Programm legt sich selbst in den Autostart

#1 Seit einiger Zeit wird bei jedem Neustart im Hintergrund Winrar (oder ein Programm das sich als WinRar ausgibt) ausgeführt. (zu sehen im Taskmanager)
Im Programm selber und über den Autostart (über TuneUp) konnte die Ausführung nicht verhindert werden. Ich habe WinRar jetzt zwar deInstalliert, die Anwendung wird aber weiterhin bei jedem Neustart im Hintergrund aufgerufen und bremst das System aus.

Ich hoffe das passt einigermassen in diesen Bereich. Was auch immer das ist was dort seinen Schabernack treibt, es wird weder von AdAware, Spybot oder der aktuellsten AntiVir-Version gefunden.

#2 http://mjc1.com/mirror/hjt/

Bitte runterladen und log posten
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#3 Schau ob du das Programm nicht mit "msconfig" abstellen kannst!
Gib unter: Start/Ausführen "msconfig" ein,darin in Systemstart das programm entfernen.Danach in der Registry stöbern,und löschen
__________
Meine Internetpräsenz

#4 Danke für den Tip mit msconfig, hier mal die Logfile. Ich kenn mich da nicht so besonders gut mit aus aber da sind einige Einträge die mir sehr suspekt erscheinen. Ich habe den Block der mir besonders dubios erschien mal dick gekennzeichnet. Wie vollzieh ich am besten nach welche Anwendungen woher stammen ?

Logfile of HijackThis v1.97.7
Scan saved at 21:14:46, on 18.01.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\1&1 PROGRAMME\CFOS\CFOSDW.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\FRITZ!DSL\AWATCH.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\ICSMGR.EXE
C:\WINDOWS\SYSTEM\KHOOKER.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
E:\SECURITYTOOLS ANTI-CWS\HIJACKTHIS.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
F1 - win.ini: run=C:\PROGRA~1\1&1PRO~1\CFOS\CFOSDW.EXE
O1 - Hosts: 64.237.53.4 ad.doubleclick.net
O1 - Hosts: 64.237.53.4 aff.weatherbug.com
O1 - Hosts: 209.87.155.230 date.com
O1 - Hosts: 64.237.53.4 doubleclick.net
O1 - Hosts: 64.237.53.4 my.search
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\PROGRAMME\ACROBAT READER 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ICSMGR] ICSMGR.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\SYSTEM\khooker.exe
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O8 - Extra context menu item: Download with GetRight - E:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - E:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Translate (HKLM)
O9 - Extra 'Tools' menuitem: Translator (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw-intl.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37869.2477199074
O16 - DPF: {F5820AD3-9B20-423E-B2AA-7AF2B4055746} (CRegistryDownload Class) - http://download.paltalk.com/download/0.x/regdload.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.122.252,192.168.122.253

#5 Hast du die neueste Referenzdatei von Ad-Aware? Meiner Meinung nach sieht das nach Spyware aus. Da diese ja direkt eine IP aufsuchen. Wenn du diese nicht löschen kannst, erstelle dir in C:Windows eine Datei namens HOSTS ohne ihr eine Endung zugeben.Trage die Adressen in etwa so da ein: 127.0.0.1 ad.doubleclick.net
127.0.0.1 aff.weatherbug.com u.s.w dann kriegen diese keine Verbindung mehr nachhause.
__________
Meine Internetpräsenz

#6 Das könnte dir ebenfalls helfen:
http://www.merijn.org/files/CWShredder.exe

Ansonsten mit highjackthis die 01ser fixen

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)