Seit DSL-Betrieb Problem mit Norton

Ich weiß nicht ob ich im richtigen Forum schreibe.
Mein Kumpel hat ein Problem. Sein PC war bisher funktionierend und abgesichert-nach unserem besten Wissen. WinXP,SP2,NIS 2003,Ad-Aware,Spybot,hijackThis,Stinger - gepflegt, alle Updates.
Am 10.01.05 hat er dsl mit dsl-Modem installiert.PC und DSL laufen ohne Schwierigkeiten.Wenn er aber so 10 Min. online ist, meckert Norton und wirft so 15-20 kleine Hinweistäfelchen auf den Monitor. Sie enthalten jeweils eine andere unbekannte eMailadresse und der Hinweis lautet : Die eMail ...konnte nicht gesendet werden. Klickt man diese Tafeln fort, geht das ganze Theater von vorne los.
Suche mit all unseren oben genannten Hilfsprogrammen (auch im abgesicherten Modus) brachten keine Diagnose.
Auffällig ist nur, daß im Speedmanager unter Sept. und Okt. 2004 mehrere in die Millionen gehenden Megabytes eingetragen sind. Danach ist dann seit dem 10.01.05 der korrekte Voumenverbrauch verzeichnet.
Ich weiß, daß alles etwas kurios klingt. Ist aber die gegebene Situation, und da wir nicht die Megaexperten sind, wissen wir nicht weiter. :-[
Er geht t-online mit t-online-Browser.
Hat jemand eine Idee, was wir noch machen können

verschoben von Windows XP

Byrdie schrieb:

Die eMail ...konnte nicht gesendet werden. Klickt man diese Tafeln fort, geht das ganze Theater von vorne los.

Zum Vergrößern anklicken....

klingt, wie wenn der rechner deines kumpels als spam-schleuder genutzt wird ... das wird aber durch viren/trojaner verursacht und da ihr ja scheinbar die richtigen tools eingesetzt habt und die nichts finden, ist es natürlich schwierig einen tip zum beseitigen der ursache zu geben. postet mal ein hijackthis-log hier rein, vielleicht kann man was rausfinden ...

greetz

hugo

Habe mir gerade ein neues hijack log im abgesicherten Modus schicken lassen.
Hier finde ich plötzlich wieder diese verflixte serm32.exe. Wir haben sie vor 2 Monaten schon einmal eliminiert.
Alle Kontrollen waren bisher negativ.
Wie werden wir den Plagegeist denn auf Dauer los?
Und wie bekomme ich das Protokoll in dieses Forum?
Danke im Voraus
Gruß
Byrdie

Entschuldigung!!!!!!
falsch gepostet, der hat mir doch tatsächlich die log's vom November gemailt!!!!!!
Neue Informationen folgen sofort, wenn die aktuellen log's vorliegen.
Bitte - ich brauche aber die Information, wie ich diese ins Forum bekomme.
Danke
Bxrdie

Hallo Byrdie
Log file mit Notepad öffnen. Alles markieren dann mit der rechten Maustaste kopieren und dann als Text hier reinstellen.

Der Beachelch 8)

Logfile of HijackThis v1.98.2
Scan saved at 15:09:03, on 30.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\install.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\KLAUSK~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis1982.zip\HijackThis.exe
C:\WINDOWS\System32\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.4mbo.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 EPSON Stylus C62 Series /O6 USB001 /M Stylus C62
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [PE2CKFNT] C:\Programme\Ulead Systems\Ulead Photo Express 2\ChkFont.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Spool] C:\install.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [T-DSL SpeedMgr] C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.4mbo.de

Hier das hijack log von heute.
Danke für die Hilfe , hat prima geklappt.
Gruß
Byrdie

Byrdie schrieb:

Running processes:
C:\install.exe

Zum Vergrößern anklicken....

Was ist das? Task beenden (über den Taskmanager abschießen) und anschließend

O4 - HKLM\..\Run: [Spool] C:\install.exe

Zum Vergrößern anklicken....

fixen!

Bye,
Freudi

Hallo Freudi,
vielen Dank für die Hilfe.
Wir haben heute install.exe eliminiert und alles ist bestens !!!!!!
;D
Gruß
Byrdie