Hallo,

ich bin sehr beunruhigt weil AntiVir zwei verschiedene Virenmeldungen gebracht hat.

Am 25.06.2007 kam 4 mal hintereinander (während ich meine E-Mails gecheckt habe) folgende Meldung:

In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WADU1TQU\123[1].htm'
wurde ein Virus oder unerwünschtes Programm 'EXP/Ani.Gen' [EXP/Ani.Gen] gefunden.
Ausgeführte Aktion: Zugriff verweigert

Heute erhielt ich mehrfach hintereinander folgende Meldung:

In der Datei 'C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.6266888' [TR/Agent.6266888] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Zudem hat sich meine T-Online Software merkwürdig verhalten. Zuerst kam eine Meldung, dass ich meine Zugangsdaten neu eingeben soll, um eine Internetverbindung herstellen zu können. Das habe ich nicht getan, bei dem 2. Versuch mich einzuwählen hat es dann aber wie normal geklappt.

Dann kam aber plötzlich eine Meldung, dass die Zugangsdaten geändert wurden und die Direktanwahl nicht mehr funktionieren soll. Bislang kann ich mich aber noch ganz wie gewohnt ins Internet einwählen, ohne dass ich bei den Zugangsdaten etwas verändern musste.

Ich bin nun mehr als beunruhigt und weiss nicht, wie ich mich verhalten soll.

Bitte helft mir, wie ich nun vorgehen soll, um herauszufinden was mit meinem Rechner los ist, bzw. ob ich mir was eingefangen habe.

Vielen Dank im Voraus!

Technikdummie


PS: Hier ist das HJT logfile:
Logfile of HijackThis v1.99.1
Scan saved at 22:32:56, on 27.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\wz6f63\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - h**p://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165941996775
O17 - HKLM\System\CCS\Services\Tcpip\..\{3923CF14-AEC8-41BC-8E79-6B1866CA65BB}: NameServer = 217.237.150.51 217.237.148.22
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

Zitat:

In der Datei 'C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.6266888' [TR/Agent.6266888] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Genau das passiert wenn man 2 Antivirenprogramme auf dem selben Rechner laufen lässt. 2 Antivirenprogramme=mehr Probleme, weniger Sicherheit; weil sich die Programme gegenseitig behindern.
Entscheide dich für Antivir oder AVG und du wirst die Meldung nie wieder bekommen.

Zitat:

In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WADU1TQU\123[1].htm'
wurde ein Virus oder unerwünschtes Programm 'EXP/Ani.Gen' [EXP/Ani.Gen] gefunden.
Ausgeführte Aktion: Zugriff verweigert

Ist auch nicht wirklich gefährlich. Lade dir ccleaner und bereinige nun damit dein system. (starten und dann unter der Kategorie Cleaner, Karteireiter Windows "Analyze" und dann "Run Cleaner" klicken).
Damit sollte auch die Meldung nicht wieder kommen.


EDIT: Also dein Log sieht soweit sauber aus. Ich denke auch nicht, dass du was aufm Rechner hast. Wenn du ganz sicher gehen willst, kannst du noch einen eScanmachen.(Die find.bat einfach per rechtsklick und "speichern unter" runterladen, in 12. den Teil mit der find.zip ignorieren und gleich bei der find.bat weitermachen.) und einmal Blacklightdurchlaufen lassen um 99,99% sicher zu gehen.

lg myrtille

Hallo myrtille,

Gottseidank - und vielen Dank für die superschnelle Hilfe!

Bin als unbedarfter Technikdummie drauf reingefallen, dass AVG Anti Spyware angeblich 100% kompatibel mit AntiVir ist.

Werde jetzt AVG deaktivieren und mich halt auf AntiVir und meine Firewall verlassen.

Bin echt sehr dankbar für Deine Hilfe und dieses großartige Forum.

Blacklight hat übrigens auch nix gefunden. Einen EScan mache ich mal bei Gelegenheit (wenn ich mal wieder paranoid bin).

beste Grüße,

Technikdummie

Zitat:

Bin als unbedarfter Technikdummie drauf reingefallen, dass AVG Anti Spyware angeblich 100% kompatibel mit AntiVir ist.

Das ist auch durchaus möglich, allerdings wirst du immer mal wieder einen "false positive", eine Fehlerkennung haben. Da AVP sehr mächtig sind, ist es auch am wahrscheinlichsten, dass sie als Malware erkannt werden. (Häufig genug trifft es aber auch andere Dateien, wie den IE oder Systemprozesse)

Wenn die beiden Programme propagieren vollkompatibel zu sein, solltest du evtl Antivir Bescheid geben, dass AVG als Trojaner erkant wird, dann wird das fürs nächste Update korrigiert und du kannst die beiden wieder nebeneinander laufen lassen, mE sorgst du damit allerdings nur dafür, dass dein System langsamer läuft, wirklich sicherer wird es dadurch nicht.
Letzendlich ist es natürlich deine Entscheidung.

lg myrtille