Hi Leute!

Der Arbeits-PC meiner Mutter spielt total verrückt. Mal kann er Mails von GMX erkennen, mal werden sie weiß auf weiß abgebildet. Es liegt weder an der Hardware noch an den Einstellungen im Browser oder in GMX.

Denke eigentlich nicht, dass der PC mit etwas behaftet ist, wollte die Möglichkeit eines fiesen Programms im Hintergrund aber lieber ausschließen.
Falls sich also jemand von euch die Logfile anschauen könnte, wäre das supernett.

Danke!

Logfile of HijackThis v1.99.1
Scan saved at 14:16:48, on 02.07.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2462.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\mnmsrvc.exe
C:\WINDOWS\system32\regsvc.exe
C:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Microsoft Update] explore.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Global Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: (no name) - {233A9694-667E-11d1-9DFB-006097D5040A} - (no file)
O9 - Extra button: Kontakte - {9239E4EC-C9A6-11D2-A844-00C04F68D538} - C:\Programme\Internet Explorer\iecont.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://hcshop.dyndns.org/tsweb/msrdp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{61C67654-90E2-4BCA-AAC3-7B3A699925C5}: NameServer = 10.16.0.1
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: RVS Installer (RVSINST) - RVS Datentechnik GmbH, München - C:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Gibt es niemanden, der kurz etwas dazu sagen könnte? Ich kenn mich halt nicht gut genug aus, um die automatische Analyse interpretieren zu können.

Das sieht stark nach ..bot aus:

O4 - HKCU\..\Run: [Microsoft Update] explore.exe

und das sieht auch nicht vertrauenserweckend aus:
O9 - Extra button: Kontakte - {9239E4EC-C9A6-11D2-A844-00C04F68D538} - C:\Programme\Internet Explorer\iecont.dll

Du kannst dein Antivir mal so einstellen, wie hier beschrieben:
http://www.trojaner-board.de/showthread.php?t=54192

Im Zweifelsfalle mache noch einen Kontrollscan mit Drweb CureIT im abgesicherten Modus: ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe bzw:
http://download.drweb.com/drweb+cureit/

Spitze, danke für die Antwort. Vielleicht hats ja doch damit zu tun. Werde ich mal machen und melde mich dann wieder.

Gruß

Max

Hi Leute, da bin ich wieder.

Also: Ich habe die EInstellungen bei Antivir jetzt verändert und er meldet mir auch einige Dateien - nur nur gelingt es mir nicht, die Dateien in Quarantäne zu stellen. Der Scanner meldet die Datein als gefunden, aber keine als verschoben oder in Quarantäne. Macht AV das automatisch?

Such aus dem Antivir Report heraus, was es geFUNDen hat.

Das solltest du auch nicht vergessen:


Im Zweifelsfalle mache noch einen Kontrollscan mit Drweb CureIT im abgesicherten Modus: ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe bzw:
http://download.drweb.com/drweb+cureit/

Ok, danke. Dauert nur ein bisschen, weil inzwischen mein Vater die Sachen am Laptop machen muss, weil ich wieder beim Studieren bin. Deshalb hatte ich auch keine genauen Infos.