Kann bitte jemand mein Logfile überprüfen. Danke

[Ulrike]

Hallo,

ich habe Probleme, daß mein Notebook nicht mehr komplett herunterfährt. Durch Zufall habe ich das Programm Hijack entdeckt und habe ein Logfile erstellt:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 17:45:49, on 28.06.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
c:\windows\SYSTEM\KB891711\KB891711.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\COMMON\FSMA32.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\COMMON\FSMB32.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\COMMON\FCH32.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSHTTPS\FSHTTPS.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\BACKWEB\2581593\PROGRAM\FSBWSYS.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\BACKWEB\2581593\PROGRAM\FSPEX.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\COMMON\FAMEH32.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\ANTI-VIRUS\FSGK32.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FWES\PROGRAM\FSDFWD.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPC.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\ANTI-VIRUS\FSSM32.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\ANTI-VIRUS\FSAV32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\WINDOWS\SYSTEM\PRPCUI.EXE
C:\WINDOWS\ptsnoop.exe
C:\LOGITE~1\MOUSE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\TPPALDR.EXE
C:\PROGRAMME\BORLAND\INTERBASE\BIN\IBGUARD.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\E_S5I0C1.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\FREEPDF\FREEPDFA.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\COMMON\FSM32.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSGUI\ISPNEWS.EXE
C:\PROGRAMME\MESSENGER\MSMSGS.EXE
C:\PROGRAMME\BORLAND\INTERBASE\BIN\IBSERVER.EXE
C:\PROGRAMME\SAMSUNG\INTERNET LAUNCHER\LAUNCHER.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\KBDTRAY\KBDTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSGUI\FSGUIEXE.EXE
C:\PROGRAMME\RTL NET\STARTERKIT 1.0\RTLDIALER.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OUTLOOK.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\1031\WFXMSRVR.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\1031\OLFMOD32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\BRQIKMON.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: IPInsigtObj Class - {000004CC-E4FF-4F2C-BC30-DBEF0B983BC9} - C:\WINDOWS\IPINSIGT.DLL
O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\TWAINTEC.DLL (file missing)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\PROGRAMME\MYWAY\SRCHASTT\1.BIN\MYSRCHAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\PROGRAMME\EPSON\EPSON WEB-TO-PAGE\EPSON WEB-TO-PAGE.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\PROGRAMME\EPSON\EPSON WEB-TO-PAGE\EPSON WEB-TO-PAGE.DLL
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe
O4 - HKLM\..\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [EM_EXEC] c:\LOGITE~1\MOUSE\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SENTRY] C:\WINDOWS\SENTRY.exe
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE
O4 - HKLM\..\Run: [InterBaseGuardian] C:\Programme\Borland\InterBase\bin\ibguard.exe -a
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\LOGITECH\ITOUCH\iTouch.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\SYSTEM\QTTASK.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\SYSTEM\E_S5I0C1.EXE /P31 "EPSON Stylus Photo RX420 Series" /O5 "LPT1:" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [FreePDFAssistent] C:\PROGRA~1\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSGUI\ispnews.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKLM\..\RunServices: [KB891711] c:\windows\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [F-Secure Management Agent] C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\Common\FSMA32.EXE
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
O4 - Startup: Internet launcher.lnk = C:\Programme\SAMSUNG\Internet Launcher\launcher.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: T-TeleSec Personal Security Service.lnk = C:\Programme\T-TeleSec Personal Security Service\backweb\2581593\Program\fspex.exe
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPCMSIE.DLL
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPCMSIE.DLL
O9 - Extra 'Tools' menuitem: Diese Website &zulassen - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPCMSIE.DLL
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPCMSIE.DLL
O9 - Extra 'Tools' menuitem: Diese Website &sperren - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPCMSIE.DLL
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPCMSIE.DLL
O9 - Extra 'Tools' menuitem: Webseitenfilter &aussetzen - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPCMSIE.DLL
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPCMSIE.DLL
O9 - Extra 'Tools' menuitem: Website-&Liste anzeigen - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPCMSIE.DLL
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O15 - Trusted Zone: www2.dtg.de
O16 - DPF: {AE7E5F20-35C3-11D2-A16C-006008662F80} (Internet-Banking) - https://www.onlinebankservice.de/brokat/srwgib187.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a224.g.akamai.net/7/224/52/20010419/qtinstall.info.apple.com/qt501/us/win/QuickTimeInstaller.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/218abcbee7618708b605/netzip/RdxIE601_de.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab

Da ich kein PC-Spezialist bin, hoffe ich, dass ich alles richtig gemacht habe beim Einstellen des Files . Virenscanner und Firewall ist installiert und ich arbeite mit Win98.

Kann mir bitte jemand den File analysieren und vielen Dank schon an Dich.

Viele Grüße

Ulrike

[Ruby]

Hallo Ulrike,

du hast ein sehr verseuchtes System und einen Backdoor-Trojaner Troj/Ptsnoop. Ich bezweifle, dass es sich rentiert, dieses System zu reinigen. Es ist sehr viel Adware drauf und noch einiges an neuer Malware. Wenn wir es schaffen, deinen Backdoor wegzukriegen, haben wir vielleicht eine Chance, aber wie gesagt, es lohnt sich nicht. Es kostet zuviel Zeit. Formatieren und neuaufsetzen (Anleitung) geht schneller.

Lade den CCleaner runter, setze in alle Kästchen (Windows, Anwendungen und Probleme) ein Häkchen und drücke dann auf "Starte Cleaner".

Vergewissere dich, dass du auf deinem Rechner alles siehst: In den Ordneroptionen das Häkchen entfernen bei "geschützte Systemdateien ausblenden" und etwas weiter unten wählt man bei "Versteckte Ordner und Verzeichnisse" den Punkt "Alle Dateien und Ordner anzeigen".

Führe einen mwavscan durch

1) Lege einen Ordner c:\bases an (Einführung in Windows)
2) Download der -> mwav.exe <- diesen Link verwenden!
3) Entpacke die Datei (mit einem Zip-Programm SIMPLYZIP) !!! Die Datei mwav.exe MUSS in diesen Ordner c:\bases entpackt werden. wenn der Pfad nicht genau so angegeben wird, funktioniert der scanner/updater nicht!
4) Doppelklick auf die Datei kavupd.exe, damit wird der update gestartet.
5) Wechsle in den abgesicherten Modus von Windows
6) Öffne den Explorer, navigiere zum Ordner c:\bases, starte mwavscan.com, schließe den Explorer.
7) Überprüfe die Einstellungen, unter scan option-->memory, startup folders, registry, system folders und services sowie drive (auswahl) und scan all files sollten aktiviert sein, dann den Button *SCAN/CLEAN* drücken. Angehakt werden soll alles, was auf dieser Abbildung zu sehen ist:

8) Wenn der Scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen Modus.
9) Nun öffnest du mit einem Editor die mwav.log und wählst unter bearbeiten -> suchen, hier gibst du "tagged as" ein

-> jede Zeile in der "tagged as" bzw. "infected" steht, markieren,
und hier einfügen, weitersuchen usw.

(Beispiel: file C:\WINDOWS\sssasasb32.exe infected by "Trojan-Downloader.Win32.Agent.ig" Virus. Action: Action Taken)

Ganz unten steht die Zusammenfassung, diese auch hier posten :

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****

Poste das Ergebnis des Scan und ein neues HJT-Logfile.

[Ulrike]

Hallo Ruby,

musste erst einmal den ersten Schock verdauen, bevor ich Dir danken kann. Ich hatte es schon fast befürchtet. Da ich wie gesagt keine PC-Spezialistin bin, bin ich mit Formatieren und Neuaufsetzen ziemlich vorsichtig. Ich versuche es trotz enormen Zeitaufwand erst einmal nach Deiner Anleitung. Habe hierzu nur eine Frage: Wie komme ich nach dem Scan in den normalen Modus? Ansonsten werde ich mich einfach mal "durchhangeln".

Viele Grüße

Ulrike

[Ruby]

Hallo Ulrike,

in den normalen Modus kommst du indem du die anleitung befolgst, mit der du in den abgesicherten Modus kommst ;-)

[Ulrike]

Hallo Ruby,

habe nun alles so gemacht, wie Du es beschrieben hast. Der Wechsel in den gesicherten Modus hat auch geklappt (tja, ist alles nicht so einfach!!).

Einen kleinen Teilerfolg haben wir schon erzielt. Nach dem Cleaningergebnis fahrt das Notebook wieder runter. Ich habe jedoch nicht alle gemeldeten Probleme geloescht, denn ich bin mir nicht sicher, was ich da alles dann anrichte. Soll ich alle loeschen, auch wenn ich die Programme noch nutze?

Aber danke schon mal, auch wenn das Hauptproblem noch ungeloest ist.

Hier nun die Ergebnisse des Scan:

File C:\PROGRAMME\MYWAY\SRCHASTT\1.BIN\MYSRCHAS.DLL tagged as not-a-virus:AdWare.ToolBar.MyWay.l. No Action Taken.
File C:\WINDOWS\MSVPREP.EXE tagged as not-a-virus:AdWare.BiSpy.r. No Action Taken.
File C:\WINDOWS\gag-10192.exe tagged as not-a-virusialer.Win32.gen. No Action Taken.
File C:\Windows\options\cabs\ebd.cab tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\Windows\MSVPREP.EXE tagged as not-a-virus:AdWare.BiSpy.r. No Action Taken.
File C:\Windows\gag-10192.exe tagged as not-a-virusialer.Win32.gen. No Action Taken.
File C:\Programme\aaw.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE tagged as not-a-virus:AdWare.ToolBar.MyWay.b. No Action Taken.
File C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL tagged as not-a-virus:AdWare.ToolBar.MyWay.f. No Action Taken.
File C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL tagged as not-a-virus:AdWare.ToolBar.MyWay.l. No Action Taken.

Wed Jun 29 18:43:59 2005 => Total Number of Files Scanned: 32803
Wed Jun 29 18:43:59 2005 => Total Number of Virus(es) Found: 10
Wed Jun 29 18:43:59 2005 => Total Number of Disinfected Files: 0
Wed Jun 29 18:43:59 2005 => Total Number of Files Renamed: 0
Wed Jun 29 18:43:59 2005 => Total Number of Deleted Files: 0
Wed Jun 29 18:43:59 2005 => Total Number of Errors: 3
Wed Jun 29 18:43:59 2005 => Time Elapsed: 00:59:46
Wed Jun 29 18:43:59 2005 => Virus Database Date: 2005/06/29
Wed Jun 29 18:43:59 2005 => Virus Database Count: 136976

Wed Jun 29 18:43:59 2005 => Scan Completed.

Im Ergebnis tauchen bei den Dialern Smileys auf. Die gebe ich so aber nicht ein, sondern ich kopiere ganz normal den Text aus dem Editor. Ich bekomme sie auch nicht weg. Komisch.

Und hier die Ergebnisse des neuen HJT-Logfile

Code:

Logfile of HijackThis v1.99.1
Scan saved at 19:08:15, on 29.06.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
c:\windows\SYSTEM\KB891711\KB891711.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\COMMON\FSMA32.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\COMMON\FSMB32.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\COMMON\FCH32.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSHTTPS\FSHTTPS.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\BACKWEB\2581593\PROGRAM\FSBWSYS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\BACKWEB\2581593\PROGRAM\FSPEX.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\COMMON\FAMEH32.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\ANTI-VIRUS\FSGK32.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FWES\PROGRAM\FSDFWD.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPC.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\ANTI-VIRUS\FSSM32.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\ANTI-VIRUS\FSAV32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\WINDOWS\SYSTEM\PRPCUI.EXE
C:\WINDOWS\ptsnoop.exe
C:\LOGITE~1\MOUSE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\TPPALDR.EXE
C:\PROGRAMME\BORLAND\INTERBASE\BIN\IBGUARD.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\E_S5I0C1.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\FREEPDF\FREEPDFA.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\COMMON\FSM32.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSGUI\ISPNEWS.EXE
C:\PROGRAMME\MESSENGER\MSMSGS.EXE
C:\PROGRAMME\BORLAND\INTERBASE\BIN\IBSERVER.EXE
C:\PROGRAMME\SAMSUNG\INTERNET LAUNCHER\LAUNCHER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\KBDTRAY\KBDTRAY.EXE
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSGUI\FSGUIEXE.EXE
C:\WINDOWS\SYSTEM\BRQIKMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\HIJACK\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: IPInsigtObj Class - {000004CC-E4FF-4F2C-BC30-DBEF0B983BC9} - C:\WINDOWS\IPINSIGT.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\PROGRAMME\MYWAY\SRCHASTT\1.BIN\MYSRCHAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\PROGRAMME\EPSON\EPSON WEB-TO-PAGE\EPSON WEB-TO-PAGE.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\PROGRAMME\EPSON\EPSON WEB-TO-PAGE\EPSON WEB-TO-PAGE.DLL
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe
O4 - HKLM\..\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [EM_EXEC] c:\LOGITE~1\MOUSE\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE
O4 - HKLM\..\Run: [InterBaseGuardian] C:\Programme\Borland\InterBase\bin\ibguard.exe -a
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\LOGITECH\ITOUCH\iTouch.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\SYSTEM\QTTASK.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\SYSTEM\E_S5I0C1.EXE /P31 "EPSON Stylus Photo RX420 Series" /O5 "LPT1:" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [FreePDFAssistent] C:\PROGRA~1\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSGUI\ispnews.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [KB891711] c:\windows\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [F-Secure Management Agent] C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\Common\FSMA32.EXE
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
O4 - Startup: Internet launcher.lnk = C:\Programme\SAMSUNG\Internet Launcher\launcher.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: T-TeleSec Personal Security Service.lnk = C:\Programme\T-TeleSec Personal Security Service\backweb\2581593\Program\fspex.exe
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPCMSIE.DLL
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPCMSIE.DLL
O9 - Extra 'Tools' menuitem: Diese Website &zulassen - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPCMSIE.DLL
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPCMSIE.DLL
O9 - Extra 'Tools' menuitem: Diese Website &sperren - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPCMSIE.DLL
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPCMSIE.DLL
O9 - Extra 'Tools' menuitem: Webseitenfilter &aussetzen - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPCMSIE.DLL
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPCMSIE.DLL
O9 - Extra 'Tools' menuitem: Website-&Liste anzeigen - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPCMSIE.DLL
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O15 - Trusted Zone: www2.dtg.de
O16 - DPF: {AE7E5F20-35C3-11D2-A16C-006008662F80} (Internet-Banking) - https://www.onlinebankservice.de/brokat/srwgib187.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a224.g.akamai.net/7/224/52/20010419/qtinstall.info.apple.com/qt501/us/win/QuickTimeInstaller.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/218abcbee7618708b605/netzip/RdxIE601_de.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab

Ich hoffe, Du kannst mir weitere Schritte empfehlen. Danke schon einmal.

Viele Gruesse
Ulrike

[Ruby]

Hallo Ulrike

zum escan Ergebnis:

bei diesen Dateien handelt es sich um Adware und um einen Dialer.
Ich nehme an, dass du sie nicht braucht. Du kannst den Dialer (www.dialerschutz.de) aber auf Diskette sichern, für den Fall dass sich deine Telefon-Rechnung erhöht.

C:\PROGRAMME\MYWAY\SRCHASTT\1.BIN\MYSRCHAS.DLL
C:\WINDOWS\MSVPREP.EXE
C:\WINDOWS\gag-10192.exe<-Dialer
C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE
C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL

Beende im Taskmanager folgende Prozesse:

MSVPREP.EXE
MY2NS.EXE

Boote in den abgesicherten Modus und lösche mit dem Windows Explorer folgende Files:

C:\PROGRAMME\MYWAY\SRCHASTT\1.BIN\MYSRCHAS.DLL
C:\WINDOWS\MSVPREP.EXE
C:\WINDOWS\gag-10192.exe<-Dialer
C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE
C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL

Lösche diesen Ordner mit dem Windows Explorer:

C:\PROGRAMME\MYWAY <- Diesen Ordner

Boote in den normalen Modus.
Erstelle ein neues HJT-Logfile und poste es.

[Ulrike]

Hallo Ruby,

danke für Deine schnelle Antwort. Jetzt traue ich mich fast nicht zu fragen, wie ich an den Taskmanager komme ;-). Ich kenne zwar die Möglichkeit Anwendungen zu schliessen über Strg + Alt + Entf, darin finde ich aber nicht Deine genannten Prozesse.

Man sollte halt Unwissende nicht an den Computer lassen )). Schlage mich aber immer noch wacker durch und gebe natürlich (auch dank Deiner geduldigen Hilfe) nicht auf.

Beste Grüße

Ulrike

[Ulrike]

Hallo Ruby,

ich bins nochmal, denn ich habe bei F-Secure einige Informationen zu meinem Trojaner gefunden http://www.europe.f-secure.com/v-descs/ptsnoop.shtml. Dabei wird auch beschrieben, dass es sich nicht unbedingt um einen Trojaner handeln muss.

Ich habe den Virenscanner und die Firewall von F-Secure (über die T-Com) und er findet den Trojaner einfach nicht. Bin daher nun ein wenig ratlos, was ich machen soll. Hoffentlich kannst Du mir weiterhelfen. Werde das Problem nun aber auch parallel an den Support der T-Com weiterleiten.

Wenn ich heute nichts mehr von Dir höre, einen schönen Abend ohne diese dummen Viren, Würmer, Trojaner usw.

Beste Grüße

Ulrike

[Ruby]

Hallo Ulrike,

lade den Process Explorer runter, er ersetzt den Taskmanager von Windows, versuche damit die Dateien zu finden und zu löschen.

------------
Scanne diese Datei

C:\WINDOWS\ptsnoop.exe

bei Virustotal und Jotti

Teile uns alle Ergebnisse mittels copy&paste mit.

------------
Drucke diese Anweisung entweder aus oder speichere sie als *.txt-file,
da du u.a offline im abgesicherten Modus/VGA Modus arbeiten wirst.

Folge den Nummern in der Reihenfolge:

-> Anweisung bitte sorgfältig lesen!

Teil 1
Lade folgende Programme runter:

1-1
Lade das ClearProg runter.
(Hinweis zur weiteren Verwendung über diese Reinigung hinaus:
nach jeder Sitzung im Netz anwenden.)

1-2
NEUE Version: Ad-Aware SE, installieren und updaten
(Hinweis zur weiteren Verwendung über diese Reinigung hinaus:
bei Verdacht auf Adware oder einmal im Monat anwenden,
das Programm vorher updaten.)

1-3
NEUE Version: Spybot Search & Destroy, installieren und updaten
(Hinweis zur weiteren Verwendung über diese Reinigung hinaus:
bei Verdacht auf Spyware oder einmal im Monat anwenden,
das Programm vorher updaten.)

1-4
CWShredder 2.14, installieren und updaten
(Hinweis zur weiteren Verwendung über diese Reinigung hinaus:
anfallweise anwenden, das Programm vorher updaten.)

1-5
about:Buster,
entpacke es in C:\aboutbuster
Starte das Programm:
1. Klicke auf "Update".
2. Klicke auf "Check For Update"

(wenn keine Updates vorhanden sind, kannst du diesen Punkt überspringen.)
3. Klicke auf "Download Update", und warte bis der Download installiert ist.
(Hinweis zur weiteren Verwendung über diese Reinigung hinaus:
anfallweise anwenden, das Programm vorher updaten.)

1-6
kostenloses Zip-Programm:
SIMPLYZIP oder zipgenius

1-7
Lade RegClean runter.
Installiere und update das Programm.
(Hinweis zur weiteren Verwendung über diese Reinigung hinaus:
anfallweise anwenden, das Programm vorher updaten.)

1-8 (vorbeugend)
Lade den SpywareBlaster runter.
Installiere und update das Programm.
(Hinweis zur weiteren Verwendung über diese Reinigung hinaus:
vor jeder Sitzung im Netz anwenden, das Programm vorher updaten.)

1-9 (vorbeugend)
Lade den SpywareGuard 2.2 runter.
Installiere und update das Programm.
(Hinweis zur weiteren Verwendung über diese Reinigung hinaus:
vor jeder Sitzung im Netz anwenden, das Programm vorher updaten.)

1-10
Lade das
host.zip runter.
Drücke auf 'Restore Original Hosts' und klicke auf 'OK'
Folge der bebilderten Anleitung.
(Hinweis zur weiteren Verwendung über diese Reinigung hinaus:
normalerweise einmalige Anwendung)

1-11
--> !!! speichere den Text unter "alle datei Typen" auf deinem Desktop!!! --> DelDomains.inf
Schliesse den Internet Explorer!
Doppel-Klick auf "DelDomains.inf" um sie zu starten.
Das Programm zieht die Einträge aus der "Trusted Zone" und den "Ranges".

Teil 2
Anleitung zur Entfernung

1
Beende mit dem Prozess Explorer
ptsnoop.exe

2
Du musst nun im abgesicherten Modus/VGA Modus (Anleitung) arbeiten.

3
Schliesse alle Programme einschliesslich Internet Explorer.

4
Lass Hijackthis laufen,
klick scan und setze ein Häkchen neben jeden dieser Einträge.
Drücke dann auf den Fix Button:

Code:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hzzp://www.gmx.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: IPInsigtObj Class - {000004CC-E4FF-4F2C-BC30-DBEF0B983BC9} - C:\WINDOWS\IPINSIGT.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\PROGRAMME\MYWAY\SRCHASTT\1.BIN\MYSRCHAS.DLL
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPCMSIE.DLL
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPCMSIE.DLL
O9 - Extra 'Tools' menuitem: Diese Website &zulassen - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPCMSIE.DLL
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPCMSIE.DLL
O9 - Extra 'Tools' menuitem: Diese Website &sperren - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPCMSIE.DLL
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPCMSIE.DLL
O9 - Extra 'Tools' menuitem: Webseitenfilter &aussetzen - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPCMSIE.DLL
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPCMSIE.DLL
O9 - Extra 'Tools' menuitem: Website-&Liste anzeigen - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPCMSIE.DLL
O15 - Trusted Zone: www2.dtg.de 
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - hzzp://www.spywarestormer.com/files2/Install.cab  	
.

Drücke auf den Fix Button.
Beende das Programm HijackThis.

5
Lösche mit dem Windows Explorer:

C:\WINDOWS\IPINSIGT.DLL
C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL
C:\PROGRAMME\MYWAY\SRCHASTT\1.BIN\MYSRCHAS.DLL
C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL
C:\PROGRAMME\T-TELESEC PERSONAL SECURITY SERVICE\FSPC\FSPCMSIE.DLL
C:\WINDOWS\ptsnoop.exe

6
Lösche den Ordner:
C:\PROGRAMME\MYWAY

7
Ad-Aware SE laufen lassen.
Lass das Programm alles entfernen, was es findet.
Speichere das Logfile ab.
Leere nach dem Scan alle Verzeichnisse von Ad-Aware SE und die Quarantäne-Box.

8
Spybot Search & Destroy laufen lassen.
Geh auf "Advanced", unter Tools kannst du u.a. AktiveX deaktivieren.
Lass das Programm alles entfernen, was es findet.
Immunisiere dein System.

9
Lass CWShredder laufen
Klicke auf den fix-Button und lass das Programm dein System scannen und reinigen.

10
Lass about:Buster laufen
4. Klicke auf "Start".
(Warte bis der Scan fertig ist.)
5. Klicke auf "Exit".

11
Boote deinen Rechner wieder in den normalen Modus.

12
Lass das ClearProg laufen
Setze Häkchen unter: * Cookies, * Temp. Internet Files, * History,
* Typed URLs, * AutoComplete Entries, * index.dat und
to "alles löschen" und "löschen".

13
Lass den RegCleaner laufen
und alles entfernen, was er findet.

14
Scanne deinen Rechner mit einem Full-System-Scan mit Panda ActiveScan.
Erlaube AktvieX für den Online Scan. Der Scan kann ca 2-3 Stunden dauern.
Speichere das Logfile.
Boote deinen Rechner danach neu auf.

15
Vergib eine neue Startseite für den Internet Explorer.
Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!

16
Lade dir einen alternativen Browser runter:
Mozilla, Firefox, Opera
und verwende den IE nur noch für die Sicherheits-Updates.

17
Lass HijackThis laufen
Speichere das Logfile.

-> Poste das Ad-Aware SE Logfile.
-> Poste das About:Buster Logfile.
-> Poste das Panda ActiveScan Logfile.
-> Poste das HJT Logfile.

[Ulrike]

Hallo Ruby,

puh, das hört sich ja nach viel Arbeit an. Aber vielen herzlichen Dank. Hier erst einmal die Scans von Virustotal und Lotti:

Jottis Malwarescan 2.99-TRANSITION_TO_3.00

Datei, die hochgeladen und gescannt werden soll:
Dienst
Auslastung: 0% 100%

Datei: Ptsnoop.exe
Status: OK
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VBA32 Keine Viren gefunden

This is a report processed by VirusTotal on 06/30/2005 at 10:30:58 (CET) after scanning the file "Ptsnoop.exe" file.
Antivirus Version Update Result
AntiVir 6.31.0.7 06.30.2005 no virus found
Avira 6.31.0.7 06.30.2005 no virus found
BitDefender 7.0 06.30.2005 no virus found
ClamAV devel-20050501 06.29.2005 no virus found
DrWeb 4.32b 06.30.2005 no virus found
eTrust-Iris 7.1.194.0 06.29.2005 no virus found
eTrust-Vet 11.9.1.0 06.30.2005 no virus found
Fortinet 2.36.0.0 06.29.2005 no virus found
Ikarus 2.32 06.29.2005 no virus found
Kaspersky 4.0.2.24 06.30.2005 no virus found
McAfee 4524 06.29.2005 no virus found
NOD32v2 1.1158 06.29.2005 no virus found
Norman 5.70.10 06.28.2005 no virus found
Panda 8.02.00 06.29.2005 no virus found
Sybari 7.5.1314 06.30.2005 no virus found
Symantec 8.0 06.29.2005 no virus found
TheHacker 5.8.2.063 06.30.2005 no virus found
VBA32 3.10.4 06.29.2005 no virus found

Hier noch die Info, dass ich ein PC TEL Modem auf dem Rechner habe. In verschiedenen Foren habe ich gelesen, dass der Treiber auch ptsnoop heisst. Damit wäre es kein Trojaner und müsste dann auch nicht gelöscht werden, oder (denn ich gehe über Modem ins Internet)? Ich befürchte dann, dass mein Modem nicht mehr richtig arbeiten würde, falls es tatsächlich der Treiber wäre.

Beste Grüße

Ulrike