Hallo,

ich habe eigentlich nur eine kurze Frage:

und zwar, kann ein schon gefundener und isolierter Virus noch systematische PC probleme in nachhinein anrichten und den Computer praktisch den Hals umdrehen. Obwohl er gefunden und isoliert worden ist, also kein Zugriff mehr darauf gestattet wird?

Ich benutze Symantec Antvirus Corporate Eddition auf der neusten Version, die ich mit dem Life Update bekommen konnte.

und

Ich benutze Ad-Aware SE Personal ebenfalls auf dem neusten Update!

Mein Computer fängt nach einiger Zeit an ständig irgendwelche kurzen Ladevorgänge zu starten, die zuerst die Pulldownnmenüs, in denen man gerade ist, beenden, ganze Programme beenden und sogar mein Keyboard aus der Funktion setzen, wobei ich ein Bluetooth von Logitech via Funk besitze.

Ich hab Euch ein Hijackthis.log erstellt und poste es auch mal gleich hier:


Logfile of HijackThis v1.99.1
Scan saved at 17:41:45, on 10.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\kernels32.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe
C:\Programme\Darkfix\Darkfix.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\WINDOWS\System32\kernels32.exe
C:\Programme\AceGain\LiveUpdate\aceagent.exe
C:\Programme\Logitech\SetPoint\kem.exe
C:\PROGRAMME\LOGITECH\SETPOINT\KHALMNPR.EXE
C:\Programme\Microsoft Office\Office10\msoffice.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Download\Antivirensoftware\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.c-f-hh.de/orion/portal.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alice-dsl.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = h**p://top-find4u.com/sp.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Gamma] C:\Programme\Darkfix\Darkfix.exe -silent
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/214496d8b97270f80d19/netzip/RdxIE601.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124203533453
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.b******ld.de/hp/activexeditor/editlive4.cab
O20 - Winlogon Notify: LBTServ - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\lbtserv.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O21 - SSODL: SysTray.Excn - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - C:\WINDOWS\System32\higmjemm.dll (file missing)
O21 - SSODL: IEFilter - {3A97F680-B1B1-4E34-9054-1651C7A099B5} - IEFilter1.dll (file missing)
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

________________________________________________________


p. s. mein XP-update auf SP 2 scheitert merkwürdigerweise und als zunehmendes weiteres übel hat mein PC auch ein ungeheuer lange Bootzeit. Meint Ihr man kann hier Microsoft Bootvis benutzen, hab auch viel negatives darüber gehört. Obwohl es sich schon auf dem PC befindet, heruntergeladen hab ich das schon.

Falls ich Euch noch eine Info über die Viren im Karantänebereich schicken soll, sagt bescheid.

@CFH-Destiny
Falls ich Euch noch eine Info über die Viren im Karantänebereich schicken soll, sagt bescheid.
Warum nicht gleich?

Ich benutze Ad-Aware SE Personal ebenfalls auf dem neusten Update!
Nützt nix gegen Viren!
lasse diese datei C:\WINDOWS\System32\kernels32.exe
hier überprüfen http://virusscan.jotti.org/de/
und poste das ergebnis

und zwar, kann ein schon gefundener und isolierter Virus noch systematische PC probleme in nachhinein anrichten und den Computer praktisch den Hals umdrehen. Obwohl er gefunden und isoliert worden ist, also kein Zugriff mehr darauf gestattet wird?
Wenn er gefunden und isoliert ist, dann wird er danach gelöscht. Warum sollte man ein isolierter Virus aufheben wollen?

chaosman

Also meine Prüfung hat dies ergeben:

Datei: kernels32.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: FSG

AntiVir Trojan/Dldr.Small.agq.4 gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Trojan.Downloader.Small.AMA gefunden
ClamAV Trojan.Downloader.Small-627 gefunden
Dr.Web Trojan.DownLoader.2489 gefunden
F-Prot Antivirus unknown virus gefunden (mögliche Variante)
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.wf gefunden
NOD32 a variant of Win32/TrojanDownloader.Small.AWA gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Trojan.Downloader.Small.25 gefunden (mögliche Variante)

Zitat:

Zitat von chaosman

Wenn er gefunden und isoliert ist, dann wird er danach gelöscht. Warum sollte man ein isolierter Virus aufheben wollen?

Nicht den Virus, aber die Datei an der er hängt retten zu können? Es sagt ja das es nichts unternehmen kann bis auf Zugriffsverweigerung.

Hier die Dateien die Symantec bei jeden Update zu reparieren versucht:

Datum,Dateiname,Virenname,Ursprungsadresse,Status
09.10.2005 15:50:52,chgfdndd.exe,Trojan.Dropper,C:\WINDOWS\system32\,Infiziert
06.10.2005 18:47:40,dwqhwaaa.exe,Trojan.Desktophijack.B,C:\WINDOWS\System32\,Infiziert
06.10.2005 18:47:39,higmjemm.dll,Trojan.KillAV,C:\WINDOWS\System32\,Infiziert
06.10.2005 18:47:32,aakopbkb.exe,Backdoor.Trojan,C:\WINDOWS\System32\,Infiziert
06.10.2005 18:46:58,count[1].jar,Trojan.ByteVerify,C:\Dokumente und Einstellungen\M*** W***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EE7Q83H9\,Infiziert
06.10.2005 18:48:10,update[1].exe,Trojan.Desktophijack.B,C:\Dokumente und Einstellungen\M*** W***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\57OZM5VL\,Infiziert
06.10.2005 18:57:12,update[1].exe,Trojan.Desktophijack.B,C:\Dokumente und Einstellungen\M*** W***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\57OZM5VL\,Infiziert

Das ist im irusprogramm allerdings ein wenig überschtlicher gewesen!

Na ja, so viel von meiner Seite.

@CFH-Destiny
diese datei in den abgesicherten modus bei deaktivierte systemwiederherstellung löschen
C:\WINDOWS\System32\kernels32.exe

neu booten, systemwiederherstellung aktivieren, lade clearprog
alle häkchen bei IE und Windows setzen, löschen

scanne dein system danach bitte trotzdem mit escan

chaosman
Edit:Servus Cacatoa

Ich kann mir gar nicht vorstellen, dass dein Log noch so "sauber" ist. Die Datei müsste eigentlich Massen an weiterer Malware nachladen...

Sorry ich kann C:\WINDOWS\System32\kernels32.exe leider nicht im abgesichertem Modus löschen. Er sagt mir dann das die Datei verwendet wird oder ob der Datenträger voll ist und er sie nicht löschen kann.