seit 29.6 bei neustart immer 'HEUR/Malware' [heuristic] von antivir gefunden

saadi · 02.07.2008, 17:06

Hallo ich bin ein Neuling hier

,

Seit dem 29.6 bekomme ich immer beim Neustart folgende 2 meldungen:

Zitat:

In der Datei 'C:\Dokumente und Einstellungen\..\services.exe'
wurde ein Virus oder unerwünschtes Programm 'HEUR/Malware' [heuristic] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\services.exe'
wurde ein Virus oder unerwünschtes Programm 'HEUR/Crypted' [heuristic] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Die Datei 'C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Temp\uvqp53lg.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.FraudLoad.azh' [trojan].
Durchgeführte Aktion(en):
Eine Sicherungskopie wurde unter dem Namen 48d9db8f.qua erstellt ( QUARANTÄNE )
Die Datei wurde gelöscht.

In der Datei 'C:\smss.exe'
wurde ein Virus oder unerwünschtes Programm 'DR/Dldr.VB.VPG' [dropper] gefunden.
Ausgeführte Aktion: Datei löschen

und so weiter..

Wie bekomme ich dem Scheiß wieder weg?

Hab oft was von hijack gelesen also hab ichs auch mal gemacht:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:03:20, on 02.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Dokumente und Einstellungen\Spiele (Saadi)\winlogon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
C:\Programme\Xfire\xfire.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: GamesBar - {6F282B65-56BF-4BD1-A8B2-A4449A05863D} - C:\Programme\GamesBar\oberontb.dll (file missing)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {9D031ADD-9222-44C0-A42C-16BDB8B726CE} - C:\WINDOWS\system32\jgdw400d.dll
O2 - BHO: CDLPObj Object - {BE2ED590-CA49-46B5-8CCE-244FB2E0D1AA} - C:\WINDOWS\IECodecPl.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [Windows Logon Applicationedc] C:\Dokumente und Einstellungen\...\winlogon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O4 - Global Startup: Sinus 154 stick WLAN Manager.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {1A93C934-025B-4c3a-B38E-9654A7003239} - C:\Programme\GamesBar\oberontb.dll (file missing)
O9 - Extra 'Tools' menuitem: GamesBar - {1A93C934-025B-4c3a-B38E-9654A7003239} - C:\Programme\GamesBar\oberontb.dll (file missing)
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/Driver...aSmartScan.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe

--
End of file - 5767 bytes

Was ist zu tun?

Grüße Saadi

-SilverDragon- · 02.07.2008, 17:55

Hallo und

Lasse bitte mal Malwarebytes und SUPERAntiSpyware scannen.
Poste die Ergebnisse, sowie ein Frisches HijackThis Logfile in den Thread.

Desweiteren lasse bitte folgende Dateien bei Virustotal auswerten:

Code:

ATTFilter

C:\Dokumente und Einstellungen\Spiele (Saadi)\winlogon.exe

C:\WINDOWS\system32\jgdw400d.dll

Bitte die Ergebnisse KOMPLETT hier ins Forum posten.

Fixe bitte auch noch mit HijackThis folgende Einträge:

Code:

ATTFilter

O2 - BHO: GamesBar - {6F282B65-56BF-4BD1-A8B2-A4449A05863D} - C:\Programme\GamesBar\oberontb.dll (file missing)

O2 - BHO: CDLPObj Object - {BE2ED590-CA49-46B5-8CCE-244FB2E0D1AA} - C:\WINDOWS\IECodecPl.dll (file missing)

O9 - Extra button: (no name) - {1A93C934-025B-4c3a-B38E-9654A7003239} - C:\Programme\GamesBar\oberontb.dll (file missing)

O9 - Extra 'Tools' menuitem: GamesBar - {1A93C934-025B-4c3a-B38E-9654A7003239} - C:\Programme\GamesBar\oberontb.dll (file missing)

saadi · 03.07.2008, 09:19

danke für deine Antwort,

Malwarebytes und SUPERAntiSpyware hab ich schon runtergeladen und installiert,
den Scan mache ich dann im SafeMode wenn ich wieder von der Schule zuhaus bin.
Das C:\WINDOWS\system32\jgdw400d.dll ist tatsächlich ein trojaner oder virus, später mehr dazu.-
die winlogon ist komischerweise nicht da.
Versteckte sachen werden angezeigt hab ich schon eingestellt.
zu dem "frischen hijack logfile":
Nach den beiden scans also PC neu normal starten und nochmal hijacken um zu sehen ob noch was da ist oder?

-SilverDragon- · 03.07.2008, 10:41

Ja scanner erst den Rechner mit den Programmen und dann poste ein neues HijackThis Logfile.

Poste bitte das Ergebnis von Virustotal der befallenen Datei

saadi · 03.07.2008, 18:13

So das waren jetzt so 7 stunden scannen und alles drum und dran fang ich mal von vorn an:

Bevor du mir geantwortet hast hab ich selber nach einem scanner gesucht. Dabei bin ich auf escan gekommen. Hab dann erstmal einen Fullscan oder Teilscan (weis ich nimmer) von escan durchführen lassen.
Ich bin bei den Ergebnissen fast vom Hocker gefallen ich wusste gar nicht dass sich so viel Krempel auf meiner Festplatte eingenistet hat.

Hab das Logfile nach Meldungen durchsucht hier das ergebnis:

Zitat:

02 Jul 2008 19:22:58 - Datei C:\WINDOWS\system32\jgdw400d.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.d". Maßnahme ergriffen: Keine Maßnahme ergriffen.

02 Jul 2008 19:24:51 - System found infected with combo Spyware/Adware (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{6f282b65-56bf-4bd1-a8b2-a4449a05863d})! Action taken: Keine Maßnahme ergriffen.

02 Jul 2008 19:24:51 - System found infected with combo Spyware/Adware (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{6f282b65-56bf-4bd1-a8b2-a4449a05863d})! Action taken: Keine Maßnahme ergriffen.
02 Jul 2008 19:24:52 - System found infected with combo Spyware/Adware (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{6f282b65-56bf-4bd1-a8b2-a4449a05863d})! Action taken: Keine Maßnahme ergriffen.
02 Jul 2008 19:24:57 - Offending Key found: HKLM\Software\magnet !!!
02 Jul 2008 19:24:57 - Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

02 Jul 2008 19:24:57 - Offending Key found: HKCU\Software\magnet !!!
02 Jul 2008 19:24:57 - Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

02 Jul 2008 19:24:57 - Key found with NULL Character: HKLM\Software\Microsoft\Windows\CurrentVersion\System !!!
02 Jul 2008 19:24:57 - Objekt "NULLBYTE Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

02 Jul 2008 19:24:58 - Offending Key found: HKCR\magnet !!!
02 Jul 2008 19:24:58 - Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

02 Jul 2008 19:25:00 - Offending file found: C:\WINDOWS\system32\bszip.dll
02 Jul 2008 19:25:00 - System found infected with casinoonnet Spyware/Adware (bszip.dll)! Action taken: Keine Maßnahme ergriffen.

02 Jul 2008 19:25:13 - Offending file found: C:\WINDOWS\system32\taskkill.com
02 Jul 2008 19:25:13 - System found infected with combo Spyware/Adware (C:\WINDOWS\system32\taskkill.com)! Action taken: Keine Maßnahme ergriffen.

02 Jul 2008 19:25:13 - Offending file found: C:\WINDOWS\system32\ping.com
02 Jul 2008 19:25:13 - System found infected with trixcu.a Worm (C:\WINDOWS\system32\ping.com)! Action taken: Keine Maßnahme ergriffen.

02 Jul 2008 19:25:13 - Offending file found: C:\WINDOWS\system32\regedit.com
02 Jul 2008 19:25:13 - System found infected with sillyworm.vo Worm (C:\WINDOWS\system32\regedit.com)! Action taken: Keine Maßnahme ergriffen.

02 Jul 2008 19:25:13 - Offending file found: C:\WINDOWS\system32\tasklist.com
02 Jul 2008 19:25:13 - System found infected with combo Spyware/Adware (C:\WINDOWS\system32\tasklist.com)! Action taken: Keine Maßnahme ergriffen.

02 Jul 2008 19:25:13 - Offending file found: C:\WINDOWS\system32\tracert.com
02 Jul 2008 19:25:13 - System found infected with combo Spyware/Adware (C:\WINDOWS\system32\tracert.com)! Action taken: Keine Maßnahme ergriffen.

02 Jul 2008 19:25:13 - Offending file found: C:\WINDOWS\system32\netstat.com
02 Jul 2008 19:25:13 - System found infected with combo Spyware/Adware (C:\WINDOWS\system32\netstat.com)! Action taken: Keine Maßnahme ergriffen.

02 Jul 2008 19:25:13 - Offending file found: C:\WINDOWS\system32\cmd.com
02 Jul 2008 19:25:13 - System found infected with trixcu.a Worm (C:\WINDOWS\system32\cmd.com)! Action taken: Keine Maßnahme ergriffen.

02 Jul 2008 19:25:15 - Offending file found: C:\WINDOWS\system32\bszip.dll
02 Jul 2008 19:25:15 - System found infected with combo Spyware/Adware (C:\WINDOWS\system32\bszip.dll)! Action taken: Keine Maßnahme ergriffen.

02 Jul 2008 19:25:15 - Offending file found: C:\PROGRA~1\outlook
02 Jul 2008 19:25:15 - System found infected with combo Spyware/Adware (C:\PROGRA~1\outlook)! Action taken: Keine Maßnahme ergriffen.

02 Jul 2008 19:25:16 - Offending file found: C:\WINDOWS\system32\actskn43.ocx
02 Jul 2008 19:25:16 - System found infected with spyware.smartpckeylog Spyware/Adware (C:\WINDOWS\system32\actskn43.ocx)! Action taken: Keine Maßnahme ergriffen.

02 Jul 2008 19:25:17 - Offending Registry Entry found: hklm\software\microsoft\windows\currentversion\setup\test
02 Jul 2008 19:25:17 - System found infected with bemonitor Spyware/Adware (hklm\software\microsoft\windows\currentversion\setup\test)! Action taken: Keine Maßnahme ergriffen.

02 Jul 2008 19:25:18 - Offending file found: C:\WINDOWS\system32\mcrh.tmp
02 Jul 2008 19:25:18 - System found infected with combo Spyware/Adware (C:\WINDOWS\system32\mcrh.tmp)! Action taken: Keine Maßnahme ergriffen.

02 Jul 2008 19:25:34 - Checking MountPoints2 Registry Key...
02 Jul 2008 19:25:34 - Invalid Command Found in {ebda223a-c1ec-11dc-8ec7-001638c3bdad}\Shell\Autoplay\DropTarget\AutoRun\command: wd_windows_tools\setup.exe
02 Jul 2008 19:25:34 - Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ebda223a-c1ec-11dc-8ec7-001638c3bdad} !!!
02 Jul 2008 19:25:34 - Objekt "Possible Fujacks-type Worm" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
02 Jul 2008 19:26:12 - Datei C:\WINDOWS\system32\cmd.com wird gescannt
02 Jul 2008 19:26:12 - Datei C:\WINDOWS\system32\cmd.com infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
02 Jul 2008 19:26:49 - Datei C:\WINDOWS\system32\jgdw400d.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.d". Maßnahme ergriffen: Keine Maßnahme ergriffen.
02 Jul 2008 19:27:19 - Datei C:\WINDOWS\system32\mswinsck.ocx infiziert durch den Virus "Backdoor.Win32.VB.ecr"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
02 Jul 2008 19:27:24 - Datei C:\WINDOWS\system32\netstat.com infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.

02 Jul 2008 19:27:33 - Datei C:\WINDOWS\system32\ping.com infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
02 Jul 2008 19:27:41 - Datei C:\WINDOWS\system32\regedit.com wird gescannt
02 Jul 2008 19:27:41 - Datei C:\WINDOWS\system32\regedit.com infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
02 Jul 2008 19:27:57 - Datei C:\WINDOWS\system32\taskkill.com wird gescannt
02 Jul 2008 19:27:57 - Datei C:\WINDOWS\system32\taskkill.com infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.

02 Jul 2008 19:27:57 - Datei C:\WINDOWS\system32\tasklist.com wird gescannt
02 Jul 2008 19:27:57 - Datei C:\WINDOWS\system32\tasklist.com infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
02 Jul 2008 19:27:59 - Datei C:\WINDOWS\system32\tracert.com infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.

Dann hab ich deinen Beitrag gelesen und hab gedacht dass ich die Virusse ohne umwege also nicht manuell mit deinen Geposteten Programmen von der Festplatte fegen kann.

Also hat erstmal dein Malware Bytes ein einhalb stunden gewerkelt und gesucht mit folgendem Logfile als ergebnis:

Zitat:

Malwarebytes' Anti-Malware 1.19
Datenbank Version: 914
Windows 5.1.2600 Service Pack 2

16:18:15 03.07.2008
mbam-log-7-3-2008 (16-18-15).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 142561
Scan Dauer: 1 hour(s), 32 minute(s), 41 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{1a93c934-025b-4c3a-b38e-9654a7003239} (Adware.Gamesbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6f282b65-56bf-4bd1-a8b2-a4449a05863d} (Adware.Gamesbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6f282b65-56bf-4bd1-a8b2-a4449a05863d} (Adware.Gamesbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{b1e22eb8-2ae8-4e8e-96ae-74f2a1764533} (Adware.WebDir) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{bdbebf18-7615-4971-9ac3-bd6ffb7ad6c1} (Adware.WebDir) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\dlp.dlpobj (Adware.WebDir) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\dlp.dlpobj.1 (Adware.WebDir) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{be2ed590-ca49-46b5-8cce-244fb2e0d1aa} (Adware.WebDir) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{be2ed590-ca49-46b5-8cce-244fb2e0d1aa} (Adware.WebDir) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
D:\System Volume Information\_restore{79F9B43C-7141-49C2-866E-27B8C28A4881}\RP31\A0043136.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cmd.com (Worm.Alcra) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\netstat.com (Worm.Alcra) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ping.com (Worm.Alcra) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\regedit.com (Worm.Alcra) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tasklist.com (Worm.Alcra) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tracert.com (Worm.Alcra) -> Quarantined and deleted successfully.

Hab mal so aus Neugier noch mal Hijacken lassen also direkt nach dem Malware Scan:
Hier das Logfile vom Hijack scan nach Malwarebytes' Anti-Malware 1.19

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:31:05, on 03.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {9D031ADD-9222-44C0-A42C-16BDB8B726CE} - C:\WINDOWS\system32\jgdw400d.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O4 - Global Startup: Sinus 154 stick WLAN Manager.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/Driver...aSmartScan.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - Unknown owner - C:\PROGRA~1\eScan\TRAYSSER.EXE (file missing)
O23 - Service: eScan Monitor Service (KAVMonitorService) - Unknown owner - C:\PROGRA~1\eScan\avpm.exe (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe

--
End of file - 4942 bytes

puhh das erstmal.

Dann kam SUPERAntiSpyware dran hat erstaunlicherweise auch noch Krempel gefunden:
LOG

Zitat:

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware!

Generated 07/03/2008 at 06:40 PM

Application Version : 4.15.1000

Core Rules Database Version : 3495
Trace Rules Database Version: 1486

Scan type : Complete Scan
Total Scan Time : 02:11:46

Memory items scanned : 198
Memory threats detected : 0
Registry items scanned : 5949
Registry threats detected : 4
File items scanned : 103083
File threats detected : 27

Trojan.Downloader-EventLoh
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D031ADD-9222-44C0-A42C-16BDB8B726CE}
HKCR\CLSID\{9D031ADD-9222-44C0-A42C-16BDB8B726CE}
HKCR\CLSID\{9D031ADD-9222-44C0-A42C-16BDB8B726CE}\InprocServer32
HKCR\CLSID\{9D031ADD-9222-44C0-A42C-16BDB8B726CE}\InprocServer32#ThreadingModel
C:\WINDOWS\SYSTEM32\JGDW400D.DLL

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\...\Cookies\..)@bs.serving-sys[2].txt
C:\Dokumente und Einstellungen\...\Cookies\..@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\...\Cookies\..@2o7[1].txt
C:\Dokumente und Einstellungen\...\Cookies\..@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\...)\Cookies\..)@atdmt[2].txt
C:\Dokumente und Einstellungen\..)\Cookies\..@tradedoubler[1].txt
C:\Dokumente und Einstellungen\\Cookies\@adbrite[2].tt
C:\Dokumente und Einstellungen\\Cookies\@adlegend[2].txt
C:\Dokumente und Einstellungen\\Cookies\@tribalfusion[1].txt
C:\Dokumente und Einstellungen\\Cookies\@partners.webmasterplan[2].txt
C:\Dokumente und Einstellungen\\Cookies\@statcounter[2].txt
C:\Dokumente und Einstellungen\\Cookies\@komtrack[2].txt
C:\Dokumente und Einstellungen\\Cookies\@windowsmedia[1].txt
C:\Dokumente und Einstellungen\\Cookies\@serving-sys[2].txt
C:\Dokumente und Einstellungen\\Cookies\@adtech[1].txt
C:\Dokumente und Einstellungen\\Cookies\@doubleclick[1].txt
C:\Dokumente und Einstellungen\\Cookies\@ads.adbrite[1].txt
C:\Dokumente und Einstellungen\\Cookies\@apmebf[1].txt
C:\Dokumente und Einstellungen\\Cookies\@www.etracker[1].txt
C:\Dokumente und Einstellungen\\Cookies\@fastclick[2].txt

Unclassified.Unknown Origin
C:\PROGRAMME\NOTEPAGE\FEEDFORALL\KEYGEN.NFO

Trojan.Unknown Origin
C:\SYSTEM VOLUME INFORMATION\_RESTORE{707F4DA3-6110-42E4-AC64-F3CBBBD5D1F0}\RP0\A0000002.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{707F4DA3-6110-42E4-AC64-F3CBBBD5D1F0}\RP0\A0000023.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{707F4DA3-6110-42E4-AC64-F3CBBBD5D1F0}\RP0\A0000036.EXE

Adware.Vundo Variant/Rel
C:\WINDOWS\SYSTEM32\MCRH.TMP
C:\WINDOWS\SYSTEM32\STTSS.INI2

So von beiden Scans hab ich die Virusse quarantinen und löschen lassen dann kam Neustrart.
Zwischen beiden Scans waren übrigens auch neustart xD.
Der PC läuft jetzt merklich schneller
Hier das "frischeste" Hijack Log:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:48:36, on 03.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
C:\Programme\Xfire\xfire.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O4 - Global Startup: Sinus 154 stick WLAN Manager.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/Driver...aSmartScan.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - Unknown owner - C:\PROGRA~1\eScan\TRAYSSER.EXE (file missing)
O23 - Service: eScan Monitor Service (KAVMonitorService) - Unknown owner - C:\PROGRA~1\eScan\avpm.exe (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe

--
End of file - 5634 bytes

Ich hoffe die Scans und löschungen haben alles bedrohliche und malware mäßige von meiner Festplatte gefegt.
Kannst du trotzdem was verdächtiges erkennen?

Achja hier haste die auswertung von dem .dll hab ich gestern vergessen zu posten jetzt isses ja schon gelöscht--
klick: Virustotal. MD5: 93f5cd89620b11644a413bccd02dfed7 Adware.Webprefix AdWare.Win32.Stud.d Win32/Adware.BHO.AA
Was waren das für Viren die ich draufhatte und was haben die gemacht?
Und warum hat mein Avira Antivir gar nix von dem Zeug erkannt sondern nur von den Viren erzeugte .exe und so?
Ist antivir vll. selber von den Viren infiltriert oder hats nur ne schlechte virenerkennung oder heuristik?

Grüße
Saadi

-SilverDragon- · 03.07.2008, 19:01

Jetzt scheint alles sauber zu sein.

Du hattest unter anderem Adware drauf, und den Worm.Alcra.

Ich würde dir nichtmehr empfehlen über peer to peer Programme zu laden- fast 100% davon ist Malware...

seit 29.6 bei neustart immer 'HEUR/Malware' [heuristic] von antivir gefunden

Plagegeister aller Art und deren Bekämpfung: seit 29.6 bei neustart immer 'HEUR/Malware' [heuristic] von antivir gefunden