Welche von denen kann ich löschen?

start--> ausführen --> sysdm.cpl (reinschreiben) enter

Häckchen bei Systemwiederherstellung deaktivieren setzten
Rechner neu starten

Häckchen wieder entfernen
neuen Punkt setzten

System noch einmal scannen lassen

2.

HijackThis aktualisieren und in eigenen Ordner installieren

Falls sich nicht die aktuelle Version 2.02 von HijackThis auf Deinem Rechner in einem eigenen Ordner befindet, deinstalliere oder lösche die alte Version von HijackThis und lade HijackThis Version 2.02 von Housecall herunter. Starte den Installer mit einem Doppelklick auf die Datei HTJInstall. Das folgende Fenster mit Install bestätigen, damit das Programm in einen eigenen Ordner installiert wird (nicht auf dem Desktop, sondern in den vorgegebenen Pfad). HJT muss in einem eigenen Ordner laufen, damit evtl. falsch gefixte Einträge wiederhergestellt werden können. Schließe alle Programme und Fenster. Erstelle und poste mir ein HJT-Logfile in dem Du die Hijackthis.exe startest und auf "Do a system scan and save a logfile" klickst.

Poste beide berichte
 

Äh, muss ich beides machen, oder eins von beiden??

beides 

Muss ich den Wiederherstellungspunkt (ganz normal über die Systemwiederherstellung oder??) für beide Partitionen extra machen???

ganz normal

Gut... bin schon dabei. Lieber einmal mehr gefragt, als einmal zu wenig.
Das kann jetzt aber ein Weilchen dauern; ich werde ihn eine Intensiv-Prüfung machen lassen.

Ich hab' mich mal kurz schlaugemacht, was das für ein Ordner ist (also "System Volume Information"), dass sich da so viele Viren festsetzen. Wie in Gottes Namen soll ich die Viren da raus bekommen, wenn AV's keinen Zugriff haben?

Es gibt zwar auf it-academy.cc eine Anleitung wie man sich zu dem Zugriff verschafft, scheint mir aber eine ziemlich komplizierte Angelegenheit zu sein. Gibt's da noch einen anderen Weg, als der aus dem Artikel (siehe Link)?

http://www.it-academy.cc/article/1562/System+Volume+Information+Viren+entfernen.html

indem du einfach das machst,was ich dir gesagt habe 

Starte den Rechner doch einfach im abgesicherten Modus. Vorher aber wie schon richtig erwähnt die Systemwiederherstellung abschalten Systemsteuerung->System->Systemwiederherstellung und da das Häkchen rein. Dann Neustart, dabei mehrfach F8 drücken, dann schnell den "Abgesicherten Modus" wählen, dann Scannen. Vielleicht verschiebst du vorher noch die Verknüpfung zu Avast in Richtung Start-Button, weil die Auflösung des Bildschirmes verändert ist.

C.

indem du einfach das machst,was ich dir gesagt habe 

Wo in aller Welt bekomme ich jetzt den Bericht von Avast her?


Hier erstmal das von HJT:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:05:41, on 23.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\XnView\xnview.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office10\POWERPNT.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://suche.aon.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.si/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Telekom Austria TA AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.aon.at:8080
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\system32\bootvid.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1240459233265
O16 - DPF: {B8A23E08-0B26-4348-AA96-33395A51DDD9} (CantocheLivingActor Class) - file:///C:/Dokumente%20und%20Einstellungen/Jasmin/Lokale%20Einstellungen/Temp/rd30.tmp/livingActor.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\ruwetavo.dll rpvvrp.dll c:\windows\system32\bisevona.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 5627 bytes


Ich habe interessanterweise übringens auch noch ein paar Dateien im Container:
- irgendwas aus dem System Volume Information
- kernel32.dll
- winsock.dll und
- wsock32.dll

Wobei die 3 dll-Dateien nicht in "Infizierte Dateien" sind, sondern einfach bei "System-Dateien".

Ich bin hochgradig verwirrt.

 ??? ??? ??? 

Hast du jetzt im abgesicherten Modus gescannt und vorher die Systemwiederherstellung abgeschaltet? Und was wurde gelöscht?
Jedenfalls nicht alles, das hier muss weg:

O20 - AppInit_DLLs: C:\WINDOWS\system32\ruwetavo.dll rpvvrp.dll c:\windows\system32\bisevona.dll

Andernfalls nochmals:
Abgesichert starten. Danach Start->Ausführen-> regedit <eingeben und ok.
Nun zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run navigieren und die unbekannten Schlüssel zu unbekannten Programmen löschen.

Danach zu HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run und ebenfalls schauen und die unbekannten Schlüssel zu unbekannten Einträgen ebenfalls löschen.
Editor schliessen.

Dann Start->Ausführen-> msconfig < eingeben und ok. Im Reiter Systemstart nach unbekannten Einträgen suchen. Haken rausmachen. Neustarten.

Die zuvor (evtl.von einem anderen PC geladene) Software -> http://freedrweb.com/cureit/ installieren und Komplettscan nach dem Schnellscan ausführen.

Melden, was jetzt geht.

C.

Schritt 1

Führe den Vundo-Entferner nach folgender Anleitung aus:

• Lade VundoFix.exe auf Deinen Desktop und starte es mit einem Doppelklick.

• Nachdem VundoFix sich wieder geöffnet hat, klicke auf "Scan for Vundo"[/b].
• Nach dem Ende des Scans klicke auf "Fix Vundo"[/b].
• Die Frage, ob Du die Dateien entfernen willst, beantworte mit "Ja".
• Danach verschwindet Dein Desktop, das ist normal während der Entfernung.
• Wenn dies fertig ist, wird Dir mitgeteilt, dass Dein Rechner runtergefahren wird. Klicke OK.
• Es ist möglich, dass VundoFix eine Datei findet, die es nicht entfernen kann. In diesem Fall wiederhole die Anleitung.
• Nachdem VundoFix endgültig fertig ist, poste den Inhalt von C:\vundofix.txt

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
• In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro für HJT akzeptieren I accept.
• Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

• Bei nötigen Folgescans das Tool immer wie folgt starten:
• Start => ausführen => "%userprofile%\desktop\rsit.exe" /info (reinkopieren),
  damit die alten Logdateien überschrieben werden.

Tut mir Leid, aber ich verstehe nur Bahnhof.

1.) Was genau muss ich mit dem O20 machen?
2.) Ich hab nicht im abgesicherten Modus gescannt. Ich habe nur die Systemwiederherstellung deaktiviert, neu gestartet, wieder aktiviert, einen Wiederherstellungspunkt erstellt und gescannt. Genau in der Reihenfolge in der Larusso es gesagt hat.
3.) Die Viren in der System Volume Information wurden von Avast gefunden, aber nichts wurde gelöscht.

Ich bitte um .....ensichere Erklärungen!

• Es ist möglich, dass VundoFix eine Datei findet, die es nicht entfernen kann. In diesem Fall wiederhole die Anleitung.