Wer kann mir helfen meine Infektionen zu beseitigen
(Vorsicht, bin IT-Legastheniker)

Hier der Log:

Logfile of HijackThis v1.99.1
Scan saved at 17:43:35, on 18.12.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\MCAFEE\VIRUSSCAN\VSHWIN32.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\MDSETSPW.EXE
C:\PROGRAMME\LOGITECH\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\PRINTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\KEYBOARD\SPEEDKEY.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\BORLAND\INTERBASE\BIN\IBGUARD.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\MSOFFICE.EXE
C:\PROGRAMME\BORLAND\INTERBASE\BIN\IBSERVER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aixkont.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;BUWEB
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing)
O2 - BHO: (no name) - {DBC65B1D-6CDE-11DA-A07F-0012665F0C6C} - C:\WINDOWS\SYSTEM\JKOC.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Atikey] Atitask.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [ModemUtility] mdsetspw.exe
O4 - HKLM\..\Run: [EM_EXEC] c:\progra~1\Logitech\system\em_exec.exe
O4 - HKLM\..\Run: [Vshwin32EXE] C:\Programme\McAfee\VirusScan\VSHWIN32.EXE
O4 - HKLM\..\Run: [SoniqueQuickStart] c:\PROGRA~1\AUDIOR~1\sqstart.exe -nostick
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Microsoft IntelliType Pro] "C:\Programme\Microsoft Hardware\Keyboard\speedkey.exe"
O4 - HKLM\..\Run: [WindowsMGM] C:\WINDOWS\WINMGM32.EXE
O4 - HKLM\..\Run: [InterBaseGuardian] C:\Programme\Borland\InterBase\bin\ibguard.exe -a
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe STARTUP
O4 - HKLM\..\Run: [F-STOPW.EXE] "C:\Programme\FSI\F-Prot\F-STOPW.EXE"
O4 - HKLM\..\Run: [FRISK_MONITOR] C:\Programme\FSI\F-Prot\fpavupdm.exe /RAP
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [stnospy] C:\PROGRAMME\SINESPIAS\no-spy.exe /autorun
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [McAfeeWebScanX] C:\PROGRAMME\MCAFEE VIRUSSCAN\WebScanX.Exe /RUNSERVICES
O4 - HKLM\..\RunServices: [Vshwin32EXE] C:\Programme\McAfee\VirusScan\VSHWIN32.EXE
O4 - HKLM\..\RunServices: [kavsvc] C:\PROGRAMME\KASPERSKY LAB\KASPERSKY SECURITY SUITE\KASPERSKY ANTI-SPAM PERSONAL\KAV\KAVSVC.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\MSACNV30.EXE
O4 - Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O8 - Extra context menu item: Frame in &neuem Fenster öffnen - C:\WINDOWS\WEB\frm2new.htm
O8 - Extra context menu item: &Markieren - C:\WINDOWS\WEB\highlight.htm
O8 - Extra context menu item: &Websuche - C:\WINDOWS\WEB\selsearch.htm
O8 - Extra context menu item: &Linkliste - C:\WINDOWS\WEB\urllist.htm
O8 - Extra context menu item: Ver&größern - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Ver&kleinern - C:\WINDOWS\WEB\zoomout.htm
O8 - Extra context menu item: &Bilderliste - C:\WINDOWS\Web\imglist.htm
O8 - Extra context menu item: &Google-Suche - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMME\JAVA\JRE1.5.0_06\BIN\SSV.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMME\JAVA\JRE1.5.0_06\BIN\SSV.DLL
O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {BE95EB50-BF4C-11D2-AD93-0060087E046C} (debitel KundenService) - https://kundenservice.debitel.com/sccicci125.cab
O18 - Filter: text/html - (no CLSID) - (no file)

Sieht nach Troj/Ablank-AD aus, wenn du mich fragst. http://www.sophos.de/virusinfo/analy...jablankad.html

Wenn du mich fragst, hilft da nurnoch neu aufsetzen. Ist a) am sichersten und b) dauerts sicher kürzer als da jetzt den ganzen PC 200 mal neu zu checken.


Daten:

Verändert Daten auf dem Computer
Stiehlt Daten
Lädt Code aus dem Internet herunter
Reduziert die Systemsicherheit
Installiert sich in der Registrierung
Wird von Malware abgelegt


Sieht nicht rosig aus, lass aber mal ESCAN rüberlaufen (signatur) um ganz sicher zu sein das es sich um den oben beschriebenen trojaner handelt!!

Ansosnten lade die datei mal hoch auf: http://virusscan.jotti.org/de/

Nachdem cacatoa oder so jemand meine vermutung bestätigt hat, nimm den PC bitte vom Netz den so bist du eine Gefahr für ALLE user.

Servus @verzweiflung!
Arbeite mal diese Anleitung durch
Anschließend neues HJT Logfile und Ergebnisbericht!
stupormundi