AntiVir stürzt immer ab, Mein Logfile

[Sandman]

Hallo, hab seit heute ein Problem. Mein AntiVir startet nicht, weder das Hauptprogramm noch der AntiVir Guard. Hab es schon mit einer Neuinstallation versucht, aber vergeblich. Das Problem bleibt bestehen. Hab mit BitDefender, Search & Destroy und Ad-Aware meinen Pc gescannt. Nix gefunden.
Was mir besonders verdächtig vorkommt ist eine Datei die sich immer versucht ins Internet einzuloggen. Sie befindet sich unter C:\Windows\ und heißt alg1.exe. Keine Ahnung was das ist. Hab die Datei noch nie gesehen. Meine Firewall fragt mich jedesmal ob ich das freigeben soll oder nicht.

Hier Mein Logfile. Wär nett wenn Ihr mir weiter helfen könnt. DAnke im Voraus.

Code:

Logfile of HijackThis v1.99.0
Scan saved at 21:05:25, on 21.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\alg1.exe
C:\WINDOWS\Mixer.exe
H:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
H:\Programme\Mozilla Firefox\firefox.exe
G:\hijackthis_199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [zBrowser Launcher] H:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "H:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [BDNewsAgent] H:\Programme\BitDefender Free Edition\bdnagent.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - H:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - H:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095265708227
O17 - HKLM\System\CCS\Services\Tcpip\..\{6BC76467-8635-4EBE-BDC2-DDD7D7B553F8}: NameServer = 217.237.151.33 217.237.149.225
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server - Unknown - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

[Jan]

Könnte es sich eventuell bei alg1 um einen Arbeitslosengeld-Rechner handeln?

Bitte entscheide Dich für einen der beiden Virenscanner. Anschließend update Deinen Virenscanner und führe einen Scan der gesamten Festplatte durch. Du kannst nicht 2 Virenscanner gleichzeitig installieren.

Es existiert bereits eine neuere Version von HijackThis.

Gruss, Jan

[Sandman]

Also das mit beiden Virenscannern wurde mir sogar in diesem Board vorgeschlagen. Ich solle beide installieren, BitDefender und AntiVir. Aber eins davon immer aus haben. BitDefender wegen der besseren Virenerkennung, und AntiVir wegen dem Guard den BitDefender nicht hat. WAS denn nun???

Ist mein Logfile OK?

[Speedy]

hi

wenn du von bitdefender die version 7.2 free verwendest, hast du natürlich vollkommen recht.

diese datei bitte hier zur überprüfung und weiterleitung hochladen, du benötigst nur deine emailadresse, sonst nichts. wenn du in zukunft nachsehen willst, welche datein du hochgeladen hast und welche schädlinge auf deinem rechner ware, dann loggst du dich links ein, dazu benötigst du wiederum deine emailadresse und das passwaort, das dir nach dem ersten einloggen zugesandt wird.



C:\WINDOWS\alg1.exe

bitte diese datei auch hier bei Jotti oder Virustotal überprüfen, ergebnis hier posten.

__________________________________________________________

bei windows xp und windows me, sollte man zuerst versuchen, mit hilfe der systemwiederherstellung den rechner in einen früheren zustand zu bringen, wähle einen herstellungspunkt, der vor der infektion liegt, system neu starten.

__________________________________________________________

start->systemsteuerung->software->programme ändern oder entfernen-> nachsehen, ob hier ein,oder mehrere programme installiert sind, die nicht absichtlich von dir installiert wurden, deinstallieren -> name der programme hier posten! kann ein programm nicht deinstalliert werden, ein möglicher grund: es ist in verwendung, mit dem taskmanager beenden und dann deinstallieren.

__________________________________________________________

meist gibt es bei antivirenprogrammen einen infectet oder quarantäne-ordner, diesen bitte leeren.

__________________________________________________________

start->systemsteuerung->internetoptionen->karteikarte allgemein->cookies und dateien löschen, verlauf leeren und einstellungen nie aktivieren

__________________________________________________________

explorer starten C:\ markieren, rechte maustaste ->eigenschaften wählen->bereinigen->hier folgendes aktivieren übertragene programmdateien, temporary internet files, offlinewebseiten, papierkorb,temporäre dateien
(ordneransicht beachten
> geschützte systemdateien ausblenden < deaktivieren und
> versteckte ordner und verzeichnisse < aktivieren
___________________________________________________________


das logfile ist eben bis auf die alg1.exe ok, aber was nützt uns das?
___________________________________________________________

ich warte das ergebnis von jotti und vom malwareupload ab.

[Jan]

Sorry, das war mein Fehler! Ich hatte nur Einträge von AV und BD gesehen und gedacht: 'Da laufen 2 Virenwächter im Hintergrund und das könnte das AV-Problem verursachen...' Keine Absicht

Das Log sieht bis auf alg1 super aus.

Nochmal meine Frage: kann alg1 ein Arbeitslosengeld-Rechner sein, oder sowas?

Jan

[Sandman]

Also war mal auf Jotti und VirusTotal. Auf beiden Seiten wird Infected Malware erwähnt z.B. Heuristic/Backdoor.BeastDoor, Win32:Beastdoor-B usw...

Also auf jeden Fall ein Trojaner.
Bei malwareupload kann ich mich nicht einloggen, obwohl ich schon einen Code habe.

alg? Arbeitslosenrechner? Bin nicht arbeitslos, aber mein Rechner gleich wenn

[Speedy]

kannst du das ergebnis des scan bei jotti hier hereinkopieren
(neben dem eingabefeld, ist eine fahne, hier wähle die german, dann versteht man mehr)

[Sandman]

Auslastung:
0% 100%
Datei: alg1.exe
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-

AntiVir
Heuristic/Backdoor.BeastDoor (mögliche Variante) (0.44 Sekunden)
Avast
Win32:Beastdoor-B (1.52 Sekunden)
AVG Antivirus
BackDoor.Beastdoor.HG (0.53 Sekunden)
BitDefender
Keine Viren gefunden (1.21 Sekunden)
ClamAV
Trojan.Beastdoor.206.F-srv (0.60 Sekunden)
Dr.Web
BackDoor.Beast.206 (0.91 Sekunden)
F-Prot Antivirus
Keine Viren gefunden (0.13 Sekunden)
Fortinet
Keine Viren gefunden (0.48 Sekunden)
Kaspersky Anti-Virus
Backdoor.Win32.Beastdoor.206.b (1.12 Sekunden)
mks_vir
Trojan.Beastdoor.206 (0.22 Sekunden)
NOD32
Win32/Beastdoor.206.B (0.47 Sekunden)
Norman Virus Control
W32/Beastdoor.2_06B (0.23 Sekunden)

[Jan]

wow, über alg1 lässt sich nirgendswo was finden...! Bitte lade die Datei unbedingt hier hoch: http://www.malwareupload.com/. Bitte verlinke im Kommentarfeld diesen Thread.

Danke! Jan

[Speedy]

hast du noch eine weitere emailadresse, dann bitte neu anmelden und die datei hier hochladen Malicious Software Upload Center

scanne das system mit escan
1) direktdownload von escan
2) entpacke die datei mwav.exe oder mwav.zip in den ordner c:\bases
sollte das zip-programm dies nicht in einem schritt zulassen, so muss der ordner c:\bases manuell genau so angelegt werden.
3) nun wird der windows-explorer geöffnet und mit einem doppelklick auf die datei KAVUpd.exe, oder kavupd.exe
das update gestartet. auf meinem system (windowsxpsp2) wird sofort ein ordner C:\Download erstellt, der nach dem update
ca. 110 datein und ca. 5 MB groß ist, ein weiterer ordner c:\Bases_X wurde ebefalls erstellt, inhalt 105 datein und ebefalls 5 MB groß
im ordner c:\bases sind 133 datein mit ca. 7,4 MB
4) wechsle in den abgesicherten modus von windows
5) öffne nun wieder den explorer, gehe zum ordner c:\bases und starte die datei mwavscan.com oder [mwavscan.exe[/url], schließe den explorer.
6) überprüfe die einstellungen, unter scan option-->memory, startup folders, registry, system folders und services (auswahl) und scan all files sollte aktiviert sein, dann den button *SCAN/CLEAN* bzw. *SCAN/CLEAN* drücken.
7) wenn der scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen modus.
8) nun öffnest du mit dem editor, die mwav.txt oder mwav.log und wählst unter bearbeiten -> suchen, hier gibst du infected ein



jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten

Wed Oct 06 03:19:24 2004 => Total Number of Files Scanned: 54651
Wed Oct 06 03:19:24 2004 => Total Number of Virus(es) Found: 0
Wed Oct 06 03:19:24 2004 => Total Number of Disinfected Files: 0
Wed Oct 06 03:19:24 2004 => Total Number of Files Renamed: 0
Wed Oct 06 03:19:24 2004 => Total Number of Deleted Files: 0
Wed Oct 06 03:19:24 2004 => Total Number of Errors: 0
Wed Oct 06 03:19:24 2004 => Time Elapsed: 01:13:32
Wed Oct 06 03:19:24 2004 => Virus Database Date: 2004/10/05
Wed Oct 06 03:19:24 2004 => Virus Database Count: 105164

Wed Oct 06 03:19:24 2004 => Scan Completed.