Win XP: Win XP: Trojaner-Befall - Format C - CD nicht vorhanden, Product-Key ist vorhand

Die Hilfe kann tatsächlich nur darin bestehen, daß jemand so kulant ist und seine "Sicherungskopie" von Windows-XP-Home mit integriertem SP3 zur Verfügung stellt.
Wer solche CD besitzt kann sich mit @NicoleD in Verbindung setzen.
Im Netz downloadbar sind XP-Installationsdaten nämlich nicht!
(Wäre gut gewesen, gleich nach dem Erwerb des Notebook ein "sauberes Image der Festplatte" zu erzeugen - ist nun nicht nachholbar.)

Noch startbar ?

Ist ein Recovery-Bereich auf der Platte ?

Von dort booten und LAP in in "Auslieferungszustand" setzen ...

ODER :
Ggf von dort die Treiber auf nen Stick ziehen.
Oder auf CD , falls beim Install dann 2.CD-LW vorhanden ist ...

Ansonsten ... siehe PM 

Ja, starten geht ganz normal. Er zeigt dann auch den Desktop mit allen Icons. Aber sobald man auf ein Icon, z. B. Avira, Opera oder ähnliches klickt, erscheint die Meldung des Trojaners "XP Home Security 2012", dass 30 Würmer, Trojaner und Viren gefunden wurden, eben der PC infiziert wäre (alles in englisch). Es gibt zwei Auswahlmöglichkeiten: Ja, ich will diese bösen Dinge loswerden (englisch) = Doppelklick, dann öffnet sich eine Webseite in englisch, dass ich XP Home Security 2012 für 1, 2 oder 3 Jahre für den und den Betrag kaufen kann ODER
Nein, ich will infiziert bleiben und so weitermachen wie bisher, dann erlischt diese Meldung kurz und ich kann Opera usw. öffnen. Allerdings erscheinen alle 1 - 2 Minuten dann wieder irgendwelche Viren- oder Trojanermeldungen und das Spiel geht von vorn los. Beim Googlen habe ich herausgefunden, dass XP Home Security 2012 eben der Trojaner ist. Deshalb möchte ich formatieren, weil ich das Teil nicht loswerde...

Was ist Recovery? Wo finde ich das? Kannst Du mir das bitte beschreiben, wie ich das mache? OMG, Format C kriege ich ja noch hin (aber auch nur, weil ich das schon mal gemacht habe), aber solche Sachen...
Zudem, wenn ich die Sachen auf einen Stick oder CD ziehe, ist das nicht infiziert?

DANKE schonmal

erstmal ...
http://www.malwarebytes.org/products/malwarebytes_free

MalwareBytes  Vollscan im Normal-Modus machen....
Achtung : Vor Scan >> 1x "Update" anklicken ...  !
oder über Einstellungen auf  "1 Tag" einstellen und nochmal starten.
Log   hier posten.

Falls :  No Aktion Taken  im LOG erscheint:
Bitte beachten Sie:
Ein Malwarebytes-Dialogfeld wird angezeigt, sobald der Scan abgeschlossen ist.
Sie sollten jetzt auf die Schaltfläche Entfernen klicken um alle aufgelistete Malware zu entfernen.
MBAM wird jetzt alle Dateien und Registry-Schlüssel löschen und in die Programme-Quarantäne hinzufügen.

danach ...
Sofort PC neu starten , MBAM wiederholen !!

----------------------------

Recovery sollte in der Bootauswahl direkt nach Einschalten erscheinen .
Und unter Arbeitsplatz kannst Du da reinschauen .

PM schon gelesen ?

@Ava-Tar: ja, habe ich schon gelesen, vielen lieben Dank! Werde ich auf jeden Fall machen...

Was ich auch machen werde, ist das, was du beschrieben hast, aber erst heute abend, wenn ich vor dem Notebook sitze...
Wenn du mir jetzt noch sagen kannst, wie ich "den Log poste", wäre ich dir dankbar!

Im MBAM ist ein Reiter "LOGDATEIEN"
Neueste anklicken , unten links auf Öffnen

Rechtsklick in den Text,"Alles markieren" ,dann Rechtsklick & Kopieren.

Hier Fenster aufmachen (Antwort) , Rechtsklick ins leere Fenster, Einfügen . 

So, zuallerst folgendes:
Habe das BS falsch angegeben, es ist Windows XP.

Hatte gestern Schwierigkeiten mit dem Malwareprogramm, hat gedauert, bis ich die Logdateien speichern konnte.

Als ich gestern den Laptop hochgefahren habe, ist mir folgendes eingefallen: In irgendeinem Forum habe ich gelesen, man solle das Datum des PC um 6-7 Tage vorstellen, das hatte ich vorgestern gemacht. Als ich ihn gestern abend hochfuhr, öffnete sich nicht das "XP Home Security" Fenster, allerdings zeigt mir Avira Virus- und Trojaner-Befall an und auch folgendes: Autorun blockiert, C:\autorun.inf.

Habe gestern zuerst Avira vollständig laufen lassen, den Bericht poste ich auch und dann noch das Malwareprogramm.

Die beiden zusammen haben einiges gefunden.

P.S. Wenn ich Glück habe, bekomme ich heute abend noch eine XP-CD...

Malwarebytes Anti-Malware (Test) 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.16.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
User :: NB1205 [Administrator]

Schutz: Aktiviert

16.01.2012 22:55:33
mbam-log-2012-01-16 (22-55-33).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 189990
Laufzeit: 29 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoDrives (PUM.Hijack.Drives) -> Bösartig: ( Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\System Volume Information\_restore{BB4E88DE-E0BB-4D58-A9B8-BEA82B212CD3}\RP4\A0001697.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{BB4E88DE-E0BB-4D58-A9B8-BEA82B212CD3}\RP4\snapshot\MFEX-216.DAT (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\dllcache\ctfmon.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 16. Januar 2012  21:27

Es wird nach 3073014 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : NB1205

Versionsinformationen:
BUILD.DAT      : 10.2.0.704     35934 Bytes  28.09.2011 13:14:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes  22.07.2011 08:44:14
AVSCAN.DLL     : 10.0.5.0       57192 Bytes  22.07.2011 08:44:14
LUKE.DLL       : 10.3.0.5       45416 Bytes  22.07.2011 08:44:16
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 11:59:47
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  22.07.2011 08:44:17
AVREG.DLL      : 10.3.0.9       88833 Bytes  22.07.2011 08:44:17
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 09:05:36
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 08:45:10
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 21:11:14
VBASE003.VDF   : 7.11.19.171     2048 Bytes  20.12.2011 21:11:14
VBASE004.VDF   : 7.11.19.172     2048 Bytes  20.12.2011 21:11:14
VBASE005.VDF   : 7.11.19.173     2048 Bytes  20.12.2011 21:11:14
VBASE006.VDF   : 7.11.19.174     2048 Bytes  20.12.2011 21:11:14
VBASE007.VDF   : 7.11.19.175     2048 Bytes  20.12.2011 21:11:14
VBASE008.VDF   : 7.11.19.176     2048 Bytes  20.12.2011 21:11:14
VBASE009.VDF   : 7.11.19.177     2048 Bytes  20.12.2011 21:11:14
VBASE010.VDF   : 7.11.19.178     2048 Bytes  20.12.2011 21:11:14
VBASE011.VDF   : 7.11.19.179     2048 Bytes  20.12.2011 21:11:14
VBASE012.VDF   : 7.11.19.180     2048 Bytes  20.12.2011 21:11:14
VBASE013.VDF   : 7.11.19.217   182784 Bytes  22.12.2011 21:11:16
VBASE014.VDF   : 7.11.19.255   148480 Bytes  24.12.2011 21:11:17
VBASE015.VDF   : 7.11.20.29    164352 Bytes  27.12.2011 21:11:18
VBASE016.VDF   : 7.11.20.70    180224 Bytes  29.12.2011 21:11:19
VBASE017.VDF   : 7.11.20.102   240640 Bytes  02.01.2012 21:11:19
VBASE018.VDF   : 7.11.20.139   164864 Bytes  04.01.2012 21:11:20
VBASE019.VDF   : 7.11.20.178   167424 Bytes  06.01.2012 21:11:21
VBASE020.VDF   : 7.11.20.207   230400 Bytes  10.01.2012 21:11:22
VBASE021.VDF   : 7.11.20.236   150528 Bytes  11.01.2012 21:11:23
VBASE022.VDF   : 7.11.21.13    135168 Bytes  13.01.2012 21:11:23
VBASE023.VDF   : 7.11.21.14      2048 Bytes  13.01.2012 21:11:23
VBASE024.VDF   : 7.11.21.15      2048 Bytes  13.01.2012 21:11:24
VBASE025.VDF   : 7.11.21.16      2048 Bytes  13.01.2012 21:11:24
VBASE026.VDF   : 7.11.21.17      2048 Bytes  13.01.2012 21:11:24
VBASE027.VDF   : 7.11.21.18      2048 Bytes  13.01.2012 21:11:24
VBASE028.VDF   : 7.11.21.19      2048 Bytes  13.01.2012 21:11:24
VBASE029.VDF   : 7.11.21.20      2048 Bytes  13.01.2012 21:11:24
VBASE030.VDF   : 7.11.21.21      2048 Bytes  13.01.2012 21:11:24
VBASE031.VDF   : 7.11.21.29     70144 Bytes  15.01.2012 21:11:24
Engineversion  : 8.2.8.26 
AEVDF.DLL      : 8.1.2.2       106868 Bytes  23.01.2012 21:11:42
AESCRIPT.DLL   : 8.1.3.97      426363 Bytes  23.01.2012 21:11:42
AESCN.DLL      : 8.1.7.2       127349 Bytes  04.01.2011 08:46:09
AESBX.DLL      : 8.2.4.5       434549 Bytes  23.01.2012 21:11:44
AERDL.DLL      : 8.1.9.15      639348 Bytes  23.01.2012 21:11:40
AEPACK.DLL     : 8.2.15.1      770423 Bytes  23.01.2012 21:11:38
AEOFFICE.DLL   : 8.1.2.25      201084 Bytes  23.01.2012 21:11:36
AEHEUR.DLL     : 8.1.3.18     4297079 Bytes  23.01.2012 21:11:36
AEHELP.DLL     : 8.1.18.0      254327 Bytes  23.01.2012 21:11:27
AEGEN.DLL      : 8.1.5.17      405877 Bytes  23.01.2012 21:11:27
AEEMU.DLL      : 8.1.3.0       393589 Bytes  04.01.2011 08:45:38
AECORE.DLL     : 8.1.24.3      201079 Bytes  23.01.2012 21:11:26
AEBB.DLL       : 8.1.1.0        53618 Bytes  04.01.2011 08:45:34
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 11:59:10
AVPREF.DLL     : 10.0.3.2       44904 Bytes  22.07.2011 08:44:14
AVREP.DLL      : 10.0.0.10     174120 Bytes  22.07.2011 08:44:17
AVARKT.DLL     : 10.0.26.1     255336 Bytes  22.07.2011 08:44:14
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  22.07.2011 08:44:14
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 12:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 15:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 14:40:55
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  22.07.2011 08:44:11
RCTEXT.DLL     : 10.0.64.0      98664 Bytes  22.07.2011 08:44:11

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Montag, 16. Januar 2012  21:27

Der Suchlauf nach versteckten Objekten wird begonnen.
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\SanctionedMedia\Smad\Smad.exe
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/SanctionedMedia.A.13

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'SvcGuiHlpr.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcSvc.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'PWMDBSVC.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'netsession_win.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSScheduler.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'Smad.exe' - '66' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\SanctionedMedia\Smad\Smad.exe>
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/SanctionedMedia.A.13
  [HINWEIS]   Prozess 'Smad.exe' wurde beendet
  [HINWEIS]   Der Registrierungseintrag <HKEY_USERS\S-1-5-21-150745254-950904110-3050556929-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Smad> wurde erfolgreich repariert.
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45b52e64.qua' verschoben!

Durchsuche Prozess 'netsession_win.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPLpr.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '119' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'avastUI.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACWLIcon.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACTray.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '97' Modul(e) wurden durchsucht
Durchsuche Prozess 'virtscrl.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpShocks.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'DOZESVC.EXE' - '7' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpScrex.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPONSCR.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcPrfMgrSvc.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'tposdsvc.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPHKSVC.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPHKLOAD.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'AvastSvc.exe' - '116' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '166' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'ibmpmsvc.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\SanctionedMedia\Smad\Smad.exe
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/SanctionedMedia.A.13
  [HINWEIS]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
  [HINWEIS]   Die Datei existiert nicht!

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\msimg32.dll
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.P.1529
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\naemwsxrco.exe
  [FUND]      Ist das Trojanische Pferd TR/Drop.Injector.bron
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\ncmrawoxes.exe
  [FUND]      Ist das Trojanische Pferd TR/FakeAV.kkoh
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\nexmcorwsa.exe
  [FUND]      Ist das Trojanische Pferd TR/FakeAV.kkoh
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\onwxcsmaer.exe
  [FUND]      Ist das Trojanische Pferd TR/Drop.Injector.bron
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\wanmocrxes.exe
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.P.1529
C:\System Volume Information\_restore{BB4E88DE-E0BB-4D58-A9B8-BEA82B212CD3}\RP10\A0004324.sys
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
C:\System Volume Information\_restore{BB4E88DE-E0BB-4D58-A9B8-BEA82B212CD3}\RP10\A0005351.sys
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
C:\System Volume Information\_restore{BB4E88DE-E0BB-4D58-A9B8-BEA82B212CD3}\RP11\A0005483.sys
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
C:\System Volume Information\_restore{BB4E88DE-E0BB-4D58-A9B8-BEA82B212CD3}\RP13\A0006559.sys
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
C:\System Volume Information\_restore{BB4E88DE-E0BB-4D58-A9B8-BEA82B212CD3}\RP15\A0006852.sys
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
C:\System Volume Information\_restore{BB4E88DE-E0BB-4D58-A9B8-BEA82B212CD3}\RP17\A0008095.exe
  [FUND]      Ist das Trojanische Pferd TR/FakeAV.kkoh
C:\System Volume Information\_restore{BB4E88DE-E0BB-4D58-A9B8-BEA82B212CD3}\RP17\A0008117.exe
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/SanctionedMedia.A.13

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{BB4E88DE-E0BB-4D58-A9B8-BEA82B212CD3}\RP17\A0008117.exe
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/SanctionedMedia.A.13
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0f4c5fba.qua' verschoben!
C:\System Volume Information\_restore{BB4E88DE-E0BB-4D58-A9B8-BEA82B212CD3}\RP17\A0008095.exe
  [FUND]      Ist das Trojanische Pferd TR/FakeAV.kkoh
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '697b1078.qua' verschoben!
C:\System Volume Information\_restore{BB4E88DE-E0BB-4D58-A9B8-BEA82B212CD3}\RP15\A0006852.sys
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2cff3d46.qua' verschoben!
C:\System Volume Information\_restore{BB4E88DE-E0BB-4D58-A9B8-BEA82B212CD3}\RP13\A0006559.sys
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '53e40f27.qua' verschoben!
C:\System Volume Information\_restore{BB4E88DE-E0BB-4D58-A9B8-BEA82B212CD3}\RP11\A0005483.sys
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1f5c236c.qua' verschoben!
C:\System Volume Information\_restore{BB4E88DE-E0BB-4D58-A9B8-BEA82B212CD3}\RP10\A0005351.sys
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6344633c.qua' verschoben!
C:\System Volume Information\_restore{BB4E88DE-E0BB-4D58-A9B8-BEA82B212CD3}\RP10\A0004324.sys
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e1e4c71.qua' verschoben!
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\wanmocrxes.exe
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.P.1529
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '57b0771c.qua' verschoben!
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\onwxcsmaer.exe
  [FUND]      Ist das Trojanische Pferd TR/Drop.Injector.bron
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3be55b19.qua' verschoben!
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\nexmcorwsa.exe
  [FUND]      Ist das Trojanische Pferd TR/FakeAV.kkoh
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a5b62b5.qua' verschoben!
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\ncmrawoxes.exe
  [FUND]      Ist das Trojanische Pferd TR/FakeAV.kkoh
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '444c527c.qua' verschoben!
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\naemwsxrco.exe
  [FUND]      Ist das Trojanische Pferd TR/Drop.Injector.bron
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '019d2b3c.qua' verschoben!
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\msimg32.dll
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.P.1529
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '08922fa5.qua' verschoben!


Ende des Suchlaufs: Montag, 16. Januar 2012  21:53
Benötigte Zeit: 18:35 Minute(n)

Der Suchlauf wurde abgebrochen!

   2317 Verzeichnisse wurden überprüft
 208883 Dateien wurden geprüft
     15 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     14 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 208868 Dateien ohne Befall
   2015 Archive wurden durchsucht
      0 Warnungen
     15 Hinweise
 188500 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden


Musste Avira-Ergebnis teilen, passte nicht...

DATEN sichern , Platte Formatieren , neu installieren .
Das ist kein PC ,sondern ein INFEKTIONSHERD !!

Wird dein Anira jemals upgedatet?
Wöchentlicher Vollscan ist Luxus ?

Auf jeden Fall : Avira & MBAM
alle Quarantäne-Verzeichnisse leeren !!
Neustart & MBAM wiederholen , bevordie Daten gesichert werfen !

War ein System mit Schadsoftware befallen (und konnte mit AV-Programmen von diesen Schädlingen befreit werden) - ist die "echte Sicherheit und Sauberkeit" stets anzuzweifeln.

Übersetzt: da Befall erwiesen -> Neuinstallation

Steht kein Image der früher sauber installierten Systempartition zur Verfügung, sollte so wie Du vorhast - eine Neuinstallation erfolgen.
"Format C:" läßt sich nicht auf das gebootete Windows-Laufwerk anwenden (Ast absägen, auf dem man sitzt - wird verhindert).

Partition löschen nach Anlauf einer Neuinstallation von originaler Install-CD - das funzt! - Danach Partition neu erstellen, formatieren und das BS installieren. - Läuft alles in vorbereiteter Routine von CD.

Vor der Neuinstallation Adressbücher, Lesezeichen und E-Mails (und Maileinstellungen) auf einen Stick o. externe Festplatte sichern - wird nach Neuinstallation wieder gebraucht.
Der geübte Laie kann auch die im jetzt installierten System enthaltenen Treiber sichern, wenn er kein Verzeichjnis mit der notwendigen Treibersammlung besitzt.

Das ist ja das Problem... Der Laptop meines Sohnes, Avira aktiviert, bei jedem Start wird nach Updates gesucht.

Wobei ich zugeben muss, dass er (ich) anscheinend keinen Vollscan jemals gemacht hat...

Deshalb (wahrscheinlich etwas blauäugig), weil die automatischen Updates aktiviert sind, bin ich davon ausgegangen, dass bei Befall sofort gewarnt wird...

Aber danke für Deine unverblümte Wahrheit, ich muss da bei ihm besser aufpassen!

Also, ich glaube, ich sichere da überhaupt nichts, dann muss eben alles neu aufgespielt werden, aber das ist mir zu unsicher, nicht dass ich irgendwas infiziertes nachher wieder draufhaue...

In Adressbüchern und Lesezeichen war doch kein Virus erkannt worden - die kann man auch auf einem USB-Stick nochmals separat auf Viren scannen.
Es ist oft schwierig und sehr zeitaufwändig, gelöschte Adressen und Kontakte als Sammlung neu aufzubauen.
(Aus dem Grunde der Hinweis)
Sollten die Sammlungen aber gar nicht so umfangreich sein ~> dann kann das auch alles neu erstellt werden.