Hallo!

Hab heute meinen neuen Rechner bekommen, gleich mal Xp rauf mit SP2 und als allerersten Internetbesuch Avira Antivir runtergeladen und geupdated. Hm, anscheinend war das wohl sehr schlecht, da er nun ständig Fehlermeldungen bringt, dass TR/Spy.Agent.930 gefunden wurde... Das erste Mal hab ich gesagt, dass er ihm den Zugriff verweigern soll, dann Virenscan drüber laufen lassen und ihn in Quarantäne gepackt. Nun hat er aber noch 2 Mal danach gefragt...... Ich will nicht, dass der neue Rechner gleich wieder total verseucht ist und vllt auch noch kaputt geht dadurch

Hab hier mal ein HJT:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 20:45:51, on 04.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\winsys2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSI\PC Alert 4\PCAlert4.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\Rar$EX00.688\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: PC Alert 4.lnk = C:\Programme\MSI\PC Alert 4\PCAlert4.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
         

Und hier wäre der Bericht von Antivir(falls er was bringt):

Code: Alles auswählenAufklappen

ATTFilter

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Freitag, 4. Mai 2007  13:43

Es wird nach 766050 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Benutzername:     Admin
Computername:     SCHRAWENZEL

Versionsinformationen:
BUILD.DAT    : 244           14437 Bytes  16.04.2007 16:03:00
AVSCAN.EXE   : 7.0.4.15     282664 Bytes  04.05.2007 15:27:31
AVSCAN.DLL   : 7.0.4.0       41000 Bytes  07.03.2007 07:39:18
LUKE.DLL     : 7.0.4.11     143400 Bytes  27.03.2007 11:26:00
LUKERES.DLL  : 7.0.4.0       10792 Bytes  27.02.2007 10:19:06
ANTIVIR0.VDF : 6.35.0.1    7371264 Bytes  31.05.2006 13:08:58
ANTIVIR1.VDF : 6.37.1.151  4303360 Bytes  23.02.2007 13:09:01
ANTIVIR2.VDF : 6.38.1.56   1022976 Bytes  27.04.2007 15:27:31
ANTIVIR3.VDF : 6.38.1.91    117248 Bytes  04.05.2007 11:43:31
AVEWIN32.DLL : 7.4.0.15    2421248 Bytes  04.05.2007 15:27:31
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  26.02.2007 09:36:23
AVPREF.DLL   : 7.0.2.1       24616 Bytes  27.03.2007 11:20:44
AVREP.DLL    : 7.0.0.1      155688 Bytes  16.04.2007 12:16:24
AVPACK32.DLL : 7.3.0.8      360488 Bytes  27.03.2007 07:48:28
AVREG.DLL    : 7.0.1.2       31784 Bytes  15.03.2007 08:05:04
AVEVTLOG.DLL : 7.0.0.18      86056 Bytes  27.03.2007 11:16:01
AVARKT.DLL   : 1.0.0.12     274472 Bytes  27.03.2007 11:31:08
NETNT.DLL    : 7.0.0.0        7720 Bytes  08.03.2007 10:09:03
RCIMAGE.DLL  : 7.0.1.15    2228264 Bytes  13.03.2007 09:46:00
RCTEXT.DLL   : 7.0.45.0      86056 Bytes  16.03.2007 12:39:00

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Festplatten
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, 
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Freitag, 4. Mai 2007  13:43

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PCAlert4.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinSys2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '26' Prozesse mit '26' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
      [HINWEIS]   Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\system32\sw24.exe
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.930
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '466d1cff.qua' verschoben!
C:\WINDOWS\system32\sw24.exe
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.930

Die Registry wurde durchsucht ( '15' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Freitag, 4. Mai 2007  13:51
Benötigte Zeit: 07:16 min

Der Suchlauf wurde vollständig durchgeführt.

   1287 Verzeichnisse wurden überprüft
  66012 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 davon wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
  66011 Dateien ohne Befall
    770 Archive wurden durchsucht
      1 Warnungen
      0 Hinweise
      0 Versteckte Objekte wurden gefunden
         

Tritt häufiger auf diese Meldung bei Avira und ist meistens ein Fehlalarm. Lad die Datei mal probeweise bei http://www.virustotal.com hoch und poste das vollständige Ergebnis.

Herzlichen Dank für die wirklich schnelle Antwort.
Hab die Datei aber selbst nicht mehr gefunden im Windowsordner und mal die Datei hochgeladen was Antivir draus gemacht hat... Da ist das Ergebnis folgendes:

Code: Alles auswählenAufklappen

ATTFilter

File "466d1cff.qua" received on 05.04.2007 at 21:12:14 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

Antivirus	Version	Update	Result
AhnLab-V3	2007.5.4.0	05.04.2007	no virus found
AntiVir	7.4.0.15	05.04.2007	no virus found
Authentium	4.93.8	05.03.2007	no virus found
Avast	4.7.997.0	05.04.2007	no virus found
AVG	7.5.0.467	05.04.2007	no virus found
BitDefender	7.2	05.04.2007	no virus found
CAT-QuickHeal	9.00	05.04.2007	no virus found
ClamAV	devel-20070416	05.04.2007	no virus found
DrWeb	4.33	05.04.2007	no virus found
eSafe	7.0.15.0	05.03.2007	no virus found
eTrust-Vet	30.7.3614	05.04.2007	no virus found
Ewido	4.0	05.04.2007	no virus found
FileAdvisor	1	05.04.2007	no virus found
Fortinet	2.85.0.0	05.04.2007	no virus found
F-Prot	4.3.2.48	05.04.2007	no virus found
F-Secure	6.70.13030.0	05.04.2007	no virus found
Ikarus	T3.1.1.7	05.04.2007	no virus found
Kaspersky	4.0.2.24	05.04.2007	no virus found
McAfee	5024	05.04.2007	no virus found
Microsoft	1.2503	05.04.2007	no virus found
NOD32v2	2240	05.04.2007	no virus found
Norman	5.80.02	05.04.2007	no virus found
Panda	9.0.0.4	05.04.2007	no virus found
Prevx1	V2	05.04.2007	no virus found
Sophos	4.17.0	05.04.2007	no virus found
Sunbelt	2.2.907.0	05.03.2007	no virus found
Symantec	10	05.04.2007	no virus found
TheHacker	6.1.6.104	04.15.2007	no virus found
VBA32	3.11.4	05.04.2007	no virus found
VirusBuster	4.3.7:9	05.04.2007	no virus found

Aditional Information
File size: 69910 bytes
MD5: 85d90bf27f22e04ae527f8db11d9c71d
SHA1: 23ea425c154e2d58c6b8156ac509f5942e5e799f
         

Ist das jetzt sicher, dass da nichts mehr ist? Hab echt Angst, weil der PC nicht grade billig war.... Wie kann ich die Meldung dann ausschalten, wenn es nichs ist, dass der nicht ständig piept?

Edit:

Ausserdem kann irgendwas nicht ganz stimmen, weil ich grade die letzte Partition auf der Festplatte freischalten wollte laut Anleitung des Verkäufers und ich der einzige eingetragene Benutzer auf dem PC bin und mir dieser aber sagt, dass ich nicht die Rechte dazu habe...... :'(

Was hast du da hochgeladen?
Die?

Zitat:

C:\WINDOWS\system32\sw24.exe

Die solltest du jedenfalls..

Die find ich nicht mehr......

Moin

sw24.exe sollte zu einer MSI Karte gehören hast du eine?

Ich hätte den hier mal näher unter die Lupe genommem

C:\WINDOWS\system32\winsys2.exe

bitte auch auswerten lassen.

MFG

Ja ich hab ein MSI Mainboard drinnen

Und hier ist die Auswertung von C:\WINDOWS\system32\winsys2.exe:

Code: Alles auswählenAufklappen

ATTFilter

 File "WinSys2.exe" received on 05.05.2007 at 08:33:09 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

Antivirus	Version	Update	Result
AhnLab-V3	2007.5.4.0	05.04.2007	no virus found
AntiVir	7.4.0.15	05.05.2007	no virus found
Authentium	4.93.8	05.04.2007	no virus found
Avast	4.7.997.0	05.04.2007	no virus found
AVG	7.5.0.467	05.04.2007	no virus found
BitDefender	7.2	05.05.2007	no virus found
CAT-QuickHeal	9.00	05.04.2007	no virus found
ClamAV	devel-20070416	05.05.2007	no virus found
DrWeb	4.33	05.04.2007	no virus found
eSafe	7.0.15.0	05.03.2007	no virus found
eTrust-Vet	30.7.3614	05.04.2007	no virus found
Ewido	4.0	05.04.2007	no virus found
FileAdvisor	1	05.05.2007	Not analyzed yet
Fortinet	2.85.0.0	05.05.2007	no virus found
F-Prot	4.3.2.48	05.04.2007	no virus found

Aditional Information
File size: 217088 bytes
MD5: 246ed5328f940e4fdaab0b2fc987da01
SHA1: d5e2592cf25b48efb1225e37c45bce99a13466c8
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=246ed5328f940e4fdaab0b2fc987da01
         

Die andere finde ich nicht mehr, wenn die jetzt zum Mainboard gehört aber nicht mehr da ist, was mach ich denn dann?

Danke

schrawenzel

Find grad irgendwie den Button fürs Editieren nicht mehr....

Jedenfalls kam jetzt wieder die Mitteilung von Antivir:

Letzte betroffene Datei:
C:\System Volume Information\_restore{A39598A6-8063-4040-9AC8-59DCE68E03DD}\RP3\A0000129.exe

Letzter gefundener Virus oder unerwünschtes Programm:
TR/Spy.Agent.930

Und das hab ich dann draus gemacht:

In der Datei 'C:\System Volume Information\_restore{A39598A6-8063-4040-9AC8-59DCE68E03DD}\RP3\A0000129.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Agent.930' [TR/Spy.Agent.930] gefunden.
Ausgeführte Aktion: Zugriff verweigern

MfG

schrawenzel

Ok.
-Systemwiederherstellung deaktivieren
-Neustart
-Systemwiederherstellung wieder aktivieren
Berichten

Okay, hab ich jetzt gemacht... Hm, was soll ich da berichten? Hat hochgefahren und hab das wieder aktiviert... Die letzten 2 Minuten hat er nichts gemeldet, mal schauen was noch kommt