Hi,
Seit ein paar Tagen ist mir aufgefallen, dass der Avira antivir Guard die ganze Zeit oeffnet und schliesst.
Ich habe so das Gefuehl, das ich ein paar Viren auf meinem PC habe, da sich des oefteren Webefenster oeffnen.
Des weiteren komme ich nicht mehr auf folgende Internetseiten:
w**.free-av.de
w**.zonelabs.com
w**.microsoft.com
w**.hijackthis.de
u.s.w

Also was kann ich jetzt machen, denn ich will meinen PC nicht schon wieder neu aufsetzen.

Windows XP

Avira Antivirus Classic
Zonalarm Pro
Tune-up Utilities

Danke fuer hilfen schon im Vorraus
LG Crusader

Hi,

Der 18. Thread, seit etwas über einem Monat. Da hättest Du glatt auf die Idee kommen können, dass das aktuelle HijackThis dieses Systems für den Anfang gut wäre.

Gruß, Karl

Hi,
Also hier die Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:51:51, on 11.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\Isass.exe
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme(Dateien)\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme(Dateien)\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\xpupdate.exe
D:\Programme(Dateien)\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme(Dateien)\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme(Dateien)\Ordnerdateien\WG111v2.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wpabaln.exe
C:\WINDOWS\system32\saveme.exe
D:\Programme(Dateien)\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATICustomerCare] "C:\Programme\ATI\ATICustomerCare\ATICustomerCare. exe"
O4 - HKLM\..\Run: [avgnt] "D:\Programme(Dateien)\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme(Dateien)\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = D:\Programme(Dateien)\Ordnerdateien\WG111v2.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme(Dateien)\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme(Dateien)\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 3360 bytes

Zitat:

Ich habe so das Gefuehl, das ich ein paar Viren auf meinem PC habe

Zustimmung, mehr als nur ein Gefühl.

Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:

• Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
• Geschützte Systemdateien ausblenden -> Haken weg
• Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
• Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

Hier sind zwei Seiten, wo Du gefundene Dateien hochladen kannst, damit sie mit mehreren Scannern untersucht werden.

• VirusTotal
• Jotti

Mach das mit folgender/n Datei/en auf einer dieser beiden Seiten, bevorzugt bei VirusTotal:

• C:\WINDOWS\system32\Isass.exe (nicht mit Lsass.exe verwechseln, die gesuchte hat ein 'I' wie Ingrid am Anfang)
• C:\WINDOWS\xpupdate.exe
• C:\WINDOWS\system32\saveme.exe
• C:\Programme\ATI\ATICustomerCare\ATICustomerCare. exe (beachte das Leerzeichen zwischen '.' und "exe")

Die erhaltenen Ergebnisse mit kopieren und einfügen hier posten, dabei auch die Zeilen mit Namen und Größe der Datei, MD5 und SHA1 kopieren (soweit vorhanden). Solltest Du Dateien nicht finden oder hochladen können, dann teile uns das ebenfalls mit.

Hi,
Also ich konnte die ganzen Dateien leider nicht finden.

LG Crusader

Also die ersten drei muss es geben, denn die stehen im Hjackthis Log als laufende Prozesse. Bei Nr. 1 und 2 bin ich mir sicher, dass es Malware ist, es wäre aber gut zu ermitteln welche, bei Nr. 3 etwas weniger und Nr. 4 ist vermutlich keine, aber mir fallen die zusätzlichen Leerzeichen auf.

Da ich unterdessen aber gesehen habe, dass das Problem auch schon in einem anderen Thread von dir behandelt wird, können wir dne hier wohl beenden.

Hi,
also habe die Dateien nochmals ueberpruefen lassen und dabei kam folgendes heraus:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.22.10 2008.01.21 -
AntiVir 7.6.0.48 2008.01.21 -
Authentium 4.93.8 2008.01.21 -
Avast 4.7.1098.0 2008.01.20 -
AVG 7.5.0.516 2008.01.21 -
BitDefender 7.2 2008.01.21 -
CAT-QuickHeal 9.00 2008.01.21 -
ClamAV 0.91.2 2008.01.21 -
DrWeb 4.44.0.09170 2008.01.21 -
eSafe 7.0.15.0 2008.01.16 -
eTrust-Vet 31.3.5475 2008.01.21 -
Ewido 4.0 2008.01.21 -
FileAdvisor 1 2008.01.21 -
Fortinet 3.14.0.0 2008.01.21 -
F-Prot 4.4.2.54 2008.01.21 -
F-Secure 6.70.13260.0 2008.01.21 -
Ikarus T3.1.1.20 2008.01.21 -
Kaspersky 7.0.0.125 2008.01.21 -
McAfee 5211 2008.01.18 -
Microsoft 1.3109 2008.01.21 -
NOD32v2 2811 2008.01.21 -
Norman 5.80.02 2008.01.21 -
Panda 9.0.0.4 2008.01.20 -
Prevx1 V2 2008.01.21 Heuristic: Suspicious File With Code Injection Technology
Rising 20.28.02.00 2008.01.21 -
Sophos 4.24.0 2008.01.21 -
Sunbelt 2.2.907.0 2008.01.17 -
Symantec 10 2008.01.21 -
TheHacker 6.2.9.191 2008.01.19 -
VBA32 3.12.2.5 2008.01.21 -
VirusBuster 4.3.26:9 2008.01.21 -
Webwasher-Gateway 6.6.2 2008.01.21 -
weitere Informationen
File size: 307200 bytes
MD5: e25a8b86f694ee7f8d0be981f558efbd
SHA1: e1eeff7c07180e67e4067bdd5faee01522d5755c
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=21B1DBD600D37ED8B028049C0F3142009AE4EFE7

Also danke fuer Hilfen!

LG Crusader

Nur mal interessehalber:
Welche Datei hast du denn ja jetzt scannen lassen?

Hi,
Diese Datei:

C:\Programme\ATI\ATICustomerCare\ATICustomerCare. exe

LG Crusader

Und die anderen drei?

Die anderen drei wären wichtiger. Bei der gescanten vermute ich schon, dass sie ok ist, es fielen nur die in ihren Namen gestreuten Leerzeichen auf. Siet der neuen Vundo-Variante etwas verdächtig, sie können aber auch von der Forumssoftware stammen oder ein Unfall mit Maus und Tastatur beim posten gewesen sein.

Hi,
Aha ok naja die anderen konnte ich trotzdem nicht finden......

Lg

Dann noch mal ein HijackThis Log.