Hallo

habe mittels diverser Antivirentools und a² Adware schon alle Trojaner runtergschmissen aber es erscheint ca. 30sek nachdem Windows hochgebootet hat immernoch ein gelbes Dreieck mit einem Ausrufezeichen in der Taskbar.
Wenn ich dort doppelt drauf klicke öffnet ein InternetExplorer Fenster mit der Seite www.TopAntiSpyware.com. WAS ist das? Und noch wichtiger wie bekomme ich das weg? Ich sehe nirgends einen Prozess der dieses Dreieck darstellen könnte.

Hier meine letzte Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 12:55:48, on 09.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ICQ\ICQ.exe
C:\WINNT\System32\1XConfig.exe
C:\Dokumente und Einstellungen\Michael Hartlieb\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [service] C:\WINNT\System32\service.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097595004359
O18 - Filter: text/html - {B72F75B8-93F3-429D-B13E-660B206D897A} - (no file)
O18 - Filter: text/plain - {B72F75B8-93F3-429D-B13E-660B206D897A} - (no file)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Backbone Service - Dassault Systemes - C:\Programme\Dassault Systemes\B10\intel_a\code\bin\CATSysDemon.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: RadClock - Unknown - C:\WINNT\system32\RadClock.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINNT\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor - Intel Corporation - C:\WINNT\System32\S24EvMon.exe


gruss
Michael

Das hört sich eigentlich nach der Benachrichtigung an, dass Updates für Windows installiert werden sollen! Die Seite, die sich dann aber öffnet, spricht dagegen.

Was passiert, wenn Du alle Patches über http://www.windowsupdate.com/ installierst?

Gruß
Yopie

Hallo,

Du hast da aber noch 2 in Deinem System, die da nicht hingehören:

service.exe = http://de.trendmicro-europe.com/ente...DBOT.D&VSect=T

spoolsrv.exe = http://www.uwebart.de/virus/w32.hllw.gaobot.ag.html

Empfelung ist leider "format c", um das System wieder in einen vertrauenswürdigen Zustand herzustellen.
Befolge diese Anleitung:
http://www.trojaner-board.de/showthread.php?t=12154

dartus

@dartus
dass das System neu aufgesetzt gehört stimmt, jedoch handelt es sich bei den Registry-Einträgen vermutlich nicht um die von dir genannten Einträge.

[Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe müsste "Trojan.Win32.Small.cr" sein.

[service] C:\WINNT\System32\service.exe weiß ich nicht, aber sicher auch Malware.

Ein eScan sollte Klarheit bringen. Bitte genau an die Anleitung halten und vorher temporäre Dateien wie IE-Cache usw. löschen, damit wir uns nicht durch irrelevante Sachen wühlen müssen.

Gruß
Yopie

Vielen Dank für eure schnellen Antworten.

Aber eine Frage. Warum sollte ich gleich die Festplatte formatieren? Mehrere Virenscanner und Malware Programme finden nichts mehr und es ist nurnoch dieses Dreieck da, dass ich nicht wegbekomme. Kann doch nicht sein dass ich alles neu machen muss nur um dieses wegzubekommen.

Zu den Windows Patches. Die werde ich natürlich noch aufspielen genauso wie das SP2, aber entfernen tun die mir das jetzige Problem leider auch nicht :-/

Werde jetz nochmal probieren die 2 genannten Prozesse zu eliminieren.

gruss
Michael

Mach erstmal den eScan und poste das Ergebnis.

Hallo

hab den escan durchlaufen lassen. Leider ist die Logfile eeeeeeeeeewig lang.
Die wollte ich jetz nicht gerade hierein kopieren.
Allerdings kann ich euch sagen, dass er zwar noch ein paar Trojaner gefunden hat aber im "System Volume Information" Ordner. Also der Systemwiederherstellung. Und noch 2 andere infizierte Datein unter \Winnt\Win32\.. . Diese hab ich nun im abgesicherten Modus gelöscht und die Systemwiederherstellung deaktiviert.
Leider ist dieses Dreieck immernoch oben drin und es kommt erst verzögert nach dem hochbooten wie vorhin.

gruss
Michael

Hab hier die Stellen aus der Logfile mal rausgesucht:

File C:\WINNT\hosts infected by "Trojan.Win32.Qhost.ay" Virus. Action Taken: No Action Taken.

File C:\WINNT\System32\djkrpf.exe infected by "Trojan-Dropper.Win32.Small.rx" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Michael Hartlieb\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\LOADERADV418.JAR-315DE668-25D303F0.ZIP.VIR infected by "Trojan.Java.ClassLoader.h" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{BC1689AA-BA41-4CA2-BC06-741E4184DDDA}\RP156\A0032714.exe infected by "Trojan-Downloader.Win32.Small.agy" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{BC1689AA-BA41-4CA2-BC06-741E4184DDDA}\RP156\A0032745.exe infected by "Net-Worm.Win32.Bobic.b" Virus. Action Taken: No Action Taken.

etc.

gruss
Michael

Hi,

"Und noch 2 andere infizierte Datein unter \Winnt\Win32"

Zeig die Einträge aus dem Log bitte auch mal.

dartus

Öffne mal die Datei "c:\WINDOWS\system32\drivers\etc\hosts" mit einem Texteditor und lösche dort alles raus, was Du nicht selbst dort eingefügt hast.

127.0.0.1 localhost ist in Ordung, aber sowas wie
127.0.0.1 windowsupdates.com ist großer Mist!

Danach klickst Du mal wieder auf das Ausrufezeichen.

HTH

Gruß
Yopie

Hallo Yopie

die hosts Datei ist bei mir komplett leer.

Hier mal ein Bild damit ihr euch unter dem Dreieck was vorstellen könnt, inklusive der kleinen Meldung das es ab und zu mal anzeigt:




gruss
Michael

@corsa-51
hast du es schon mit den taskmanager versucht?
wenn dieser dreieck sichtbar ist, dann müßte es doch auch in den taskmanager auftauchen?
lade anders regmon.exe bei www.systeminternals.com

chaosman

Vielleicht sowas ähnliches wie http://www.zdnet.de/news/software/0,...9130130,00.htm ?

Gruß
Yopie

Auch ich hatte das gelbe Dreieck in der Taskbar.
Habe mit Google im Internet gesucht.
Mir wurde empfohlen, die Datei helper.exe im Windows/system32 Ordner zu löschen. Manchmal steht die Datei auch woanders.
(Am besten die Datei suchen lassen, Windows im abgesicherten Modus starten, dann die Datei im jeweiligen Verzeichnis löschen.)
Die Prozedur hat bei mir geholfen.

Gruß

busfahrer