Avira Support Forum

Hallo

Ich habe gerade die neuste Version von Aviara Free Antivirus gedownloadet und installiert. Bei dem durchgeführten Suchlauf wurden allerdings keine Dateien gefunden die in die Quarantäne gehören, obwohl ich in der alten Version eine Datei in der Quarantäne hatte. Was nun? Wurde mit der Deinstallation gelöscht?

Danke!

Bei einem Upgrade auf eine neue Version wird der Quarantäneordner automatisch gelöscht.

Moin,

wenn man auf eine neue Version upgradet und diese über die bestehende Version installiert,
werden alle Einstellungen der Konfiguration und des Planers übernommen, vorausgesetzt es
handelt sich um den Schritt von einer Version zu nächsten und nicht von V 8/9 auf V 12..

Allerdings bin ich mir nicht sicher ob das bei Objekten der Quarantäne auch ist.

Wird zuvor die bestehende alte Version manuell deinstalliert, können mangels Vorhandensein keine Einstellungen übernommen
und müssen samt und sonders neu konfiguriert werden.

Das heißt der Virus / Trojaner / o.ä. wurde von meinem PC mit gelöscht!

Danke schonmal!

Die Übernahme von Dateien aus der Quarantäne ist aus technischen Gründen nicht möglich.

Siehe dazu hier -> Klick 1 / Klick 2

Das sind zwar ältere Versionen, aber ich denke, dass es bei der AV 12 nicht anders sein wird.

Malware in der Quarantäne ist verschlüsselt und damit unschädlich gemacht.
Mit löschen der Quarantäne ist jedoch nicht garantiert dass die Infektion behoben ist da es darauf ankommt, welche Art von Befall statt gefunden hat.
Deshalb sollte man sich in diesem Fall nicht in trügerischer Sicherheit wiegen sondern das System weiter prüfen.

Als nächster Schritt:

Quoted from "Nighthawk"

Antivir updaten und System wie folgt scannen:
Konfiguration

Antivir öffnen, unter Extras - Konfiguration bei Expertenmodus Button auf *an* setzen , dort alle Dateien und Rootkitsuche bei Suchstart markieren, auf Systemscanner - Suche gehen und dort die Dateiheuristik auf hoch setzen. Unter Systemscanner - Suche - Aktion bei Fund - automatisch und als primäre Aktion "ignorieren" wählen und den Haken bei "Datei vor Aktion in Quarantäne kopieren" setzen. Unter Archive den Haken bei Rekursionstiefe einschränken entfernen. Bitte auch unter Systemscanner – weitere Einstellungen alle Haken setzen und den Haken bei *symbolischen Verknüpfungen folgen* herausnehmen.

Suchlauf

Danach unter PC Sicherheit - Systemscanner *Lokale Laufwerke* markieren. Dann *Lokale Laufwerke* markiert halten und oben links auf die Lupe zum Start des Scans drücken (unter Vista die rechte Lupe mit dem Admin - Symbol). Scanbericht bitte dann hier posten.

Quoted from "Stefan K."

Die Übernahme von Dateien aus der Quarantäne ist aus technischen Gründen nicht möglich.

Siehe dazu hier -> Klick 1 / Klick 2

Das sind zwar ältere Versionen, aber ich denke, dass es bei der AV 12 nicht anders sein wird.

Das heißt die schädliche Datei wurde mitgelöscht?

Normal schon, aber wie 4wolf schreibt, kann man nicht ganz sicher sein, wenn man nicht weiß, was für ein Befall vorlag. Bitte das System wie angegeben prüfen.

Zumal es gelegentlich vorkommt dass eine "Kopie in Quarantäne" verschoben wurde; in diesem Fall wäre die inkriminierte Datei durchaus noch als Original im System. Also bitte wirklich den Prüflauf durchführen.

Es handelte sich wohl um diesen Fund von Anfang April:

Quoted from "raser4"

C:\Dokumente und Einstellungen\FERNSEHSTUDIO1Film\Lokale Einstellungen\Temp\arg36240.exe
[FUND] Ist das Trojanische Pferd TR/Reveton.A.29
Beginne mit der Suche in 'D:\' <FERNSEHSTUDIO_1>
Beginne mit der Suche in 'E:\' <Datensicherung>

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\FERNSEHSTUDIO1Film\Lokale Einstellungen\Temp\arg36240.exe
[FUND] Ist das Trojanische Pferd TR/Reveton.A.29
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fe0a3bf.qua' verschoben!

Aha - also doch "verschoben" - danke 4wolf.

Ich habe jetzt mal die Suche nach [FUND] Ist das Trojanische Pferd TR/Reveton.A.29 angeworfen, der ist nicht ohne

Deshalb nach dem Avira Scan

Quoted from "Nighthawk"

Malwarebytes Anti - Malware
bitte von hier downloaden : http://www.majorgeeks.com

Nix anderes anklicken !!! Download startet automatisch !!!!

Starte das Programm - bitte unbedingt beachten unter Vista und Windows 7 als Administrator auszuführen !!!
und mache ein online update
überprüfe ob Du die aktuellsten Virendefinitionen hast
schließe ALLE Anwendungen - Auch deinen Browser
Wähle ALLE Laufwerke
Starte den Vollständigen Suchlauf
Warte bis der Scan durchgelaufen ist
Nach dem Scan > Remove selected / Ausgewähltes entfernen - damit geht alles in die Quarantäne

Auch den Antivirguard deaktivieren und während des Scans vom Internet trennen. Nach dem Scan Guard wieder aktivieren und Verbindung wieder herstellen.

Dann show results
1.die bitte hier ins Forum posten

Ich frage mich gerade weshalb "raser4" nicht im alten Thread weiter tätig wurde..
In der Tat ein nicht zu unterschätzender Fund.

Hier nun der von 4wolf geforderte Scanbericht.

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Samstag, 21. April 2012 20:22

Es wird nach 3668575 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : FERNSEHSTUDIO1Film
Computername : FERNSEHSTUDIO1

Versionsinformationen:
BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 31.01.2012 06:55:52
AVSCAN.DLL : 12.1.0.18 65744 Bytes 31.01.2012 06:56:29
LUKE.DLL : 12.1.0.19 68304 Bytes 31.01.2012 06:56:01
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 31.01.2012 06:55:52
AVREG.DLL : 12.1.0.36 229128 Bytes 21.04.2012 16:44:35
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 09:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 06:56:15
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 06:56:21
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 16:43:43
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 16:44:07
VBASE005.VDF : 7.11.26.45 2048 Bytes 28.03.2012 16:44:08
VBASE006.VDF : 7.11.26.46 2048 Bytes 28.03.2012 16:44:08
VBASE007.VDF : 7.11.26.47 2048 Bytes 28.03.2012 16:44:08
VBASE008.VDF : 7.11.26.48 2048 Bytes 28.03.2012 16:44:08
VBASE009.VDF : 7.11.26.49 2048 Bytes 28.03.2012 16:44:08
VBASE010.VDF : 7.11.26.50 2048 Bytes 28.03.2012 16:44:08
VBASE011.VDF : 7.11.26.51 2048 Bytes 28.03.2012 16:44:08
VBASE012.VDF : 7.11.26.52 2048 Bytes 28.03.2012 16:44:08
VBASE013.VDF : 7.11.26.53 2048 Bytes 28.03.2012 16:44:08
VBASE014.VDF : 7.11.26.107 221696 Bytes 30.03.2012 16:44:09
VBASE015.VDF : 7.11.26.179 224768 Bytes 02.04.2012 16:44:10
VBASE016.VDF : 7.11.26.241 142336 Bytes 04.04.2012 16:44:11
VBASE017.VDF : 7.11.27.41 247808 Bytes 08.04.2012 16:44:12
VBASE018.VDF : 7.11.27.107 161280 Bytes 12.04.2012 16:44:13
VBASE019.VDF : 7.11.27.159 148992 Bytes 13.04.2012 16:44:13
VBASE020.VDF : 7.11.27.201 207360 Bytes 17.04.2012 16:44:14
VBASE021.VDF : 7.11.28.3 237568 Bytes 19.04.2012 16:44:16
VBASE022.VDF : 7.11.28.49 193536 Bytes 20.04.2012 16:44:16
VBASE023.VDF : 7.11.28.50 2048 Bytes 20.04.2012 16:44:16
VBASE024.VDF : 7.11.28.51 2048 Bytes 20.04.2012 16:44:17
VBASE025.VDF : 7.11.28.52 2048 Bytes 20.04.2012 16:44:17
VBASE026.VDF : 7.11.28.53 2048 Bytes 20.04.2012 16:44:17
VBASE027.VDF : 7.11.28.54 2048 Bytes 20.04.2012 16:44:17
VBASE028.VDF : 7.11.28.55 2048 Bytes 20.04.2012 16:44:17
VBASE029.VDF : 7.11.28.56 2048 Bytes 20.04.2012 16:44:17
VBASE030.VDF : 7.11.28.57 2048 Bytes 20.04.2012 16:44:17
VBASE031.VDF : 7.11.28.70 6656 Bytes 20.04.2012 16:44:17
Engineversion : 8.2.10.52
AEVDF.DLL : 8.1.2.2 106868 Bytes 31.01.2012 06:55:38
AESCRIPT.DLL : 8.1.4.17 446842 Bytes 21.04.2012 16:44:33
AESCN.DLL : 8.1.8.2 131444 Bytes 21.04.2012 16:44:32
AESBX.DLL : 8.2.5.5 606579 Bytes 21.04.2012 16:44:34
AERDL.DLL : 8.1.9.15 639348 Bytes 31.01.2012 06:55:37
AEPACK.DLL : 8.2.16.9 807287 Bytes 21.04.2012 16:44:32
AEOFFICE.DLL : 8.1.2.27 201082 Bytes 21.04.2012 16:44:30
AEHEUR.DLL : 8.1.4.19 4673910 Bytes 21.04.2012 16:44:29
AEHELP.DLL : 8.1.19.1 254327 Bytes 21.04.2012 16:44:21
AEGEN.DLL : 8.1.5.27 422261 Bytes 21.04.2012 16:44:20
AEEXP.DLL : 8.1.0.29 82293 Bytes 21.04.2012 16:44:34
AEEMU.DLL : 8.1.3.0 393589 Bytes 31.01.2012 06:55:34
AECORE.DLL : 8.1.25.6 201078 Bytes 21.04.2012 16:44:19
AEBB.DLL : 8.1.1.0 53618 Bytes 31.01.2012 06:55:33
AVWINLL.DLL : 12.1.0.17 27344 Bytes 31.01.2012 06:55:54
AVPREF.DLL : 12.1.0.17 51920 Bytes 31.01.2012 06:55:51
AVREP.DLL : 12.1.0.17 179408 Bytes 31.01.2012 06:55:51
AVARKT.DLL : 12.1.0.23 209360 Bytes 31.01.2012 06:55:46
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 31.01.2012 06:55:47
SQLITE3.DLL : 3.7.0.0 398288 Bytes 31.01.2012 06:56:07
AVSMTP.DLL : 12.1.0.17 62928 Bytes 31.01.2012 06:55:52
NETNT.DLL : 12.1.0.17 17104 Bytes 31.01.2012 06:56:02
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 31.01.2012 06:56:32
RCTEXT.DLL : 12.1.0.16 98512 Bytes 31.01.2012 06:56:32

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Samstag, 21. April 2012 20:22

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgpc01.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqbam08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqSTE08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ULCDRSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TUProgSt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HAUPPA~1.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FABS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinTVTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinCinemaMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HDeck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1130' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <1. Platte>
Beginne mit der Suche in 'D:\' <FERNSEHSTUDIO_1>
Beginne mit der Suche in 'E:\' <Datensicherung>
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.


Ende des Suchlaufs: Samstag, 21. April 2012 20:54
Benötigte Zeit: 32:33 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

8812 Verzeichnisse wurden überprüft
342187 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
342187 Dateien ohne Befall
2092 Archive wurden durchsucht
0 Warnungen
0 Hinweise
58157 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Gut soweit - aber einen "verbuddelten" Aspiranten würde wohl eher ein MalwareBytes AntiMalware-Scan zeigen. Den bitte auch machen.
Der wurde Dir zuvor auch schon in Deinem alten Thread angetragen - Du hast ihn aber nie geliefert.

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.21.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
FERNSEHSTUDIO1Film :: FERNSEHSTUDIO1 [Administrator]

21.04.2012 21:18:36
mbam-log-2012-04-21 (21-18-36).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 278240
Laufzeit: 42 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Hallo Raser


http://download.bleepingcomputer.com/grinler/rkill.exe
besorge dir Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Starte rkill>> rechter Mausklick !! als Administrator !!
lass es durchlaufen - es terminiert einige bekannte malware Prozesse -
wenn Rkill durch -

Starte Combofix fuehre es auf dem Desktop aus


Bitte beende vorher -auch den Browser
Die AviraGuard ebenfalls - Klick in den Schirm - nimm das Haeckchen weg
Lass die Maus in Ruhe wenn CFix läufft !

Mache nichts nebenher !

Combo fix wird möglicherweise einges bereits in Quarantaene tun
und einen Reboot machen - das ist in deinem Fall normal !

Bitte poste das log von Combofix .

Rajo

Hier nun der von Rajo geforderte Bericht.

ComboFix 12-04-22.01 - FERNSEHSTUDIO1Film 22.04.2012 17:14:01.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.3583.3000 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\FERNSEHSTUDIO1Film\Eigene Dateien\Downloads\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml31.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml32.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml33.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml34.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml39.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml3A.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml3B.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml3C.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlE1.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlE2.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlE3.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlE4.tmp
c:\dokumente und einstellungen\FERNSEHSTUDIO1Film\Lokale Einstellungen\Anwendungsdaten\lame_enc.dll
c:\dokumente und einstellungen\FERNSEHSTUDIO1Film\Lokale Einstellungen\Anwendungsdaten\no23xwrapper.dll
c:\dokumente und einstellungen\FERNSEHSTUDIO1Film\Lokale Einstellungen\Anwendungsdaten\ogg.dll
c:\dokumente und einstellungen\FERNSEHSTUDIO1Film\Lokale Einstellungen\Anwendungsdaten\vorbis.dll
c:\dokumente und einstellungen\FERNSEHSTUDIO1Film\Lokale Einstellungen\Anwendungsdaten\vorbisenc.dll
c:\dokumente und einstellungen\FERNSEHSTUDIO1Film\Lokale Einstellungen\Anwendungsdaten\vorbisfile.dll
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-03-22 bis 2012-04-22 ))))))))))))))))))))))))))))))
.
.
2012-04-22 06:08 . 2012-04-22 06:08 -------- d-----w- c:\dokumente und einstellungen\FERNSEHSTUDIO1Film\Lokale Einstellungen\Anwendungsdaten\AskToolbar
2012-04-21 18:03 . 2012-04-21 18:03 388096 ----a-r- c:\dokumente und einstellungen\FERNSEHSTUDIO1Film\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-04-21 18:03 . 2012-04-21 18:03 -------- d-----w- c:\programme\Trend Micro
2012-04-21 16:46 . 2012-04-21 18:53 -------- d-----w- c:\windows\system32\NtmsData
2012-04-21 16:46 . 2012-04-21 16:46 -------- d-----w- c:\dokumente und einstellungen\FERNSEHSTUDIO1Film\Anwendungsdaten\Avira
2012-04-21 16:41 . 2012-04-21 16:41 -------- d-----w- c:\dokumente und einstellungen\LocalService\Startmenü
2012-04-21 16:41 . 2012-04-21 18:13 -------- d-----w- c:\programme\Ask.com
2012-04-21 16:41 . 2012-04-21 16:41 -------- d-----w- c:\dokumente und einstellungen\Default User\Lokale Einstellungen\Anwendungsdaten\AskToolbar
2012-04-21 16:40 . 2012-01-31 06:56 137416 ----a-w- c:\windows\system32\drivers\avipbb.sys
2012-04-21 16:40 . 2011-09-16 14:08 36000 ----a-w- c:\windows\system32\drivers\avkmgr.sys
2012-04-21 16:40 . 2012-04-21 16:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2012-04-21 16:40 . 2012-04-21 16:40 -------- d-----w- c:\programme\Avira
2012-04-02 12:37 . 2012-04-02 12:37 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2012-04-02 12:37 . 2012-04-02 12:37 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2012-04-01 17:53 . 2012-04-01 17:53 -------- d-----w- c:\windows\system32\wbem\Repository
2012-04-01 17:35 . 2012-04-01 17:35 -------- d-sh--w- c:\dokumente und einstellungen\FERNSEHSTUDIO1Film\PrivacIE
2012-03-27 17:54 . 2012-03-27 17:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Vodafone
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-04 13:56 . 2011-03-13 08:53 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-03-01 11:00 . 2008-04-14 12:00 916992 ----a-w- c:\windows\system32\wininet.dll
2012-03-01 11:00 . 2008-04-14 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2012-03-01 11:00 . 2008-04-14 12:00 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2012-02-29 14:09 . 2008-04-14 12:00 177664 ----a-w- c:\windows\system32\wintrust.dll
2012-02-29 14:09 . 2008-04-14 12:00 148480 ----a-w- c:\windows\system32\imagehlp.dll
2012-02-29 12:17 . 2008-04-14 12:00 385024 ----a-w- c:\windows\system32\html.iec
2012-02-03 09:57 . 2008-04-14 12:00 1860224 ----a-w- c:\windows\system32\win32k.sys
2012-01-31 06:56 . 2010-10-14 10:18 74640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2010-07-07 1753192]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-07-09 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-07-09 13923432]
"HDAudDeck"="c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe" [2008-05-14 29831168]
"TrayServer"="c:\progra~1\MAGIX\VIDEO_~1\TrayServer.exe" [2008-08-07 90112]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2008-03-25 49152]
"hpqSRMon"="c:\programme\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-03-13 81920]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"ApnUpdater"="c:\programme\Ask.com\Updater\Updater.exe" [2012-01-04 1391272]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-01-31 258512]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
AutoStart IR.lnk - c:\programme\WinTV\Ir.exe [2011-8-1 117344]
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
InterVideo WinCinema Manager.lnk - c:\programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2010-10-15 278528]
WinTV Recording Status..lnk - c:\programme\WinTV\WinTV7\WinTVTray.exe [2011-8-1 83456]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"UVS10 Preload"=c:\programme\Ulead Systems\Ulead VideoStudio 10\uvPL.exe
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqpse.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqsudi.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2010c\\RpcAgentSrv.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2010c\\WNt500x86\\sandra.07.mui"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\WinTV\\WinTV7\\WinTV7.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2010c\\WNt500x86\\RpcSandraSrv.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [21.04.2012 18:40 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.04.2012 18:40 86224]
R2 AntiVirWebService;Avira Browser Schutz;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [21.04.2012 18:40 463824]
R2 Fabs;FABS - Helping agent for MAGIX media database;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe [27.08.2009 17:09 1253376]
R2 HauppaugeTVServer;HauppaugeTVServer;c:\progra~1\WinTV\TVServer\HAUPPA~1.EXE [01.08.2011 12:19 602624]
R3 hcw95bda;Hauppauge MOD7700 Tuner Driver;c:\windows\system32\drivers\hcw95bda.sys [21.10.2010 07:23 573440]
R3 hcw95rc;Hauppauge MOD7700 IR Driver;c:\windows\system32\drivers\hcw95rc.sys [21.10.2010 07:23 15616]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [14.10.2010 16:39 238080]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [15.05.2011 15:02 136176]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe [07.08.2008 11:10 3276800]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [15.05.2011 15:02 136176]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\SiSoftware\SiSoftware Sandra Lite 2010c\RpcAgentSrv.exe [03.04.2011 17:54 93336]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - SSMDRV
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
.
2012-04-22 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2009-03-20 13:30]
.
2012-04-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-05-15 13:02]
.
2012-04-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-05-15 13:02]
.
2012-04-22 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\programme\Ask.com\UpdateTask.exe [2012-01-04 18:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.hiergehtslos.de
uInternet Settings,ProxyOverride = *.local
IE: Download with mediAvatar Free YouTube Download - c:\programme\mediAvatar\Free YouTube Download\upod_link.HTM
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\FERNSEHSTUDIO1Film\Anwendungsdaten\Mozilla\Firefox\Profiles\ksoyglhv.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.hiergehtslos.de
FF - prefs.js: network.proxy.type - 0
FF - Ext: Yahoo! Toolbar: {635abd67-4fe9-1b23-4f01-e679fa7484c1} - c:\programme\Mozilla Firefox\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
Toolbar-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-04-22 17:16
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HDAudDeck = c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-04-22 17:17:18
ComboFix-quarantined-files.txt 2012-04-22 15:17
.
Vor Suchlauf: 13 Verzeichnis(se), 28.531.826.688 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 29.157.421.056 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - D627971700C48E6185B3123A13A335E8

@Rajo: Ist es das?

Quoted from "raser4"

((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml31.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml32.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml33.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml34.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml39.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml3A.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml3B.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml3C.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlE1.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlE2.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlE3.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlE4.tmp
c:\dokumente und einstellungen\FERNSEHSTUDIO1Film\Lokale Einstellungen\Anwendungsdaten\lame_enc.dll
c:\dokumente und einstellungen\FERNSEHSTUDIO1Film\Lokale Einstellungen\Anwendungsdaten\no23xwrapper.dll
c:\dokumente und einstellungen\FERNSEHSTUDIO1Film\Lokale Einstellungen\Anwendungsdaten\ogg.dll
c:\dokumente und einstellungen\FERNSEHSTUDIO1Film\Lokale Einstellungen\Anwendungsdaten\vorbis.dll
c:\dokumente und einstellungen\FERNSEHSTUDIO1Film\Lokale Einstellungen\Anwendungsdaten\vorbisenc.dll
c:\dokumente und einstellungen\FERNSEHSTUDIO1Film\Lokale Einstellungen\Anwendungsdaten\vorbisfile.dll

Quoted

c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml31.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml32.tmp

Nein das ist es nicht aber diese tmp xml' s sehen komisch aus ....

lass uns mal - tdsskiller scan machen :

G E R M A N TDSSKILLER


Besorge Dir TDssKiller noch mal machen
bitte genau nach Anleitung - und bitte auch das Utility - Neu und frisch von der webseite
downloaden -

**

Hole Dir tdssKiller entpacke es aufs Desktop
http://support.kaspersky.com/downloads/utils/tdsskiller.exe

starte das Programm - Win7 und Vista bitte mit rechtem Mausklick als ADMINISTRATOR !
das ist wichtig - mit normalen Userrechten ist der Scan unsinnig -

klicke > Change Parameters und stelle ein wie im Bild

klicke ok
klicke start scan
Wenn der scan beendet ist gibt es eine Liste mit gefundenen Objekten mit Beschreibung

- Das Utility wählt automatisch eine Aktion aus : Cure oder delete
Note[1] : wähle cure und klicke continue
Note[2] : wenn cure nicht verfügbar wähle skip wähle nicht delete !

Das utility fordert den User auf eine Aktion zu wählen für suspicious (verdächtige) Objekte ist "skip" voreingestellt
wenn kein Reboot erforderlich, klicke auf Report .
Sonst Neustart bitte !
Ein log sollte erscheinen
das Utility schreibt außerdem das Log Datei in das RootVerzeichniss also C:\
inder form Utility Name.version_Datum_Zeit_log.txt | E.g. C:\TDSSKiller.2.4.17.0_10.02.2011_11.20.55_log.txt;
Sende das log zu Pastebin.com und poste die URL in deiner nächsten Antwort

Rajo