Hallo,

ich habe folgendes Problem:

wenn ich im Internet bin dann gehen nur im Taskmanager immer wieder Fenster auf die auf Sexseiten zeigen. Ich habe schon Adaware, SpyBot, Antivir Free und den Stinger über meinen Rechner laufen lassen, aber die haben alle nichts gefunden. Zeitweise versuchen sich Dialer auf meinem Rechner einzunisten aber diese werden durch Antivir geblockt. Ich wäre Dankbar für rasche Hilfe.

Anbei noch der LOG von Hijackthis:

Gruß und Danke

Christian
_________________________

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
c:\progra~1\0190wa~1\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\winnt\rundll32.exe
C:\programme\trafficdetector\Trafficdetector.exe
C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
C:\WINNT\system32\ZONELABS\vsmon.exe
D:\christian\stinger.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\ntvdm.exe
C:\WINNT\system32\taskmgr.exe
D:\christian\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = C:\WINNT\system32\searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = C:\WINNT\system32\searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = C:\WINNT\system32\searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = C:\WINNT\system32\searchbar.html
O1 - Hosts: 66.250.171.167 sitefinder-idn.verisign.com
O1 - Hosts: 66.250.57.9 ad.doubleclick.net
O1 - Hosts: 66.250.57.9 view.atdmt.com
O1 - Hosts: 66.250.57.9 click.atdmt.com
O1 - Hosts: 66.250.57.9 leader.linkexchange.com
O1 - Hosts: 66.250.57.9 pagead2.googlesyndication.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {38AAF321-C5B4-11D1-B75E-400000000000} - C:\Programme\ReGet\ReGet.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [quicken] C:\WINNT\quicken.exe
O4 - HKCU\..\Run: [rundll32] C:\winnt\rundll32.exe
O4 - HKCU\..\Run: [Trafficdetector] c:\programme\trafficdetector\Trafficdetector.exe
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\vrtoolcheckorder.exe
O8 - Extra context menu item: &Liste für ReGet - C:\Programme\ReGet\RG_List.htm
O8 - Extra context menu item: Alle mit Re&Get herunterladen - C:\Programme\ReGet\RG_All.htm
O8 - Extra context menu item: Mit ReGet herunterla&den - C:\Programme\ReGet\RG_Link.htm
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{071F5A93-D5D2-4CAB-AA56-36C1686D5C57}: NameServer = 1.255.255.255
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6064A81-6724-4905-8A67-3B8EC8A39653}: NameServer = 62.225.251.16 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{071F5A93-D5D2-4CAB-AA56-36C1686D5C57}: NameServer = 1.255.255.255
O17 - HKLM\System\CS2\Services\Tcpip\..\{071F5A93-D5D2-4CAB-AA56-36C1686D5C57}: NameServer = 1.255.255.255

Hallo Christian!

All das ist Malware bzw. Einträge von selbiger:
</font><blockquote>Zitat:</font><hr />Original erstellt von cs1977:

C:\winnt\rundll32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = C:\WINNT\system32\searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = C:\WINNT\system32\searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = C:\WINNT\system32\searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = C:\WINNT\system32\searchbar.html
O1 - Hosts: 66.250.171.167 sitefinder-idn.verisign.com
O1 - Hosts: 66.250.57.9 ad.doubleclick.net
O1 - Hosts: 66.250.57.9 view.atdmt.com
O1 - Hosts: 66.250.57.9 click.atdmt.com
O1 - Hosts: 66.250.57.9 leader.linkexchange.com
O1 - Hosts: 66.250.57.9 pagead2.googlesyndication.com

O4 - HKCU\..\Run: [quicken] C:\WINNT\quicken.exe
O4 - HKCU\..\Run: [rundll32] C:\winnt\rundll32.exe
</font>[/QUOTE]Im Übrigen: deine "Schutzprogramme"- und Maßnahmen sind ineffizient, da "dennoch" fortlaufend Malware auf dein System gelangt und dort aktiv werden kann!

Hallo,

wie ich Online herausgefunden habe sind die Dateien rundll32.exe und mssys.exe verseucht.
Kann ich die einfach löschen ohne das Windows Probleme macht??
________________________________________________
http://www.kaspersky.com/de/remoteviruschk.html
________________________________
mssys.exe Komprimiert: ASPack
mssys.exe Infiziert: TrojanDownloader.Win32.Donn.o
____________________________________
rundll32.exe Komprimiert: PE_Patch
rundll32.exe Komprimiert: TeLock
rundll32.exe Infiziert: Trojan.Win32.StartPage.du

gruß Christian

Unter Windows NT4/5 (also Windows NT4, 2000 + XP) ist die Rundll32.exe unter %systemroot%/system32 (also normalerweise unter c:\winnt\system32 oder c:\windows\system32). Daher sollte/müsste dies reine Malware sein schau mal ob unter System32 die "echte" Rundll32.exe ist.
mssys.exe ist IMHO überhaupt keine legale Datei von Microsoft, jedenfalls ist sie in meinen NT4/5-Systemen NICHT vorhanden

IE-Fenster "ausserhalb des Bildschirmes" ist nur eine kleine Einstellungssache des Seitenprogramierers, aber natürlich ein Zeichen für höchster Unseriösität.