Erkennungsmuster des Rootkits RKIT/Kryptic.763904

Hallo,
ich habe ein "kleines" Problem bei meinem Laptop.
Avira fand Folgendes:
C:\Windows\System32\drivers\jhgovhy.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Leider kann Avira dieses scheinbar nicht lösen:
Beginne mit der Desinfektion:
C:\Windows\System32\drivers\jhgovhy.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Fehler in der ARK Library
[WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden.Mögliche Ursache: Ein an das System angeschlossenes Gerät funktioniert nicht.

Nach einigem Recherchieren fand ich nun zu eurem Forum. Ich habe wie empfohlen Combofix runtergeladen.

hier das Combofix-log:

ComboFix 10-01-24.03 - xxx 25.01.2010 8:42.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.3197.2134 [GMT 1:00]
ausgeführt von:: d:\daten_xxx\Desktop\Combo-Fix.exe
SP: Spybot - Search and Destroy *disabled* (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.
ADS - Windows: deleted 24 bytes in 1 streams.

lg, hexy

Hallo Markus,

habe heute nur den Quickscan laufen lassen ...
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3613
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

25.01.2010 10:18:24
mbam-log-2010-01-25 (10-18-24).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 100136
Laufzeit: 5 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

-----
Den vollständigen Scan lasse ich anschließend noch laufen. Und poste ihn dann später.

Danke, Markus!

Hier nun der vollständige Scan von Malwarebites:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3613
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

25.01.2010 16:16:14
mbam-log-2010-01-25 (16-15-35).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 293758
Laufzeit: 1 hour(s), 26 minute(s), 53 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\INFECTED\06B94153.993 (Rootkit.Agent) -> No action taken.

-----------------
Wie muss ich nun weiter vorgehen?

Sorry, war unterwegs ...
hier nun die aktuellen logs:

lokale Laufwerke:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 25. Januar 2010 18:10

Es wird nach 1640913 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : xxx
Computername : xxx

Versionsinformationen:
BUILD.DAT : 9.0.0.418 Bytes 02.12.2009 16:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:00:25
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 08:34:14
VBASE003.VDF : 7.10.3.2 2048 Bytes 20.01.2010 08:34:15
VBASE004.VDF : 7.10.3.3 2048 Bytes 20.01.2010 08:34:15
VBASE005.VDF : 7.10.3.4 2048 Bytes 20.01.2010 08:34:16
VBASE006.VDF : 7.10.3.5 2048 Bytes 20.01.2010 08:34:16
VBASE007.VDF : 7.10.3.6 2048 Bytes 20.01.2010 08:34:16
VBASE008.VDF : 7.10.3.7 2048 Bytes 20.01.2010 08:34:16
VBASE009.VDF : 7.10.3.8 2048 Bytes 20.01.2010 08:34:16
VBASE010.VDF : 7.10.3.9 2048 Bytes 20.01.2010 08:34:16
VBASE011.VDF : 7.10.3.10 2048 Bytes 20.01.2010 08:34:16
VBASE012.VDF : 7.10.3.11 2048 Bytes 20.01.2010 08:34:17
VBASE013.VDF : 7.10.3.12 2048 Bytes 20.01.2010 08:34:17
VBASE014.VDF : 7.10.3.45 173568 Bytes 22.01.2010 11:07:44
VBASE015.VDF : 7.10.3.46 2048 Bytes 22.01.2010 11:07:44
VBASE016.VDF : 7.10.3.47 2048 Bytes 22.01.2010 11:07:45
VBASE017.VDF : 7.10.3.48 2048 Bytes 22.01.2010 11:07:45
VBASE018.VDF : 7.10.3.49 2048 Bytes 22.01.2010 11:07:45
VBASE019.VDF : 7.10.3.50 2048 Bytes 22.01.2010 11:07:45
VBASE020.VDF : 7.10.3.51 2048 Bytes 22.01.2010 11:07:45
VBASE021.VDF : 7.10.3.52 2048 Bytes 22.01.2010 11:07:46
VBASE022.VDF : 7.10.3.53 2048 Bytes 22.01.2010 11:07:46
VBASE023.VDF : 7.10.3.54 2048 Bytes 22.01.2010 11:07:46
VBASE024.VDF : 7.10.3.55 2048 Bytes 22.01.2010 11:07:46
VBASE025.VDF : 7.10.3.56 2048 Bytes 22.01.2010 11:07:46
VBASE026.VDF : 7.10.3.57 2048 Bytes 22.01.2010 11:07:47
VBASE027.VDF : 7.10.3.58 2048 Bytes 22.01.2010 11:07:48
VBASE028.VDF : 7.10.3.59 2048 Bytes 22.01.2010 11:07:48
VBASE029.VDF : 7.10.3.60 2048 Bytes 22.01.2010 11:07:48
VBASE030.VDF : 7.10.3.61 2048 Bytes 22.01.2010 11:07:48
VBASE031.VDF : 7.10.3.67 131584 Bytes 25.01.2010 15:29:11
Engineversion : 8.2.1.150
AEVDF.DLL : 8.1.1.3 106868 Bytes 24.01.2010 11:07:57
AESCRIPT.DLL : 8.1.3.12 823675 Bytes 24.01.2010 11:07:56
AESCN.DLL : 8.1.3.1 127348 Bytes 15.01.2010 07:09:09
AESBX.DLL : 8.1.1.1 246132 Bytes 08.11.2009 06:38:44
AERDL.DLL : 8.1.3.4 479605 Bytes 06.01.2010 17:05:07
AEPACK.DLL : 8.2.0.5 422262 Bytes 15.01.2010 07:09:05
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08.11.2009 06:38:38
AEHEUR.DLL : 8.1.0.195 2232695 Bytes 15.01.2010 07:08:54
AEHELP.DLL : 8.1.10.0 237942 Bytes 15.01.2010 07:08:00
AEGEN.DLL : 8.1.1.83 369014 Bytes 06.01.2010 17:03:07
AEEMU.DLL : 8.1.1.0 393587 Bytes 08.11.2009 06:38:26
AECORE.DLL : 8.1.9.5 184693 Bytes 15.01.2010 07:07:51
AEBB.DLL : 8.1.0.3 53618 Bytes 08.11.2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: umbenennen
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Montag, 25. Januar 2010 18:10

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '99089' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:

Es wurden '37' Prozesse mit '37' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '65' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\'
D:\Daten_Hexy\Downloads\FileZilla_3.2.8.1_win32-setup.exe
[0] Archivtyp: NSIS
--> unknown1
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'F:\' <KINGSTON>
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Ende des Suchlaufs: Montag, 25. Januar 2010 19:15
Benötigte Zeit: 1:04:15 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

28005 Verzeichnisse wurden überprüft
600069 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
600067 Dateien ohne Befall
4344 Archive wurden durchsucht
4 Warnungen
2 Hinweise
99089 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

-----------------------
Rootkit:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 25. Januar 2010 21:41

Es wird nach 1640913 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : xxx
Computername : xxx

Versionsinformationen:
BUILD.DAT : 9.0.0.418 21723 Bytes 02.12.2009 16:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:00:25
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 08:34:14
VBASE003.VDF : 7.10.3.2 2048 Bytes 20.01.2010 08:34:15
VBASE004.VDF : 7.10.3.3 2048 Bytes 20.01.2010 08:34:15
VBASE005.VDF : 7.10.3.4 2048 Bytes 20.01.2010 08:34:16
VBASE006.VDF : 7.10.3.5 2048 Bytes 20.01.2010 08:34:16
VBASE007.VDF : 7.10.3.6 2048 Bytes 20.01.2010 08:34:16
VBASE008.VDF : 7.10.3.7 2048 Bytes 20.01.2010 08:34:16
VBASE009.VDF : 7.10.3.8 2048 Bytes 20.01.2010 08:34:16
VBASE010.VDF : 7.10.3.9 2048 Bytes 20.01.2010 08:34:16
VBASE011.VDF : 7.10.3.10 2048 Bytes 20.01.2010 08:34:16
VBASE012.VDF : 7.10.3.11 2048 Bytes 20.01.2010 08:34:17
VBASE013.VDF : 7.10.3.12 2048 Bytes 20.01.2010 08:34:17
VBASE014.VDF : 7.10.3.45 173568 Bytes 22.01.2010 11:07:44
VBASE015.VDF : 7.10.3.46 2048 Bytes 22.01.2010 11:07:44
VBASE016.VDF : 7.10.3.47 2048 Bytes 22.01.2010 11:07:45
VBASE017.VDF : 7.10.3.48 2048 Bytes 22.01.2010 11:07:45
VBASE018.VDF : 7.10.3.49 2048 Bytes 22.01.2010 11:07:45
VBASE019.VDF : 7.10.3.50 2048 Bytes 22.01.2010 11:07:45
VBASE020.VDF : 7.10.3.51 2048 Bytes 22.01.2010 11:07:45
VBASE021.VDF : 7.10.3.52 2048 Bytes 22.01.2010 11:07:46
VBASE022.VDF : 7.10.3.53 2048 Bytes 22.01.2010 11:07:46
VBASE023.VDF : 7.10.3.54 2048 Bytes 22.01.2010 11:07:46
VBASE024.VDF : 7.10.3.55 2048 Bytes 22.01.2010 11:07:46
VBASE025.VDF : 7.10.3.56 2048 Bytes 22.01.2010 11:07:46
VBASE026.VDF : 7.10.3.57 2048 Bytes 22.01.2010 11:07:47
VBASE027.VDF : 7.10.3.58 2048 Bytes 22.01.2010 11:07:48
VBASE028.VDF : 7.10.3.59 2048 Bytes 22.01.2010 11:07:48
VBASE029.VDF : 7.10.3.60 2048 Bytes 22.01.2010 11:07:48
VBASE030.VDF : 7.10.3.61 2048 Bytes 22.01.2010 11:07:48
VBASE031.VDF : 7.10.3.67 131584 Bytes 25.01.2010 15:29:11
Engineversion : 8.2.1.150
AEVDF.DLL : 8.1.1.3 106868 Bytes 24.01.2010 11:07:57
AESCRIPT.DLL : 8.1.3.12 823675 Bytes 24.01.2010 11:07:56
AESCN.DLL : 8.1.3.1 127348 Bytes 15.01.2010 07:09:09
AESBX.DLL : 8.1.1.1 246132 Bytes 08.11.2009 06:38:44
AERDL.DLL : 8.1.3.4 479605 Bytes 06.01.2010 17:05:07
AEPACK.DLL : 8.2.0.5 422262 Bytes 15.01.2010 07:09:05
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08.11.2009 06:38:38
AEHEUR.DLL : 8.1.0.195 2232695 Bytes 15.01.2010 07:08:54
AEHELP.DLL : 8.1.10.0 237942 Bytes 15.01.2010 07:08:00
AEGEN.DLL : 8.1.1.83 369014 Bytes 06.01.2010 17:03:07
AEEMU.DLL : 8.1.1.0 393587 Bytes 08.11.2009 06:38:26
AECORE.DLL : 8.1.9.5 184693 Bytes 15.01.2010 07:07:51
AEBB.DLL : 8.1.0.3 53618 Bytes 08.11.2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: hoch
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: umbenennen
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,
Erweiterte Sucheinstellungen..........: 0x00300922

Beginn des Suchlaufs: Montag, 25. Januar 2010 21:41

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '635111' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Ende des Suchlaufs: Montag, 25. Januar 2010 21:49
Benötigte Zeit: 08:30 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
0 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
0 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
0 Hinweise
635111 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

---------------
Was sagt mir nun das???

Hallo Markus,

nach aktuellem Suchlauf des Avira (mit harter Konfiguration) wird nichts mehr gefunden.
Ich werde nun die desinfect-CD (aus der ct-Zeitschrift, Ausgabe 02/2010) nochmals durchlaufen lassen und dann schauen, was die logs zeigen ...
diese dann posten.

Vielleicht kannst du mir ja dann sagen, was ich noch zu tun habe?

Hallo Markus,

lediglich BitDefender fand etwas ...
/media/sda2/ProgramData/Avira/AntiVir Desktop/INFECTED/4b9fce08.qua=>(Quarantine-8) infected: Rootkit.Agent.AJCN
/media/sda2/ProgramData/Avira/AntiVir Desktop/INFECTED/4bb7b5dd.qua=>(Quarantine-8) infected: Rootkit.Agent.AJCN
/media/sda2/ProgramData/Avira/AntiVir Desktop/INFECTED/4bbb870d.qua=>(Quarantine-8) infected: Rootkit.Agent.AJCN
/media/sda2/ProgramData/Avira/AntiVir Desktop/INFECTED/4bbca7d8.qua=>(Quarantine-8) infected: Rootkit.Agent.AJCN
/media/sda2/ProgramData/Avira/AntiVir Desktop/INFECTED/4bc0ec47.qua=>(Quarantine-8) infected: Rootkit.Agent.AJCN

Wei
Results:
Folders: 0
Files: 447406
Packed: 13846
Archives: 4662
Infected files: 5
Suspect files: 0
Warnings: 0
Identified viruses: 5
I/O errors: 0
Files/second: 100
Scan time: 01:14:22

----------------------
Was kann ich nun noch tun?
Diese files scheinen ja in Quarantäne von Avira zu sitzen ...

Nachdem ich irgendwo auf virustotal.com aufmerksam wurde, ließ ich das aktuellste qua-file dort überprüfen.

Ergebnis:
4 von 41 Virenscanner fanden etwas ...
BitDefender7.22010.01.26Rootkit.Agent.AJCN
DrWeb5.0.1.122222010.01.26Trojan.NtRootKit.5303
F-Secure9.0.15370.02010.01.26Rootkit.Agent.AJCN
GData192010.01.26Rootkit.Agent.AJCN

und nun?
Kann ich die files einfach löschen???

Bitte, bitte ... erkläre einer einfachen Mediengestalterin, was sie mit solchen Funden macht ...

Tausend Dank schon jetzt!
Du musst wissen - scheinbar habe ich beim Uploaden einer neuen CMSimple-Version diesen Schädling auf den Webserver übertragen ... und daher sind nun bereits mehr als 6 Webspaces infiziert. ... und er scheint sich auszubreiten.
Daher wurde mir von meinem Provider mitgeteilt, ich müsste alle Daten auf allen Webspaces löschen und alles - nach Änderung der Passwörter - neu uploaden
Sind ca. 25 Webspaces. Teils eben auch geschäftliche Websites.

Hallo Markus,

tausend Dank für deine Hilfe!!!

Mit den Tipps zum sicheren Surfen hatte ich mich schon beschäftigt
Es war auch jetzt das allererste Mal, wo ich mir so einen bösen Frechling eingefangen habe ... obwohl ich schon seit 2000 im Netz unterwegs bin.

Hilfe!!!

Jetzt krieg ich wirklich bald die Krise

Ich habe meinen Adobe so eingestellt, wie du es geraten hast.
Mein Avira läuft in der harten Konfiguration.
Gestern wurde nichts mehr gefunden. Auußer eben den qua-Dateien, die im Ordner /infected sitzen.

Doch heute findet Avira auf einmal einen TR/Agent.403456.A 8O
Die Quelle sitzt nun auch als qua-Datei im /infected-Ordner.

Nun habe ich diese Datei bei virustotal.org und auch bei virscan.org überprüfen lassen.
Deren Scanner jedoch finden nichts.

Muss ich mir nun Sorgen machen???
Oder kann ich einfach den /infected-Ordner rauslöschen und dann nochmals scannen???

Ich finde es halt sehr seltsam, dass es auf einmal ein "trojanisches Pferd" sein soll, wo es doch zuvor immer ein Rootkit war.
Doch ich bin halt in dieser Hinsicht blutiger Laie ...

Hallo Markus,

ok, da hab ich nicht richtig aufgepasst
hier der Report:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 28. Januar 2010 13:54

Es wird nach 1706478 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : xxx
Computername : xxx

Versionsinformationen:
BUILD.DAT : 9.0.0.418 Bytes 02.12.2009 16:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:00:25
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 08:34:14
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 09:36:00
VBASE004.VDF : 7.10.3.76 2048 Bytes 26.01.2010 09:36:00
VBASE005.VDF : 7.10.3.77 2048 Bytes 26.01.2010 09:36:00
VBASE006.VDF : 7.10.3.78 2048 Bytes 26.01.2010 09:36:02
VBASE007.VDF : 7.10.3.79 2048 Bytes 26.01.2010 09:38:04
VBASE008.VDF : 7.10.3.80 2048 Bytes 26.01.2010 09:38:04
VBASE009.VDF : 7.10.3.81 2048 Bytes 26.01.2010 09:38:10
VBASE010.VDF : 7.10.3.82 2048 Bytes 26.01.2010 09:38:32
VBASE011.VDF : 7.10.3.83 2048 Bytes 26.01.2010 09:38:32
VBASE012.VDF : 7.10.3.84 2048 Bytes 26.01.2010 09:38:32
VBASE013.VDF : 7.10.3.85 2048 Bytes 26.01.2010 09:38:32
VBASE014.VDF : 7.10.3.86 2048 Bytes 26.01.2010 09:38:33
VBASE015.VDF : 7.10.3.87 2048 Bytes 26.01.2010 09:38:33
VBASE016.VDF : 7.10.3.88 2048 Bytes 26.01.2010 09:38:33
VBASE017.VDF : 7.10.3.89 2048 Bytes 26.01.2010 09:38:33
VBASE018.VDF : 7.10.3.90 2048 Bytes 26.01.2010 09:38:33
VBASE019.VDF : 7.10.3.91 2048 Bytes 26.01.2010 09:38:34
VBASE020.VDF : 7.10.3.92 2048 Bytes 26.01.2010 09:38:34
VBASE021.VDF : 7.10.3.93 2048 Bytes 26.01.2010 09:38:34
VBASE022.VDF : 7.10.3.94 2048 Bytes 26.01.2010 09:38:34
VBASE023.VDF : 7.10.3.95 2048 Bytes 26.01.2010 09:38:34
VBASE024.VDF : 7.10.3.96 2048 Bytes 26.01.2010 09:41:02
VBASE025.VDF : 7.10.3.97 2048 Bytes 26.01.2010 09:41:03
VBASE026.VDF : 7.10.3.98 2048 Bytes 26.01.2010 09:41:03
VBASE027.VDF : 7.10.3.99 2048 Bytes 26.01.2010 09:41:05
VBASE028.VDF : 7.10.3.100 2048 Bytes 26.01.2010 09:41:05
VBASE029.VDF : 7.10.3.101 2048 Bytes 26.01.2010 09:41:05
VBASE030.VDF : 7.10.3.102 2048 Bytes 26.01.2010 09:41:05
VBASE031.VDF : 7.10.3.112 94208 Bytes 28.01.2010 11:48:54
Engineversion : 8.2.1.154
AEVDF.DLL : 8.1.1.3 106868 Bytes 24.01.2010 11:07:57
AESCRIPT.DLL : 8.1.3.12 823675 Bytes 24.01.2010 11:07:56
AESCN.DLL : 8.1.4.0 127348 Bytes 28.01.2010 09:52:45
AESBX.DLL : 8.1.1.1 246132 Bytes 08.11.2009 06:38:44
AERDL.DLL : 8.1.3.4 479605 Bytes 06.01.2010 17:05:07
AEPACK.DLL : 8.2.0.5 422262 Bytes 15.01.2010 07:09:05
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08.11.2009 06:38:38
AEHEUR.DLL : 8.1.1.1 2322805 Bytes 28.01.2010 09:52:42
AEHELP.DLL : 8.1.10.0 237942 Bytes 15.01.2010 07:08:00
AEGEN.DLL : 8.1.1.85 369012 Bytes 28.01.2010 09:51:31
AEEMU.DLL : 8.1.1.0 393587 Bytes 08.11.2009 06:38:26
AECORE.DLL : 8.1.10.0 184695 Bytes 28.01.2010 09:51:23
AEBB.DLL : 8.1.0.3 53618 Bytes 08.11.2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 28. Januar 2010 13:54

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '93643' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:

Es wurden '36' Prozesse mit '36' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '65' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\'
D:\Daten_Hexy\Downloads\FileZilla_3.2.8.1_win32-setup.exe
[0] Archivtyp: NSIS
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
--> unknown1
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
D:\INFECTED\1A7DB759.012
[FUND] Ist das Trojanische Pferd TR/Agent.403456.A
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4b9897ff.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.

Ende des Suchlaufs: Donnerstag, 28. Januar 2010 14:57
Benötigte Zeit: 1:02:35 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

26821 Verzeichnisse wurden überprüft
590009 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
590006 Dateien ohne Befall
4367 Archive wurden durchsucht
5 Warnungen
3 Hinweise
93643 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

------------------
Jetzt habe ich die richtige Datei zu virustotal.com hochgeladen.
5 Funde:

AntiVir 7.9.1.154 2010.01.27 TR/Agent.403456.AMcAfee+Artemis 5874 2010.01.27 Artemis!2AA0748C15FEMcAfee-GW-Edition 6.8.5 2010.01.27 Trojan.Agent.403456.ANorman 6.04.03 2010.01.27 Malware.KHQWPanda 10.0.2.2 2010.01.27 Suspicious file
-------------------
Was kann ich nun tun?

Kein Problem

Habe den Ordner gelöscht. Lasse eben Avira scannen.
Doch das dauert ja in der Regel über 1,5 Std.
Daher werde ich den Bericht erst morgen posten können.

Kannst du mir jetzt schon sagen, was ich am besten noch tun könnte, wenn Avira nix mehr findet.
Denn gestern wurde in C\windows\temp eine SDF3CE2.temp-Datei gefunden, die das "Erkennungsmuster der Anwendung APPL/PrcView.E" enthält. Befindet sich nun in Quarantäne.

Fakt war, dass ich eine Software, die in einem anderen Forum empfohlen wurde, gedownloadet hatte ... diese konnte ich aber nicht ausführen. Daher löschte ich sie wieder.

Trend Micro HouseCall fand nix.

Ganz ehrlich:
Was denkst du ... sollte ich meinen Laptop wirklich frisch aufsetzen?
Wurde mir von den meisten meiner Bekannten dringlich geraten.