Hilfe, böser Virus !!!

Hallo Leute,
hab mir einen bösen Virus eingefangen und nur wenig Ahnung wie man damit umgeht.
Hab schon drei mal Avira Antivir laufen lasse, der findet auch was, löscht auch alles bis auf eine Datei die sich nicht öffnen lässt...
aber es kommen immer mehr Viren und Trojaner mit jedem durchlauf.

Hab auch ein HiJack Logfile erstellt und den letzten Report von Avira:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 15. September 2008 17:33

Es wird nach 1615806 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: Nash Ltd.

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 21.07.2008 08:16:58
AVSCAN.DLL : 8.1.4.0 48897 Bytes 21.07.2008 08:16:58
LUKE.DLL : 8.1.4.5 164097 Bytes 21.07.2008 08:16:59
LUKERES.DLL : 8.1.4.0 12545 Bytes 21.07.2008 08:16:59
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 13:27:15
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 12:12:43
ANTIVIR2.VDF : 7.0.6.153 3341312 Bytes 12.09.2008 16:57:21
ANTIVIR3.VDF : 7.0.6.158 52224 Bytes 15.09.2008 14:54:45
Engineversion : 8.1.1.28
AEVDF.DLL : 8.1.0.5 102772 Bytes 21.04.2008 21:39:04
AESCRIPT.DLL : 8.1.0.70 319866 Bytes 04.09.2008 16:20:25
AESCN.DLL : 8.1.0.23 119156 Bytes 16.07.2008 08:02:00
AERDL.DLL : 8.1.1.1 397683 Bytes 04.09.2008 16:20:24
AEPACK.DLL : 8.1.2.1 364917 Bytes 16.07.2008 08:01:59
AEOFFICE.DLL : 8.1.0.23 196987 Bytes 04.09.2008 16:20:23
AEHEUR.DLL : 8.1.0.51 1397111 Bytes 04.09.2008 16:20:22
AEHELP.DLL : 8.1.0.15 115063 Bytes 30.05.2008 11:23:00
AEGEN.DLL : 8.1.0.36 315764 Bytes 18.08.2008 20:00:29
AEEMU.DLL : 8.1.0.7 430452 Bytes 01.08.2008 18:15:55
AECORE.DLL : 8.1.1.11 172406 Bytes 04.09.2008 16:20:19
AEBB.DLL : 8.1.0.1 53617 Bytes 17.07.2008 09:16:03
AVWINLL.DLL : 1.0.0.12 15105 Bytes 21.07.2008 08:16:58
AVPREF.DLL : 8.0.2.0 38657 Bytes 21.07.2008 08:16:58
AVREP.DLL : 8.0.0.2 98344 Bytes 01.08.2008 18:15:50
AVREG.DLL : 8.0.0.1 33537 Bytes 21.07.2008 08:16:58
AVARKT.DLL : 1.0.0.23 307457 Bytes 21.04.2008 21:39:03
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 21.07.2008 08:16:58
SQLITE3.DLL : 3.3.17.1 339968 Bytes 21.04.2008 21:39:04
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 21.07.2008 08:16:59
NETNT.DLL : 8.0.0.1 7937 Bytes 21.04.2008 21:39:03
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 21.07.2008 08:16:55
RCTEXT.DLL : 8.0.52.0 86273 Bytes 21.07.2008 08:16:55

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: f:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, F:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 15. September 2008 17:33

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess '.tt31.tmp' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'F:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\.tt31.tmp'
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'F:\WINDOWS\system32\drivers\svchost.exe'
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess '.ttD3.tmp.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'F:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\.ttD3.tmp.exe'
Durchsuche Prozess 'lphcaf3j0ev3v.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'F:\WINDOWS\system32\lphcaf3j0ev3v.exe'
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Prozess '.tt31.tmp' wird beendet
Prozess 'svchost.exe' wird beendet
Prozess '.ttD3.tmp.exe' wird beendet
Prozess 'lphcaf3j0ev3v.exe' wird beendet
F:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\.tt31.tmp
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Backdoor.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494280c9.qua' verschoben!
F:\WINDOWS\system32\drivers\svchost.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.Gen.2.9
[HINWEIS] Die Datei wurde gelöscht.
F:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\.ttD3.tmp.exe
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/FraudTool.XPAntivirus.SG
[HINWEIS] Die Datei wurde gelöscht.
F:\WINDOWS\system32\lphcaf3j0ev3v.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.aez.4
[HINWEIS] Die Datei wurde gelöscht.

Es wurden '42' Prozesse mit '38' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '49' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\' <Volume>
Beginne mit der Suche in 'F:\'
F:\ARK19.tmp
[FUND] Ist das Trojanische Pferd TR/FakeAV.AM
[HINWEIS] Die Datei wurde gelöscht.
F:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
F:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\.ttD3.tmp
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/FraudTool.XPAntivirus.SG
[HINWEIS] Die Datei wurde gelöscht.
F:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\AcrCB2.tmp
[0] Archivtyp: PDF Stream
--> Object
[FUND] Enthält Erkennungsmuster des Exploits EXP/PDF.3461
[HINWEIS] Die Datei wurde gelöscht.
F:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LD06ILX2\pipo[1]
[FUND] Ist das Trojanische Pferd TR/Fakealert.Gen.2.9
[HINWEIS] Die Datei wurde gelöscht.


Ende des Suchlaufs: Dienstag, 16. September 2008 12:22
Benötigte Zeit: 18:49:02 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

5126 Verzeichnisse wurden überprüft
206918 Dateien wurden geprüft
12 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
7 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
206905 Dateien ohne Befall
1878 Archive wurden durchsucht
1 Warnungen
8 Hinweise




----------------------------------------------------------------
Anmerkung der Moderation:

Bitte keine kompletten HijackThis-Logs im Forum posten, sondern lediglich als Text-Datei an den Beitrag anhängen, wie auf folgender Seite (bebildert) beschrieben: http://www.pcwelt.de/forum/sicherhe...r-rootkits/134046-posten-hijackthis-logs.html

Sollte sich die Datei nicht hochladen lassen, bitte die rot geschriebenen Abschnitte in der Anleitung lesen!

Es kann auch weiterhin der Link zum ausgewerteten Log gepostet werden.

Gruß
Nevok
----------------------------------------------------------------

Kann mir bitte jemand Helfen, bin jetzt mit meinem Latein am Ende

 

zu HJT:
Bitte anhängen!

fixen:

Code:

O4 - HKLM\..\Run: [lphcaf3j0ev3v] F:\WINDOWS\system32\lphcaf3j0ev3v.exe

O4 - HKLM\..\Run: [inrhcef3j0ev3v] F:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\.ttD3.tmp.exe /CR=5F8C0875B49BA02BB503A8EC828A17BC9C02D0CD705946380905C0DBD131D2BAEC67EA1263FD C0565E29842A7C51B282382A50CE1BBC550CD13B5 2746F4FB4C293AF8DA93F2EAC6014214D8256183AEEBB

O4 - HKCU\..\Run: [SVCHOST.EXE] F:\WINDOWS\system32\drivers\svchost.exe

Das: F:\WINDOWS\system32\sysrest32.exe
Hier prüfen:
http://virusscan.jotti.org/

Falls verseucht, das hier fixen:
O4 - HKLM\..\Run: [sysrest32.exe] F:\WINDOWS\system32\sysrest32.exe

SP3 ist aktuell und IE 6 ist auch veraltet.

 

TILT

neuaufsetzen

 

... und Acrobat Reader gibts auch schon in einer neueren Version

 

und sofort ein Image herstellen, das bei der nächsten Virusinfektion wieder aufgespielt werden kann. Überhaupt sollte immer ein Image der zulrtzt gut laufenden Version existieren.
MfG fhellm

 

hey simon, danke für die infos...
der link funktioniert aber leider nicht und ich hab sowas noch nie gemacht. kannst du das bitte nochmal für vollamateure erklären?
Wie fixt man???

 

Dann versuche mal www.virustotal.com/de

Was bedeutet Fixen ?
http://members.linzag.net/680262/HJT/HijackThis.html#Was_bedeutet_FIXEN

 

Virustotal funktioniert auch nicht, werde immer auf ne andere seite umgeleitet...
Dürfte der Virus sein.
Noch ne Idee???

 

Im abgesicherten Modus bei deaktivierter Systemwiederherstellung:

das hier fixen:
O4 - HKLM\..\Run: [sysrest32.exe] F:\WINDOWS\system32\sysrest32.exe
zusätzlich zu den anderen Sachen.

 

Hey Leute ihr seid super, danke für die Hilfe...
ich habs geschafft...


Hoff ich doch, jedenfalls!

 

@nashy... ohne Neuaufsetzen sehn wir uns bald wieder

 

Hab mich wohl zu früh gefreut, ...

Avira findet zwar nichts mehr ausser ner Warnung, ich bekomm aber trotzdem noch zwischendurch ein Bluescreen mit ner Warnmeldung. Wat nu Leude?
wer weiß noch was?

Hier nochmal die aktuellen Reports:



AntiVir-Log gelöscht. Bitte als Textdatei anhängen.


----------------------------------------------------------------
Anmerkung der Moderation:

Bitte keine kompletten HijackThis-Logs im Forum posten, sondern lediglich als Text-Datei an den Beitrag anhängen, wie auf folgender Seite (bebildert) beschrieben: http://www.pcwelt.de/forum/sicherhe...r-rootkits/134046-posten-hijackthis-logs.html

Sollte sich die Datei nicht hochladen lassen, bitte die rot geschriebenen Abschnitte in der Anleitung lesen!

Es kann auch weiterhin der Link zum ausgewerteten Log gepostet werden.

Gruß
Nevok
----------------------------------------------------------------

 

und wieder so ein Megapost..trotz Verwarnung vorhin..
sacht mal auf den guten alten Humi will wohl keiner hören..

@TO 4get it mach es platt
@ minjung...und jez bin ich gespannt was du sagst bawusch

 

@nashy
Befolge unbedingt den Rat von "humi": Neuaufsetzen ist die beste Lösung. Sonst kommst Du jeden Tag wieder.

 

Wenn da wirklich kein Schädling mehr aktiv ist, könnte man mal eine Reparaturinstallation versuchen. Ein Bluescreen ohne Stop Meldung kann aber alles Mögliche sein.
Was mich etwas wundert ist, dass da der Backup-Dienst von Nero offensichtlich umsonst läuft.
Dann kann man den Kram auch gleich deaktivieren und spart Ressourcen.

 

@ deoroller
Danke für die guten tipps.
ist doch mit stop meldung, habs mir aber nicht gemerkt.
Poste es wenns das nächste mal auftaucht...
... und die reports häng ich nächstes mal an.
PS: Wie kann ich den Nero backup deaktivieren?

Net bös sein, hier ist ein vollnerd am werk!

 

für mich EOD...
führ deinen Dialog mit Deo... und ignoriere die Anderen...

 

http://www.vistaheads.com/forums/mi...der-nero-dienste-bzw-autostart-eintraege.html

Diese Aussage finde ich höchst interessant:

@nashy
Das kannst du beim Neu aufsetzen des Betriebssystems beherzigen.