GMER läuft (seit 3stunden) - ich mach die Logfiles Fertig.

Ich würde die dann gerne nicht öffentlich posten also als Zip anhängen und dir PW per PN schicken.

Grund: Ich kenne schlichtweg den Inhalt dieser Logs nicht und will nicht mehr Informationen (öffentlich) preis geben, als umbedingt nötig

Ist ok so. Als zip posten und mir das Passwort per PN ist gängige Praxis

hier die logs sry für die verzögerung



pw kommt per PM, PN

Die Logs sind alle unaufällig. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hi!

Also Malwarebytes funktioniert seit dem update auf service pack 3 nichtmehr... auch nicht über reinstall.

Den anderen Scanner hab ich laufen lassen, der hat mir aber kein log gespeichert.
Hatte aber 3 Funde und diese entfernt.
Ein zweiter Scan brachte keine ergebnisse.
Später zeigte der AV Guard erneut 23Viren an.

Diese habe ich über den Guard gelöscht.

Was kann man jetzt noch probieren?

Zitat:

Also Malwarebytes funktioniert seit dem update auf service pack 3 nichtmehr... auch nicht über reinstall.

Fehlermeldung?

Zitat:

Später zeigte der AV Guard erneut 23Viren an.

Und ich soll jetzt meine rauskramen und oraklen was wo gefunden wurde?

Das wär natürlich äußerst praktisch.

Nur zur Sicherheit hier das Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 17. November 2010  23:13

Es wird nach 3062692 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : Moritz
Computername   : MQ

Versionsinformationen:
BUILD.DAT      : 10.0.0.592     31823 Bytes  09.08.2010 10:49:00
AVSCAN.EXE     : 10.0.3.1      434344 Bytes  02.08.2010 15:09:33
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  02.08.2010 15:09:45
LUKE.DLL       : 10.0.2.3      104296 Bytes  02.08.2010 15:09:38
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 11:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 09:05:36
VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 19:27:49
VBASE002.VDF   : 7.10.3.1     3143680 Bytes  20.01.2010 17:37:42
VBASE003.VDF   : 7.10.3.75     996864 Bytes  26.01.2010 16:37:42
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 11:29:03
VBASE005.VDF   : 7.10.6.82    2494464 Bytes  15.04.2010 15:09:41
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 15:09:42
VBASE007.VDF   : 7.10.9.165   4840960 Bytes  23.07.2010 15:09:43
VBASE008.VDF   : 7.10.11.133  3454464 Bytes  13.09.2010 20:44:48
VBASE009.VDF   : 7.10.13.80   2265600 Bytes  02.11.2010 20:45:01
VBASE010.VDF   : 7.10.13.81      2048 Bytes  02.11.2010 20:45:01
VBASE011.VDF   : 7.10.13.82      2048 Bytes  02.11.2010 20:45:02
VBASE012.VDF   : 7.10.13.83      2048 Bytes  02.11.2010 20:45:02
VBASE013.VDF   : 7.10.13.116   147968 Bytes  04.11.2010 20:45:02
VBASE014.VDF   : 7.10.13.147   146944 Bytes  07.11.2010 19:18:16
VBASE015.VDF   : 7.10.13.180   123904 Bytes  09.11.2010 19:18:16
VBASE016.VDF   : 7.10.13.211   122368 Bytes  11.11.2010 19:18:16
VBASE017.VDF   : 7.10.13.243   147456 Bytes  15.11.2010 22:10:59
VBASE018.VDF   : 7.10.14.15    142848 Bytes  17.11.2010 21:12:04
VBASE019.VDF   : 7.10.14.16      2048 Bytes  17.11.2010 21:12:04
VBASE020.VDF   : 7.10.14.17      2048 Bytes  17.11.2010 21:12:04
VBASE021.VDF   : 7.10.14.18      2048 Bytes  17.11.2010 21:12:04
VBASE022.VDF   : 7.10.14.19      2048 Bytes  17.11.2010 21:12:04
VBASE023.VDF   : 7.10.14.20      2048 Bytes  17.11.2010 21:12:05
VBASE024.VDF   : 7.10.14.21      2048 Bytes  17.11.2010 21:12:05
VBASE025.VDF   : 7.10.14.22      2048 Bytes  17.11.2010 21:12:05
VBASE026.VDF   : 7.10.14.23      2048 Bytes  17.11.2010 21:12:05
VBASE027.VDF   : 7.10.14.24      2048 Bytes  17.11.2010 21:12:05
VBASE028.VDF   : 7.10.14.25      2048 Bytes  17.11.2010 21:12:05
VBASE029.VDF   : 7.10.14.26      2048 Bytes  17.11.2010 21:12:05
VBASE030.VDF   : 7.10.14.27      2048 Bytes  17.11.2010 21:12:05
VBASE031.VDF   : 7.10.14.33     53760 Bytes  17.11.2010 21:12:06
Engineversion  : 8.2.4.98  
AEVDF.DLL      : 8.1.2.1       106868 Bytes  02.08.2010 15:09:30
AESCRIPT.DLL   : 8.1.3.46     1364347 Bytes  06.11.2010 20:45:19
AESCN.DLL      : 8.1.6.1       127347 Bytes  02.08.2010 15:09:30
AESBX.DLL      : 8.1.3.1       254324 Bytes  02.08.2010 15:09:30
AERDL.DLL      : 8.1.9.2       635252 Bytes  06.11.2010 20:45:16
AEPACK.DLL     : 8.2.3.11      471416 Bytes  06.11.2010 20:45:15
AEOFFICE.DLL   : 8.1.1.8       201081 Bytes  02.08.2010 15:09:29
AEHEUR.DLL     : 8.1.2.41     3043703 Bytes  14.11.2010 19:18:22
AEHELP.DLL     : 8.1.14.0      246134 Bytes  06.11.2010 20:45:08
AEGEN.DLL      : 8.1.3.24      401781 Bytes  06.11.2010 20:45:07
AEEMU.DLL      : 8.1.2.0       393588 Bytes  02.08.2010 15:09:25
AECORE.DLL     : 8.1.17.0      196982 Bytes  06.11.2010 20:45:06
AEBB.DLL       : 8.1.1.0        53618 Bytes  02.08.2010 15:09:25
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  02.08.2010 15:09:33
AVPREF.DLL     : 10.0.0.0       44904 Bytes  02.08.2010 15:09:33
AVREP.DLL      : 10.0.0.8       62209 Bytes  17.06.2010 14:26:53
AVREG.DLL      : 10.0.3.2       53096 Bytes  02.08.2010 15:09:33
AVSCPLR.DLL    : 10.0.3.1       83816 Bytes  02.08.2010 15:09:33
AVARKT.DLL     : 10.0.0.14     227176 Bytes  02.08.2010 15:09:31
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  02.08.2010 15:09:32
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  17.06.2010 14:27:02
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  02.08.2010 15:09:33
NETNT.DLL      : 10.0.0.0       11624 Bytes  17.06.2010 14:27:01
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 13:10:08
RCTEXT.DLL     : 10.0.58.0      98152 Bytes  02.08.2010 15:09:45

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, M:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Mittwoch, 17. November 2010  23:13

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-21-1123561945-1284227242-839522115-1003\Software\SecuROM\License information\datasecu
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1123561945-1284227242-839522115-1003\Software\SecuROM\License information\rkeysecu
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'M:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1683' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\addr_file.html
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SMP54VE5\submitdiagnosticfile[1].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SMP54VE5\submitdiagnosticfile[2].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SMP54VE5\submitdiagnosticfile[3].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SMP54VE5\submitdiagnosticfile[4].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SMP54VE5\submitdiagnosticfile[5].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SMP54VE5\submitdiagnosticfile[6].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SMP54VE5\submitdiagnosticfile[7].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SMP54VE5\submitdiagnosticfile[8].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SMP54VE5\submitdiagnosticfile[9].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U65DHRXK\submitdiagnosticfile[1].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U65DHRXK\submitdiagnosticfile[2].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U65DHRXK\submitdiagnosticfile[3].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U65DHRXK\submitdiagnosticfile[4].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U65DHRXK\submitdiagnosticfile[5].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U65DHRXK\submitdiagnosticfile[6].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U65DHRXK\submitdiagnosticfile[7].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U65DHRXK\submitdiagnosticfile[8].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U65DHRXK\submitdiagnosticfile[9].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZIKGZ7ON\notifier_avira_com[1].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZIKGZ7ON\sas_processlistrelated[1].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZIKGZ7ON\sas_processlist[2].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZIKGZ7ON\submitdiagnosticfile[1].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZIKGZ7ON\submitdiagnosticfile[2].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZIKGZ7ON\submitdiagnosticfile[3].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZIKGZ7ON\submitdiagnosticfile[4].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZIKGZ7ON\submitdiagnosticfile[5].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZIKGZ7ON\submitdiagnosticfile[6].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZIKGZ7ON\submitdiagnosticfile[7].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZIKGZ7ON\submitdiagnosticfile[8].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Programme\Avira\AntiVir Desktop\about.htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Programme\Mozilla Firefox\res\hiddenWindow.html
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\Qoobox\Quarantine\C\WINDOWS\system32\qtplugin.exe.vir
    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Spammy.DL
Beginne mit der Suche in 'M:\' <Volume>

Beginne mit der Desinfektion:
C:\Qoobox\Quarantine\C\WINDOWS\system32\qtplugin.exe.vir
    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Spammy.DL
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4ee90fdc.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Programme\Mozilla Firefox\res\hiddenWindow.html
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 56622060.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Programme\Avira\AntiVir Desktop\about.htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 04267a82.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZIKGZ7ON\submitdiagnosticfile[8].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 62043557.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZIKGZ7ON\submitdiagnosticfile[7].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 27801869.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZIKGZ7ON\submitdiagnosticfile[6].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 589b2a08.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZIKGZ7ON\submitdiagnosticfile[5].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 14230642.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZIKGZ7ON\submitdiagnosticfile[4].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 683b4612.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZIKGZ7ON\submitdiagnosticfile[3].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4561695f.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZIKGZ7ON\submitdiagnosticfile[2].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 5c0952c5.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZIKGZ7ON\submitdiagnosticfile[1].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 30557ef5.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZIKGZ7ON\sas_processlist[2].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 41fd4774.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZIKGZ7ON\sas_processlistrelated[1].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4fe777b3.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZIKGZ7ON\notifier_avira_com[1].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 0ac10eff.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U65DHRXK\submitdiagnosticfile[9].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 03d40a4e.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U65DHRXK\submitdiagnosticfile[8].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 5b951327.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U65DHRXK\submitdiagnosticfile[7].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 77616aeb.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U65DHRXK\submitdiagnosticfile[6].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 499f0a31.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U65DHRXK\submitdiagnosticfile[5].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 2a912142.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U65DHRXK\submitdiagnosticfile[4].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 0c59615f.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U65DHRXK\submitdiagnosticfile[3].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 3ecd1afa.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U65DHRXK\submitdiagnosticfile[2].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 34883184.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U65DHRXK\submitdiagnosticfile[1].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 0bdb55c1.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SMP54VE5\submitdiagnosticfile[9].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 75f759e6.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SMP54VE5\submitdiagnosticfile[8].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 208f5d2d.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SMP54VE5\submitdiagnosticfile[7].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 2d192c05.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SMP54VE5\submitdiagnosticfile[6].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 3144380c.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SMP54VE5\submitdiagnosticfile[5].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 009775c2.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SMP54VE5\submitdiagnosticfile[4].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 6cc161f4.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SMP54VE5\submitdiagnosticfile[3].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 255b44f3.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SMP54VE5\submitdiagnosticfile[2].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 7ece4c22.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SMP54VE5\submitdiagnosticfile[1].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 187c40cb.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\addr_file.html
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4ffc3272.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.


Ende des Suchlaufs: Donnerstag, 18. November 2010  05:25
Benötigte Zeit:  3:19:27 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  15001 Verzeichnisse wurden überprüft
 926078 Dateien wurden geprüft
     33 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
     33 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     33 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 926045 Dateien ohne Befall
   4992 Archive wurden durchsucht
      0 Warnungen
     33 Hinweise
 573216 Objekte wurden beim Rootkitscan durchsucht
      2 Versteckte Objekte wurden gefunden
         

Code: Alles auswählenAufklappen

ATTFilter

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-21-1123561945-1284227242-839522115-1003\Software\SecuROM\License information\datasecu
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1123561945-1284227242-839522115-1003\Software\SecuROM\License information\rkeysecu
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
         

Ist ok, Securom ist ein Kopierschutz, den bestimmte Spiele installieren und benötigen.

Code: Alles auswählenAufklappen

ATTFilter

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\addr_file.html
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
         

Ähm ok
Das AntiVir was bemängelt, was offensichtlich sein eigener Bestandteil ist find ich merkwürdig.

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U65DHRXK\submitdiagnosticfile[2].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 34883184.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
         

Sind nur Einträge im Browsercache, leer den mal mit CCleaner.

Code: Alles auswählenAufklappen

ATTFilter

C:\Qoobox\Quarantine\C\WINDOWS\system32\qtplugin.exe.vir
    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Spammy.DL
Beginne mit der Suche in 'M:\' <Volume>
         

Kannst du ignorieren. Es ist zwar definitiv ein Schädling, der war aber aktiv, CF hat den unschädlich gemacht und in seinen Quarantäneordner geschoben (daher das C:\Qoobox)

Was ist nun mit Malwarebytes? Wie genau funktioniert das nicht mehr?

So da bin ich wieder.

1. Das beruhigt mich sehr was du schreibst.

2. CCleaner hab ich laufen lassen

3. Malwarebytes:

Fehlermeldung 1: MBAM_ERROR_EXPANDING_VARIABLES (0, 9)

Fehlermeldung 2: MBAM_ERROR_MISSING_FILE (3, 0, mbamswissarmy.sys)
Der Pfad konnte nicht gefunden werden

4. Ständig wiederkehrend:

C:\Programme\Mozilla Firefox\res\hiddenWindow.html

Scriptvirus: HTML/Rce.Gen

-> Ist dies der Grund, warum ich nach JEDEM Neustart Mozilla Firefox reinstallieren muss? Wenn Nein, weißt du vllt den Grund?

5. Wollte ich nochmal fragen ob du den Eindruck hast dass mein System sehr schwer befallen war und ob ich bestimmte Accounts sperren soll, wie ebay, amazon, online-banking usw. ?

6. Ich kann Dir garnicht genug danke für deine Zeit, Hilfe und Geduld und werde von meinen wenigen Kröten auch sicher was spenden!




Edit: Soll ich nochmal HijackThis log machen?

Zitat:

c:\windows\system32\drivers\mbamswissarmy.sys

Da sollte die Datei eigentlich sein. Ist sie das nicht mehr?

Zitat:

C:\Programme\Mozilla Firefox\res\hiddenWindow.html

Die Datei ist an für sich beim Firefox legitim, d.h. aber nicht, dass sie manipuliert wurde. Fehlalarm nicht ausgeschlossen...

Doch die datei liegt an dem von dir genannten ort.


Wie kann ich verifizieren obs ein fehlalarm ist?


Kannst du die anderen Fragen oben im schnellverfahren beantworten? Das wäre toll

Die Fragen kann ich noch nicht alle beantworten, da ich noch nicht weiß, was die Ursache für den Fund im Firefox-Ordner ist und warum MBAM nicht starten will

Erstell dir mal testweise ein neues Benutzerkonto mit Adminrechten über die Systemsteuerung. Log dich aus und mit dem neuen ein, probier da Malwarebytes aus. Was passiert?

Zitat:

Wie kann ich verifizieren obs ein fehlalarm ist?

Deaktivier den Virenscanner. Öffne die Datei C:\Programme\Mozilla Firefox\res\hiddenWindow.html mit dem Editor (notepad.exe) und poste den Inhalt in Codetags oder zip die Datei in ein Archiv und häng sie hier deinem Beitrag an.

Bitteschön:

Konntest du denn im anderen Benutzerkonto Malwarebytes nun ausführen?

Die hiddenWindow.html wird bei dir auf jeden Fall manipuliert. Deinstallier Firefox mal bitte komplett, lösch das Installationsverzeichnis (c:\Programme\Mozilla Firefox) und installier den Firefox neu. Den aber nicht sofort starten, sondern über den Safe-Mode - beobachte ob die eine Datei immer noch manipuliert wird.

Hallo Cosinus!

Nachdem ich gestern nochmal einen AV komplett scann gemacht habe und anschließend (vermeintliche) Viren gelöscht habe kam der klassische Blaue Bildschirm mit unverständlichem text.

Seit dem fährt der Rechner nichtmehr hoch.
Wie kann ich das System und alle Programme neu aufsetzen meine Fotos, videos und vor allem Dokumente aber retten?