Hallo zusammen,

da ich hier ganz neu bin, weiss ich nicht genau, ob ich hier richtig bin. Es schien mir aber das passenste Unterforum zu sein.
Sollte mein Beitrag hier falsch sein, bitte verschieben.

Mein System ist Windows XP SP2 und ich verwende seit Jahren AntiVir und dachte, alles sei gut; bis mich vor kurzer Zeit ein Bekannter darauf aufmerksam machte, dass es nicht nur Viren, sondern auch Trojaner und andere Bösewichte im Internet gibt (gehört hatte ich davon schon, dachte aber, dass AntiVir da schon aufpassen wird). Er empfahl mir das Programm Spybot. Nach dem ersten Update und dem darauffolgendem Scan war ich doch relativ erschrocken, da Spybot 126 Fehler / Schädlinge gefunden hat. Die meisten konnten repariert werden; mit zweien hab ich immer noch Ärger. Ich habe auch überlegt, das System neu aufzusetzen, musste diesen Gedanken aber wieder verwerfen, weil ich dann wochenlang damit beschäftigt wäre, die Software, Treiber etc. alle wieder zusammenzusammeln. Bei der Internetsuche bin ich dann auf dieses Board gestossen und hoffe nun, das System mit Eurer Hilfe wieder sauber zu bekommen.

Der erste Fehler, der immer wieder auftritt, ist folgender:
Spybot findet "ZenoSearch" und gibt die Datei C:\Windows\System32\msnav32.ax an (angeblich eine Textdatei). Der Fehler kann behoben werden und die Datei ist dann auch tatsächlich verschwunden.
Nach einem Neustart ist diese Datei jedoch sofort wieder da. Wie bekomme ich diesen Fehler dauerhaft weg?

Der zweite Fehler ist folgender:
Nach einigen Minuten Arbeit am PC (ob mit oder ohne Internetverbindung ist egal) warnt Spybot davor, dass ein Wert in der Registry (RegStartup) eingetragen werden soll. Zeitgleich piept AntiVir und meldet die Datei mcntrkdm.exe (im Verzeichnis System32) als Virus. Löschen kann AntiVir diese Datei nicht, aber umbenennen geht. Danach ist das Problem auch erstmal gelöst. Nach einem Neustart jedoch taucht dieses Problem wieder auf. Die Datei ist wieder da und will wieder in RegStartup eingetragen werden. Wie kann ich diesen Fehler dauerhaft beheben?

Nach der Beseitigung dieser beiden Fehler bin ich natürlich auch daran interessiert, den Rest des Systems mal genauer unter die Lupe zu nehmen. Ich habe aber kein Thema gefunden, in dem erläutert wird, wie man da am besten vorheht (vielleicht gibt es ja auch keine Pauschallösung). Wer weiss, was sich im Laufe der Zeit in der Registry und sonstwo noch alles angesammelt hat. Das Programm CCleaner habe ich mir schon geladen und es ausgeführt. Was kann ich noch tun? Gibt es vielleicht doch etwas im Forum und ich habe es noch nicht gefunden?

Vielen Dank erst einmal für das Lesen dieses (doch sehr lang gewordenen) Textes. Viellecht gelingt es uns ja, mein System etwas zu säubern.


Bis denne erstmal
Opop

Hallöle Opop und

Mache bitte zwei Scans mit SUPERAntiSpyware so wie in der Anleitung beschrieben. Poste beide logs.

Räume danach mit CCleaner auf.

Poste danach bitte ein HijackThis log.

Hallo UNDOREAL,

vielen Dank für die nette Begrüßung.

Leider kann ich erst jetzt antworten, da der Scan im abgesicherten Modus doch etwas lange gedauert hat.

Hier das Logfile des ersten Scans mit SUPERAntiSpyware:

Zitat:

SUPERAntiSpyware Scan Log
http://w*w.superantispyware.com

Generated 06/04/2008 at 10:22 AM

Application Version : 4.15.1000

Core Rules Database Version : 3473
Trace Rules Database Version: 1464

Scan type : Complete Scan
Total Scan Time : 00:48:43

Memory items scanned : 481
Memory threats detected : 0
Registry items scanned : 6084
Registry threats detected : 2
File items scanned : 54803
File threats detected : 8

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\XXX\Cookies\horst@adserver.trojaner-info[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\horst@as1.falkag[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\horst@worldwidemarketing.112.2o7[1].txt

Adware.Vundo Variant/Rel
HKLM\SOFTWARE\Microsoft\FCOVM
HKLM\SOFTWARE\Microsoft\RemoveRP

Unclassified.Unknown Origin
C:\DOKUMENTE UND EINSTELLUNGEN\XXX\LOKALE EINSTELLUNGEN\TEMP\KBDUMMY.1

Trojan.Unclassified/BrowserDriver
C:\WINDOWS\SYSTEM32\3056V\WVRAM13.EXE
C:\WINDOWS\SYSTEM32\JMWNW64J.EXE
C:\WINDOWS\SYSTEM32\JQWNW64M.EXE
C:\WINDOWS\SYSTEM32\RWWNW64D.EXE

Leider konnte ich das Logfile nicht, wie in der Anleitung beschrieben, erst sichern. Das Prog hat gleich Aktionen getätigt (Quarantäne).

Ein zweites Logfile (im abgesicherten Modus) hat das Prog nicht erstellt. Es zeigte aber an, dass keine Fehler / Probleme gefunden wurden. Auch konnte ich den SafeBoot-Haken nicht rausmachen, weil der schon raus war; kA wie das kam.

Die Reinigung mit CCleaner verlief ohne besondere Ereignisse.

HiJackThis hat folgendes Log ausgegeben:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2



[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]

Dieses SUPERAntiSpyware hat ja doch einiges mehr gefunden als SpyBot. Lohnt es sich, das Programm zu kaufen? SpyBot ist immerhin kostenlos.

Ich hoffe, dass nun nicht mehr so viele Probleme zu entdecken sind

Was mache ich mit den Quarantäne-Files?

Vielen Dank erst einmal

Bis denne
Opop

Zitat:

Lohnt es sich, das Programm zu kaufen?

Nein. Die FreeVersion reicht zum scannen bei Verdacht. Die Pro Version installieren wir nur während der Bereinigung weil sie einige zusätzliche Features bietet.

Poste bitte noch das editierte HJT logFile.

Die SUPERAntiSpyware Quarantäne kannst du löschen.

Lösche bitte von Hand folgenden Ordner: C:\WINDOWS\SYSTEM32\3056V

Hi,

ich dachte, ich hätte alles editiert. Wie dem auch sei, hier das neue Logfile:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2


[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]

Lasse ich denn nun SUPERAntiSpyware drauf oder SpyBot? Oder beide?

Quarantänefiles und den Ordner 3056v hab' ich gelöscht.

Bis denne
Opop

Zitat:

Lasse ich denn nun SUPERAntiSpyware drauf oder SpyBot? Oder beide?

Ich würde beide wieder deinstallieren und bei Verdacht die Freeware Version von SUPERAntiSpyware mit den Einstellungen aus der Anleitung durchlaufen lassen.

Die Wächter sind nutzlos und bremsen das System unnötig aus!