VIELEN DANK für die schnelle Bearbeitung, ich hätte mich totgesucht im Web.
Provider: 1&1

kann ich nun die aufgeführten "DATEIEN" oder Zeilen löschen?
checke momentan mit MicroWorld das System, hat 41 Würmer, Viren usw. gefunden, versuche erst mal auf diesen Weg, wenn es nichts nützt, muß ich wohl in den sauren Apfel beissen u. format:c aber das reicht doch auch nicht?

irgendwie spinnt die Tasttatur wieder

Danke Vimes,
ich war noch nie in solch einem Forum, vielleicht sollte man es öfters besuchen?

Sende mal diese Logfile rüber. bin gespannt was Ihr dazu sagt und wie ich den PC wieder clean bekomme ?
Da wir den PC erst vor einen Monat neu eingerichtet haben und nun schon wieder alles durcheinander läuft. Was kann man tun, um diese Spyware usw... umzugehen oder auszuschalten?

Freue mich auf Eure Hinweise und Ratschläge
Petra***

Logfile of HijackThis v1.99.1
Scan saved at 13:06:13, on 05.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\crypserv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\AMD\Cool'n'Quiet\GemServ.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\TBar234.exe
C:\WINNT\sxe4.tmp
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 5.0\Acrobat\Acrobat.exe
C:\Programme\Gemeinsame Dateien\Adobe\Web\AOM.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
E:\Programme\7-Zip\7zFMn.exe
C:\DOKUME~1\Petra1\LOKALE~1\Temp\7zO191.tmp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: UserInit=C:\WINNT\system32\Userinit.exe
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://static.windupdates.com/cab/624797...e/bridge-c7.cab
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - h**ps://www.olb.de/olb_fb3_1806/plugin/AXFOAM.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/26582ebfe2af...ip/RdxIE601.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - h**p://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab
O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - h**p://advnt01.com/dialer/internazionale_ver10.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{428E8604-0E5E-455A-BC3F-B2A542836852}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINNT\SYSTEM32\crypserv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Programme\AMD\Cool'n'Quiet\GemServ.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: PSEXESVC - Unknown owner - C:\WINNT\System32\PSEXESVC.EXE


Anmerkung: Ich habe die Hyperlinks in Deinem Logfile "entschärft". MfG Vimes

Zitat:

Original von Petra*** ich war noch nie in solch einem Forum, vielleicht sollte man es öfters besuchen?

Empfehlenswert :)

Ich zitiere mal die Einträge, die mir verdächtig erscheinen. Weitere Hinweise gibts von unseren Fachleuten...

Zitat:

C:\WINNT\TBar234.exe C:\WINNT\sxe4.tmp

Google sagt nicht viel über den ersten, scheint aber ein Schädling zu sein. Beim zweiten deutet meine hastige Suche auf einen Trojaner hin.

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/

Freenet als Startseite gewünscht?

Zitat:

h**p://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab

Würg. Das hört sich merkwürdig an.

Zitat:

O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - h**p://advnt01.com/dialer/internazionale_ver10.CAB

Das auch.

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{428E8604-0E5E-455A-BC3F-B2A542836852}: NameServer = 217.237.149.161 217.237.151.225 [/quote Sind das die DNS-Server Deines Providers? Welchen Provider hast Du? [quote]O23 - Service: PSEXESVC - Unknown owner - C:\WINNT\System32\PSEXESVC.EXE

Würg. Eine Fernsteuerungssoftware (eine, mit der man Prozesse aus der Ferne bedienen kann) auf Deinem Rechner. Ich bezweifle, daß das gewollt ist.

Den Rest sagen Dir unsere Experten, aber ich fürchte, Du hast Recht und die Kiste ist verseucht.

MfG
Vimes

Willkommen Petra***,

Vimes hat es eigentlich schon auf den Punkt gebracht, denn dein System ist mit verschiedenster Malware [1] durchseucht und die beste Lösung wäre ein erneutes Neuaufsetzen deines Systems.
Die ansprochene 'C:\WINNT\System32\PSEXESVC.EXE' dürfte der Backdoor.IRC.Ratsou sein, dieser erlaubt den Fernzugriff durch Dritte auf dein System! Siehe auch http://securityresponse.symantec.com/avc...irc.ratsou.html

[1] z.B. C:\Program Files\Media Access

Zur Analyse kannst du noch mit eScan AntiVirus im abgesicherten Modus scannen und danach postest du uns die Virus Log Information:
Rechtsklick auf die Find.bat -> Ziel speichern unter… z.B. 'C:\Find.bat' -> Find.bat doppelklicken und den Scan abwarten -> den Inhalt [1] der automatisch erstellten C:\eScan_neu.txt hier posten.

Ich würde einen sauberen Schnitt ziehen und das System neu aufsetzen. Eine detalierte Anleitung findest du in meiner Signatur.

In eigener Sache:

Lese bitte das nächste Mal die Anleitung: HiJackThis und beachte die Hinweise.