Hallo liebe Leute hier im Forum,

da dies mein erster Post bei euch ist, hoffe ich dass ich alles richtig mache. Habe jedenfalls alle eure Regeln gelesen und hoffe alles befolgt zu haben.

Mein Problem:
Seit ca. 2 Wochen "spinnen" meine Browser /IE und Firefox). Es werden ständig irgendwelche Seiten umgelenkt. Googelt man z.B. und klickt dann auf ein Ergebnis, dann landet man oft ganz wo anders. Nun habe ich gelesen, das es Malware gibt, die Seiten "verbiegen" können. Ich habe dann mal auf meinem Laptop, der keine Probleme macht, die Google Seiten auf beiden Systemen verglichen. Die Seite auf dem anscheinend infizierten system schaut etwas anders aus...
DEr firefox gibt zusätzlich beim Start eine Fehlermeldung, des da irgendwas zu einer Endlosschleife umgelenkt ist.

Seit der gleichen Zeit kann mein Antivir keine Signaturen mehr nachladen (was vorher problemlos ging), es kommt immer die Meldung, dass keine Verbindung zum Server hergestellt werden konnte.
Ich habe dann den Ratschlägen aus dem Forum hier Malwarebytes Anti-Malware installiert, was auch funzte nur bekam ich dann auch eine Meldung das keine Verbindung ins Netz hergestellt werden konnte.

Hier mal meine Logs:
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1654
Windows 5.1.2600 Service Pack 2

12.02.2009 10:04:32
mbam-log-2009-02-12 (10-04-08).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|)
Durchsuchte Objekte: 88599
Laufzeit: 1 hour(s), 23 minute(s), 42 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Programme\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> No action taken.

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> No action taken.
C:\WINDOWS\system32\logXv01 (Trojan.Agent) -> No action taken.

Infizierte Dateien:
C:\autorun.inf (Trojan.DNSChanger) -> No action taken.
C:\resycled\ntldr.com (Trojan.DNSChanger) -> No action taken.
C:\Programme\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> No action taken.

-----

Ich denke mal, dass ich ein Problem habe oder? ;-)

----

HiJackThis ergab folgendes:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:30:49, on 12.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\DNA\btdna.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108667636715
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD7/JSCDL/jdk/6u12-b04/jinstall-6u12-windows-i586-jc.cab?e=1234334904644&h=4376c06a322d46b4bf1be242e809dfc3/&filename=jinstall-6u12-windows-i586-jc.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 7471 bytes

Könnte mir bitte bitte jemand helfen. Was ist denn eigentlich mein Problem und wie kann ich es beheben?

Liebe Grüße
Ovlor

Hallo nochmal,

ich habe inzwischen mit MAM die verdächtigen Objekte beseitigt.

Die Probleme bestehen weiterhin. Ein erneuter Scan mit MAM brachte keinen Fund. Also hab ich versucht SUPERAntiSpyware zu installieren und hienterherzuschicken. Vom infizierten Rechner aus kam ich nicht mal auf die Seite, vvon der man die SW downloaden kann. (Link aus diesem Forum heraus). Von meinem Laptop aus, konnte ich das Programm dann runterladen. Habe es per Stick dann auf den infizierten Rechner gebracht und dort installiert. Update der aktuellen Signaturen funktionerte auch for SUPERAntiSpyware nicht.
Dann SUPERAntiSpyware gestartet doch der Scan läuft immer nur ca. 3 Minuten, dann bleibt er hängen und mein System tut dann gar nix mehr. Komme da nur mit 'nem OFF/ON wieder raus.

Vielleicht hat mal jemand Zeit, hier drüber zu schauen und mir ein paar Tipps zu geben.

Danke
Ovlor

Mittlerweile konnte ich SUPERAntiSpyware doch installieren. Der hat dann den Rootkit Virus "RootKitAgent/Gen-GAOPDX" gefunden. Nach dessen Beseitigung gingen die Updates wieder. Nach Update der neuesten Signatur vom Antir hat der dann auch noch was gefunden. Nun habe ich alles bereinigt, und ich habe keine Symptome mehr, dh es geht alles wieder.

Doch nun meine Frage, bin ich den Plagegeist jetzt los, oder muss ich da noch was machen.

Habe nocvh mal GMER laufen lassen, suche nach RootKit.

Hier das Log, dass ich nicht verstehe.

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-15 19:09:17
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT FA02E524 ZwCreateThread
SSDT FA02E510 ZwOpenProcess
SSDT FA02E515 ZwOpenThread
SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xF5C0BF20]
SSDT FA02E51A ZwWriteVirtualMemory

---- User code sections - GMER 1.0.14 ----

.text C:\Programme\Internet Explorer\iexplore.exe[3712] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 444DF341 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3712] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 4467187F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3712] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 44671800 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3712] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 44671844 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3712] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4467178C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3712] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 446717C6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3712] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 446718BA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3712] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 445016F6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- User IAT/EAT - GMER 1.0.14 ----

IAT C:\Programme\Internet Explorer\iexplore.exe[3712] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExA] [01AC2070] C:\Programme\Canon\Easy-WebPrint\EWPCore.dll
IAT C:\Programme\Internet Explorer\iexplore.exe[3712] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExW] [01AC20B0] C:\Programme\Canon\Easy-WebPrint\EWPCore.dll
IAT C:\Programme\Internet Explorer\iexplore.exe[3712] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryW] [01AC2030] C:\Programme\Canon\Easy-WebPrint\EWPCore.dll
IAT C:\Programme\Internet Explorer\iexplore.exe[3712] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA] [01AC2000] C:\Programme\Canon\Easy-WebPrint\EWPCore.dll
IAT C:\Programme\Internet Explorer\iexplore.exe[3712] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [01AC4C50] C:\Programme\Canon\Easy-WebPrint\EWPCore.dll

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
AttachedDevice \FileSystem\Ntfs \Ntfs InCDrec.SYS (InCD File System Recognizer/Nero AG)
AttachedDevice \FileSystem\Fastfat \Fat avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Nero AG)

---- Registry - GMER 1.0.14 ----

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Nls\net\AllowedPaths
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Nls\net\AllowedPaths@ 0xD8 0xE4 0x74 0x49 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7A517AF9-D5ED-9FE9-BDC8-9663A7F7028D}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7A517AF9-D5ED-9FE9-BDC8-9663A7F7028D}@paahdodkepbmileoabhlglijoeokmnei 0x61 0x62 0x6E 0x63 ...

---- EOF - GMER 1.0.14 ----


Wäre schön wenn sich doch mal einer melden würde...

Hallo und

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Habe nun enlich Zeit gehabt für Combofix. Hier ist das Log:

ComboFix 09-02-19.01 - Besitzer 2009-02-21 10:49:55.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.255.91 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Besitzer\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\temp\1cb
c:\temp\1cb\syscheck.log
c:\windows\system32\d3d8caps.dat
F:\Autorun.inf
F:\resycled

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-21 bis 2009-02-21 ))))))))))))))))))))))))))))))
.

2009-02-21 09:24 . 2009-02-21 09:25 <DIR> d-------- C:\32788R22FWJFW
2009-02-15 13:57 . 2008-06-14 18:32 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys
2009-02-15 13:54 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-02-15 13:54 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-02-15 13:54 . 2008-09-15 16:24 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2009-02-15 13:53 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-02-15 13:53 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-02-15 13:52 . 2008-05-08 15:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys
2009-02-15 13:44 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-02-15 13:44 . 2008-12-11 11:57 333,952 -----c--- c:\windows\system32\dllcache\srv.sys
2009-02-15 13:43 . 2008-04-11 20:04 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2009-02-15 13:40 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2009-02-15 11:42 . 2009-02-15 11:42 <DIR> d-------- c:\windows\l2schemas
2009-02-15 11:41 . 2009-02-15 11:41 <DIR> d-------- c:\windows\system32\de
2009-02-15 11:29 . 2009-02-15 21:57 1,374 --a------ c:\windows\imsins.BAK
2009-02-14 07:58 . 2009-02-15 18:14 250 --a------ c:\windows\gmer.ini
2009-02-12 18:34 . 2009-02-12 18:34 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-12 18:33 . 2009-02-12 18:34 <DIR> d-------- c:\programme\SUPERAntiSpyware
2009-02-12 18:33 . 2009-02-12 18:33 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-12 18:32 . 2009-02-12 18:32 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-02-12 08:25 . 2009-02-12 08:25 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2009-02-12 08:24 . 2009-02-13 16:07 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-12 08:24 . 2009-02-12 08:24 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-12 08:24 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-12 08:24 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-12 08:00 . 2009-02-12 16:49 <DIR> d-------- c:\windows\SxsCaPendDel
2009-02-11 08:07 . 2009-02-11 08:07 102,664 --a------ c:\windows\system32\drivers\tmcomm.sys
2009-02-11 08:06 . 2009-02-11 21:51 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\.housecall6.6
2009-02-11 07:49 . 2009-02-11 07:49 <DIR> d-------- c:\windows\Sun
2009-02-11 07:48 . 2009-02-11 07:48 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-06 22:48 . 2009-02-06 22:48 <DIR> d-------- c:\programme\Trend Micro
2009-02-01 19:57 . 2009-02-01 19:58 <DIR> d-------- c:\programme\CCleaner
2009-01-21 08:17 . 2009-01-21 08:17 <DIR> d-------- c:\programme\DVR-Compress
2009-01-21 08:17 . 2009-01-21 08:17 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Haenlein-Software
2009-01-21 08:16 . 2009-01-21 08:17 <DIR> d-------- c:\programme\DVR-Studio Pro 2

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-20 22:23 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\BitTorrent
2009-02-20 18:43 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-02-12 06:56 --------- d-----w c:\programme\Gabest
2009-02-12 06:54 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-02-12 06:34 --------- d-----w c:\programme\AviSynth 2.5
2009-01-19 20:38 --------- d-----w c:\programme\DVR-Studio Pro
2009-01-11 14:50 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\MozillaControl
2009-01-10 12:34 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Canon
2008-12-20 22:31 826,368 ----a-w c:\windows\system32\wininet.dll
2008-11-28 13:50 316 ----a-w C:\drmHeader.bin
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-01-15 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroCheck"="c:\windows\System32\NeroCheck.exe" [2001-07-09 155648]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-10-29 4620288]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2004-10-29 86016]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896]
"OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-10-11 75304]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"PCSuiteTrayApplication"="c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2006-11-28 222720]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 63712]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-11-04 413696]
"SoundMan"="SOUNDMAN.EXE" [2002-02-05 c:\windows\soundman.exe]
"nwiz"="nwiz.exe" [2004-10-29 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
"PcSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 1634304]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=NVDESK32.DLL

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2007-03-16 11:45 63712 c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--a------ 2007-05-15 14:55 1057328 c:\programme\Nero\Nero 7\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 14:57 153136 c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-11-04 10:30 413696 c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecurDisc]
--a------ 2007-05-15 14:55 1628208 c:\programme\Nero\Nero 7\InCD\NBHGui.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2007-05-23 22336]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2007-05-23 45376]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2009-01-15 8944]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2009-01-15 55024]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-01-15 7408]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [2008-02-04 16512]
S3 V90drv;v90drv;c:\windows\system32\drivers\v90drv.sys [2005-02-17 1432836]
S3 Winacusb;Winacusb;c:\windows\system32\drivers\winacusb.sys [2002-08-20 956890]
.
Inhalt des "geplante Tasks" Ordners

2009-02-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: &Google Search - c:\programme\Google\GoogleToolbar1.dll/cmsearch.html
IE: Im Cache gespeicherte Seite - c:\programme\Google\GoogleToolbar1.dll/cmcache.html
IE: Verweisseiten - c:\programme\Google\GoogleToolbar1.dll/cmbacklinks.html
IE: Ähnliche Seiten - c:\programme\Google\GoogleToolbar1.dll/cmsimilar.html
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\g6xgl1fo.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - plugin: c:\programme\Mozilla Firefox\plugins\npbittorrent.dll

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-21 10:52:10
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1614895754-813497703-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7A517AF9-D5ED-9FE9-BDC8-9663A7F7028D}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"paahdodkepbmileoabhlglijoeokmnei"=hex:61,62,6e,63,6b,6f,6c,6f,65,65,68,67,6a,
62,63,65,65,6c,70,65,65,70,6b,61,6a,63,70,6e,66,64,61,62,6e,6a,00,00

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Nls\net\AllowedPaths*]
@=hex:d8,e4,74,49,00,00,00,00
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(636)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
.
Zeit der Fertigstellung: 2009-02-21 10:56:09
ComboFix-quarantined-files.txt 2009-02-21 09:55:05

Vor Suchlauf: 15 Verzeichnis(se), 10.934.886.400 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 10,932,322,304 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

178 --- E O F --- 2009-02-15 20:59:00



Habe ich noch ein Problem; oder bin ich jetzt wieder sauber?

Zitat:

Habe ich noch ein Problem; oder bin ich jetzt wieder sauber?

Zeigt der Rechner denn noch Auffälligkeiten?

1.) Deinstalliere SuperAntiSpyware

2.) Erstelle eine Liste der installierten Software (Punkt d): http://www.trojaner-board.de/69886-a...-beachten.html

ciao, andreas

Der Rechner zeigt keine Auffäligkeiten mehr.

Ich wollte halt sicher sein, bevor ich wieder was mit ebay oder so mach, dass ich nicht noch einen Spion im System hängen habe.

Die Liste kommt gleich.