Hallo, finger weg von Netpumper, zumindestens von der kostenlosen Version.
Sowas hartnäckiges hatte ich noch nie. S&D und Spywareblaster haben nichts gefunden. Gut das ich eine Firewall hatte.

Anzeichen:

• Der Iexplore.exe befindet sich 2 mal im Taskmanager und man kann sie nicht beenden.

• Thatst~1.exe im Taskmager kann man ebenfalls nicht beenden.

• Iexplore.exe versucht in regelmäßigen Abständen ins Internet auf folgende IP Adresse 66.220.17.154 und 66.220.17.169

Vorgehensweise:

• Also erstmal unter Software deinstallieren. (bringt aber nicht viel )

• mit msconfig den Eintrag thatstore.exe entfernen

• Iexplore.exe unter C:\Programme\Internet Explorer löschen und schnell eine leeren Textdatei erstellen die ihr Iexplore.exe nennt und mit einem Schreibschutz verseht.

• Dann melden sich andere Exe files die ins Netz wollen (wenn ihr ne Firewall habt) Bei mir hießen sie
  • grimflaw.exe (kenne den Pfad nicht mehr)
  • ...exe in C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BEEP CLOCK DEAD POLL\
  • thatstore.exe und 2 weitere .exe in C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\objuploadmanager
  • C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\planbase\cdrom keep.exe

• Anschließend im abgesichertem Modus starten und alle aufgezählten Einträge löschen

• neustarten und über sauberes System freuen

Das automatische Auswerten der HijackThis logs ist echt klasse

Hallo volkan,

danke für Deine Tipps.
Aber das ist nichts neues. Ähnliches passiert bei der Installation des Messenger Plus!.
Die Malware unterscheidet sich aber und ist nicht generell so wie bei Dir.
Am besten ist es, nicht nur die Dateien zu löschen, sondern den gesamten Ordner, in dem sie sich befinden.
Desweiteren sollte eine Datenträgerbereinigung vorgenommen werden, um zumindest alle "temp"-Dateien zu löschen, z.B. mit clearprog 1.4.1 final.

dartus