Explorer langsam; Worm.WGAVN???

#1 Liebe Leute!

Ich versuche gerade, das Laptop einer Bekannten mit XP-SP2 zu "heilen". Es ist langsam (vor allem im IExplorer) und hat komische Warnmeldungen bei diversen Malwareprogrammen.
Spyware Doctor zeigt in C:\Windows\Debug\Dcpromo.log den Fehler Worm.WAGVN, den es aber in der Testversion nicht beheben will.

Ich habe (als eifriger Leser Eures Forums) das HijackThis-File aus dem abgesicherten Modus beigefügt (auf dem Ihr auch sehen könnt, welche Programme ich schon zur Hilfe genommen habe...)

Logfile of HijackThis v1.99.1
Scan saved at 12:55:24, on 09.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ewido anti-spyware 4.0\ewido.exe
G:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Mobile Synchronization Service] mobsynca.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\RunServices: [Mobile Synchronization Service] mobsynca.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\RunServices: [Windows DLL host] "C:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RtlWake.lnk = ?
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155053254066
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Hoffentlich hilft das irgendwem weiter...

Danke,
Oliver

#2 OliverLange

hier sollte man nicht mehr "heilen", schon garnicht mit einem verspaetetem SP2 - sondern formatieren, der Rechner ist mit Backdoors verseucht und das System kompromitiert.
(winupd32.exe infected by "Backdoor.Spybot.b" Virus)
http://www.symantec.com/security_response/writeup.jsp?docid=2003-053013-5943-99
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina!

Das hatte ich schon befürchtet... Gibt es hier irgendwo einen Thread, der einem dabei behilflich ist? Schließlich soll der Käse ja etwas länger halten als bis nächste Woche! (Es ist ein Targa-Laptop mit einer Recovery-Partition auf D:\)

Danke,
Oliver

#4 hier findest du eine Zusammenstellung von Tips
http://virus-protect.org/nachneuinst.html
http://board.protecus.de/t13019.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hier spricht nochmal der DVD (Dummie vom Dienst): ich habe noch nie ein Recovery gemacht. Das erste Problem: Wie formatiere ich unter XP (also ohne DOS-Ebene) den Datenträger C:\ ???
(Hab das bislang nur bei meiner alten 98SE-Kiste gemacht)

Olli

#6 Hallo

ich bin DVD Nummer 2 - bin leider auch kein Crack im Formatieren, einfach, weil ich es noch nie machen musste.
Stelle die Frage hier
http://board.protecus.de/f5.htm
uebrigens sind auf meiner seite zwei links + Erklaerung, wie man formatiert
http://virus-protect.org/nachneuinst.html
__________
MfG Sabina

rund um die PC-Sicherheit