Computerhilfen.de Logo
Forum
Tipps
News
Frage stellen

Welche von denen kann ich löschen?

Hallo allerseits!

Ich habe gerade Avast über meinen PC laufen lassen, und da hat er einige Viren nicht reparieren können. Da möchte ich jetzt gerne wissen, welche von denen ich löschen oder in den Container verschieben kann, ohne dass das System beschädigt wird. Hier ein Screenshot des Berichts:

http://img269.imageshack.us/img269/4879/avastbericht.jpg

Vielen Dank schon mal!



Antworten zu Welche von denen kann ich löschen?:

start--> ausführen --> sysdm.cpl (reinschreiben) enter

Häckchen bei Systemwiederherstellung deaktivieren setzten
Rechner neu starten

Häckchen wieder entfernen
neuen Punkt setzten

System noch einmal scannen lassen

2.

HijackThis aktualisieren und in eigenen Ordner installieren

Falls sich nicht die aktuelle Version 2.02 von HijackThis auf Deinem Rechner in einem eigenen Ordner befindet, deinstalliere oder lösche die alte Version von HijackThis und lade HijackThis Version 2.02 von Housecall herunter. Starte den Installer mit einem Doppelklick auf die Datei HTJInstall. Das folgende Fenster mit Install bestätigen, damit das Programm in einen eigenen Ordner installiert wird (nicht auf dem Desktop, sondern in den vorgegebenen Pfad). HJT muss in einem eigenen Ordner laufen, damit evtl. falsch gefixte Einträge wiederhergestellt werden können. Schließe alle Programme und Fenster. Erstelle und poste mir ein HJT-Logfile in dem Du die Hijackthis.exe startest und auf "Do a system scan and save a logfile" klickst.

Poste beide berichte
 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Äh, muss ich beides machen, oder eins von beiden??

beides 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Muss ich den Wiederherstellungspunkt (ganz normal über die Systemwiederherstellung oder??) für beide Partitionen extra machen???

ganz normal :)

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Gut... bin schon dabei. Lieber einmal mehr gefragt, als einmal zu wenig. ;)
Das kann jetzt aber ein Weilchen dauern; ich werde ihn eine Intensiv-Prüfung machen lassen.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Ich hab' mich mal kurz schlaugemacht, was das für ein Ordner ist (also "System Volume Information"), dass sich da so viele Viren festsetzen. Wie in Gottes Namen soll ich die Viren da raus bekommen, wenn AV's keinen Zugriff haben?

Es gibt zwar auf it-academy.cc eine Anleitung wie man sich zu dem Zugriff verschafft, scheint mir aber eine ziemlich komplizierte Angelegenheit zu sein. Gibt's da noch einen anderen Weg, als der aus dem Artikel (siehe Link)?

http://www.it-academy.cc/article/1562/System+Volume+Information+Viren+entfernen.html

indem du einfach das machst,was ich dir gesagt habe 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Starte den Rechner doch einfach im abgesicherten Modus. Vorher aber wie schon richtig erwähnt die Systemwiederherstellung abschalten Systemsteuerung->System->Systemwiederherstellung und da das Häkchen rein. Dann Neustart, dabei mehrfach F8 drücken, dann schnell den "Abgesicherten Modus" wählen, dann Scannen. Vielleicht verschiebst du vorher noch die Verknüpfung zu Avast in Richtung Start-Button, weil die Auflösung des Bildschirmes verändert ist.

C.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button
indem du einfach das machst,was ich dir gesagt habe 
Jaja, er scannt ja noch.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Wo in aller Welt bekomme ich jetzt den Bericht von Avast her?


Hier erstmal das von HJT:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:05:41, on 23.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\XnView\xnview.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office10\POWERPNT.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://suche.aon.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.si/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Telekom Austria TA AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.aon.at:8080
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\system32\bootvid.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1240459233265
O16 - DPF: {B8A23E08-0B26-4348-AA96-33395A51DDD9} (CantocheLivingActor Class) - file:///C:/Dokumente%20und%20Einstellungen/Jasmin/Lokale%20Einstellungen/Temp/rd30.tmp/livingActor.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\ruwetavo.dll rpvvrp.dll c:\windows\system32\bisevona.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 5627 bytes


Ich habe interessanterweise übringens auch noch ein paar Dateien im Container:
- irgendwas aus dem System Volume Information
- kernel32.dll
- winsock.dll und
- wsock32.dll

Wobei die 3 dll-Dateien nicht in "Infizierte Dateien" sind, sondern einfach bei "System-Dateien".

Ich bin hochgradig verwirrt.

 ??? ??? ??? 

« Letzte Änderung: 23.05.09, 18:20:25 von Phoenix1991 »

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hast du jetzt im abgesicherten Modus gescannt und vorher die Systemwiederherstellung abgeschaltet? Und was wurde gelöscht?
Jedenfalls nicht alles, das hier muss weg:

O20 - AppInit_DLLs: C:\WINDOWS\system32\ruwetavo.dll rpvvrp.dll c:\windows\system32\bisevona.dll

Andernfalls nochmals:
Abgesichert starten. Danach Start->Ausführen-> regedit <eingeben und ok.
Nun zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run navigieren und die unbekannten Schlüssel zu unbekannten Programmen löschen.

Danach zu HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run und ebenfalls schauen und die unbekannten Schlüssel zu unbekannten Einträgen ebenfalls löschen.
Editor schliessen.

Dann Start->Ausführen-> msconfig < eingeben und ok. Im Reiter Systemstart nach unbekannten Einträgen suchen. Haken rausmachen. Neustarten.

Die zuvor (evtl.von einem anderen PC geladene) Software -> http://freedrweb.com/cureit/ installieren und Komplettscan nach dem Schnellscan ausführen.

Melden, was jetzt geht.

C.

Schritt 1

Führe den Vundo-Entferner nach folgender Anleitung aus:

[indent]
[/indent]
  • Nachdem VundoFix sich wieder geöffnet hat, klicke auf "Scan for Vundo"[/b].
  • Nach dem Ende des Scans klicke auf "Fix Vundo"[/b].
  • Die Frage, ob Du die Dateien entfernen willst, beantworte mit "Ja".
  • Danach verschwindet Dein Desktop, das ist normal während der Entfernung.
  • Wenn dies fertig ist, wird Dir mitgeteilt, dass Dein Rechner runtergefahren wird. Klicke OK.
  • Es ist möglich, dass VundoFix eine Datei findet, die es nicht entfernen kann. In diesem Fall wiederhole die Anleitung.
  • Nachdem VundoFix endgültig fertig ist, poste den Inhalt von C:\vundofix.txt
Schritt 2

Systemdetails mit RSIT prüfen
  • Lade Random's System Information Tool (RSIT) von random/random herunter,
  • speichere es auf Deinem Desktop.
  • Starte mit Doppelklick die RSIT.exe.
  • Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
  • Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
  • In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro für HJT akzeptieren I accept.
  • Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
  • Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
  • Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
  • Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.
  • Bei nötigen Folgescans das Tool immer wie folgt starten:
  • Start => ausführen => "%userprofile%\desktop\rsit.exe" /info (reinkopieren),
    damit die alten Logdateien überschrieben werden.
Bitte Poste beide logfiles 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Tut mir Leid, aber ich verstehe nur Bahnhof.

1.) Was genau muss ich mit dem O20 machen?
2.) Ich hab nicht im abgesicherten Modus gescannt. Ich habe nur die Systemwiederherstellung deaktiviert, neu gestartet, wieder aktiviert, einen Wiederherstellungspunkt erstellt und gescannt. Genau in der Reihenfolge in der Larusso es gesagt hat.
3.) Die Viren in der System Volume Information wurden von Avast gefunden, aber nichts wurde gelöscht.

Ich bitte um .....ensichere Erklärungen! :-[


  • Es ist möglich, dass VundoFix eine Datei findet, die es nicht entfernen kann. In diesem Fall wiederhole die Anleitung.
Äh, wieso sollte es beim 2. Mal klappen? Nur so 'ne Frage...

« Windows XP: virus im ArbeitsspeicherSicherheit (Firewall etc.) »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Betriebssystem
Das Betriebssystem ist das Steuerungsprogramm des Computers, das als eines der ersten Programme beim Hochfahren des Rechners geladen wird. Arbeitsspeicher, Festplatten, E...

Binärsystem
Unter dem Begriff Binärsystem versteht man einen aus einem Zeichenvorrat von zwei Zeichen aufgebauten Code. Computer verwenden intern dieses System, das auf Basis de...

Bus System
Ein Bus ist ein System zur Datenübertragung. Durch einen Bus können mehrere Teilnehmer über eine Leitung miteinander verbunden werden, ohne dabei an der Da...