hallo, leute!
seit zwei tagen quäl ich mich rum mit nervigen pop-ups. trojan-check meldet mir ständig was von msal.exe, das sich im austostart-ordner einspielen will und auch sonst ist an den ie-einstellungen einiges verändert, was ich nicht mehr rückgängig machen kann. hab schon in der regedit rumgetüftelt (sollte man nicht machen, ich weiß, aber hat eh nix gebracht) und lavasoft ad-aware drüberlaufen lasssen. doch der kack kommt immer wieder. außerdem läuft die kiste jetzt ziemlich langsam und schmiert beim surfen gerne mal ab. in den abgesicherten modus komm ich eh nicht rein (windoof 2000), oder gibt es eine andere möglichkeit als über die f8-taste im richtigen augenblick? fixen (und wenn ja, was?) bringt wohl eh nix im nicht-abgesicherten modus, oder? letzte rettung wohl system neu aufspielen. oder kann mir sonst jemand helfen? bin allerdings absoluter laie, daher bitte ganz langsam zum mitschunkeln. sakrischen dank im voraus.
hier das log:
Logfile of HijackThis v1.98.2
Scan saved at 12:30:02, on 13.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\wacomkey.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\Programme\Network Associates\VirusScan\Webscanx.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE
C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
C:\Dokumente und Einstellungen\tom\Anwendungsdaten\ewtd.exe
C:\Programme\EPSON\EPSON CardMonitor\EPSON CardMonitor1.2.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\WINNT\explorer.exe
C:\WINNT\System32\MDM.EXE
C:\WINNT\system32\apptw32.exe
C:\WINNT\system32\msal.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\elacm.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\elacm.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\elacm.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\elacm.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\elacm.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\elacm.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\elacm.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {F997089A-B88E-A0A9-0F05-C8674F6CD1EB} - C:\WINNT\system32\apizx32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Win32SystemMonitor] C:\WINNT\system32\Nns.exe
O4 - HKLM\..\Run: [Win32 Explorer] C:\WINNT\system32\explorer32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Win32 Explorer] C:\WINNT\system32\explorer32.exe
O4 - HKCU\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /M "Stylus Photo RX420" /EF "HKCU"
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] C:\Programme\Purgatio Pro\checker.exe /check
O4 - HKCU\..\Run: [Wise-FTP Scheduler] C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
O4 - HKCU\..\Run: [Win32SystemMonitor] C:\WINNT\system32\Nns.exe
O4 - HKCU\..\Run: [Alep] C:\Dokumente und Einstellungen\tom\Anwendungsdaten\ewtd.exe
O4 - Global Startup: EPSON CardMonitor.lnk = C:\Programme\EPSON\EPSON CardMonitor\EPSON CardMonitor1.2.exe
O4 - Global Startup: Image Transfer.lnk = C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.truedoc.com/activex/tdserver.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/09cc0249...dxIE601_de.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all04.kundenserver.de/app/...vex/msxml4.cab
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} - http://advnt01.com/dialer/internazionale_ver4.CAB
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - https://www.stopzilla.com/_download/...ler/dwnldr.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = c4-medien.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = c4-medien.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = c4-medien.com

Hallo pelztierzüchter,

Dein System sieht ziemlich durchseucht aus.
Eine Bereinigung würde wohl mehr Zeit in Anspruch nehmen als ein sauberer Schnitt, d.h. einen Neuinstallation.

Hier eine empfohlenen Anleitung:

http://www.trojaner-board.de/showthread.php?t=12154

dartus