Hi,

antivir findet (sobald ich einen prüflauf starte, ansonsten meldet sich der antivirguard nicht) eininge Trojaner, die sich aber nicht löschen, verschieben oder sonstiges lassen, da die geloggt sind. Der Rechner läuft stabil, braucht nur einige Zeit bis er einsatzbereit ist.

Dennoch würde ich gerne die Trojaner von meinem PC entfernen (und das am Besten ohne den PC neu aufsetzen zu müssen)

Hier mein Log:

Logfile of HijackThis v1.99.1
Scan saved at 10:10:54, on 20.05.2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\LVCOMSX.EXE
C:\PROGRAMME\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\WEBROOT\SPY SWEEPER\WRSSSDK.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\PROFILEMGR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\UNZIPPED\HIJACKTHIS_199\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: CleanMyPC Popup Blocker - {7A9BC6B1-7F27-47c6-A66D-13582E81E537} - C:\PROGRAMME\CLEANMYPC POPUP BLOCKER\CLEANBHO.DLL
O3 - Toolbar: CleanMyPC Toolbar - {04164EC4-1E48-4279-818E-3721931E7636} - C:\PROGRAMME\CLEANMYPC POPUP BLOCKER\CLEANBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\SYSTEM\LVCOMSX.EXE
O4 - HKLM\..\Run: [SpySweeper] "C:\PROGRAMME\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE" /startintray
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

Vielen Dank und klasse das es noch Leute gibt die anderen helfen....

@haegar71

Zitat:

antivir findet (sobald ich einen prüflauf starte, ansonsten meldet sich der antivirguard nicht) eininge Trojaner, die sich aber nicht löschen, verschieben oder sonstiges lassen, da die geloggt sind.

Goldene Regel 5: Beschreibe Dein Problem genau und nenne alle erforderlichen Details. Dazu gehören ... Pfadangaben bei Schädlingsbefall. Fehlen diese Angaben, kann Dir niemand helfen.

stimmt allerdings..

also ich habe nochmals ein Prüflauf durchgeführt. Die Trojaner sind wie folgt:

TR.Drop.small.amd.3
befindet sich im c:\_restore\temp\A0047641.0 oder
befindet sich im c:\_restore\temp\A0047644.CPY oder


TR.Dldr.small.ckj.5
befindet sich im c:\_restore\temp\A0047652.CPY oder

TR.Spy.small.DG.78
befindet sich im c:\_restore\temp\A0047652.CPY oder

TR.PSW.Snap.A
befindet sich im c:\_restore\temp\A0047656.CPY oder

TR.SPY.Agent.J0.1
befindet sich im c:\_restore\temp\A0047746.CPY oder


usw...

Also alle befinden sich im C:\_Restore Verzeichnis. Dieses Verzeichnis habe ich aber auch schon zweimal im MS-Dos Modus gelöscht... Leider ohne Erfolg.

bis später. Danke

@haegar71

Zitat:

Also alle befinden sich im C:\_Restore Verzeichnis. Dieses Verzeichnis habe ich aber auch schon zweimal im MS-Dos Modus gelöscht... Leider ohne Erfolg.

Warum mit solcher Gewalt, wie MS-DOS? http://www.systemwiederherstellung-d...indows-xp.html

Hallo Rene,

hmmmm...

ich war auf Deinem Link. Erstens war das Häckchen bereits drin und Zweitens läßt es sich nicht ändern ?!?! Ich kann es zwar löschen und dann den Übernahme-Butto betätigen. Aber gleich nach wiederöffnen des "Problembehandlung"-Reiter ist das Häkchen wieder da.

Ist das nicht seltsam ?

Habe gerade folgendes festgestellt:

bei Hochfahren erscheint dies:

"imb00007.exe" wurde nicht gefunden. Sie haben möglicher weise den Namen nicht richtig in den Dialog "ausführen" oder ein anderes Programm kann eine Systemdatei nicht finden. Klicken Sie auf Start....

Die IBM Datei war auch infiziert. Weis aber nicht, warum diese Meldung jetzt kommt. Denke mal von gestern abend. Da habe ich nochmal den Restore Ordner gelöscht. Rechner läuft trotzdem. Macht aber Probleme, wenn ich ihn im abgesicherten Modus hochfahren will.

Gruß

Oliver

hmmmm.....

weiß jetzt keiner mehr weiter ? Kann mir niemand einen Tip geben ?

Danke

@haegar71

Zitat:

Die IBM Datei war auch infiziert.

Diese Datei ist nicht infiziert, das ist der Schädlng selbst.
Lasse noch eScan laufen (s. Anleitung in meiner Signatur)
BTW: Sorry, bei ME bin ich nicht so fit. Wenn eScan nichts Brauchbares bringt, würde ich an Deiner Stelle Windows neu aufsetzen. Das hilft jedenfalls.