63A1C825EE5F}\RP603\A0040821.dll
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{7C49FE5D-7CDE-435F-B53A-63A1C825EE5F}\RP603\A0040822.exe
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{7C49FE5D-7CDE-435F-B53A-63A1C825EE5F}\RP603\A0040823.dll
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{7C49FE5D-7CDE-435F-B53A-63A1C825EE5F}\RP603\A0040824.dll
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
C:\WINDOWS\system32\e4TWZ.vbs
    [FUND]      Enthält Erkennungsmuster des SPR/FWBypass.B-Programmes
C:\WINDOWS\system32\jnystOe.vbs
    [FUND]      Enthält Erkennungsmuster des SPR/FWBypass.B-Programmes
C:\WINDOWS\system32\yzPeL2qKDkLPJZc.vbs
    [FUND]      Enthält Erkennungsmuster des SPR/FWBypass.B-Programmes
Beginne mit der Suche in 'E:\' <Daten>

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{7C49FE5D-7CDE-435F-B53A-63A1C825EE5F}\RP603\A0040821.dll
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b83a4bf.qua' verschoben!
C:\System Volume Information\_restore{7C49FE5D-7CDE-435F-B53A-63A1C825EE5F}\RP603\A0040822.exe
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4af696c8.qua' verschoben!
C:\System Volume Information\_restore{7C49FE5D-7CDE-435F-B53A-63A1C825EE5F}\RP603\A0040823.dll
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ae400d8.qua' verschoben!
C:\System Volume Information\_restore{7C49FE5D-7CDE-435F-B53A-63A1C825EE5F}\RP603\A0040824.dll
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4af59d10.qua' verschoben!
C:\WINDOWS\system32\e4TWZ.vbs
    [FUND]      Enthält Erkennungsmuster des SPR/FWBypass.B-Programmes
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ba7a4c3.qua' verschoben!
C:\WINDOWS\system32\jnystOe.vbs
    [FUND]      Enthält Erkennungsmuster des SPR/FWBypass.B-Programmes
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bcca4fd.qua' verschoben!
C:\WINDOWS\system32\yzPeL2qKDkLPJZc.vbs
    [FUND]      Enthält Erkennungsmuster des SPR/FWBypass.B-Programmes
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ba3a509.qua' verschoben!


Ende des Suchlaufs: Montag, 18. Januar 2010  01:00
Benötigte Zeit: 26:27 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   6763 Verzeichnisse wurden überprüft
 227480 Dateien wurden geprüft
      7 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      7 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 227472 Dateien ohne Befall
   1852 Archive wurden durchsucht
      1 Warnungen
      8 Hinweise
  38664 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

..und Avira hat sogar endlich mal was aufspüren können!
Sollte ich diese "extreme" Einstellung bei Antivir so beibehalten?

Hi,

die Einstellungen von Avira kannst Du beibehalten, es kann allerdings durch die Heuristik auch zu vermehrten "Fehlalarmen" kommen, daher immer erst alles unter Quarantäne stellen lassen!

Wir müsse noch die Systemwiederherstellung putzen:
Systemwiederherstellung löschen
BSI-Faltblattt (https://www.bsi.bund.de/cln_134/Cont...irenundCo.html) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

chris

Alles erledigt.

Lieben Dank für Deine Hilfe!