dringend hilfe: spyware infection !!
 

hab seit gestern diesen blauen hintergrund mit schwarzen kasten und der schrift spyware infection. brauche eure hilfe, leider hab ich nicht soviel ahnung, also wenn versucht mir mit einfachen worten zu helfen.
ich bin für problemlösende antworten sehr sehr dankbar


Logfile of HijackThis v1.99.1
Scan saved at 19:55:29, on 17.12.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\apipd32.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINNT\System32\P2P Networking\P2P Networking.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe
C:\WINNT\netbu32.exe
C:\WINNT\NCLAUNCH.EXe
C:\Programme\0190 Alarm\0190Alarm.exe
C:\Programme\Super\super.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\***\Eigene

Dateien\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Default_Search_URL =

http://www.searchnow.ws/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

res://C:\WINNT\system32\aasiu.dll/sp.html#53142%everything4find.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

res://C:\WINNT\system32\aasiu.dll/sp.html#53142%everything4find.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

res://C:\WINNT\system32\aasiu.dll/sp.html#53142%everything4find.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =

res://C:\WINNT\system32\aasiu.dll/sp.html#53142%everything4find.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

res://C:\WINNT\system32\aasiu.dll/sp.html#53142%everything4find.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

res://C:\WINNT\system32\aasiu.dll/sp.html#53142%everything4find.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

res://C:\WINNT\system32\aasiu.dll/sp.html#53142%everything4find.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer =

http=surfproxy.freenet.de:8080
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: Class - {8F180F99-29E4-C8C1-AA50-A4005B9DA669} - C:\WINNT\system32\syswn32.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} -

C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN

Toolbar\01.01.1601.0\de\msntb.dll (file missing)
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programme\ISTbar\istbarcm.dll

(file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} -

C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINNT\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"

-osboot
O4 - HKLM\..\Run: [Video Services] explore.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [RAM Idle Professional] C:\Programme\RAM Idle\RAM_XP.exe
O4 - HKLM\..\Run: [svckernell] c:\windows\svckernell.com
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [JVM0.14] C:\WINNT\System32\gbybpvwk.exe
O4 - HKLM\..\Run: [HDAudio Driver] C:\WINNT\System32\gjqq.exe
O4 - HKLM\..\Run: [HDAudio Driver 1.0] C:\WINNT\System32\vrvlef.exe
O4 - HKLM\..\Run: [WinConfig9324] wincfgkop9.exe
O4 - HKLM\..\Run: [HDAudio Driver 2.0] C:\WINNT\System32\hwjbur.exe
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Programme\Samsung\Samsung Media

Studio\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [appfe.exe] C:\WINNT\system32\appfe.exe
O4 - HKLM\..\Run: [7.tmp] C:\DOKUME~1\***\LOKALE~1\Temp\7.tmp.exe
O4 - HKLM\..\Run: [9.tmp] C:\DOKUME~1\***\LOKALE~1\Temp\9.tmp.exe
O4 - HKLM\..\Run: [7.tmp.exe] C:\DOKUME~1\***\LOKALE~1\Temp\7.tmp.exe
O4 - HKLM\..\Run: [9.tmp.exe] C:\DOKUME~1\***\LOKALE~1\Temp\9.tmp.exe
O4 - HKLM\..\Run: [ieek32.exe] C:\WINNT\ieek32.exe
O4 - HKLM\..\Run: [netbu32.exe] C:\WINNT\netbu32.exe
O4 - HKLM\..\RunServices: [Video Services] explore.exe
O4 - HKLM\..\RunServices: [WinConfig9324] wincfgkop9.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINNT\NCLAUNCH.EXe
O4 - HKCU\..\Run: [0190 Alarm] C:\Programme\0190 Alarm\0190Alarm.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O8 - Extra context menu item: &ICQ Toolbar Search -

res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with &ZipScan - C:\PROGRA~1\ZIPSCA~1\zs_ie.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} -

C:\Programme\LingoCom\Translator.lnk (file missing)
O9 - Extra 'Tools' menuitem: Translator - {87680762-4A83-11B4-885B-0000E8ECA40F} -

C:\Programme\LingoCom\Translator.lnk (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -

C:\WINNT\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .bmp: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) -

http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{945CB89E-ADB4-45BB-A656-B0A5EC060B4F}: NameServer =

192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC288C5E-D77A-4117-B3A9-D140F19B9024}: NameServer =

62.104.191.241 62.104.196.134
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner -

C:\WINNT\system32\mfcxk32.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH -

C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany -

C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin -

C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS

Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Netzwerk-DDE-Dienst (NetDDE) - Unknown owner - C:\WINNT\system32\netdde.exe (file

missing)
O23 - Service: Netzwerk-DDE-Serverdienst (NetDDEdsdm) - Unknown owner -

C:\WINNT\system32\netdde.exe (file missing)
O23 - Service: License Event Messaging (WksPatch) - Unknown owner -

C:\WINNT\System32\drivers\svchost.exe (file missing)

So, so...
das, was Du beschreibst, ist Dein kleinstes Problem.
Du hast mindestens zwei aktive Backdoor-Trojaner auf dem System, was unter anderem auch an deinem ungepatchten Rechner liegt.
Einmal der hier, mit folgenden Eigenschaften:
- Teilnehmen an Denial-of-Service-Attacken
- Herunterladen von Updates und anderen Dateien
- Auflisten, Erstellen und Beenden von Prozessen und Diensten
- Remote-Commandshell
- Speichern von Tastenfolgen
- Löschen von Dateien
- Löschen von Netzwerkfreigaben
- Änderungen an der Registrierung
- Stehlen von Systemdaten
- Senden von Dateien via DCC
- Ausnutzen von Sicherheitslücken
- Überwachen des Netzwerkverkehrs

Die einzige Möglichkeit, hier Klarheit zu schaffen, ist ds System neu aufzusetzen.
Also, Rechner vom Netz (Du bist eine Gefahr für alle anderen) und genau so vorgehen, wie in dem Link beschrieben. Dann bist du den ganzen anderen Schrott, der 75 % Deines rechners einnimmt, auch los...
cacatoa