liebes forum,
ich bin ein laie und bin jetzt mit meinem wenigen computer-latein völlig am ende.
vor einiger zeit habe ich meinen eltern meinen alten/älteren computer gegebe, denn er reicht ja noch für word und internet. ist ein pentium 3 mit windows ME. seit ein paar wochen sind nun gehäuft viren, trojaner und auch backdoors drauf. ich lösche immer mit antivir, auch im abgesicherten modus. manchmal sind sie dann alle weg, manchmal sagt antivir, er kann einen nicht löschen etc. ..... doch nach einiger zeit sind wieder neue dinger da - und das trotz avira und zonealarm. bitte helft mir.
und bitte erklärt mir verständlich, was ich falsch mache. als ich den pc noch hatte, hatte ich diese probleme nicht. wo ist die sicherheitslücke???? vielleicht bei zone alarm? das neuste update kann ich mir aufgrund des betriebssystems nicht mehr runterladen.....
ich danke euch. anja

so, hier der antivir report, allerdings nur von windows system, auf den festplatten tummeln sich dann noch diverse andere bosartige teile:
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Samstag, 20. Januar 2007 19:24

Es wird nach 641284 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows Me
Windowsversion: (plain) [4.90.3000]
Benutzername: ***
Computername: ***

Versionsinformationen:
BUILD.DAT : 217 13775 Bytes 05.12.2006 16:51:00
AVSCAN.EXE : 7.0.3.5 204840 Bytes 16.01.2007 16:29:18
AVSCAN.DLL : 7.0.3.0 35880 Bytes 22.12.2006 18:15:54
LUKE.DLL : 7.0.3.2 135208 Bytes 22.12.2006 18:16:00
LUKERES.DLL : 7.0.2.0 9256 Bytes 22.12.2006 18:16:02
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 11:35:04
ANTIVIR1.VDF : 6.37.0.153 3131392 Bytes 12.01.2007 06:50:44
ANTIVIR2.VDF : 6.37.0.183 128000 Bytes 17.01.2007 14:27:02
ANTIVIR3.VDF : 6.37.0.193 54272 Bytes 20.01.2007 17:55:06
AVEWIN32.DLL : 7.3.0.26 1999360 Bytes 19.01.2007 14:27:02
AVPREF.DLL : 7.0.2.0 17960 Bytes 22.12.2006 18:15:54
AVREP.DLL : 6.37.0.119 712744 Bytes 11.01.2007 15:19:50
AVRPBASE.DLL : 7.0.0.0 1544232 Bytes 30.03.2006 09:42:22
AVPACK32.DLL : 7.2.0.5 360488 Bytes 22.12.2006 18:16:06
AVREG.DLL : 7.0.1.2 30760 Bytes 16.01.2007 16:29:18
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 22.12.2006 18:15:34
RCTEXT.DLL : 7.0.12.0 77864 Bytes 22.12.2006 18:15:32

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Windows Systemverzeichnis
Konfigurationsdatei..............: C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\sysdir.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: ein
Durchsuche Registrierung.........: ein
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 20. Januar 2007 19:24

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'AVSCAN.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'AVCENTER.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'PSTORES.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'ZLCLIENT.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'WUAUBOOT.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'OPERA.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'DDHELP.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'AVGCTRL.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'TELWEB32.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'HPQTRA08.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'PLAUTO.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'STMGR.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'VSMON.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'MSTASK.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SCHEDM.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'KB891711.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'STIMON.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'MPREXE.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SPOOL32.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'mmtask.tsk' - '1' Module wurden durchsucht
Durchsuche Prozess 'MSGSRV32.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'KERNEL32.DLL' - '1' Module wurden durchsucht
Es wurden '24' Prozesse mit '24' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( 27 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\WINDOWS\SYSTEM'
C:\WINDOWS\SYSTEM\z3795.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Bypass.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7aeb9866.qua' verschoben!
C:\WINDOWS\SYSTEM\z3225.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Bypass.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7ae4937e.qua' verschoben!
C:\WINDOWS\SYSTEM\z3228.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Bypass.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7de49383.qua' verschoben!
C:\WINDOWS\SYSTEM\z3234.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Bypass.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '79e5938f.qua' verschoben!
C:\WINDOWS\SYSTEM\z3281.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Bypass.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '76ea9391.qua' verschoben!
C:\WINDOWS\SYSTEM\z3199.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Bypass.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7eeb9291.qua' verschoben!
C:\WINDOWS\SYSTEM\z3881.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Bypass.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '76ea9992.qua' verschoben!
C:\WINDOWS\SYSTEM\z298.exe
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Agent.PG
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '73ea9a91.qua' verschoben!
C:\WINDOWS\SYSTEM\wmdrtc32.dl_
[0] Archivtyp: MSCOMPRESS
--> wmdrtc32.dl
[FUND] Enthält Signatur des Wurmes WORM/Warezov.ET.16
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen 'ba24c5cc.qua' verschoben!
C:\WINDOWS\SYSTEM\wmdrtc32.dll
[FUND] Enthält Signatur des Wurmes WORM/Warezov.ET.16
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen 'bac73971.qua' verschoben!
C:\WINDOWS\SYSTEM\z280.exe
[FUND] Ist das Trojanische Pferd TR/Hijack.Explor.1613
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '73e2999f.qua' verschoben!


Ende des Suchlaufs: Samstag, 20. Januar 2007 19:39
Benötigte Zeit: 15:29 min

Der Suchlauf wurde vollständig durchgeführt.

81 Verzeichnisse wurden überprüft
3632 Dateien wurden geprüft
11 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
11 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
3621 Dateien ohne Befall
12 Archive wurden durchsucht
0 Warnungen
0 Hinweise




so, hier das hijack log:
Logfile of HijackThis v1.99.1
Scan saved at 19:47:14, on 20.01.2007
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\CASIO\PHOTO LOADER\PLAUTO.EXE
C:\PROGRAMME\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE
C:\PROGRAMME\TELEDAT\TELWEB32.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\OPERA\OPERA9\OPERA.EXE
C:\WINDOWS\WUAUBOOT.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVCENTER.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVSCAN.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\PROGRAMME\HIJACK\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = '+video_name+' to verify your age, REQUIRED! WARNING! Adult pictures are featured in this site. Only adults permitted beyond this point! Are you at least 18 years old
F1 - win.ini: run=C:\WINDOWS\INET20000\SERVICES.EXE
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\PROGRAMME\TOOLBAR888\MYTOOLBAR.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
O4 - HKLM\..\RunOnce: [GrpConv] grpconv.exe -o
O4 - HKLM\..\RunOnce: [Registering hhctrl.ocx..] C:\WINDOWS\SYSTEM\regsvr32 /s hhctrl.ocx
O4 - HKLM\..\RunOnce: [Registering itircl.dll..] C:\WINDOWS\SYSTEM\regsvr32 /s itircl.dll
O4 - HKLM\..\RunOnce: [Registering itss.dll..] C:\WINDOWS\SYSTEM\regsvr32 /s itss.dll
O4 - HKLM\..\RunOnce: [WUAUBOOT] C:\WINDOWS\wuauboot.exe -ResetForSelfUpdate
O4 - Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Startup: SmartSurfer.lnk = C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O12 - Plugin for .de/fb3/berufliche_bildung/hochschulzugang_und_anerkennung_studienabschluss: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.download-url.de/install/StarInstall.ocx
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 85.255.115.4,85.255.112.15
O20 - AppInit_DLLs:
O21 - SSODL: CDRecorder026 - {A3BC5E20-0235-1ABF-9CE1-00AA00512026} - C:\WINDOWS\SYSTEM\OGMMRC32.DLL (file missing)

Zitat:

[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Agent.PG
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '73ea9a91.qua' verschoben!
C:\WINDOWS\SYSTEM\wmdrtc32.dl_

Da hilft nur noch ein Neuaufsetzen des Systems! Folge dieser http://www.trojaner-board.de/12154-a...sicherung.html

Zitat:

Zitat von leeloo7777

vor einiger zeit habe ich meinen eltern meinen alten/älteren computer gegebe, denn er reicht ja noch für word und internet.[...]als ich den pc noch hatte, hatte ich diese probleme nicht. wo ist die sicherheitslücke????

Vermutlich sitzt die Sicherheitslücke vor dem Rechner.

Da hat sich ja einiges angesammelt. Mein Rat: Mach die Kiste platt und setz sie sauber neu auf. Unter WinBoard - Die Windows Community gibts ein Update-Pack für WindowsME, was das Erreichen eines halbwegs aktuellen Patchlevels erreichen sollte. Bedenke aber, dass ME von Microsoft nicht mehr supportet wird; neue offizielle (Sicherheits-)Updates wirds also kaum mehr geben. Ein Umstieg auf ein aktuelles Betriebssystem sollte also vielleicht auch in Erwägung gezogen werden.

Auf Zonealarm kannst du guten Gewissens verzichten. Stattdessen solltest du die nicht-benötigten Ports schließen:
Ports 137-139 unter Windows9x schließen (sollte so auch für ME gehen)
Port 5000 offen - Sockets de Troie Befall ?

Schutzprogramme wie Antivir nutzen nicht viel, wenn man nicht sicher mit dem Rechner umgehen kann. Wichtiger ist es, beim User ein Bewusstsein für die Problematik zu schaffen. Als Startpunkt: Pflichtlektüre in meiner Signatur!

Gruß
Yopie

ich glaube, das übersteigt meine kenntnisse.
wie kann denn das ding überhaupt draufkommen. heißt das, internet ist erstmal tabu????

Zitat:

Zitat von leeloo7777

iwie kann denn das ding überhaupt draufkommen.

Siehe Pflichtlektüre.

Zitat:

heißt das, internet ist erstmal tabu????

Ja.

Gruß
Yopie

ich danke ja sehr für eure antworten. aber letztlich will ich doch nur einen computer, der funktioniert. das heißt ich brauche gar keine firewall?? was heißt denn "sauber wieder neu aufsetzen"???? gibts da irgendwo eine idiotensichere anleitung? ich trau mich gar nicht zu fragen, aber was ist mir online banking.....

Zitat:

Zitat von leeloo7777

das heißt ich brauche gar keine firewall??

Ja.

Zitat:

was heißt denn "sauber wieder neu aufsetzen"???? gibts da irgendwo eine idiotensichere anleitung?

Formatieren und Windows neu installieren. Siehe Windows Me - Einfache Neuinstallation Schritt für Schritt erklärt! Wichtige Daten wie Briefe, Fotos etc. vorher extern (externe Festplatte, CD, DVD...) sichern!

Zitat:

ich trau mich gar nicht zu fragen, aber was ist mir online banking

Erst wieder mit einem sauberen Rechner, und dann wenn möglich die PIN ändern.

Gruß
Yopie