Problem mit Scherzprogramm/ Virus war als Cheat getarnt

Nachtrag
Der Link befindet sich auf der Tastatur und geht wie der Link für Taschenrechner, Internetexplorer usw. nicht.

Durch den Taskmanager kannst du alle Anwendungen öffnen.
Du musst nur auf "Neuer Task" klicken und dann im Programmverzeichniss die Anwendung suchen.

Lösche bitte deinen Browser Cache und alle sonstigen Temporären Dateien.
Benutze dazu einfach die Freeware CCleaner.
Setze bei den Einstellungen unter dem Reiter von Windows
und den Anwendungen alle möglichen Häckchen und führe CCleaner aus

. Erstelle danach ein Hijackthis Logfile.
Es liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Nach dem Download findest du hier eine Anleitung.
Anstatt dein Logfile selbst auszuwerten, kannst du das auch automatisch machen.
Dazu kopiere das komplette Logfile hier rein.
Diese Online Auswertung zeigt dir an welche Einträge du Fixen solltest, nämlich alle als „Böse“ bezeichneten.

5. Zur Kontrolle prüfe deinen PC dann mal mit dem Online-Scanner von Panda.

Der Task Manager öffnet sich nicht, wie bereits erwähnt. Und die angebene Seite gibt es nicht, laut meinem Browser. Ich schau mich aber mal um, vll finde ich ja so ein Teil. Trotzdem Danke für die erten Bemühungen.

So schwer so ein Programm zu finden war es nicht, darum hier gleich das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 18:46:42, on 12.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
E:\Programme\Razer\Copperhead\razerhid.exe
C:\Programme\avmwlanstick\wlangui.exe
E:\Programme\ICQLite\ICQLite.exe
C:\Programme\AGEIA Technologies\TrayIcon.exe
C:\WINDOWS\system32\win_sys.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe
E:\Programme\Xfire\Xfire.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
E:\Programme\Razer\Copperhead\razerofa.exe
C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\Rar$EX01.422\HijackThis.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [razer] E:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] "C:\Programme\AGEIA Technologies\TrayIcon.exe"
O4 - HKLM\..\Run: [win_sys] C:\WINDOWS\system32\win_sys.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: Xfire.lnk = E:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1148996276171
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

Werte nun wie beschrieben dein logfile in www.hijackthis.de selbts aus.

Ich habe es schon füer dich gemacht und es sieht soweit ganz gut aus.
Dennoch solltest du die in der Auswertung alle als Unbekannt bezeichneten dateien mit folgendem Online-Scanner testen: www.virusscan.jotti.org/de

Dann probiere anstatt panda dies hier: dem [urhttp://www.bitdefender.de/bd/site/page.php# /]BitDefender Online Scan[/url].

Hallo,

diese Datei schreit förmlich nach Malware:
C:\WINDOWS\system32\win_sys.exe

Teste die Datei einfach damit wie es +Flori+ bereits vorgeschlagen hat,  dann weist du Bescheid.
http://www.virustotal.com/flash/index_en.html
oder
http://virusscan.jotti.org/de/

Wird dabei Malware gefunden, dann poste das Ergebnis hier.

Um eventuell die Sache zu lösen, lade dir bitte die Freeware Unlooker herunter
 http://ccollomb.free.fr/unlocker/index.htm#download
(nur für Windows 2000 und XP)
und lösche die Datei damit im abgesicherten Modus.

Antivirus   Version   Update   Result
AntiVir   6.35.0.21   07.13.2006   HEUR/Backdoor.Generic
Authentium   4.93.8   07.12.2006   no virus found
Avast   4.7.844.0   07.12.2006   Win32:Ardamax-AH
AVG   386   07.13.2006   no virus found
BitDefender   7.2   07.13.2006   no virus found
CAT-QuickHeal   8.00   07.13.2006   no virus found
ClamAV   devel-20060426   07.13.2006   no virus found
DrWeb   4.33   07.13.2006   no virus found
eTrust-InoculateIT   23.72.67   07.13.2006   no virus found
eTrust-Vet   12.6.2296   07.13.2006   no virus found
Ewido   4.0   07.13.2006   Not-A-Virus.Monitor.Win32.Ardamax.24
Fortinet   2.77.0.0   07.13.2006   PossibleThreat!0428
F-Prot   3.16f   07.12.2006   no virus found
F-Prot4   4.2.1.29   07.12.2006   no virus found
Ikarus   0.2.65.0   07.13.2006   no virus found
Kaspersky   4.0.2.24   07.13.2006   not-a-virus:Monitor.Win32.Ardamax.24
McAfee   4805   07.12.2006   New Malware.b
Microsoft   1.1481   07.13.2006   no virus found
NOD32v2   1.1657   07.13.2006   a variant of Win32/KeyLogger.Ardamax
Norman   5.90.23   07.13.2006   W32/Ardamax.RM
Panda   9.0.0.4   07.13.2006   Application/Ardamax
Sophos   4.07.0   07.13.2006   no virus found
Symantec   8.0   07.13.2006   no virus found
TheHacker   5.9.8.174   07.13.2006   Aplicacion/Ardamax.24
UNA   1.83   07.12.2006   no virus found
VBA32   3.11.0   07.12.2006   no virus found
VirusBuster   4.3.7:9   07.13.2006   no virus found


ich habe die datei C:\WINDOWS\system32\win_sys.exe hier gescannt: http://www.virustotal.com/flash/index_en.html, und das ist das resultat, ich kann damit wenig anfangen, außer zu sagen, das die scanner nicht ganz die selbe meinung haben, ich lade mir jetzt die freeware unlooker runter, wie vorgeschlagen.

Also wenn ich meinen PC auch noch ein bisschen unter Belastung halte, sind die Ordner und Verknüpfungen auf dem Destop und das Startmenu noch da.

Ich überprüfe jetzt noch die anderen Unbekannten Anwendungen und poste sie hier.

Leider aber nur für 5 bis 6 weitere Sekunden, die einen nichts bringen, da der PC lädt.

Ich glaube das Installationsprogramm hat irgendwas in Windows verändert, und hat nicht so sehr mit Viren und Malware zu tun. Da bei mir (noch) keine Schäden aufgetreten sind, und ich nur in meiner Kontrolle eingeschränkt bin.

Ich habe es außerdem geschafft über Xfire ein Online Spiel zu öffnen und fehlerlos zu spielen. Ohne Internetverbindung gibt es keine Veränderung, außer das ich nicht Xfire, das vom Internet abhängig ist, zum Internet Browser öffnen benutzen.

Außerdem gehen alle Programme, die ich geschafft habe in den ersten 5 sec anzuklicken.

Complete scanning result of "TrayIcon.exe", received in VirusTotal at 07.13.2006, 20:28:49 (CET).

Antivirus   Version   Update   Result
AntiVir   6.35.0.21   07.13.2006   no virus found
Authentium   4.93.8   07.12.2006   no virus found
Avast   4.7.844.0   07.12.2006   no virus found
AVG   386   07.13.2006   no virus found
BitDefender   7.2   07.13.2006   no virus found
CAT-QuickHeal   8.00   07.13.2006   no virus found
ClamAV   devel-20060426   07.13.2006   no virus found
DrWeb   4.33   07.13.2006   no virus found
eTrust-InoculateIT   23.72.67   07.13.2006   no virus found
eTrust-Vet   12.6.2296   07.13.2006   no virus found
Ewido   4.0   07.13.2006   no virus found
Fortinet   2.77.0.0   07.13.2006   no virus found
F-Prot   3.16f   07.12.2006   no virus found
F-Prot4   4.2.1.29   07.12.2006   no virus found
Ikarus   0.2.65.0   07.13.2006   no virus found
Kaspersky   4.0.2.24   07.13.2006   no virus found
McAfee   4806   07.13.2006   no virus found
Microsoft   1.1481   07.13.2006   no virus found
NOD32v2   1.1658   07.13.2006   no virus found
Norman   5.90.23   07.13.2006   no virus found
Panda   9.0.0.4   07.13.2006   no virus found
Sophos   4.07.0   07.13.2006   no virus found
Symantec   8.0   07.13.2006   no virus found
TheHacker   5.9.8.174   07.13.2006   no virus found
UNA   1.83   07.13.2006   no virus found
VBA32   3.11.0   07.13.2006   no virus found
VirusBuster   4.3.7:9   07.13.2006   no virus found

Hallo,

hast du jetzt die Datei
C:\WINDOWS\system32\win_sys.exe
löschen können?
(Ist übrigens ein KeyLogger !)
Läuft der PC im abgesicherten Modus normal?

Prüfe deinen PC zur Kontrolle mal mit den beiden Online-Scanner.
Für eine schnelle und kostenlose Überprüfung des kompletten Systems bieten die folgenden Online-Scanner gute Dienste. Übrigens, alle laufen nur unter dem Microsoft Internet Explorer und besitzen eine Reinigungsfunktion.

BitDefender Online Scanner
http://www.bitdefender.de/bd/site/page.php#
Panda ActiveScan
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen.
Eventuellen Meldungen von Panda unter “Spyware:Cookie“ sind harmlos und stellen keine akute Gefahr dar.)

Die Datei C:\WINDOWS\system32\win_sys.exe kann ich nicht löschen da sie gerade verwendet wird. Wie kann ich die Datei stoppen? Ich kenne nämlich keine andere Möglichkeit als den Taskmanager der bei mir nicht geht.
Schon alleine der Umweg über den Internetexplorer, "Datei öffnen" und dann irgendeine Editordatei angeben, war schon schwer herauszubekommen, dass ich so in den Arbeitsplatz komme. Dort gehen alle Ordner, alle Programme usw. .

Frage wie kommt man in den abgesicherten Modus F8?

Ich lasse meinen PC jetzt noch mal Überprüfen.

Auch nicht damit ...

.... lade dir bitte mal die Freeware Unlooker herunter
 http://ccollomb.free.fr/unlocker/index.htm#download
(nur für Windows 2000 und XP)
und lösche die Datei damit im abgesicherten Modus.

PC im abgesicherten Modus starten?
Unter http://www.bsi.de/av/texte/wiederher.htm findet man eine Anleitung.

Fixe diesen Eintrag auch über das HijackThis Tool.
Wenn du noch nicht weist, wie das Tool funktioniert, auf der folgenden Webseiten gibt es eine kleine Hilfestellung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873
oder
http://www.trojaner-board.de/showthread.php?t=17493

Die Schnellanleitung:
Öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neu starten

Ich habe die DAtei im abgesicherten Modus gelöscht. Neu gestartet. Und schups. Alles geht und funzt wieder.

Danke.

 

Ich rate allen keine Cheat aus dem Internet runterzuladen.
=> Selbst mit Antivir findet man nicht alle bösartigen Programme.