Hilfe: Dialer oder Trojaner Problem

Hi
ich habe ein Problem und zwar hatte ich vor kurzem den Dialer Internet Optimizer auf meinem System,
dieser hatte sich selbst 2mal auf meinem System Abgelegt (c:\windows\ und c:\dokumente und einstellungen\...)
Diesen habe ich dann aber mit dem Programm Spybot Search and Destroy entfernen können.
Selbst bei einem Neustart ist die Datei: optimize.exe nicht mehr unter den laufenden Prozessen.
Ich habe auch einen Kompletscan mit Norton Antivirus 2004 gemacht und in meiner Firewall den Prozess Komplett blockiert.

Das Problem ist aber das sich nun direkt nach dem Neustart oder einige Zeit nachdem der PC gelaufen ist ein
Internetverbindungsfenster öffent (ein ganz normales Internetverbindungsfenster mit dem ich mich auch normalerweise ins Netz einwähle)
und das obwohl ich keine Anwendung habe bzw. gestartet habe welche versuchen würde alleine online zu gehen,
die Vorgeschlagene Verbindung entspricht meiner Standart Online Verbindung.

Das Merkwürdige ist aber das selbst wenn ich diese Anmeldung bestätige, sich keine Anwendung zeigt, weder öffnet sich der Browser noch erscheint
in der Taskleiste eine neue anwendung.

Woran kann das liegen und warum können weder Spybot Search and Destroy, Adaware noch Norton Antivirus 2004 jeweils in der Neusten Version
irgenteine Dialer oder Trojaner Anwendung finden?
Und gibt es denn eine Möglichkeit womit ich erkennen kann welche anwendung dort verucht online zu gehen ?
Ich habe auch meine Laufenden Prozesse bei google gesucht und konnte nicht eine gefährliche anwendung finden!
Kann es sein das Windows irgenteinen System Prozess besitzt womit eine Verbindung zum Netz aufgebaut werden kann (z.b. zeitlich gesteuert oder so)

Ich habe gerade Festgestellt das ich auch meine IE Startseite nicht mehr ändern kann, es ist zwar noch meine Standartstartseite eingetragen aber das
Eingabefeld ist nicht mehr anwählbar es ist so dunkel wie der Hintergrund bzw. wie ein Feld welches erst durch die Anwahl einer Checkbox oder ähnlichem
Anwählbar wird.

Mein System:
WinXP SP1


verschoben aus WinXP

Ich habe mit Hijack This mal ein Logfile erstellt vieleicht kann jemand damit etwas anfangen:

Logfile of HijackThis v1.97.7
Scan saved at 15:27:44, on 19.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\System\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Trust\350SX CRADLE MOUSE WIRELESS OPTICAL\lwbwheel.exe
D:\Programme\CD-Brenner\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\rundll32.exe
D:\Programme\System\Norton AntiVirus\AdvTools\NPROTECT.EXE
D:\Programme\Windows-Tools\IconSaver\IconSaver.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Sound\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
D:\Programme\Sound\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Programme\Internet\SETI@home\[email protected]
D:\Programme\System\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
D:\Programme\Sound\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\WINDOWS\System32\javaw.exe
D:\Programme\Internet\GetRight\GETRIGHT.EXE
D:\Programme\Internet\GetRight\GETRIGHT.EXE
D:\PROGRA~1\Internet\ICQ\ICQ.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\download\hijackthis\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.assi.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0DA08C9C-2B35-4BF3-98F4-2C993C9A2C4B} - C:\WINDOWS\yhahjbx.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\WINDOW~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\System\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\System\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Trust\350SX CRADLE MOUSE WIRELESS OPTICAL\lwbwheel.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] D:\Programme\CD-Brenner\Elaborate Bytes\CloneCD\ElbyCheck.exe /L ElbyCDFL
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] D:\Programme\Datei\QuickTime\qttask.exe -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] D:\Programme\CD-Brenner\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Datei\Winamp5\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IconSaver] D:\Programme\Windows-Tools\IconSaver\IconSaver.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~1\System\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [CTSysVol] D:\Programme\Sound\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] D:\Programme\Sound\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [RunDLL] rundll32.exe C:\WINDOWS\Downloaded Program Files\bridge.dll,Load
O4 - HKLM\..\Run: [wfxz] C:\WINDOWS\gqmxy.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [seticlient] D:\Programme\Internet\SETI@home\[email protected] -min
O4 - HKCU\..\Run: [Steam] D:\Spiele\Sierra\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [H/PC Connection Agent] C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [RemoteCenter] D:\Programme\Sound\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Datei\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PowerISDNMonitor 4 (Autostart).lnk = D:\Programme\ISDN\PowerISDNMonitor\pimjava.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with GetRight - D:\Programme\Internet\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\Datei\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\Internet\GetRight\GRbrowse.htm
O9 - Extra->Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
O9 - Extra->Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra->Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra->Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: concept/design's onlineTV (HKLM)
O15 - Trusted Zone: http://www.posthuman.de
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - h*tp://w*w2.flingstone.com/cab/2000XP/CDTInc/bridge-c1.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37866.7359722222
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - h*tp://cabs.roings.com/cabs/roing.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6825AC66-EBEA-441D-8A5C-CA9067359225}: NameServer = 217.5.114.141 194.25.2.129

braindead schrieb:

C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe

Zum Vergrößern anklicken....

Ich zitiere mal unseren hier verlinkten Tipp von der Hauptseite:
Nach dem Download schließt man zuerst alle Browserfenster und startet die HijackThis.exe
http://www.wintotal-forum.de/?board=35;action=display;threadid=33317


Ansonsten ist da noch so einiges, was nicht da sein sollte, also du hast bei weitem nicht alles entfernt, was Viren, Trojaner oder Dialer angeht. Später dazu mehr, dein Logfile erfordert einiges an Zeit und Aufwand.

In der Zeit solltest du dir aber schon mal Gedanken über eine komplette Neuinstallation deines Systems machen, denn hier können wir dir zwar evtl. kurzzeitig Abhilfe verschaffen, aber es ändert nichts daran, daß dein System mal veseucht und jetzt daher unsicher ist.

C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe

Verdächtig.

C:\WINDOWS\SOUNDMAN.EXE

Verdächtig. Wird mittlerweile von Malware als Tarnung benutzt.

O2 - BHO: (no name) - {0DA08C9C-2B35-4BF3-98F4-2C993C9A2C4B} - C:\WINDOWS\yhahjbx.dll

Weg.

O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll

Weg.

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

s.o.

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

Verdächtig.

O4 - HKLM\..\Run: [RunDLL] rundll32.exe C:\WINDOWS\Downloaded Program Files\bridge.dll,Load
O4 - HKLM\..\Run: [wfxz] C:\WINDOWS\gqmxy.exe

Weg.

O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - h**p://w*w2.flingstone.com/cab/2000XP/CDTInc/bridge-c1.cab

Weg.

O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - h**p://cabs.roings.com/cabs/roing.cab

Weg.

Mein System ist nachweislich sauber - und soundman.exe ist drauf ( als teil von Realtek Soundtreiber) und ich hab es in HKLM/Run deaktiviert - weil ich es nicht brauch - Frage wäre ggf ist die vorhandene soundman.exe von der richtigen Grösse und am richtigen ort..........

aninemo schrieb:

Mein System ist nachweislich sauber - und soundman.exe ist drauf

Zum Vergrößern anklicken....

Darum ja auch Verdächtig und nicht Weg als Kommentar.

Jo - schon ok - ich meinte es als Ergänzung :-*

Danke auch ich hab die entsprechenden Datein und Einträge gelöscht und es Scheint gefunzt zu haben.
nochmals danke