Ist mein System sicher?

#1 C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ARCORDSL\ARCORDSL.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\DESKTOP\VIRENSCANNER,ETC\HIJACKTHIS.EXE

#2 Bitte die KOMPLETTE Logfile posten.

#3 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/content/index.html
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

#4 Das da oben ist nie und nimmer das komplette Logfile ..

HijackThis starten -> Do a System Scan and Save aLogfile -> der Texteditor öffnet sich -> [Strg] + [A] drücken, dann [Strg] + [C] -> Hier im Forum mit [Strg] + [V] einfügen.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#5 O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

Stimmt das hier gehört noch dazu, dann passt das alles. Mehr ist es nicht.

Und immer noch die komische Meldung im Startup

set Tvdumpf lag=10

#6 Und es ist IMMER noch nicht das vollständige Log. Es fehlen zum Beispiel die laufenden Prozesse, sowie deine Windows-Version, die Version von HijackThis .. Der komplette obere Teil fehlt. Ohne ein vollständiges Log kann man dir nicht helfen, tut mir leid.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#7 Logfile of HijackThis v1.99.1
Scan saved at 20:35:11, on 07.07.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Sorry das das soviele Probleme gab, ich hoffe nun ist alles da was man braucht.
Nicht wundern wieso das soviele posts sind. ICh kann nicht mehr hochladen irgendwie. Mag sein das das ein Problem ist das durch die Trojaner entstanden ist. KA wieso der dabei so muckt.

#8 Also, zusammengesetzt sieht es dann so aus:

Logfile of HijackThis v1.99.1
Scan saved at 20:35:11, on 07.07.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ARCORDSL\ARCORDSL.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\DESKTOP\VIRENSCANNER,ETC\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/content/index.html
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

Wenn das so richtig ist, hast du anscheinend keinen Virenscanner laufen. Aber ansonsten sieht die Logfile zumindest für mich soweit sauber aus. Vorausgesetzt natürlich, dass die Logfile komplett ist. Ach ja, wie kommst du eigentlich darauf, dass du einen Trojaner hast? Welches Programm hat das gemeldet, welcher Trojaner, welche Datei infiziert usw. Bitte unbedingt posten. Hast aber HijackThis Log hoffentlich nicht im abgesicherten Modus gemacht oder? Außerdem ist deine Logfile relativ kurz und ein paar Kategorien fehlen komplett. Bitte überprüfe, ob die Logfile, so wie sie oben steht auch wirklich komplett ist.

#9 Also das Logfile habe ich gemacht im Normalen Modus.
Das Logfile ist wie erwähnt das komplette. Auf Trojanerwarnungen komme ich über Antivir personal Edition (neustes Update). Dieses hat mir einige Warnungen ausgespuckt. Hier die Liste.

MS32tmp - Dldr.Smallazk
Setupexe.exe - Dial/302106
addlv.dll - Dldr.Agent.bc.12
sysyu.exe - Dldr.Agen.bq.1.1
d3ws32.exe - Agent.EM
mfcoi.exe - Agent.EM
ntzl.exe - Agent.EM
SSK3_B5.exe - Drop.Small.qn.1
installer_Siac - Dldr.Adload.A
website.ocx - Dldr.Agent.Ex
optimize.exe - Dldr.Dyfuca.ds
wraa.dll - Dldr.Smallazk
addgp.exe - Dldr.Agen.bq.1.1
addcm32.exe - Dldr.Agent.EM
nettz.exe - Dldr.Agen.bq.1.1
mfcmz.exe - Dldr.Agen.bq.1.1
msjh.exe - Dldr.Agen.bq.1.1

Die habe ich gelöscht bin mir aber im nachhinein nicht sicher ob das so gut war. Hab Antivir danach ein weiteres mal laufen gelassen. Aus dem HJT Log hab ich schon einige einträge gefixt bei denen ich mir sicher war das sie da nicht hingehörten. So fragt sich nun noch ob ich noch was mit REGEDIT machen muss

#10

Zitat

Die habe ich gelöscht bin mir aber im nachhinein nicht sicher ob das so gut war.

Wieso sollte das nicht so gut gewesen sein? Logfile sieht ja soweit sauber aus.Lass am besten mal ein paar Online Scans durchlaufen, wie z.b.:

http://www.pandasoftware.com/activescan/com/activescan_principal.htm
http://de.mcafee.com/root/mfs/default.asp
http://www.bitdefender.de/scan/Msie/
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php

Musst die Online-Scans leider im IE machen.

#11 Kann man auf die Software von der dort die rede ist vertrauen, also da öffnet sich ja immer dieses komisches Fenster wo man darauf antworten soll. Ich frage mich ob pandasoftware, etc seriös sind und ob man auf deren Inhalte vertrauen kann.
Während des Virenscanns hab ich ein paar sachen gelöscht und da waren auch Dlls bei wie du oben sehen kannst. Da bin ich mir nicht sicher ob sie das System nicht irgendwie bnötigt.
Des weitern wollte ich nochmal auf diesen merkwürdigen befehl hinweisen der beim booten in der Startupphase gezeigt wird

set TVddumpf lag=10

Was kann es damit aufsich haben??

Antivir hat folgende Hinweise für mich

C:\WINDOWS\Anwendungsdaten\Spybot - Search & Destroy\Recovery
DyFuCAInternetOptimizer.zip
DyFuCAInternetOptimizer1.zip
DyFuCAInternetOptimizer2.zip
DyFuCAInternetOptimizer3.zip
EffectiveBandToolbar.zip
EffectiveBandToolbar1.zip
LookMeTopconverting.zip
LookMeTopconverting1.zip
Topconverting.zip
Topconverting1.zip
Topconverting2.zip

Alle tragen folgende Unterschrift

ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt

#12 Was es mit der Meldung auf sich hat, weiß ich nicht. Hab auch mit google nichts gefunden. Alle oben genanntenOnline-Scans sind Vertrauenswürdig. Fenster kommt nur um zu verhindern, das Sachen ausgeführt werden, die nicht vertrauenswürdig sind. McAfee, Panda-Software, Bitdefender und Trend-Micro gehören zu den Weltweit führenden Anti-Virus Unternehmen.

#13 Pandasoftware hat mir nun folgendes ausgeworfen:

Adware:Adware/SAHAgent No disinfected C:\WINDOWS\SYSTEM\7dca8ovo.exe
Adware:Adware/SAHAgent No disinfected C:\WINDOWS\SYSTEM\md4mee12.dll
Adware:Adware/SAHAgent No disinfected :\WINDOWS\SYSTEM\1s9qf6d9.exe
Adware:Adware/SearchAid No disinfected C:\WINDOWS\ibgoox.dat
Adware:Adware/Ucmore No disinfected C:\WINDOWS\ucmoreiex.exe
Adware:Adware/SAHAgent No disinfected C:\WINDOWS\086supkj.exe

was mache ich damit?

der Befehl im Startup heisst übrigens nicht set tvdumpf lag=10 sondern
set tvdumpf lags=10. Ich schau mal ob ich dazu was finde. Wäre cool wenn du mir zur Hilfe treten kannst.

#14 •KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "yes"

C:\WINDOWS\SYSTEM\7dca8ovo.exe
C:\WINDOWS\SYSTEM\md4mee12.dll
C:\WINDOWS\SYSTEM\1s9qf6d9.exe
C:\WINDOWS\ibgoox.dat
C:\WINDOWS\ucmoreiex.exe
C:\WINDOWS\086supkj.exe

PC neustarten

Solltest übrigends mehere Online-Scans duchlaufen lasssen.

#15 ok auch das habe ich nun getan. Werde nun erneut mit PAnda scannen um zu sehen ob sich das zeug erneuert, denn wenn ja dann muss erstmal der kram runter der dafür verantwortlich ist.
Hoffe du kannst gleich weiterhelfen. Vielleicht weisst du ja was ich vielleicht machen könnte jetzt.


Pandasoftware hat nichts gefunden. Nun lass ich zur sicherheit nochmal ein paar andere rübergehen und mache zuletzt nochmal einen HJT-Scan.
Das Problem ist immernoch die komische Zeile im Startup, welche mich misstrauisch macht.

Set Tvdumpf lags=10