hatte heute ein spontanes Problem und zwar hat antivir einige trojanermeldungen gebracht, habe dann erst mal antivir komplett durchlaufen lassen und einige löschen können.

Danach noch e-scan im abgesicherten modus und wieder wurden einige gelöscht,
jetzt ist noch folgendes übrig geblieben:


Object "netzip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "minibug Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "coolwebsearch Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "coolwebsearch Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "netzip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "winad Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "winad Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "downloadware Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "precisiontime Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "precisiontime Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "cws.loadadv.400 Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "spywareno!/spysheriff Commercial KeyLogger" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "elite toolbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "180solutions Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "downloadware Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "downloadware Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Ist davon noch irgendwas schädlich? bzw. wo muss ich suchen, da ja kein pfad angegeben ist.

Für mich sichtbare Probleme:
Desktophintergrund ist jetzt anders, also eintönge standardfarbe und es läßt sich auch nicht umändern.
in der Taskleiste habe ich ein weißes kreuz in eine roten runden Feld, wenn ich mit der Maus drübergehe kommt:" your computer is infected"
wenn ich draufklicke passiert nichts.

hat so etwas schon mal jemand gesehen?

edit: habe eben etwas von spysheriff gelesen, den hatte ich auch und konnte ich deinstallieren

Hallo,

also jetzt ist alles extrem langsam geworden, falls überhaupt etwas ausgeführt wird.

Hier noch mein hijack:

Logfile of HijackThis v1.99.1
Scan saved at 11:10:55, on 01.05.2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\PROGRAMME\ESCAN\TRAYICOS.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROWORLD\AGENT\MWAGENT.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\MSG32.EXE
C:\PROGRAMME\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\SIEMENS\GIGASET USB ADAPTER 54\PRISMSVR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\PROGRAMME\ESCAN\AVPMWRAP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\SCANNERU\AM32.EXE
C:\PROGRAMME\SIEMENS\GIGASET USB ADAPTER 54\GIGASETUSBMONITOR.EXE
C:\PROGRAMME\YAHOO!\MESSENGER\YMSGR_TRAY.EXE
C:\PROGRAMME\ESCAN\AVPM.EXE
C:\PROGRAMME\ESCAN\AVPM.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Betfair Bar - {1D62BD48-16F6-4004-A54A-3C41E4955A87} - C:\Programme\Betfair\BFTool_4.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EW Message Server] msg32.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [SO5 Integrator Pass One] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKLM\..\RunServices: [eScan Updater] C:\PROGRA~1\ESCAN\TRAYICOS.EXE
O4 - HKLM\..\RunServices: [MWTI Agent] C:\PROGRA~1\GEMEIN~1\MICROW~1\AGENT\MWAGENT.EXE
O4 - HKLM\..\RunServices: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE /service
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo -aim
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe
O4 - Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: bet365 Poker - {B1BA4A3F-1C95-497b-9F82-F8DA4A5C89DD} - C:\Programme\bet365MPP\MPPoker.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system\mwnsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\mwtsp.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {AE7E5F20-35C3-11D2-A16C-006008662F80} (Internet-Banking) - https://www.onlinebankservice.de/brokat/srwgib187.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.97.173.124,194.97.173.125

Hat irgendjemand eine Ahnung an was es liegen könnte?

Zitat:

hatte heute ein spontanes Problem und zwar hat antivir einige trojanermeldungen gebracht, habe dann erst mal antivir komplett durchlaufen lassen und einige löschen können.

Danach noch e-scan im abgesicherten modus und wieder wurden einige gelöscht,
jetzt ist noch folgendes übrig geblieben:

Wo wurde die Malware gefunden (welche Trojaner)?

jetzt habe ich e-scan nochmal laufen lassen, es wurden wieder einige gefunden, obwohl ich gestern abgesichert alles gelöscht habe und nicht mehr gross gesurft habe:

Object "netzip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "minibug Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "coolwebsearch Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "coolwebsearch Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "netzip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "winad Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "winad Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "downloadware Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "precisiontime Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "precisiontime Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "cws.loadadv.400 Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "elite toolbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "downloadware Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "downloadware Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\WINDOWS\TEMPOR~1\CONTENT.IE5\VBX7BP8W\wbk80D0.TMP infiziert von "Trojan-Spy.HTML.Bankfraud.od" Virus. Aktion vorgenommen: Datei gelöscht.
Datei C:\WINDOWS\TEMPOR~1\CONTENT.IE5\VBX7BP8W\wbk80D1.TMP infiziert von "Trojan-Spy.HTML.Bankfraud.ot" Virus. Aktion vorgenommen: Datei gelöscht.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\I76WFZRQ\u9d30[1].exe markiert als "not-a-virus:Porn-Dialer.Win32.Erdial". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\WINDOWS\TEMPOR~1\CONTENT.IE5\GF65YX2J\3333[1].exe infiziert von "Trojan-Dropper.Win32.Agent.amn" Virus. Aktion vorgenommen: Datei gelöscht.
Datei C:\WINDOWS\TEMP\165415436729 infiziert von "not-virus:Hoax.Win32.Renos.cn" Virus. Aktion vorgenommen: Datei umbenannt.
Datei C:\WINDOWS\TEMP\ooowiwog.exe infiziert von "Trojan-Dropper.Win32.Agent.amn" Virus. Aktion vorgenommen: Datei gelöscht.
File C:\WINDOWS\TEMP\eybfhzcq.exe markiert als "not-a-virus:Porn-Dialer.Win32.Erdial". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\Downloaded Program Files\diver32.exe markiert als "not-a-virus:Porn-Dialer.Win32.X-Diver.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\I76WFZRQ\u9d30[1].exe markiert als "not-a-virus:Porn-Dialer.Win32.Erdial". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\tool2.exe infiziert von "not-virus:Hoax.Win32.Renos.cn" Virus. Aktion vorgenommen: Datei umbenannt.

wo die anderen trojaner gefunden wurden, die von antivir gestern gelöscht wurden bin ich leider überfragt.

Also doch mehr ...

Bei einem derartig komprimittierten System lohnt es sich nicht es zu richten, da es gar nicht mehr möglich ist ...

Meine Empfehlung - Cidres Anleitung zum Neuaufsetzen explizit durchführen.


mfg,
Markus

hallo markus,

kannst du mir als Laien kurz erklären was ich draufhabe bzw. was diese Spyware bzw. Trojaner anrichten?
die trojaner sollten doch jetzt gelöscht sein oder?

dann noch ne frage zu neuaufsetzen:
"Q: Was bedeutet Neuaufsetzen?
A: Es sollte mindestens die System-Partition (i.d. Regel C, besser aber alle befindlichen Partitionen der Festplatte, gelöscht werden. Anschliessend wird die Festplatte bei der Installation des Betriebssytems neu partitioniert und das System gemäss der nachfolgenden Anleitung abgesichert."

heißt das man löscht C komplett und es ist alles weg? keine Programme mehr bzw. dateien von word etc.?

Ich kann dir nicht sagen was Trojaner anrichten, nur was sie anrichten könnten - alles.

Sie sind auch nur ein Werk von Menschen - und wenn diese Menschen deinen Rechner befallen wollen dann werden sie Hintertürchen öffnen um wiederzukommen - Systemdateien umschreiben um dich wiederzufinden und und und.

Was da steht bedeutet eine re-partitionierung.
Angenommen du hast eine 30GB festplatte, nun kannst du z.b. 3 PArtitionen a' 10GB erstellen damit hättest du alles aus der hdd rausgeholt'

Es gibt leider Bootviren o.ä. die sich sehr tief vergraben (zugegeben - hier bin ich nicht gut informiert).

Ich würde sagen es reicht wenn du die Systempartition selbst formatierst.

mfg,
Markus