Hallo alle miteinander,

ich glaube ich habe mir etwas fieses eingefangen und werde es nicht mehr los.

Angefangen hat es vor 2 Wochen damit, dass mein Drucker wirre Zeichen druckte (ohne Druckauftrag von mir).
Nach diversen Virenscans (Norton 2003, Ad-Aware, Spybot S&D, etliche andere) wurden mir eine ganze Menge an Trojaner angezeigt die ich angeblich haben soll.

Trojan.PWS.Tanspy
W32.GAOBOT
ipv6mons.dll (Bei der Schreibweise bin ich mir nicht ganz sicher)


Gelöscht habe ich schon einiges (ipv6mons.dll, cpu.exe) und dachte eigentlich, dass es nun sauber wäre... falsch gedacht.
Sobald ich online gehe (ohne XP Firewall) verabschiedet sich nach einiger Zeit mein Rechner. Es scheint als wär er teilweise eingefroren.
Das äussert sich dadurch, dass ich meine Internetverbindung nicht trennen kann (Rechtsklick im Systray ist nicht möglich) und der Taskmanager lässt sich nach einiger Onlinezeit (ca. 5 Minuten) auch nicht mehr öffnen. Es erscheint zwar ein grünliches Systray und wenn ich mit der Maus drüber fahre sagt er mir auch "Task Manager" aber ich kann nichts machen.
Aktiviere ich die XP Firewall scheint alles ohne Probleme zu funktionieren.


Ich werde das Gefühl nicht los, dass sich da immer wieder etwas installiert bzw. "Kontakt zu irgendwem" aufnimmt. (Ich weiß, es klingt bescheuert)



Hier mein HijackThis Log, vielleicht findet jemand von Euch etwas was mir nicht aufgefallen ist aber für mich sieht das eigentlich sauber aus.




===================================================

Logfile of HijackThis v1.99.1
Scan saved at 16:30:31, on 13.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\Majo\Desktop\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4825/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{358512F3-02E0-4FFA-B349-CE2E61392942}: NameServer = 195.50.140.250 195.50.140.114
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

=======================================================


Weiß jemand von Euch was ich tun kann ?
Das System neu aufsetzen möchte ich (wenn möglich) verhindern weil ich es erst vor kurzem getan habe :-S



Liebe Grüße und vorab ein großes DANKE
Majo

Hallo!

Zitat:

wurden mir eine ganze Menge an Trojaner angezeigt die ich angeblich haben soll.

Das ist schlecht.

Zitat:

Trojan.PWS.Tanspy
W32.GAOBOT

Das ist sehr schlecht, dazu auch die Beschreibung von Sophos:

Zitat:

* Ermöglicht Dritten den Zugriff auf den Computer
* Reduziert die Systemsicherheit
* Installiert sich in der Registrierung
* Nutzt bekannte Schwachstellen aus
* Wird für DOS-Attacken verwendet

Zitat:

Das System neu aufsetzen möchte ich (wenn möglich) verhindern weil ich es erst vor kurzem getan habe :-S

Darum wirst du leider nicht herumkommen, es gibt keine andere zuverlässige Möglichkeit die Malware auf deinem System zu entfernen. Du gute Nachricht dabei ist, dass du es zum vorerst letzten Mal machen musst, wenn du dich an diese Anleitung hältst. Das schließt die Installation des SP2 sowie aller nachfolgenden Patches mit ein! Das Fehlen dieser dürfte übrigens der Hauptgrund für die Kompromittierung deines jetzigen Systems sein.

Ist Neuinstallation nach Trojaner Trojan.PWS.Tanspy unbedingt erforderlich???

Zitat:

Zitat von Haui45

Hallo!


Das ist schlecht.


Das ist sehr schlecht, dazu auch die Beschreibung von Sophos:

Darum wirst du leider nicht herumkommen, es gibt keine andere zuverlässige Möglichkeit die Malware auf deinem System zu entfernen. Du gute Nachricht dabei ist, dass du es zum vorerst letzten Mal machen musst, wenn du dich an diese Anleitung hältst. Das schließt die Installation des SP2 sowie aller nachfolgenden Patches mit ein! Das Fehlen dieser dürfte übrigens der Hauptgrund für die Kompromittierung deines jetzigen Systems sein.

Ich habe mir diesen Trojan.PWS.Tanspy heute morgen eingefangen, als ich eine mail vom "Bundeskriminalamt" erhielt:
Man beschuldigte mich, illegal MP3-Dateien, Software und Filme geladen zu haben und sendete als Anlage die "Strafanzeige", die ich im Laufe der nächsten Tage mit der Post erhalten würde".
Das ganze Ding sah so echt aus, daß ich mich täuschen lies und die Anlage öffnete - leer, aber den Trojaner im Rucksack.

Ich habe meine Antispy-Software Spyware-Doctor drüberlaufen lassen, der mir nach Löschung der 30 (!) Infektionen folgendes Protokoll ausgab:




Suchergebnisse:Suche starten: 01.02.2007 06:40:32
Suche anhalten: 01.02.2007 06:54:48
Durchsuchte Objekte: 95425
Gefundene Objekte: 30
Gefunden und ignoriert: 0
Verwendete Werkzeuge: General Scanner, Process Scanner, LSP Scanner, Startup Scanner, Registry Scanner, Hosts Scanner, Browser Scanner, Browser Activity Scanner, Disk Scanner, ActiveX Scanner



Name der Infizierung Standort Risiko
Trojan.PWS.Tanspy C:\WINDOWS\system32\ipv6monl.dll Hoch
Trojan.PWS.Tanspy HKCR\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87} Hoch
Trojan.PWS.Tanspy HKCR\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}## Hoch
Trojan.PWS.Tanspy HKCR\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}\InprocServer32 Hoch
Trojan.PWS.Tanspy HKCR\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}\InprocServer32## Hoch
Trojan.PWS.Tanspy HKCR\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}\InprocServer32##ThreadingModel Hoch
Trojan.PWS.Tanspy HKLM\Software\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87} Hoch
Trojan.PWS.Tanspy HKLM\Software\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}## Hoch
Trojan.PWS.Tanspy HKLM\Software\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}\InprocServer32 Hoch
Trojan.PWS.Tanspy HKLM\Software\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}\InprocServer32## Hoch
Trojan.PWS.Tanspy HKLM\Software\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}\InprocServer32##ThreadingModel Hoch
Trojan.PWS.Tanspy HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load Hoch
Trojan.PWS.Tanspy HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load## Hoch
Trojan.PWS.Tanspy HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load##cmpid Hoch
Trojan.PWS.Tanspy HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load##faddress Hoch
Trojan.PWS.Tanspy HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load##forwas Hoch
Trojan.PWS.Tanspy HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load##h Hoch
Trojan.PWS.Tanspy HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load##info_sze Hoch
Trojan.PWS.Tanspy HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load##ino Hoch
Trojan.PWS.Tanspy HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load##ip Hoch
Trojan.PWS.Tanspy HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load##kyrpa Hoch
Trojan.PWS.Tanspy HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load##net_insll Hoch
Trojan.PWS.Tanspy HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load##ptexcl Hoch
Trojan.PWS.Tanspy HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load##scrensos Hoch
Trojan.PWS.Tanspy HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load##taloinata Hoch
Trojan.PWS.Tanspy HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load##tannumr Hoch
Trojan.PWS.Tanspy HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load##tas Hoch
Trojan.PWS.Tanspy HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load##worg Hoch
Trojan.PWS.Tanspy HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{36DBC179-A19F-48F2-B16A-6A3E19B42A87} Hoch
Trojan.PWS.Tanspy HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}## Hoch




Also nach der Bereinigung durch Spyware Doctor (stets aktuell, versteht sich) und weiterer Prüfung durch meinen Virenscanner habe ich heute mehrfach mein System nach gekaperten Dateien / Passwörtern geprüft, es scheint alles ok zu sein.

Meint Ihr, ich muß trotzdem meinen PC ganz neu machen? Wie kann ich prüfen, ob noch Reste drauf sind?

Danke im Voraus an alle Fachkundigen!

Ist Neuinstallation nach Trojaner Trojan.PWS.Tanspy unbedingt erforderlich???


hier der Download-link zur Removal-Software für Trojan.PWS.Tanspy von Spyware Doctor (PC-Tools):

Spyware, Adware and Trojan Horse Research - Trojan.PWS.Tanspy



Ich habe mir diesen Trojan.PWS.Tanspy heute morgen eingefangen, als ich eine mail vom "Bundeskriminalamt" erhielt:
Man beschuldigte mich, illegal MP3-Dateien, Software und Filme geladen zu haben und sendete als Anlage die "Strafanzeige", die ich im Laufe der nächsten Tage mit der Post erhalten würde".
Das ganze Ding sah so echt aus, daß ich mich täuschen lies und die Anlage öffnete - leer, aber den Trojaner im Rucksack.


Ich hoffe, die Software hat gehalten, was sie verspricht. Ich bin jedenfalls bisher mit Spyware Doctor sehr zufrieden.
Seit einem knappen Jahr halte ich die Lizenz und werde sie auch nach gemachten Erfahrungen sicher verlängern! Da sind EUR 35,- für 1 Jahr nicht zu viel.

Zitat:

Zitat von Babayaga

Ist Neuinstallation nach Trojaner Trojan.PWS.Tanspy unbedingt erforderlich???


hier der Download-link zur Removal-Software für Trojan.PWS.Tanspy von Spyware Doctor (PC-Tools):

Spyware, Adware and Trojan Horse Research - Trojan.PWS.Tanspy



Ich habe mir diesen Trojan.PWS.Tanspy heute morgen eingefangen, als ich eine mail vom "Bundeskriminalamt" erhielt:
Man beschuldigte mich, illegal MP3-Dateien, Software und Filme geladen zu haben und sendete als Anlage die "Strafanzeige", die ich im Laufe der nächsten Tage mit der Post erhalten würde".
Das ganze Ding sah so echt aus, daß ich mich täuschen lies und die Anlage öffnete - leer, aber den Trojaner im Rucksack.


Ich hoffe, die Software hat gehalten, was sie verspricht. Ich bin jedenfalls bisher mit Spyware Doctor sehr zufrieden.
Seit einem knappen Jahr halte ich die Lizenz und werde sie auch nach gemachten Erfahrungen sicher verlängern! Da sind EUR 35,- für 1 Jahr nicht zu viel.

Hallo,

du schreibst von einem Problem mit Trojan-PWS.Tanspy, bei einer Überprüfung meines Rechners mit SPYWARE-DOCTOR habe ich heute bei mir
sowas endeckt.

Trojan.PWS.Tanspy C:\WINDOWS\system32\Packet.dll Hoch
Trojan.PWS.Tanspy C:\WINDOWS\system32\WanPacket.dll Hoch


Mein Rechner zeigt zwar ein ganz normales Verhalten.

Andere Prüfprogramme zeigen keine Spyware, ich glaube dass da der Spyware
doctor irgend eine falsche Diagnose stellt.


Wenn man wüsste zu was die Dateien gut sein sollen könnte man die ja einfach löschen