Hallo,

werde mit Spybot coolwwwsearch.toolbar nicht los und bekomme immer wieder removeme.exe und mActiceX.exe rein. Hier der Logfile von HiJackThis.
Danke für eure Hilfe.

Logfile of HijackThis v1.99.1
Scan saved at 22:13:34, on 19.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus 2002\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\ScanSoft OmniPagePro 14\WorkFlowTray.exe
C:\Programme\ScanSoft OmniPagePro 14\Opware14.exe
C:\Programme\ScanSoft OmniPagePro 14\OpScheduler.exe
C:\Programme\ScanSoft OmniPagePro 14\PdfPrn\SPrnAgent.exe
C:\WINDOWS\System32\scmss.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Herbert\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.geizkragen.de/lcr.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus 2002\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus 2002\NavShExt.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [WorkFlowTray] "C:\Programme\ScanSoft OmniPagePro 14\WorkFlowTray.exe"
O4 - HKLM\..\Run: [Opware14] "C:\Programme\ScanSoft OmniPagePro 14\Opware14.exe"
O4 - HKLM\..\Run: [OpScheduler] "C:\Programme\ScanSoft OmniPagePro 14\OpScheduler.exe"
O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Programme\ScanSoft OmniPagePro 14\PdfCnv\RegistryController.exe"
O4 - HKLM\..\Run: [SSPrnAgent] C:\Programme\ScanSoft OmniPagePro 14\PdfPrn\SPrnAgent.exe
O4 - HKLM\..\Run: [OP14 Reminder] "C:\Programme\ScanSoft OmniPagePro 14\EregGer\Ereg.exe" -r "C:\Programme\ScanSoft OmniPagePro 14\EregGer\ereg.ini"
O4 - HKLM\..\Run: [Security Patch] scmss.exe
O4 - HKLM\..\RunServices: [winservit] cassl.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] hypertrm.exe
O4 - HKLM\..\RunServices: [Security Patch] scmss.exe
O4 - HKCU\..\Run: [MS Unix Binary] hypertrm.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: Zahlungserinnerung.lnk = C:\HCL5\wzed.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: PDF in Word öffnen - res://C:\Programme\ScanSoft OmniPagePro 14\PdfCnv\IEShellExt.dll /500
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62...ridge-c139.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1110555231608
O17 - HKLM\System\CCS\Services\Tcpip\..\{0693CBF2-18DA-4C88-9DC9-A21D0B35C205}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{0693CBF2-18DA-4C88-9DC9-A21D0B35C205}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus 2002\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

@Hengst
du hast leider den hier im system
http://vil.nai.com/vil/content/v_100454.htm

O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
deswegen kann ich dir nur raten dein system so schnell wie möglich vom netz zu nehmen und dein system neuaufzusetzen(formatC)
hier ein anleitung
http://www.trojaner-board.de/showpos...28&postcount=2

sry
chaosman

Hallo,

danke für die Info. Hat was gedauert, da es nicht mein Rechner und ich jetzt erst wieder dran bin.

Noch folgende Frage: Der Rechner dient einer Firma für Auftragswesen, Buchhaltung, Steuer etc. Die Daten müssen nach der Neuinstallataion wieder drauf. Kann ich das gefahrlos machen (Import/Export oder Programmverzeichnisse kopieren) oder kann der Übeltäter dadurch wieder mitkommen?
Die wichtigsten Programmdaten sind: Hapak 2000 Pro, GSWin, GSEar, Elster, sowie verschiedene Office-Dokumente.

Natürlich läuft auf dem Rechner danach brav der Firefox.

danke und Gruß, Mirco