Hallo zusammen,

auf dem Rechner einer Freundin hat sich ein Smitfraud.c eingenistet, den ich anhand der Anleitung von cronos versucht habe, zu entfernen. Ging auch soweit alles klar, Spybot Search & Destroy hat ihn auch gefunden (eScan, AdAware und AntiVir nicht), ist nur beim Entfernen abgestürzt, beim zweiten Versuch ebenfalls. Deshalb gehe ich jetzt davon aus, das meine Versuche bislang erfolglos geblieben sind.

Anbei ein HijackThis-Logfile - könnt Ihr mir verraten, ob das Ding noch aktiv ist, und was ich tun muß, damit sich das ändert?

Mit bestem Dank im voraus,
Per

________________________________

Logfile of HijackThis v1.99.1
Scan saved at 23:48:22, on 01.08.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\PROGRAMME\ESCAN\TRAYICOS.EXE
C:\PROGRAMME\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\NETROPA\MULTIMEDIA KEYBOARD\MMKEYBD.EXE
C:\WINDOWS\SYSTEM\USBTAPNP.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\ESCAN\AVPMWRAP.EXE
C:\PROGRAMME\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\WINDOWS\SYSTEM\INTELL32.EXE
C:\PROGRAMME\NETROPA\MULTIMEDIA KEYBOARD\TRAYMON.EXE
C:\PROGRAMME\ESCAN\MAILDISP.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\PROGRAMME\NETROPA\ONSCREEN DISPLAY\OSD.EXE
C:\PROGRAMME\NETROPA\INETKB\INETKB.EXE
C:\PROGRAMME\BEARPAW 2400CU PLUS\DRIVER\WATCH.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\ESCAN\SPOOLER.EXE
C:\PROGRAMME\ESCAN\MAILSCAN.EXE
C:\PROGRAMME\ESCAN\KAVSS.EXE
C:\PROGRAMME\YAHOO!\MESSENGER\YMSGR_TRAY.EXE
C:\PROGRAMME\ESCAN\AVPM.EXE
C:\PROGRAMME\ESCAN\AVPM.EXE
E:\INSTALL\SOFTWARE\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.*********.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [USBTA] C:\WINDOWS\system\usbtapnp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Ad-aware] C:\PROGRAMME\LAVASOFT\AD-AWARE 6\AD-AWARE.EXE +c
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\SYSTEM\intell32.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - HKLM\..\RunServices: [eScan Updater] C:\PROGRA~1\ESCAN\TRAYICOS.EXE
O4 - HKLM\..\RunServices: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE /service
O4 - HKLM\..\RunServices: [avast!] C:\Programme\Alwil Software\Avast4\ashServ.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRAMME\YAHOO!\MESSENGER\ypager.exe -quiet
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunServices: [Yahoo! Pager] C:\PROGRAMME\YAHOO!\MESSENGER\ypager.exe -quiet
O4 - HKCU\..\RunServices: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Watch.lnk = C:\Programme\BearPaw 2400CU Plus\Driver\WATCH.exe
O4 - Startup: EPSON Background Monitor.lnk = C:\Programme\ESM2\STMS.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O10 - Broken Internet access because of LSP provider 'mwnsp.dll' missing
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://www.pandasoftware.com/activescan/as5/asinst.cab
O20 - Winlogon Notify: style2 - C:\WINDOWS\Q141987_DISK.DLL (file missing)

Hallo,

fixe diesen Eintrag ( im abgesicherten Modus bei deaktivierter Systemwiederherstellung):
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\SYSTEM\intell32.exe

und Lösche die Datei:
C:\WINDOWS\SYSTEM\intell32.exe

Überprüfe das System mit Escan (mit aktuellen Signaturen) im abgesicherten Modus.

Berichte, ob eine Besserung eingetreten ist.

dartus

Danke für die prompte Antwort. Ich werde mich da gleich wieder dranmachen - eine Frage noch:

Du schreibst: "bei deaktivierter Systemwiederherstellung" - gehe ich recht in der Annahme, dass Win98 SE so etwas ohnehin nicht hat? (bin sonst eher auf dem Mac zuhause...)

Ich würde jetzt einfach mal im abgesicherten Modus starten und sag dann nochmal bescheid, wie's so lief.

bis denn,
Per

ich bin mir nicht ganz sicher, ob er jetzt weg ist - eScan hat ihn nicht gefunden, Spybot immer noch (und ist wiederum abgestürzt). Ich habe mittels Killbox Intell32.exe aus dem C:\WINDOWS\SYSTEM\ entfernt. Jetzt sagt er mir zwar in der Taskleiste nicht mehr "You computer is infected" - doch das System (vor allem der IE) ist irgendwie quälend langsam. Kann das mit den zahllosen Antivirenprogrammen zu tun haben, die ich mittlerweile installiert habe?

Hier zu Klärung ein aktuelles Logfile, wär nett, wenn Ihr da nochmal drüberschauen würdet.
Danke im voraus,

Per

________________________________

Logfile of HijackThis v1.99.1
Scan saved at 15:16:54, on 02.08.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\PROGRAMME\ESCAN\TRAYICOS.EXE
C:\PROGRAMME\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\NETROPA\MULTIMEDIA KEYBOARD\MMKEYBD.EXE
C:\WINDOWS\SYSTEM\USBTAPNP.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAMME\ESCAN\AVPMWRAP.EXE
C:\PROGRAMME\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\BEARPAW 2400CU PLUS\DRIVER\WATCH.EXE
C:\PROGRAMME\ESCAN\MAILDISP.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\ESCAN\AVPM.EXE
C:\PROGRAMME\NETROPA\MULTIMEDIA KEYBOARD\TRAYMON.EXE
C:\PROGRAMME\ESCAN\SPOOLER.EXE
C:\PROGRAMME\NETROPA\ONSCREEN DISPLAY\OSD.EXE
C:\PROGRAMME\ESCAN\MAILSCAN.EXE
C:\PROGRAMME\NETROPA\INETKB\INETKB.EXE
C:\PROGRAMME\ESCAN\AVPM.EXE
C:\PROGRAMME\ESCAN\KAVSS.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\NETROPA\INETKB\IKBUPD.EXE
E:\INSTALL\SOFTWARE\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.*********.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [USBTA] C:\WINDOWS\system\usbtapnp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Ad-aware] C:\PROGRAMME\LAVASOFT\AD-AWARE 6\AD-AWARE.EXE +c
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\SYSTEM\intell32.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - HKLM\..\RunServices: [eScan Updater] C:\PROGRA~1\ESCAN\TRAYICOS.EXE
O4 - HKLM\..\RunServices: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE /service
O4 - HKLM\..\RunServices: [avast!] C:\Programme\Alwil Software\Avast4\ashServ.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRAMME\YAHOO!\MESSENGER\ypager.exe -quiet
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Watch.lnk = C:\Programme\BearPaw 2400CU Plus\Driver\WATCH.exe
O4 - Startup: EPSON Background Monitor.lnk = C:\Programme\ESM2\STMS.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O10 - Broken Internet access because of LSP provider 'mwnsp.dll' missing
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://www.pandasoftware.com/activescan/as5/asinst.cab
O20 - Winlogon Notify: style2 - C:\WINDOWS\Q141987_DISK.DLL (file missing)

Hallo,

Zitat:

doch das System (vor allem der IE) ist irgendwie quälend langsam. Kann das mit den zahllosen Antivirenprogrammen zu tun haben, die ich mittlerweile installiert habe?

JA! Ein Schutzprogramm reicht aus.

Fixe folgende Einträge noch:

alle "R"-Einträge mit "about:blank"
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\SYSTEM\intell32.exe

Benutze zum Surfen zukünftig einen sicheren Browser.

dartus

Ok, über kurz oder lang ist da vermutlich ohnehin ein frisches System fällig. Zur Zeit habe ich meiner Freundin AdAware, Antivir, eScan und Spybot installiert, und wäre völlig zufrieden, wenn nur eines davon künftig laufen müßte. Nur bin ich ein wenig verunsichert, da jedes dieser Programme (wenn überhaupt) /nur/ den Smitfraud oder /nur/ einen anderen Virus gefunden hat - hättest Du da vielleicht ne Empfehlung?

Der fiese kleine Intell32.exe ist natürlich wieder da (sorry, hätte mir auch auffallen können) und about:blank ist natürlich auch keine so rasend hilfreiche Information.

Wenn ich heute abend das nächste Mal an ihrem Rechner sitze, werde ich mich drum kümmern, und versuchen, sie endlich zum Umstieg vom IE auf Firefox zu überzeugen (doch das sollte nach all diesem Nerv kein Problem sein...)

Danke vielmals und (auch wenn ich's nicht hoffe) bis später...

Per

Folgendes sollte dein Smitfraud-Problem lösen:

http://www.trojaner-board.de/thema/smitfraudfix.html

danke, cronos - doch das war mein erster Versuch... (siehe meinen ersten Post in diesem Thread) Als ich alles wie beschrieben vollführt und Spybot S&D den Smitfraud.c endeckt hatte ("47 Einträge"), sah er sich nicht in der Lage, ihn zu entfernen, da die Dateien offenbar im Speicher residierten. Als ich es auf Nachfrage dann beim nächsten Systemstart mitstarten ließ, überprüfte es den Rechner erneut, um danach mit einem Hinweis auf mangelnde Systemresourcen und Dutzenden Fehlermeldungen, die sich überlappten, abzustürzen.

Ich kenne mich leider in den Systemtiefen und der Speicherverwaltung unter Windows (98 SE) nicht so klasse aus (Mac-User) - hätte ich diesen Teil schon vorher deutlicher sagen sollen (und hätte Euch damit womöglich unnütze Arbeit erspart)? Dann tät's mir leid.

Fällt Euch trotzdem noch was ein?

Danke,

Per

So. Jetzt wird nur noch der Spybot S&D beim Systemstart geladen, und die Smitfraud-Einträge, über die er sich noch beschwert hat, habe ich jetzt von Hand mittels regedit entfernt.
Sicherer Browser ist jetzt auch im Einsatz und ich bin einigermaßen erleichtert (und meine Freundin erst).

Ich danke Euch vielmals für Eure Hilfe! Ich werde Euch weiterempfehlen.

Nur zur Sicherheit noch ein letztes Logfile vom aktuellen Stand - falls Euch noch was auffallen sollte.

Danke!
Per

________________________________
Logfile of HijackThis v1.99.1
Scan saved at 22:02:59, on 02.08.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\NETROPA\MULTIMEDIA KEYBOARD\MMKEYBD.EXE
C:\WINDOWS\SYSTEM\USBTAPNP.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAMME\BEARPAW 2400CU PLUS\DRIVER\WATCH.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\NETROPA\MULTIMEDIA KEYBOARD\TRAYMON.EXE
C:\PROGRAMME\NETROPA\ONSCREEN DISPLAY\OSD.EXE
C:\PROGRAMME\NETROPA\INETKB\INETKB.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\NETROPA\INETKB\IKBUPD.EXE
E:\INSTALL\SOFTWARE\HIJACKTHIS.EXE

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.*********.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [USBTA] C:\WINDOWS\system\usbtapnp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Watch.lnk = C:\Programme\BearPaw 2400CU Plus\Driver\WATCH.exe
O4 - Startup: EPSON Background Monitor.lnk = C:\Programme\ESM2\STMS.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://www.pandasoftware.com/activescan/as5/asinst.cab
O20 - Winlogon Notify: style2 - C:\WINDOWS\Q141987_DISK.DLL (file missing)