Ok, hab die Datei erhalten. Das dauert jetzt so 10 - 15 Minuten .

na ich hab nix anderes vor.... ich warte ;-)

Ok, die Erkennung ist legitim. Die Datei verursacht die von Dir beobachteten Popups. Zeit sie loszuwerden .

Geh auf http://download.bleepingcomputer.com...re/KillBox.zip und lad die ZIP Datei herunter. Die entpackst Du dann und startest die "Killbox.exe" Datei. Wenn Du das gemacht hast, siehst Du in etwa diesen Bildschirm:

Dort trägst Du oben ins Feld den Pfad zu der Datei ein. In deinem Falle "C:\Windows\System32\MSAPI32.EXE". Dann aktivierst Du "Delete On Reboot" und klickst auf den Delete Button (Roter Kreis mit dem X - auf dem Bild der Button der Blau umrahmt ist). Das ganze sieht dann so aus bei Dir ca.:

Sobald Du die Datei gelöscht hast, starte den Rechner neu. Evtl. wird das Programm Dich auch zu dem Neustart auffordern. Sobald Du das gemacht hast poste bitte nochmal einen HijackThis Log um sicher zu gehen, daß Du "clean" bist .

also das popup is weg ;-) cooooool ;-)

hier die aktuelle HijackThis file:

Logfile of HijackThis v1.99.1
Scan saved at 20:08:05, on 19.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\COSIDS\BIN\TbMux32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\COSIDS\APACHE~1\APACHE\ApchT2kW.exe
C:\PROGRA~1\COSIDS\APACHE~1\APACHE\ApchT2kW.exe
C:\PROGRA~1\JAVASOFT\JRE\132E6D~1.1\bin\java.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Norman\LOKALE~1\Temp\Rar$EX00.688\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161278387687
O16 - DPF: {9B17FE0E-51F2-4692-8B32-8EFB805FC0E7} (HPObjectInstaller Class) - http://h30155.www3.hp.com/ediags/dd/install/guidedsolutions.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E43D0B36-ECB7-458E-8053-03CB7B385691}: NameServer = 85.255.113.90,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{F893AC30-8B19-4555-927B-01B6847F07F4}: NameServer = 85.255.113.90,85.255.112.5
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.90 85.255.112.5
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.90 85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.90 85.255.112.5
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: COSIDS_TB - TransAction Software, D 81737 Munich - C:\PROGRA~1\COSIDS\BIN\TbMux32.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: SymWMI Service (SymWSC) - Unknown owner - (no file)
O23 - Service: TIS 2000 Apache Web Server - Unknown owner - C:\PROGRA~1\COSIDS\APACHE~1\APACHE\ApchT2kW.exe
O23 - Service: WMI-Leistungsadapter (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe (file missing)

Prima, schaut ganz gut aus jetzt . Das Wichtigste ist jetzt, Dein System upzudaten, damit Du in Zukunft von solcherlei Ungeziefer verschont bleibst.

windows hab ich schon geupdated wärend du meine file angeschaut hast ;-)

isch dank dir freundlischst.... juute nacht ;-)

lg
yvonne

Nochmal zu Hijackthis:

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{E43D0B36-ECB7-458E-8053-03CB7B385691}: NameServer = 85.255.113.90,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{F893AC30-8B19-4555-927B-01B6847F07F4}: NameServer = 85.255.113.90,85.255.112.5
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.90 85.255.112.5
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.90 85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.90 85.255.112.5

Diese Einträge sind kritisch, denn die dazugehörigen IP-Adressen stammen aus der Ukraine:
Whois Record
inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

Zitat:

O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab

Auch mit hoher Wahrscheinlichkeit Malware.

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Und hier liegt der Hase im Pfeffer, denn das System ist ungepatcht (kein SP2) und somit verwundbar. Auch wenn nun die vermeintlichen Popups nicht mehr auftreten ist m.E. immer noch einiges an Mist im System drin, den Du wirklich sicher nur mit einem Neuaufsetzen wegbekommst.