Forum
Tipps
News
Frage stellen
search
Menu-Icon
search

Trojan.PWS.Tanspy wird von Internet Explorer installiert

Hallo zusammen,

mich plagt (ausgerechnet an meinem Rechner auf der Arbeit) ein nerviges Problem:

Mein System:
Windows 2000 professional SP4 (alle Updates), IE6Sp1 (alle Updates).

Aus einer mir nicht bekannten Quelle hat sich vor einiger Zeit SpySheriff samt einiger unangenehmer Begleiter installiert. Plötzlich eine Virenmeldung nach der anderen. Antivir Personal Edition, Spybot 1.4, Kerio Personal Firewall und NoAdware waren installiert, alle auf dem neuesten Stand.

Die unerwünschten Prozesse habe ich nach und nach alle isoliert und entfernt, Virenscanner und Malware-Schutzprogramme finden nichts mehr auf den beiden Platten.

NoAdware fand als letztes den Trojan.PWS.Tanspy, den ich auch in der Registrierung lokalisieren und entfernen konnte.

So weit, so gut. Wenn ich jetzt den Internet Explorer starte (den ich beruflich zwingend brauche), kommt eine Fehlermeldung (Visual Basic Runtime Error, abnormal program termination in iexplore.exe), der Browser funktioniert aber normal, wenn ich die Meldung nicht "OK" klicke. Manchmal schließt er sich im Betrieb bei unterschiedlichen Aktivitäten.

Jedes Mal, wenn ich ihn benutzt habe, hat sich der Trojaner wieder in die Registry geschrieben.

De- und Neuinstallation des IE haben nichts gebracht, VBRun Update half nicht weiter. Wenn ich versuche, die iexplore.exe umzubenennen oder zu löschen, erstellt sie sich sofort neu und weist immer die gleichen Symptome auf.

Für Hilfe wäre ich Euch höchst dankbar.

---------------
HiJackThis Log:
---------------

Logfile of HijackThis v1.99.1
Scan saved at 18:08:37, on 02.08.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\NoAdware4\NoAdware4.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Pd01\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title =  gatepool communications ::
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6FF73FCF-AA2F-4C58-9AB4-8C9CF52111F9} - (no file)
O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - C:\WINNT\system32\ipv6mons.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - Startup: Windows Update-Installation fortsetzen.lnk = C:\WINNT\Windows Update Setup-Dateien\ie6setup.exe
O4 - Global Startup: Microsoft Office.lnk.disabled
O4 - Global Startup: WinZip Quick Pick.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe



Danke für Eure Hilfe!

Jester

Moderator informieren  


Antworten zu Trojan.PWS.Tanspy wird von Internet Explorer installiert:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

 

Zitat
Jedes Mal, wenn ich ihn benutzt habe, hat sich der Trojaner wieder in die Registry geschrieben.

Woher weist du das?

Folgende Einträge müssen gefixt werden.

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm 

O4 - Global Startup: WinZip Quick Pick.lnk.disabled

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm

Folgende Einträge müssen mit diesem Scanner untersucht werden: http://virusscan.jotti.org/de/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = gatepool communications ::

Falls der Scanner was findet, teile es uns mit.

Dann Scanne deinen PC mit diesen Online Scannern:
1. Panda Online-Scan.  http://www.pandasoftware.com/activescan/de/activescan_principal.htm                             
Findet und entfernt viele Schadprogramme,  nur Spyware und Adware werden nicht bereinigt.
2. BitDefender Online- Scan.
http://www.bitdefender.de/bd/site/page.php#
Moderator informieren  

Hallo,
nach dem hier :

Zitat
mich plagt (ausgerechnet an meinem Rechner auf der Arbeit) ein nerviges Problem:
Würde ich an deiner Stelle alle Versuche einstellen.Gehe zum zuständigen Admin,beichte ihm was du verbockt hast,höre dir die Schimpfe an und lass den Admin das regeln.Unter Anderem ist er dafür da  ;D
Er wird es sowieso merken bzw.sehen. ;D
Würde mir als Admin jemand ins Handwerk pfuschen,wäre ich mal richtig sauer... >:(
...und dann gäbe es richtig was zwischen die Hörner... 8)
Sir Reklov
Moderator informieren  

Dein Problem ist dieser Eintrag aus dem Logfile of HijackThis
O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - C:\WINNT\system32\ipv6mons.dll

Hier eine kleine Beschreibung zu diesen Trojaner:
http://www.sophos.de/security/analyses/trojcimuzap.html
(Anmerkung: Es gibt schon eine kleine Familie von Trojaner, die diese Dateibezeichnung verwenden, also es muss nicht unbedingt dieser sein)
Vorsicht!
Es besteht die Möglichkeit, dass der Trojaner Daten oder Informationen stiehlt, z.B. von Onlinebanking oder Kreditkarten.

Fixe den Eintrag aus dem Logfile of HijackThis nach dem du die folgenden Schritte ausgeübt hast!

Lade dir die Software von Ewido herunter.
ewido anti-malware, ca. 7,6 MB, Entwickelt für Windows 2000 und XP
http://www.ewido.net/de/download/
Bei der Installation bitte nicht den Hintergrundwächter aktivieren.
Nach der Installation der Software ist unbedingt noch das Update einzuspielen, gehe dazu auf
http://www.ewido.net/de/download/updates/
(Eventuellen Meldungen von Ewido unter “TrackingCookie“ sind harmlos und stellen keine akute Gefahr dar.)
Um eine optimale Überprüfung mit dem Tool zu gewährleisten, sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk und Internet trennen
2. PC im abgesicherten Modus starten
(Für den Punkt 2 findet man unter http://www.bsi.de/av/texte/wiederher.htm eine Anleitung)
3. Deaktiviere den vorhandenen Virenscanner
4. Ewido starten und eine komplette Überprüfung des Systems mit maximale Scantiefe vornehmen. Bei einer erkannten Infektion sollte den Anweisungen der Software gefolgt werden.

Fixe im Anschluss den Eintrag aus dem Logfile of HijackThis, sofern er noch da ist.
Wenn du noch nicht weist, wie das Tool funktioniert, auf der folgenden Webseiten gibt es eine kleine Hilfestellung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873
oder
http://www.trojaner-board.de/showthread.php?t=17493

Die Schnellanleitung:
Öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neu starten

PC wieder normal Starten
Bei Rückfragen bitte die ausführlichen Scanergebnisse hier posten.

Moderator informieren  

Spyware Doctor haut alle Vieren und Trojaner von der  Festplatte. Der ist seine 39,-€ wert.

Moderator informieren  

Seiten: [1]
« Windows XP: hallo alle zusammen ich brauche hilfe ,mein avira sagt ich habe ein trojaner,Windows Media Player hat einen Virus? »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Enrice Gast

Datum: 03.08.06, 12:00:14

6463x gelesen, 4 Antworten.

Seiten: [1]

0 und 1 Gast betrachten dieses Thema.
Fremdwörter? Erklärungen im Lexikon!
Multiprozessor Rechner
Multiprozessorsysteme oder Multiprozessor-Rechner sind Computer, die mehr als einen Hauptprozessor (CPU) zur Ausführung von Aufgaben verwenden. Sie ermöglichen ...

Arbeitsspeicher
Arbeitsspeicher, auch Hauptspeicher oder RAM genannt, ist ein wichtiger, sehr schneller Speicherbereich des PCs, der seine Daten aber beim Auschalten oder Neustarten verl...

Betriebssystem
Das Betriebssystem ist das Steuerungsprogramm des Computers, das als eines der ersten Programme beim Hochfahren des Rechners geladen wird. Arbeitsspeicher, Festplatten, E...


Mehr zu Trojan.PWS.Tanspy wird von Internet Explorer installiert

Internetexlorer2Internetverlauf löschen: So geht's im Internet Explorer

Man sollte regelmäßig seinen Internetverlauf löschen und die Spuren der besuchten Webseiten versc...

InternetSicheres Surfen im World Wide Web

Hier bekommt man viele Informationen, Tipps und Tricks zum sicheren Surfen im Internet....

Win Internet Explorer 7 wird nicht installiert!

Hallöchen!Hatte vor kurzem einen Totalausfall des Rechners (Absturz mit kompletter Löschung des Bo...


Ähnliche Fragen: