hallo zusammen,

ich würde mich sehr freuen wenn mir jemand helfen könnte.
habe seit kurzem in meiner taskleiste eine zusätzliche leiste
in der links "remove toolbar" und rechts mehrere links stehen.
leider sind bisher alle versuche gescheitert die leiste zu entfernen.
hier das log file.

Logfile of HijackThis v1.97.7
Scan saved at 18:54:28, on 31.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Coolspot\Personal ID\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://bookmarks.bluewin.ch/d/searchpane.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/index_d.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/index_d.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://bookmarks.bluewin.ch/d/searchpane.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://bookmarks.bluewin.ch/d/searchpane.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bluewin.ch/index_d.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://bookmarks.bluewin.ch/d/searchpane.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://bookmarks.bluewin.ch/d/searchpane.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Bluewin - Internet Explorer
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/slv/ycheck/as/*http://search.yahoo.com/search?p=%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://web.de/
R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\WINDOWS\system32\pidd.dll
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\ksgad.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\ksgad.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [6A63041F] C:\WINDOWS\System32\niwhd.exe
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [7EC6CBC2] C:\WINDOWS\System32\niwhd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O9 - Extra button: Bluewin Assistant (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{17140E48-D3AF-4A96-A5B0-45BE049D7019}: NameServer = 85.255.113.139,85.255.112.186
O17 - HKLM\System\CCS\Services\Tcpip\..\{9ACB7F9C-D846-47D4-A482-6D85A6B34E78}: NameServer = 85.255.113.139 85.255.112.186
O17 - HKLM\System\CCS\Services\Tcpip\..\{A631149C-F5C3-4ACD-A23C-C0BA4866AF50}: NameServer = 85.255.113.139,85.255.112.186
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB1A9055-F4AE-486A-B6F6-FB3D5058D6E1}: NameServer = 85.255.113.139,85.255.112.186
O17 - HKLM\System\CS1\Services\Tcpip\..\{17140E48-D3AF-4A96-A5B0-45BE049D7019}: NameServer = 85.255.113.139,85.255.112.186

besten dank
freddob

Hallo,

Du hast sehr viele Infektionen, auch diesen Backdoor.
Daher der Rat Dein System Neuaufzusetzen, eine Anleitung dazu findest Du in meiner Signatur verlinkt.

Was Backdoors können liest Du hier.

Gruß

Schrulli

hallo,

vielen dank für die hilfe,
habe mittlerweile das system neu installiert.
hier das neue log, wäre super wenn mir
nochmals kurz jemand rückmeldung geben könnte
ob das jetzt ok ist.

Logfile of HijackThis v1.99.1
Scan saved at 01:37:59, on 11.06.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Apoint2K\Apntex.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Dokumente und Einstellungen\Boomer\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Bluewin Assistant - {0EBC783B-F8FE-4dc5-B5F0-7C80AB218AE2} - C:\Programme\Bluewin\Assistant\bwa.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{B49C0CBD-6685-4AB1-A650-593EC8121BCA}: NameServer = 195.186.4.109 195.186.1.109
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe

Dankeschön..

Hallo,

das System sollte vor dem ersten Internet Kontakt gepatcht werden. Bei Dir fehtl Service Pack 2 und wahrscheinlich alles dannach.
Scanne die Datei

C:\WINDOWS\System32\hwclock.exe


online bei virustotal.com und poste das Ergebnis hier.

Gruß

Schrulli

hab ich gemacht, allerdings war die datei unter
windows/prefetch,
hier das ergebnis


AntiVir 6.35.0.10 06.10.2006 no virus found
Authentium 4.93.8 06.09.2006 no virus found
Avast 4.7.844.0 06.09.2006 no virus found
AVG 386 06.09.2006 no virus found
BitDefender 7.2 06.11.2006 no virus found
CAT-QuickHeal 8.00 06.10.2006 no virus found
ClamAV devel-20060426 06.09.2006 no virus found
DrWeb 4.33 06.10.2006 no virus found
eTrust-InoculateIT 23.72.33 06.10.2006 no virus found
eTrust-Vet 12.6.2250 06.09.2006 no virus found
Ewido 3.5 06.10.2006 no virus found
Fortinet 2.77.0.0 06.11.2006 no virus found
F-Prot 3.16f 06.09.2006 no virus found
Ikarus 0.2.65.0 06.09.2006 no virus found
Kaspersky 4.0.2.24 06.11.2006 no virus found
McAfee 4781 06.09.2006 no virus found
Microsoft 1.1441 06.10.2006 no virus found
NOD32v2 1.1591 06.10.2006 no virus found
Norman 5.90.21 06.09.2006 no virus found
Panda 9.0.0.4 06.10.2006 no virus found
Sophos 4.06.0 06.10.2006 no virus found
Symantec 8.0 06.11.2006 no virus found
TheHacker 5.9.8.157 06.10.2006 no virus found
UNA 1.83 06.09.2006 no virus found
VBA32 3.11.0 06.09.2006 no virus found

File size: 6774 bytes
MD5: 6f39a5dfb6221f846db4a0c40355e379
SHA1: 870b562193a636d69e03cfcc3a5eefaf4dda5db7

Hallo,

ich meinte nicht die Prefetch Datei, die andere wird auch da sein. In meiner Signatur ist eine Aneitung zum sichbarmachen von Dateien verlinkt. Findest Du die Datei jetzt? Wenn nicht, einfach den Pfad bei virustotal reinkopieren und auf sendn klicken, geht wenn Du auff die Datei zugreifen kannst.
Info zu HwClock, ich wollte nur eine Bestätigung, denka aber das das nicht auffinden es nur umso mehr bestätigt.

Gruß

Schrulli

hier ds neue ergebnis

AntiVir 6.35.0.10 06.10.2006 BDS/Small.EO
Authentium 4.93.8 06.09.2006 W32/Backdoor.BAE
Avast 4.7.844.0 06.09.2006 Win32:Trojano-1124
AVG 386 06.09.2006 BackDoor.Small.27.AQ
BitDefender 7.2 06.11.2006 Backdoor.Small.EO
CAT-QuickHeal 8.00 06.10.2006 Backdoor.Small.eo
ClamAV devel-20060426 06.09.2006 Trojan.SdBot-724
DrWeb 4.33 06.10.2006 BackDoor.IRC.Hwclock
eTrust-InoculateIT 23.72.33 06.10.2006 Win32/Hwbot.6694!Trojan
eTrust-Vet 12.6.2250 06.09.2006 Win32/Cuebot.E
Ewido 3.5 06.10.2006 Backdoor.Small.eo
Fortinet 2.77.0.0 06.11.2006 W32/RPC.WALLZ!worm
F-Prot 3.16f 06.09.2006 security risk named W32/Backdoor.BAE
Ikarus 0.2.65.0 06.09.2006 IM-Worm.Win32.Opanki.O
Kaspersky 4.0.2.24 06.11.2006 Backdoor.Win32.Small.eo
McAfee 4781 06.09.2006 W32/Sdbot.worm.gen
Microsoft 1.1441 06.10.2006 Backdoor:Win32/Small.BX
NOD32v2 1.1591 06.10.2006 Win32/Small.EO
Norman 5.90.21 06.09.2006 W32/Smalldrp.FDM
Panda 9.0.0.4 06.10.2006 Bck/Small.HI
Sophos 4.06.0 06.10.2006 W32/Hwbot-A
Symantec 8.0 06.11.2006 Backdoor.Trojan
TheHacker 5.9.8.157 06.10.2006 Backdoor/Small.eo
UNA 1.83 06.09.2006 Backdoor.Restrict
VBA32 3.11.0 06.09.2006 Backdoor.Win32.Small.eo

File size: 6694 bytes
MD5: 7dc73bfa4d78284155dd5101991eeb34
SHA1: 420b40ce2e07dd94990a8968ff49e07144b41135

Hallo,

wie ich vermutet habe ist es der Backdoor. Also das System grad noch mal aufsetzten, dann alles Updates einspielen bevor Du den Rechner das erste mal ans Internet läßt.
Steht auch alles in der Anleitung zum Neuaufsetzen, die ich in meiner Signatur verlinkt habe.

Gruß

Schrulli

ok, dann versuch ich nochmal mein glück...

Hallo,

wird schon.

Gruß

Schrulli