[Windows XP] Virus.HEUR.Trojan.Win32.Generic

[Montage_Master]

Hallo,
Ich habe (mal wieder) ein großes Problem mit meinem PC....
Nun gut, Es handelt sich um eine Fehlermeldung von Kaspersky die irgendwie nicht ganz geheuer ist.
Ich startete den Computer normal wie immer und ging ins Internet. Kurz darauf kommt schon eine Fehlermeldung von Kaspersky ein Virus sei gefunden.C:\WINDOWS\EXPLORER.EXE greift auf die Datei C:\WINDOWS\EXPLORER.EXE zu die den Virus: Virus.HEUR.Trojan.Win32.Generic enthält.
Okaaaay bei meinem PC nichts weiter ungewöhnliches. -.-
Das Seltsame war aber das die Meldung im 3 Sekunden-Takt bestimmt eine halbe Stunde angezeigt wurde.Im bEricht von Kaspersky unter Datei-Anti-Virus sind jetzt 410 Ereignisse vermerkt die so gut wie alle gleich aussehen.
Anscheinend greifen immer abwechselnd zwei Programme ,WINLOGON.EXE und EXPLORER.EXE , auf diese Datei zu.
Ich weiß nicht ob deiser Virus jetzt beseitigt ist oder noch besteht und ob ich bei einem Neustart die ganze Sache wieder habe.
Ich bin kein Profi auf dem Gebiet von daher recht unerfahren.
Also bitte etwas Verständnis.^^
Danke.

 

[Zero]

http://malwarebytes.org/ die free version runter laden
updaten
Kaspersky deaktivieren
mbam scannen lassen
neustarten
Berichten

und dann schauen wir mal weiter ^^

 

[Montage_Master]

Bist du dir sicher das ich Kaspersky ausschalten soll?
Und ich denke mal ein vollständiger Durchlauf oder?
Beim letzten Durchlauf hat das 1 Stunde und 30-40 Minuten gedauert.^^
Solange ohne Anti-Viren-Programm macht mir Angst.

 

[terminator2k2]

Virus.HEUR.Trojan.Win32.Generic <- ist normal auch "fehlalarm" als solche werden auch unter anderem KeyGeneratoren, Cracks erkannt aber auch durchaus böse Viren, die man sich eben mit den KeyGens und co einfangen kann

Muss im Prinzip kein Virus sein

 

[Montage_Master]

Okay, nehmen wir mal an es handelt sich nicht um einen Virus....
Es kann doch aber trotzdem etwas nicht stimmen wenn ich über 400 Fehlalarme habe oder?

 

[Zero]

Okay, nehmen wir mal an es handelt sich nicht um einen Virus....

schlechte Annahme. Lieber als Virus annehmen & dann drauf kommen, dass es keiner ist als umgedreht.

Es kann doch aber trotzdem etwas nicht stimmen wenn ich über 400 Fehlalarme habe oder?

naja. jain. Kommt drauf an.
Du kannst den Virenscanner auch aktiviert lassen, allerdings kann er dann dazwischen funken.

 

[Montage_Master]

Mhm stimmt, ja...
Also er ist immer noch beim Scannen.
Hoffen wir mal das Beste.^^

-----[ Doppelpost hinzugefügt ] -----

Gerade eben fertig geworden und nja....er hat nix gefunden.
Selbst wenn ich den PC jetzt neu starte weiß ich dann doch immer noch nicht ob diese mysteriöse Datei weg ist oder?

 

[Kajoken]

Ich würde da eher zu Spybot raten. Das ist Freeware, wird ständig aktuell gehalten, erfüllt die gleichen Funktionen und man braucht nicht das Antivirenprogramm ausschalten, damit es vernünftig läuft.

So ein Verhalten eines Programms finde ich eher fragwürdig o.O

EDIT: Ein HijackThis Log wäre noch ganz interessant.

 

[Montage_Master]

Wie schon gesagt ich bin kein Profi und auch wenn man kein Profi sein muss um ein HijackThis Log zu machen weiss ich trotzdem nicht wie's geht.^^"
Könntest du mir erklären wies geht?

 

[Zero]

Ich würde da eher zu Spybot raten. Das ist Freeware, wird ständig aktuell gehalten, erfüllt die gleichen Funktionen und man braucht nicht das Antivirenprogramm ausschalten, damit es vernünftig läuft.

nein - auch hier kann der Virenscanner dazwischen funken...

So ein Verhalten eines Programms finde ich eher fragwürdig o.O

mbam ist gut - sowohl die Free als auch die gekaufte Version.

EDIT: Ein HijackThis Log wäre noch ganz interessant.

naja. evtl.

@Montage_Master:
starte einfach mal neu & schau obs dann noch da ist

 

[Kajoken]

Wie schon gesagt ich bin kein Profi und auch wenn man kein Profi sein muss um ein HijackThis Log zu machen weiss ich trotzdem nicht wie's geht.^^"
Könntest du mir erklären wies geht?

Wie man ein HijackThis Log erstellt wird hier wunderbar erklärt.
Das kannst du hier mal einstellen oder mir schicken, denn ich halte HijackThis Logs für durchaus wichtig.

 

[Montage_Master]

Okay dann hier mal mein Log.^^

Spoiler

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:49:40, on 25.09.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\SweetIM\Messenger\SweetIM.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\tsnp2std.exe
C:\WINDOWS\vsnp2std.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\Anwendungen\CPU-Control\CPU_Control.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe
D:\Anwendungen\Opera\opera.exe
C:\Programme\SpeedFan\speedfan.exe
D:\Anwendungen\VLC\vlc.exe
D:\Downloads\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2319825
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.rockstargames.com/register/
R3 - URLSearchHook: Winload Toolbar - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\tbWinl.dll
O1 - Hosts: 89.149.249.196 www.google.de
O1 - Hosts: 89.149.249.196 www.google.fr
O1 - Hosts: 89.149.249.196 www.google.co.uk
O1 - Hosts: 89.149.249.196 www.google.com.br
O1 - Hosts: 89.149.249.196 www.google.it
O1 - Hosts: 89.149.249.196 www.google.es
O1 - Hosts: 89.149.249.196 www.google.co.jp
O1 - Hosts: 89.149.249.196 www.google.com.mx
O1 - Hosts: 89.149.249.196 www.google.ca
O1 - Hosts: 89.149.249.196 www.google.com.au
O1 - Hosts: 89.149.249.196 www.google.nl
O1 - Hosts: 89.149.249.196 www.google.co.za
O1 - Hosts: 89.149.249.196 www.google.be
O1 - Hosts: 89.149.249.196 www.google.gr
O1 - Hosts: 89.149.249.196 www.google.at
O1 - Hosts: 89.149.249.196 www.google.se
O1 - Hosts: 89.149.249.196 www.google.ch
O1 - Hosts: 89.149.249.196 www.google.pt
O1 - Hosts: 89.149.249.196 www.google.dk
O1 - Hosts: 89.149.249.196 www.google.fi
O1 - Hosts: 89.149.249.196 www.google.ie
O1 - Hosts: 89.149.249.196 www.google.no
O1 - Hosts: 89.149.249.196 search.yahoo.com
O1 - Hosts: 89.149.249.196 us.search.yahoo.com
O1 - Hosts: 89.149.249.196 uk.search.yahoo.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Winload Toolbar - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\tbWinl.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\ievkbd.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Winload Toolbar - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\tbWinl.dll
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [DrvIcon] C:\Programme\Vista Drive Icon\DrvIcon.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe"
O4 - HKLM\..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] D:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CPU_Control] D:\Anwendungen\CPU-Control\CPU_Control.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Product Registration.lnk = C:\Dokumente und Einstellungen\Maximus\Lokale Einstellungen\Temp\is-7NJGA.tmp\ATR1.exe
O4 - Global Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = ?
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Maximus\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

--
End of file - 9083 bytes

 

[Zero]

Forceware kommt von NVIDIA - kein Problem hier.
der Rest ist fast unwichtig.

ABER:
Lass folgende Dateien mal Scannen:
tsnp2std.exe - kann Eingaben aufzeichnen
browseui.exe - kann Eingaben aufzeichnen, Programme überwachen.

beides können auch Dateien von Windows sein.

Ansonsten siehts sauber aus...

 

[Kajoken]

Jap, das log sieht ok aus. Keine wirklich großen Auffälligkeiten.
Die FixCamera.exe ist bekannt dafür, diverse Probleme auszulösen, allerdings nicht solche, die du hast.

 

[Montage_Master]

Okay,
bei einer tsnp2std.exe Datei hat er tatsächlich was gefunden und sofort beseitigt.
Bei erneutem Scannen findet er nichts mehr.^^
Denkt ihr mein Problem wäre damit gelöst?