AVG meldet ntoskrnl.exe Brauche Hilfe!

eternal · 27.03.2007, 08:42

Hallo zusammen,

leider habe ich hier ein kleines Problem,
mit dem ich mich nicht so gut auskenne.
AVG hat folgende Datei bei einem Systemdurchlauf gemeldet:
"C:/WINDOWS/system32/ntoskrnl.exe"

Ich habe hier anbei mein HijackThis Log-File.
Wäre nett, wenn ihr euch dieses einmal anschauen könntet:

Logfile of HijackThis v1.99.1
Scan saved at 09:33:26, on 27.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Grisoft\AVG7\avgwb.dat
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Bay Online - Piraten, Händler & Entdecker | powered by yusho GmbH
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Steam] "c:\progra~1\steam\steam.exe" -silent
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe

Als Viren-Programme habe ich momentan installiert
und ausgeführt:
Ad-Aware
SpyBot
Anti-Vir
AVG

Des Weiteren habe ich nun auch noch einen eScan durchgeführt:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Tue Mar 27 09:58:11 2007 => Deleting Registry Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d4864e19-ada4-11db-8b6a-806d6172696f}
Tue Mar 27 09:57:03 2007 => Virus Database Date: 3/26/2007
Tue Mar 27 10:12:50 2007 => Virus Database Date: 3/26/2007
Tue Mar 27 10:15:43 2007 => Virus Database Date: 3/26/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Mar 27 09:58:02 2007 => System found infected with bravesentry Spyware/Adware (xpupdate.exe)! Action taken: Entries Removed.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Tue Mar 27 09:58:02 2007 => Offending file found: C:\DOKUME~1\ADMINI~1\Desktop\USB-ST~1\torben\xpupdate.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Tue Mar 27 09:58:11 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d4864e19-ada4-11db-8b6a-806d6172696f} !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Bitte sagt mir, was ich tun kann und sollte.

Mellosun · 27.03.2007, 09:39

Guten Morgen,

Zitat:

Zitat von eternal

AVG hat folgende Datei bei einem Systemdurchlauf gemeldet:
"C:/WINDOWS/system32/ntoskrnl.exe"

Was hat Dir AVG bezüglich dieser datei gemeldet?
Um was soll es sich handeln?

Hast du Probleme mit Deinem Rechner?

Warum sind bei Dir zwei AV Programme Installiert?
Deinstalliere eines der beiden! Zwei gleichzeitig laufende Wächter/Programme können zu schweren Problemen führen und behindern sich gegenseitig!

Gruß Mello

eternal · 27.03.2007, 09:46

Hallo mellosun,

ich habe AVG und AntiVir laufen,
da ich so einen guten Schutz erreichen möchte.
Sicherlich kann dies bei einigen Virenprogrammen zu
Problemen führen, jedoch laufen AVG und Anti-Vir perfekt nebeneinander.
Leider habe ich gerade keinen Link mit einem Testbericht zur Hand.

AVG schrieb nur "changed" zu dieser Datei.
Beunruhigen tun mich auch die von eScan gefundenen Sachen.
Mein Pc macht bisher keinerlei Probleme.

Weißt du näheres zu den gefundenen Sachen?
Wie sollte ich weiter verfahren?

eternal · 30.03.2007, 13:27

Ich hoffe ihr könnt mir endlich helfen!

**Sunny** · 30.03.2007, 13:33

Hallo.

1.) Entscheide dich für einen AV-Scanner, auch wenn sie augenscheinlich "gut" miteinander arbeiten, denn auch mit 2 Scannern gleichzeitig wirst du keinen Schutz erreichen!!!

2.) Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:/WINDOWS/system32/ntoskrnl.exe
C:\DOKUME~1\ADMINI~1\Desktop\USB-ST~1\torben\xpupdate.exe

* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Gruß
Sunny

eternal · 30.03.2007, 14:30

Hier die Reports:

Antivirus Version Update Result
AhnLab-V3 2007.3.30.0 03.30.2007 no virus found
AntiVir 7.3.1.46 03.30.2007 no virus found
Authentium 4.93.8 03.30.2007 no virus found
Avast 4.7.936.0 03.30.2007 no virus found
AVG 7.5.0.447 03.29.2007 no virus found
BitDefender 7.2 03.30.2007 no virus found
CAT-QuickHeal 9.00 03.29.2007 no virus found
ClamAV devel-20070312 03.30.2007 no virus found
DrWeb 4.33 03.30.2007 no virus found
eSafe 7.0.15.0 03.29.2007 no virus found
eTrust-Vet 30.6.3524 03.30.2007 no virus found
Ewido 4.0 03.30.2007 no virus found
FileAdvisor 1 03.30.2007 Not analyzed yet
Fortinet 2.85.0.0 03.30.2007 no virus found
F-Prot 4.3.1.45 03.30.2007 no virus found
F-Secure 6.70.13030.0 03.30.2007 no virus found
Ikarus T3.1.1.3 03.30.2007 no virus found
Kaspersky 4.0.2.24 03.30.2007 no virus found
McAfee 4995 03.29.2007 no virus found
Microsoft 1.2306 03.30.2007 no virus found
NOD32v2 2157 03.30.2007 no virus found
Norman 5.80.02 03.30.2007 no virus found
Panda 9.0.0.4 03.30.2007 no virus found
Prevx1 V2 03.30.2007 no virus found
Sophos 4.16.0 03.30.2007 no virus found
Sunbelt 2.2.907.0 03.29.2007 no virus found
Symantec 10 03.30.2007 no virus found
TheHacker 6.1.6.083 03.30.2007 no virus found
UNA 1.83 03.16.2007 no virus found
VBA32 3.11.3 03.29.2007 no virus found
VirusBuster 4.3.7:9 03.29.2007 no virus found
Webwasher-Gateway 6.0.1 03.30.2007 no virus found

Aditional Information
File size: 2138624 bytes
MD5: 6a5f324a815e66feb3961598ee585eeb
SHA1: ccd22484708e759fecdb104e7a8ea455c10805a5
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=6a5f324a815e66feb3961598ee585eeb

Die andere Datei lies sich leider nicht mehr finden.
Evtl. schon von einem Virenscanner gelöscht?
(Wäre lieb, wenn ihr mir eine Empfehlung geben könntet,
ob avg oder anti-vir)

AVG meldet ntoskrnl.exe Brauche Hilfe!

Log-Analyse und Auswertung: AVG meldet ntoskrnl.exe Brauche Hilfe!