Hallo

habe mittels diverser Antivirentools und a² Adware schon alle Trojaner runtergschmissen aber es erscheint ca. 30sek nachdem Windows hochgebootet hat immernoch ein gelbes Dreieck mit einem Ausrufezeichen in der Taskbar.
Wenn ich dort doppelt drauf klicke öffnet ein InternetExplorer Fenster mit der Seite www.TopAntiSpyware.com. WAS ist das? Und noch wichtiger wie bekomme ich das weg? Ich sehe nirgends einen Prozess der dieses Dreieck darstellen könnte.

Hier meine letzte Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 12:55:48, on 09.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ICQ\ICQ.exe
C:\WINNT\System32\1XConfig.exe
C:\Dokumente und Einstellungen\Michael Hartlieb\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [service] C:\WINNT\System32\service.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097595004359
O18 - Filter: text/html - {B72F75B8-93F3-429D-B13E-660B206D897A} - (no file)
O18 - Filter: text/plain - {B72F75B8-93F3-429D-B13E-660B206D897A} - (no file)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Backbone Service - Dassault Systemes - C:\Programme\Dassault Systemes\B10\intel_a\code\bin\CATSysDemon.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: RadClock - Unknown - C:\WINNT\system32\RadClock.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINNT\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor - Intel Corporation - C:\WINNT\System32\S24EvMon.exe


gruss
Michael

Das hört sich eigentlich nach der Benachrichtigung an, dass Updates für Windows installiert werden sollen! Die Seite, die sich dann aber öffnet, spricht dagegen.

Was passiert, wenn Du alle Patches über http://www.windowsupdate.com/ installierst?

Gruß
Yopie

Hallo,

Du hast da aber noch 2 in Deinem System, die da nicht hingehören:

service.exe = http://de.trendmicro-europe.com/ente...DBOT.D&VSect=T

spoolsrv.exe = http://www.uwebart.de/virus/w32.hllw.gaobot.ag.html

Empfelung ist leider "format c", um das System wieder in einen vertrauenswürdigen Zustand herzustellen.
Befolge diese Anleitung:
http://www.trojaner-board.de/showthread.php?t=12154

dartus

@dartus
dass das System neu aufgesetzt gehört stimmt, jedoch handelt es sich bei den Registry-Einträgen vermutlich nicht um die von dir genannten Einträge.

[Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe müsste "Trojan.Win32.Small.cr" sein.

[service] C:\WINNT\System32\service.exe weiß ich nicht, aber sicher auch Malware.

Ein eScan sollte Klarheit bringen. Bitte genau an die Anleitung halten und vorher temporäre Dateien wie IE-Cache usw. löschen, damit wir uns nicht durch irrelevante Sachen wühlen müssen.

Gruß
Yopie

Vielen Dank für eure schnellen Antworten.

Aber eine Frage. Warum sollte ich gleich die Festplatte formatieren? Mehrere Virenscanner und Malware Programme finden nichts mehr und es ist nurnoch dieses Dreieck da, dass ich nicht wegbekomme. Kann doch nicht sein dass ich alles neu machen muss nur um dieses wegzubekommen.

Zu den Windows Patches. Die werde ich natürlich noch aufspielen genauso wie das SP2, aber entfernen tun die mir das jetzige Problem leider auch nicht :-/

Werde jetz nochmal probieren die 2 genannten Prozesse zu eliminieren.

gruss
Michael

Mach erstmal den eScan und poste das Ergebnis.

Hallo

hab den escan durchlaufen lassen. Leider ist die Logfile eeeeeeeeeewig lang.
Die wollte ich jetz nicht gerade hierein kopieren.
Allerdings kann ich euch sagen, dass er zwar noch ein paar Trojaner gefunden hat aber im "System Volume Information" Ordner. Also der Systemwiederherstellung. Und noch 2 andere infizierte Datein unter \Winnt\Win32\.. . Diese hab ich nun im abgesicherten Modus gelöscht und die Systemwiederherstellung deaktiviert.
Leider ist dieses Dreieck immernoch oben drin und es kommt erst verzögert nach dem hochbooten wie vorhin.

gruss
Michael