also ich hab glaub trojaner/spyware aufm rechner, ich hab als unten rechts im infobereich der taskleiste, so ein gelber warndreieck welches blinkt, wenn man draufklickt dann, kommt ein fenster auf dem draufsteht, dass mein system von spyware befallen ist. wenn ich auf ok, klicke komme ich auf eine seite www.psguard.com, auf der ich ein system check machen soll, sieht aber sehr unserious aus.

Ab und zu öffnen sich internet explorer pop ups- obwohl ich nur mit opera oder firefox surfe, welche immer auf die seite www.search2k.net gehen, der inhalt ändert sich als.


was ich bisher gemacht hab ich:
antivir, stinger, spybot - search & destroy und spyware doctor das system durch laufen lassen.

was ich noch entdeckt habe ist, wenn ich im taskmanager den prozess "mssearchnet.exe" beende, geht das gelbe warmdreieck weg.
die anwendung mssearchnet.exe befindet sich in C:\WINDOWS\system32

ich hoffe ihr könnt mir helfen.

EDIT:
zur besseren vorstellung hab noch ein bild hochgeladen.

http://kcs03.cjb.cc/problem.jpg

Hm, das gelbe Dreieck hab ich auch hinundwieder. Aber sobald ich draufklicke isses weg :|

was ich noch entdeckt habe ist, wenn ich im taskmanager den prozess "mssearchnet.exe" beende, geht das gelbe warmdreieck weg.
die anwendung mssearchnet.exe befindet sich in C:\WINDOWS\system32


Zieh dir mal Hijackthis und poste das Logfile...

Logfile of HijackThis v1.99.1
Scan saved at 13:08:55, on 11.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Centrino HC\Centrino_HC.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\eDonkey2000\edonkey2000.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\LukasL\Desktop\s\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.security2k.net/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.security2k.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.security2k.net
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://securityresponse.symantec.com/avcenter/nis_ids/
O2 - BHO: HomepageBHO - {893fad3a-931e-4e53-b515-b1426d63799b} - C:\WINDOWS\system32\hp8992.tmp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [CentrinoHardwareControl] "C:\Programme\Centrino HC\Centrino_HC.exe" -quiet
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: BildWechsler.lnk = D:\Downloads\progs\WallpaperButler\BildWechsler.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E5831A4-82D1-4D8C-90C4-FE828EAE1F9B}: NameServer = 217.237.151.161,217.237.148.49
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

mmm...

C:\WINDOWS\System32\snmp.exe <--- das Porgramm ist ok, aber warum lässt du es laufen? Das ist für Server interessant, um deren aktuellen Status wie Auslastung usw. abzufragen ...

C:\WINDOWS\system32\mssearchnet.exe <--- unbekannt, böse?

Böse, Einträge mit HijackThis entfernen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.security2k.net/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.security2k.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.security2k.net

O2 - BHO: HomepageBHO - {893fad3a-931e-4e53-b515-b1426d63799b} - C:\WINDOWS\system32\hp8992.tmp <-- ??? löschen, tmp gehört nicht in diesen Ordner

wie entferne ich die einträge mit hijackthis ?
wenn ich ein häckchen vor die mache und dann "Fix checked"
löscht er sie glaube ich auch, aber sie erscheinen bei einem neuen scan immer noch.

wenn ich sie manuel aus der regestry lösche sind sie immer noch da.!

mmm...

Hast du die mssearchnet.exe im Taskmanager abgeschossen? Ansonsten erstellt sie wahrscheinlich wieder neue Einträge. Ebenso die Systemwiederherstellung deaktivieren (Rechte Maustaste auf den Arbeitsplatz => Eigenschaften => Systemwiederherstellung => Systemwiederherstellung deaktivieren) ...

wenn ich mssearchnet kille, erscheint es innerhalb von einer sekunde wieder.

ich hab jetzt im abgesicherten modus, die datei "mssearchnet.exe" mit dem programm unlocker gelöscht. ich hoffe jetzt hab ich die spyware endlich weg,.

das ding ist ziemlich hartnäckig. hatte das mal in der firma.
habe lavasof ad-aware drüberlaufen lassen. hatte über 200 regeinträge gefunden und beseitigt. die regeinträge verursachen dann immer, dass im netz die exe nachgeladen wird, die du löscht (bzw. ist die mehrfach abgelegt) - malware

hier ein paar tools:
http://www.adwarereport.com/mt/archives/000018.html?utm_source=google&utm_medium=ppc&utm_term=malware&utm_campaign=german