Antivirus meldet immer A0056210.exe.

[Ratrap]

Hallo,

ich bekomme öfter die Warnung(ist jedes mal anders aber änlich)

C:\System Volume Information\_restore{202550A8-7A33-4BCA-9586-051D24DDBF8F}\RP318\A0056210.exe Infected: Trojan-Downloader.Win32.Small.dbj

Mal ist es das, dann:

E:\System Volume Information\_restore{202550A8-7A33-4BCA-9586-051D24DDBF8F}\RP334\A0058751.exe Infected: Trojan-Downloader.Win32.Small.dbj

Es erwischt also jede Platte trotz Löschung durch AV...

Habt ihr ideen? HiJackThis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:04:54, on 21.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\G DATA AntiVirus\AVK\AVKService.exe
C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe
C:\Programme\Kerio Personal Firewall\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\Spiele\Need for Speed Undercover\PB\PnkBstrA.exe
C:\Programme\Kerio Personal Firewall\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio Personal Firewall\Personal Firewall 4\kpf4gui.exe
C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\OSK.exe
C:\WINDOWS\system32\MSSWCHX.EXE
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
E:\Net\Tools\HijackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA AntiVirus\Webfilter\AVKWebIE.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA AntiVirus\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: &Download with TrueDownloader! - C:\Programme\TrueDownloader\TrueDownloader.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: http://download.windowsupdate.com
O15 - Trusted Zone: *.windowsupdate.com
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/...?1228915750906
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1228590245250
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5DB6401B-4A10-4CAE-BFD4-FC426A573C1C}: NameServer = 217.237.149.142 217.237.150.205
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirus\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio Personal Firewall\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - D:\Spiele\Need for Speed Undercover\PB\PnkBstrA.exe

--
End of file - 6268 bytes

[leader]

Der Virus sitzt in deinen Systemwiederherstellungspunkten.

Du musst diese einmal löschen und danach wieder die Systemwiederherstellung aktivieren, dann sollte auch der Virus weg sein.
Auf dem System ansich ist der wohl schon entfernt.

[leader]

Und den hier solltest du auch nochmal checken und im Auge behalten: "D:\Spiele\Need for Speed Undercover\PB\PnkBstrA.exe"

Gehe mal auf www.hijackthis.de und gib dort deine Logdatei an und lasse sie dort auswerten, dann kannst du dir alles genau anschauen.

[Ratrap]

Hallo leader,

ich nehme an du meintest as ich die Systemwiederherstellung einmal komplett aus und wieder anmachen soll? Seit ich das tat kam keine Warnung mehr. Danke!

Bezüglich: "D:\Spiele\Need for Speed Undercover\PB\PnkBstrA.exe"

Das ist ein Anti-Cheat-Tool das onlinespielen überwacht, leider läuft es auch wenn die betroffenen Spiele nicht laufen(Und mühsam immer den Service vor Spielstart aktivieren und danach deaktivieren nervt). Mich wundert nur das es bei Undercover im Ordner ist, ich dachte es ist etwas generelles da 2 andere Spiele von mir es auch nutzen und die sind ned in der File...

Punkbuster ist schon komisch...

Danke nochmal!


Ratrap

[FFlash]

Java veraltet
Kerio FW-- ist auch nicht unbedingt zu empfehlen...

[leader]

Bitte schön

Wenn du dir nochmal einen Virus einfangen solltest (besser nicht), dann musst du nach der Säuberung (falls sie funktioniert) auch wieder deine Systemwiederherstellung kurzfristig deaktivieren und danach wieder aktivieren.
Sonst hast du den Virus bei einer Systemwiederherstellung logischerweise direkt wieder mit dabei.

[Ratrap]

Hallo,

@FFlash, Java ist jetzt geupdatet. Ich habe viele Software-Firewalls durch und Kerio ist die einzige die ich so einstellen kann wie ich mag ohne das ich je abstürze/Probleme hatte. Der Virus war auch mein erste seit ich den PC habe, ich achte sehr auf Sicherheit.

IE ohne Active X in Kombination mit FireFox und Sicherheits-Addons, AV und Firewall is eh klar. Spybot, AdAware, Ewido, HiJackThis, CWShredder, und und und...

Da ist denke ich eine ältere Firewall ok, zumal mein Modem noch eine hat.


@leader, danke dir, habe ich so gemacht. Der Thread kann jetzt verschwinden. :-D BDMP statt BUMP*