Hallo,

habe mir irgendwie einen Trojaner eingesammelt. Als Birus-Meldung kommt immer: YazzleActiveX.ocx und jetzt habe ich auch das Problem, daß er dauernd Spyware-Software anbieten will...

Habe schon ein HijackThis Log-File gemacht.

Könnt ihr mir möglichst schnell helfen???

Habe mein Ad-Aware drüber laufen lassen und die 8 gefundenen Objekte entfernt, aber er kommt immer wieder. Plötzlich geht einfach der IE auf, obwohl ich sonst mit Firefox arbeite etc.

Hier also das File und danke für die Hilfe!!!

Logfile of HijackThis v1.99.1
Scan saved at 11:49:12, on 05.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\Dit.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trillian\trillian.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\atmclk.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Aware.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\LOKALE~1\Temp\Rar$EX02.329\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5f4c3d09-b3b9-4f88-aa82-31332fee1c08} - C:\WINDOWS\system32\hp100.tmp
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [CICache] CICache.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Device Detector 3.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144574037468
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144574029515
O20 - Winlogon Notify: winhab32 - C:\WINDOWS\SYSTEM32\winhab32.dll
O21 - SSODL: furnariidae - {89e4aaba-3b21-49b3-b922-8ca35193c68e} - C:\WINDOWS\system32\zlara.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: PMounter - Unknown owner - C:\WINDOWS\system32\PMounter.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe


Liebe Grüße ( er meldet sich hier mit der Spyware alle 10 Sekunden *nerv*)

Kathi

Probiers mal mit http://siri.urz.free.fr/Fix/SmitfraudFix_De.php

Wobei ich mir nicht sicher bin, ob noch eine L2M-Verseuchung vorhanden ist.

Zitat:

Zitat von spatzkatz

Könnt ihr mir möglichst schnell helfen???

Na da wollen wir mal schauen.....
Dies sind Deine Probleme:

Zitat:

Zitat von spatzkatz

C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\atmclk.exe

Lösung: ( Zitat von Wildone )
führe Smitfraudfix wie hier beschrieben aus, du kannst es gleich mit der Option "2" machen. Dann postest du die Datei C:\rapport.txt und berichtest ob das Problem noch besteht.


Scanne zusätzlich dein System mit Rootkitrevealer, während dem Scan nichts anderes machen! Poste danach das Logfile (File>>Safe)


Weiterhin mal bitte folgende Datei bei Jotti und Virustotal auswerten lassen. Das Ergebnis bitte mitteilen!
C:\WINDOWS\SYSTEM32\winhab32.dll


Gruß Mellosun


EDIT: wieder zu langsam...

HAllo,

erstmal danke für die Hilfe. Habe Smitfraudfix erst einmal ausgeführt. Die Probleme scheinen behoben zu sein. Wenn ich den IE aufmache, kommt kein "about:blank" mehr und esmeldet sich auch der Virenscanner nicht mehr.

Soll ich die weiteren Punkte (Rootkitrevealer) dennoch ausführen?

Hier erst einmal der Rapport nach Smitfraudfix:

SmitFraudFix v2.67

Scan done at 12:42:51,14, 05.07.2006
Run from D:\Internetdateien\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"furnariidae"="{89e4aaba-3b21-49b3-b922-8ca35193c68e}"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\atmclk.exe Deleted
C:\WINDOWS\system32\dcomcfg.exe Deleted
C:\WINDOWS\system32\hp???.tmp Deleted
C:\WINDOWS\system32\ld???.tmp Deleted
C:\WINDOWS\system32\ot.ico Deleted
C:\WINDOWS\system32\regperf.exe Deleted
C:\WINDOWS\system32\simpole.tlb Deleted
C:\WINDOWS\system32\stdole3.tlb Deleted
C:\WINDOWS\system32\ts.ico Deleted
C:\WINDOWS\system32\1024\ Deleted
C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted
C:\DOKUME~1\KATHAR~1\FAVORI~1\Antivirus Test Online.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"furnariidae"="{89e4aaba-3b21-49b3-b922-8ca35193c68e}"



»»»»»»»»»»»»»»»»»»»»»»»» End



DAnke für die Hilfe!

Hallo spatzkatz,

Zitat:

Soll ich die weiteren Punkte (Rootkitrevealer) dennoch ausführen?

Kommt drauf an...
Wenn du annimmst das derjenige einfach nur irgendwas dir aufgeschrieben hat,dann kannst du es natürlich lassen...
Wenn du aber davon ausgehst das derjenige sich Mühe gegeben hat dir nützliche Tipp`s zukommen zu lassen und das Ganze nicht umsonst geschrieben hat......ab hier selber zuende denken
Irrlicht

Muss erst mal nicht sein. Was mich noch interessieren würde, wäre das Ergebnis des Onlinescans dieser Datei:
C:\WINDOWS\SYSTEM32\winhab32.dll


Das meinte ich mit L2M. Und Mellosun hat die auch im Verdacht.

Edit
@Moinsen Irrlich
Auch schon wach?

Guter Riecher...

Hier die Auswertung

Zu überprüfende Datei: winhab32.dll - Infiziert
winhab32.dll Infiziert: Packed.Win32.Klone.g

Statistiken:
Bekannte Viren: 204768 Updated: 05-07-2006
Größe der Datei (Kb): 18 Viren-Korpus: 1
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0


Und nun???

Und hier noch das Ergebnis von Virustotal:

Complete scanning result of "winhab32.dll", received in VirusTotal at 07.05.2006, 13:14:21 (CET).

Antivirus Version Update Result
AntiVir 6.35.0.20 07.05.2006 TR/PCK.Klone.G.5
Authentium 4.93.8 07.05.2006 no virus found
Avast 4.7.844.0 07.05.2006 no virus found
AVG 386 07.04.2006 no virus found
BitDefender 7.2 07.05.2006 no virus found
CAT-QuickHeal 8.00 07.04.2006 no virus found
ClamAV devel-20060426 07.04.2006 no virus found
DrWeb 4.33 07.05.2006 Trojan.Mezzia
eTrust-InoculateIT 23.72.59 07.04.2006 no virus found
eTrust-Vet 12.6.2287 07.05.2006 no virus found
Ewido 3.5 07.05.2006 no virus found
Fortinet 2.77.0.0 07.05.2006 W32/Klone.G
F-Prot 3.16f 07.05.2006 no virus found
F-Prot4 4.2.1.29 07.05.2006 no virus found
Ikarus 0.2.65.0 07.04.2006 no virus found
Kaspersky 4.0.2.24 07.05.2006 Packed.Win32.Klone.g
McAfee 4799 07.04.2006 no virus found
Microsoft 1.1481 07.01.2006 no virus found
NOD32v2 1.1644 07.04.2006 no virus found
Norman 5.90.23 07.05.2006 no virus found
Panda 9.0.0.4 07.04.2006 Adware/SuperSpider
Sophos 4.07.0 07.05.2006 no virus found
Symantec 8.0 07.05.2006 Trojan.Nebuler
TheHacker 5.9.8.169 07.04.2006 no virus found
UNA 1.83 07.04.2006 no virus found
VBA32 3.11.0 07.04.2006 no virus found
VirusBuster 4.3.7:9 07.04.2006 no virus found

Aditional Information
File size: 18432 bytes
MD5: 2a7dd498260aeb0a88793b1bb08dea18
SHA1: 4f3fe146acd3601cd36efa3c9853dbc946372a78
packers: PecBundle, PECompact

Zitat:
Soll ich die weiteren Punkte (Rootkitrevealer) dennoch ausführen?


Jetzt ja.

Zusätzlich noch:
Prüfe Dein System mit Ewido Antimalware 3.5 Link dazu http://www.ewido.net/de/

Und ein neues Log von HJT

Jetzt ist auch der Rootkitrevealer fertig.

Kann da bitte nochmal jemand drüber schauen???

DANKE!

HKLM\SOFTWARE\Adobe Systems\Licenses\Adobe LM Service\ 05.07.2006 10:12 96 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Classes\CLSID\{551E7168-6B6B-73F4-2358001EBB1BFA13}\{9EB39097-9AF5-4CC7-A66D04881D6D8211}\{B54D5FC9-25C8-0FB7-F96BD94B39BD18AF}* 09.04.2006 15:47 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{564572D7-BA6B-A81E-17332C14105A24EF}\{35AC4256-1B84-66D8-7C4583AC3B4AA35B}\{791C0703-8CF5-813B-67470F66B09458B3}* 09.04.2006 15:47 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{702B63A9-DFCB-3E43-C2B76BFD1C9BA57E}\{DAB6776A-2CC2-16F5-322B07855BE30B9F}\{5F22963C-84D9-05FE-828BE8E6312814FD}* 09.04.2006 15:47 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{98E28BE4-118A-EA39-3FE2FDF7E232D89B}\{DFE81EF0-16B2-5E63-9055890879FD5BFF}\{9E285E3F-FD34-EDAD-0EA00DDB13898C03}* 09.04.2006 15:47 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{D6C53DCC-FBE6-A484-895E707488E1192C}\{427B1CEB-CDC7-050B-E6202C9404952D54}\{86A51E58-9B8E-E4EB-26F8074E7F2FD295}* 09.04.2006 15:47 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DCB42C02-2C7E-50EC-E2B5A792F7765BFB}\{38286259-1A12-EDE0-84E2CD6A1D76E8F7}\{2C2658AF-F73E-73C6-89D45D0D6FCCCFF2}* 09.04.2006 15:47 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\McShield\szLastScanned 05.07.2006 13:50 272 bytes Windows API length not consistent with raw hive data.
HKLM\SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\McShield\dwFilesScanned 05.07.2006 13:50 4 bytes Data mismatch between Windows API and raw hive data.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\00883E4Dd01 05.07.2006 14:01 22.94 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\01BE6461d01 05.07.2006 09:50 23.01 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\01F1E226d01 05.07.2006 14:13 243 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\0346ADABd01 05.07.2006 14:17 17.01 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\03DBD649d01 05.07.2006 14:07 20.26 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\041A199Bd01 05.07.2006 09:59 22.85 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\04A2F13Ed01 05.07.2006 09:56 17.87 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\075AC970d01 05.07.2006 14:13 241 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\08BA92D2d01 05.07.2006 14:08 22.82 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\08E21021d01 05.07.2006 14:08 9.14 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\0A967F87d01 05.07.2006 14:19 45.37 KB Visible in directory index, but not Windows API or MFT.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\0B12DCBBd01 05.07.2006 14:17 21.19 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\0B13DCBBd01 05.07.2006 14:17 21.01 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\0B14DCBBd01 05.07.2006 14:15 21.40 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\0B15DCBBd01 05.07.2006 14:15 21.55 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\0EC27DD1d01 05.07.2006 09:50 93.11 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\118F02FEd01 05.07.2006 14:10 18.89 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\126E18E2d01 05.07.2006 13:59 16.30 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\12D2C64Cd01 05.07.2006 14:14 30.16 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\13DEA459d01 05.07.2006 14:11 27.51 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\1781CACDd01 05.07.2006 09:50 181.73 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\179767E8d01 05.07.2006 13:58 3.90 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\18E21021d01 05.07.2006 14:10 6.36 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\18FE5E8Cd01 05.07.2006 14:18 3.90 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\1A3A80D0d01 05.07.2006 14:13 20.83 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\1A3BCC55d01 05.07.2006 14:19 5.36 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\1A7B05E6d01 05.07.2006 14:07 3.90 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\1B43EEA3d01 05.07.2006 14:16 59.99 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\1CDD0804d01 05.07.2006 14:06 20.34 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\1FC5F0B9d01 05.07.2006 08:35 122.17 KB Visible in Windows API, MFT, but not in directory index.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\20706FE4d01 05.07.2006 10:07 31.34 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\21DCD46Ed01 05.07.2006 09:54 34.16 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\220BAB63d01 05.07.2006 14:07 30.14 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\224D95AEd01 05.07.2006 09:50 90.03 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\23064475d01 05.07.2006 10:05 16.92 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\23E1F98Bd01 05.07.2006 09:58 18.57 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\24C8E416d01 05.07.2006 14:01 21.39 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\25C18859d01 05.07.2006 10:03 17.35 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\25F84BBFd01 05.07.2006 10:05 69.71 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o7doceh1.default\Cache\26172DA2d01 05.07.2006 14:11 177.21 KB Hidden from Windows API.

TEIL 2:

Das geht wie vorher ewig so weiter und zum Schluß kommt noch:

C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Temp\~DFB7B4.tmp 05.07.2006 12:51 512 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Temp\~DFC3CE.tmp 05.07.2006 12:51 512 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Temp\~WRD0002.doc 05.07.2006 13:42 581 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Katharina\Lokale Einstellungen\Temp\~WRF0000.tmp 05.07.2006 13:34 16.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 09.04.2006 11:49 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 09.04.2006 11:49 111.50 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Temp\win57.tmp 05.07.2006 14:02 0 bytes Hidden from Windows API.

Lade Clearprog, installiere es, starte es. Haken bei alles Löschen setzen und Löschen drücken.
Neues HJT-Log.

Hier das aktuelle HJT-Log:

Logfile of HijackThis v1.99.1
Scan saved at 23:24:53, on 05.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\WINDOWS\Dit.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MICROS~4\Office10\OUTLOOK.EXE
C:\PROGRA~1\MICROS~4\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Microsoft Works\WkDStore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\LOKALE~1\Temp\Rar$EX01.468\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [CICache] CICache.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Device Detector 3.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: winhab32 - C:\WINDOWS\SYSTEM32\winhab32.dll
O21 - SSODL: furnariidae - {89e4aaba-3b21-49b3-b922-8ca35193c68e} - C:\WINDOWS\system32\zlara.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: PMounter - Unknown owner - C:\WINDOWS\system32\PMounter.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe


Danke für die Hilfe bis hierher!!!

Was ist noch mit dem Log von Ewido. Hast Du Clearprog schon laufen lassen?

Ja, ich hatte den Clearprog schon laufen lassen...

War im Urlaub, habe den Rechner wieder an gemacht und den Trojaner immernoch drauf. Spyware Quake 2.3 hat sich installiert und meldet sich immer!

WAS NUN???