Hallo
Das ist mein erster Post in diesem Forum

Ich habe Windows xp Home edition.

Zum Virus:
Vorgestern kommt plötzlich eine Warnmeldung von Antivir, dass ein Trojaner gefunden worden ist. Hier die Meldung:

Zitat:

In der Datei 'C:\WINDOWS\Temp\tmp8.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Small.cwq.15' [TR/Dldr.Small.cwq.15] gefunden.

So, hab ich mir gedacht schiebst du das erstmal in quarantäne. Aber direkt danach kommt wieder eine Meldung von Antivir:

Zitat:

In der Datei 'C:\WINDOWS\Temp\tmp11.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Small.cwq.15' [TR/Dldr.Small.cwq.15] gefunden.

Die hab ich dann gelöscht. Aber es kamen immer neue Meldungen (insgesamt 14 stück) die ich dann gelöscht habe.

Also wenn ich eine lösche kommt sofort die nächste.

Gestern wieder das selbe.
Heute schon wieder.
Nur dass es wesentlich mehr waren: 95 stück!!!

Die sind dann alle so durchnummeriert:

tmp381.tmp
tmp388.tmp
tmp3e4.tmp
tmp3e5.tmp
tmp3e6.tmp
tmp3e7.tmp
tmp3e8.tmp
tmp3e9.tmp
tmp3ea.tmp
tmp3eb.tmp
tmp3ec.tmp
tmp3ed.tmp
tmp3ee.tmp
tmp3ef.tmp
tmp3f0.tmp
tmp3f1.tmp
tmp3f2.tmp
tmp3f3.tmp
tmp3f4.tmp
tmp3f5.tmp
tmp3f6.tmp
tmp3f7.tmp
tmp3f8.tmp
tmp3f9.tmp
tmp3f0.tmp
tmp3fa.tmp
tmp3fb.tmp
tmp3fc.tmp
tmp3fd.tmp
tmp3fe.tmp
tmp3ff.tmp
tmp400.tmp
...

Das wird dann bis tmp442.tmp fortgesetzt...

Ich bekomme die einfach nicht weg, weil sie halt jeden Tag neu da sind.
Ich wollte ein virenscan im abgesicherten modus machen aber wahrscheinlich bin ich zu dumm, denn ich weiß nicht wie reinkomme

Einen Scan mit HijackThis habe ich auch schon gemacht.
Hier das log:

Logfile of HijackThis v1.99.1
Scan saved at 16:40:08, on 06.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\Programme\Norton Internet Security\ISSVC.exe
c:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\system32\svchost.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Programme\HP\Digital Imaging\HP Print Screen\PrnSys.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\802.11 Wireless LAN\802.11g Wireless CardBus & PCI Adapter HW.61 V.1.10\WlanCU.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\HP_Besitzer\Desktop\Centrale\Arbeit\sicherheit\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: HP-Ansicht - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programme\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [PrnSys Executable] C:\Programme\HP\Digital Imaging\HP Print Screen\PrnSys.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Wireless Configuration Utility HW.61.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless CardBus & PCI Adapter HW.61 V.1.10\WlanCU.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - c:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - c:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: SAVScan - Symantec Corporation - c:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing)
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

So ich hoffe, das ihr mir helfen könnt
BITTE

PS: Ich habe auch das Gefühl, das mein Pc langsamer geworden ist.

In deinem Logfile habe ich nix Außergewöhnliches gefunden.

Was mir jedoch aufgefallen ist:

- Norton AntiVirus
- Avira
- AVG

Das ist auf jeden Fall zu viel des Guten! Nicht nur, daß dir die viele Sicherheitssoftware die sprichwörtlichen "Ressourcenhaare" vom Kopf frißt (was u.a. erklärt, warum dein Rechner nur bedingt schnell ist!), du provozierst auch Fehler und s.g. False Positives (Fehldetektierungen) damit. Zumindest solltest du nur den On-Access-Scanner (Echtzeitschutz) eines Produktes nehmen. Als Firewall hast du ja soweit ich das erkenne nur Outpost laufen, was ok ist. Aber nicht drei Virenscanner parallel!

Hast du mal einen vollständigen Scan durchgeführt, ob noch andere Malware auf dem Rechner sitzt, also in anderen Ordnern außer dem temporären?

Wie yaycob schon geschrieben hat. Drei virenscanner sind absolut unnötig und es kann auch zu großen Problemen in deinem System kommen.

Scanne im abgesicherten Modus nochmals mit antivir. Rechner runterfahren, wieder einschalten und F8 drücken, dann erscheint eine Auswahl, wie du starten willst. Da wählst du den abgesicherten Modus aus.

Wenn dein System dann hochgebootet hat, scannes du nochmal deinen Rechner mit antivir. Allerdings solltest du vorher die Systemwiederherstellung deaktivieren.

Gruss

N´abend
Ich würd´erst mal die temporären Dateien löschen und dann den Scan wiederholen
Gruß
Jörg

Danke erstmal für die Antworten
Ich werde das dann auch gleich ausprobieren
Aber ich hätte da dann noch eine Frage: Welchen der viren scanner soll ich denn behalten, welche ist der Beste?

Edit:

Zitat:

Hast du mal einen vollständigen Scan durchgeführt, ob noch andere Malware auf dem Rechner sitzt, also in anderen Ordnern außer dem temporären?

Ja habe ich aber es wurde nichts gefunden

Wenn es sich bei deinem Norton AV um eine Version älter als 2007 handelt, würde ich aus Leistungsgründen darauf verzichten, da du ja schon selber geschrieben hast, daß du ziemlich hohe Einbußen hast. Avira und AVG gehen recht friedlich mit Ressourcen um, wobei ich dir da eher zu Avira rate. Aber das ist und bleibt letztlich immer was Relatives! Eine objektive Meinung wird dir da niemand geben. Jeder hat so seine Favoriten.

Von Norton würde ich auch eher abraten. Ich würde Antivir als Wächter und AVG nur zum zweiten scan von Dateien nutzen und die Wächterfunktion von AVG abschalten.

Gruss

Nochmal Danke an euch.
Ich werde dann jetzt mal einen scan im Abgesicherten Modus machen und euch dann berichten, wie es gelaufen ist.

So, hab im abgesicherten Modus mit antivir gescannt und habe dann alle Fehler gelöscht.
Bin ich jetzt hoffentlich den Trojaner los?