Viren weg oder nicht?

Guten Tag miteinander!
Bei einem Scan wurden gem. angehängtem Protokoll zwei Schädlinge gefunden. Diese habe ich im Explorer gelöscht. Ein anschließender Scan mit GData Antivir und Malwatebytes' Anti-Malware brachte keine Funde mehr.
Leider habe ich versäumt, vor der Löschaktion die Systemwiederher-
stellung zu deaktivieren. Ein Wiederherstellungspunkt wurde an diesem Tag aber auch nicht angelegt. Ist dann jetzt alles in Ordnung?
Ich füge auch noch ein Hijackthis-Log bei.
Meine Zweifel und Unsicherheiten bringen mich dazu, mich hier noch einmal zu melden.

Gruß Cliff

 

und wieso machst du einen neuen Faden auf?
http://www.pcwelt.de/forum/sicherheit-viren-w-rmer-trojaner-rootkits/336884-gef-hrlich.html

erstelle dir über einen sauberen Rechner die UBCD:http://www.ubcd4win.com/

und scanne mit dieser Live CD anschl. deinen Rechner

 

@humi

Meine jetzige Anfrage sehe ich nicht als "neuen Faden." Wie Du siehst, habe ich anscheinend noch kein sauberes System, um eine Ultmative-Boot-CD zu erstellen.
Was sagst Du denn zu meinen beiden Anhängen?

Gruß Cliff

 

das Log ist unauffällig, der Fund besagt garnichts... heisst nur dass etwas verdächtiges gefunden wurde- wie es aussieht in der Systemwiederherstellung...
Mehr kann man nicht sagen, aber ich würde an deiner Stelle in Erwägung ziehen, das System neu aufzusetzen um einen sauberen Rechner zu gewährleisten

 

Laufen da tatsächlich GDATA AV und Kaspersky AV?

Code:

O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe
O23 - Service: avp - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe

Da ist dann einer zu viel.

 

@deoroller

Es läuft nur GData, Kaspersky hatte ich mit einem Remover-Tool von Kaspersky deinstalliert.

@humi
Sicherlich habe ich schon an eine Neuinstallation gedacht, hoffe aber insgeheim doch, daß ich sie vermeiden kann. Und für dieses "Vermeiden" wünsche ich mir noch Zuspruch!

Cliff

 

Kasper läuft aber noch lt logfile....

hmmm Zuspruch... von meiner Seite aus nicht-.-

 

Zumindest wurde ein Dienst nicht korrekt entfernt. Wäre nur ein Registryeintrag vorhanden und die Dateien entfernt, würde im Log "(file missing)" am Ende der Zeile stehen.

Ich sehe keine Notwendigkeit, wegen eines Schädlings in der Systemwiederherstellung neu aufzusetzen, der nicht aktiv ist und auch nicht im normalen Dateisystem vorkommt.
Aber da schon öfters in letzer Zeit AV-Programme getauscht wurden, wie -humi- seine Unterhosen, rate ich zum Neu aufsetzen, um wieder ein störungsfreies System zu kriegen, in dem maximal nur ein AV-Scanner läuft, ohne Reste von weiteren. Wenn das Entfernungstool von Kaspersky nicht alles entfernen konnte, wird es schwierig das von Hand zu übernehmen.
Ich könnte das hin kriegen, aber nur wenn ich selbst am PC sitzen würde.
Da muss man dann in Diensteverwaltung, Gerätemanager und Registry Dinge tun...

 

ich trage keine

 

@deoroller
Den Eintrag Kaspersky unter Code 023 konnte ich löschen und erscheint auch nicht mehr bei einem neuen Scan. Aber unter Computerverwaltung - Dienste ist der Eintrag noch immer vorhanden und verweist auf einen Pfad, der nicht mehr existiert. Habe den Dienst manuell gestartet und den Hinweis auf nicht mehr existierenden Pfad erhalten.
Leider kann ich den jetzt überflüssigen Eintrag unter den Diensten aber nicht löschen. Ich finde hierfür keinen Button/Menu.
Gibt es doch eine Möglichkeit?

Gruß Cliff

 

Der Kaspersky Dienst muss deaktiviert sein.
Dann in der Registry den Kaspersky-Schlüssel mit allen Unterschlüsseln und Werten löschen und zwar unter [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
Nach einem Neustart sollte der Dienst nicht mehr in der Verwaltung sein.
Dann Umgebungsvariablen
Devmgr_show_details=1
Devmgr_show_nonpresent_devices=1
setzen, um alte Einträge im Gerätemanager sichtbar zu machen unter:
-> Systemsteuerung -> System, Tabreiter "Erweitert" klicken Sie auf den Button "Umgebungsvariablen" bzw. ab Windows Vista -> Systemsteuerung -> System -> auf der linken Seite "Erweiterte Einstellungen" auswählen -> Tabreiter "Erweitern" auf den Button "Umgebungsvariablen" klicken.
http://www.winfaq.de/faq_html/Content/tip1000/tip1220.htm

Dann im Gerätemanager unter nicht-PnP-Dienste klif.sys (Kaspersky Lab Internet Firewall) und klop.sys (IDS Schutz gegen Netzwerk-Angriffe) deinstallieren. Eventuell gibt es noch weitere von Kaspersky. Die Namen habe ich nicht mehr alle im Kopf.
Damit nicht-PnP-Dienste angezeigt werden, Ansicht - ausgeblendete Geräte aktivieren.

 

Guten Abend,

zwischenzeitlich war ich tätig und denke, ich habe die Reste von Kaspersky beseitigen können.
Neue Scans mit GData Antivir, Malwarebytes' Anti-Malware und Windows Defender zeigen keine Funde, auch das System zeigt keinerlei Auffälligkeiten bei der Arbeit.
Soweit ich das angehängte Hijackthis-Log lesen kann, ist auch hier alles in Ordnung.
Erbitte hierzu aber Bestätigung.
Ich denke, ich kann ein Neuaufsetzen noch ein wenig in die Zukunft verschieben.
An dieser Stelle sage ich allen Helfern herzlichen Dank, insbesondere danke ich deoroller für seine ausführliche Anleitung, die mir sehr von Nutzen war.

Gruß Cliff

 

Das sieht gut aus.