Zitat:

Zitat von john.doe

Hallo Stina307 und

1.) Kopiere die Dateien

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\System32\qclccasrnoq.dll
C:\WINDOWS\System32\nsr2B6.dll
         

auf deinen Desktop.


Habe ich gemacht!




2.) Starte HJT => Do a system scan only => Markiere:

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: searchersmart search enhancer - {6E05BB5F-9DAD-2EA0-4CE4-86026570A1AC} - C:\WINDOWS\System32\qclccasrnoq.dll
O2 - BHO: offersfortoday - {8bcb384f-30e1-806c-e6ac-c5acb336ca61} - C:\WINDOWS\System32\nsr2B6.dll
O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe
         

=> Fix checked => Neustart


Die ersten 2 habe ich, die letzte war nicht da... hätte ich die nicht auch erst vorher auf den Desktop kopieren müssen???



3.) Lade die Dateien, die du auf deinen Desktop kopiert hast und

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\9129837.exe
         

bitte gemäß dieser Anleitung (nur Punkt 2) bei uns hoch.


Habe ich gemacht!


4.) Klicke auf "Für alle Neuen" in meiner Anleitung, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.


Kommt gleich!

ciao, andreas

Jetzt bekomme ich ständig eine Internet Explorer Meldung das mein PC mit Viren infiziert ist und ich irgendeinen kostenlosen Scan machen soll....was mache ich damit???

*Kurz reinhüpfe*

Nicht beachten, das ist Rouge Software. Die installiert beim ausführen noch mehr an Trojanern auf deinem PC und gaugelt einem vor, man sei infiziert (egal ob man es ist oder nicht) bloß nicht darauf eingehen.

*raushüpfe*

Nicht machen, das ist ein Fake. Falls du es doch machst, hast du noch viel mehr auf deinem Rechner.

Lasse schnellstmöglich Malwarebytes laufen.

ciao, andreas

Logfile Malwarebytes




Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 1

22.05.2009 23:52:59
mbam-log-2009-05-22 (23-52-59).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)
Durchsuchte Objekte: 155507
Laufzeit: 1 hour(s), 27 minute(s), 6 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 24

Infizierte Speicherprozesse:
c:\WINDOWS\ld08.exe (Trojan.KoobFace) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{f7d09218-46d7-4d3d-9b7f-315204cd0836} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{e63648f7-3933-440e-b4f6-a8584dd7b7eb} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{31c2a4cc-289d-442a-950c-b33b1b06522b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{31c2a4cc-289d-442a-950c-b33b1b06522b} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pp (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysldtray (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysdll (Worm.Autorun) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\121973\121973.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\aoulsu.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\hpemuk.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\ibtvhcfi.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\iimhojiy.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\jpnjga.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\kmxgxlay.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\lalgoc.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\qulasbun.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\rngwfsvd.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\rxmwqjvp.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\swbkmptd.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\wuvujcbu.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\ygedbpuh.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\ynfvkvpv.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\yudybg.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP326\A0140974.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP326\A0140998.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP338\A0142141.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP338\A0142142.dll (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\components\d46b13ae-0063-4d1e-4392-e38d42292d8e.dll (Adware.Yoog) -> Quarantined and deleted successfully.
c:\WINDOWS\pp10.exe (Backdoor.Bot) -> Delete on reboot.
C:\Programme\Mozilla Firefox\components\nsoffersfortoday.dll (Adware.BHO) -> Delete on reboot.
c:\WINDOWS\ld08.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

So,

nachdem ich den ganzen Mist gemacht habe läuft mein Internet nicht mehr

Meine WLAN Verbindung funktioniert, beim Firefox kommt die Meldung das die Verbindung zum Proxy-Server verweigert wird, Explorer kann die Seite nicht anzeigen.

Und nu?

Ich habe bei Malwarebytes jetzt 69 Funde in Quaratäne, soll ich die löschen?

Zitat:

nachdem ich den ganzen Mist gemacht habe läuft mein Internet nicht mehr

Naja, wundern tut mich das nicht nach den Funden:

Zitat:

c:\WINDOWS\pp10.exe (Backdoor.Bot) -> Delete on reboot.
c:\WINDOWS\ld08.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

nicht wirklich. Wobei die Ursache eigentlich schon beim ersten HJT-Log klar war:

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)

Zitat:

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

(s.a. http://www.trojaner-board.de/431835-post12.html)
Das ist selbstverschuldet. Ich weiß jetzt wirklich nicht, ob es noch Sinn macht hier weiterzumachen. Deine Entscheidung. Entweder: http://www.trojaner-board.de/51262-a...sicherung.html
Oder: Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

In jedem Fall von einem sauberen Rechner alle Kennwörter ändern.

ciao, andreas

Hab mich für die zweite Variante entschieden

Hier ist das Ergebnis von Combo Fix


ComboFix 09-05-23.04 - **** 24.05.2009 0:45.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.49.1031.18.447.139 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\ComboFix.exe
AV: AntiVir Personal Edition *On-access scanning enabled* (Outdated) {F50D9AC1-6409-476C-A8D6-8F5F82336C8F}
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\****\Anwendungsdaten\wiaserva.log
c:\programme\Mozilla Firefox\components\qclccasrnoq.dll
c:\windows\emMON.exe
c:\windows\system32\dz1.txt
c:\windows\system32\p1.txt
c:\windows\system32\r24.txt
c:\windows\system32\sdd.txt
c:\windows\system32\SYSDLL.exe
c:\windows\system32\wbem\grpconv.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NEW_DRV


((((((((((((((((((((((( Dateien erstellt von 2009-04-23 bis 2009-05-23 ))))))))))))))))))))))))))))))
.

2009-05-22 20:40 . 2009-05-22 20:40 51200 ----a-w c:\windows\system32\mashtuic32.dll
2009-05-22 20:22 . 2009-05-22 20:22 2967799 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-05-22 19:54 . 2009-05-22 19:54 2 ---h--w c:\windows\sonce122730.dat
2009-05-22 19:54 . 2009-05-22 21:52 -------- d-----w c:\windows\system32\121973
2009-05-21 21:00 . 2009-05-23 22:52 117760 ----a-w c:\dokumente und einstellungen\****\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-05-21 20:56 . 2009-05-21 20:56 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-21 20:56 . 2009-05-21 20:56 -------- d-----w c:\programme\SUPERAntiSpyware
2009-05-21 20:56 . 2009-05-21 20:56 -------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-21 20:54 . 2009-05-21 20:54 -------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-05-14 20:03 . 2009-05-14 20:04 -------- d-----r c:\programme\Skype

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-23 22:50 . 2008-08-10 10:50 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-05-22 21:58 . 2004-12-13 18:30 72424 ----a-w c:\dokumente und einstellungen\****\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-05-22 20:23 . 2008-08-10 13:17 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-14 20:04 . 2008-08-10 11:02 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-05-06 20:32 . 2008-12-29 02:57 57480 ----a-w c:\windows\system32\qclccasrnoq.dll-uninst.exe
2009-05-05 18:35 . 2009-04-10 17:57 85657 ----a-w c:\windows\system32\bc29e6a0-f94f-c6bb-2430-8ddb472eae74.exe
2009-04-17 22:18 . 2009-04-17 22:17 -------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\Snapfish
2009-04-16 21:41 . 2001-08-18 10:00 86148 ----a-w c:\windows\system32\perfc007.dat
2009-04-16 21:41 . 2001-08-18 10:00 441850 ----a-w c:\windows\system32\perfh007.dat
2009-04-15 19:52 . 2009-04-15 19:52 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\FujiDirekt
2009-04-15 19:52 . 2009-04-15 19:52 -------- d-----w c:\programme\FujiDirekt
2009-04-06 13:32 . 2008-08-10 13:17 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 13:32 . 2008-08-10 13:17 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-03-03 20:30 . 2008-12-29 02:57 48269 ----a-w c:\windows\system32\cdpkroralfinwm.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D6E0FAFC-2B61-4753-B3DA-D83BE96A2C39}]
2009-05-22 20:40 51200 ----a-w c:\windows\system32\mashtuic32.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2002-08-29 13312]
"MSMSGS"="c:\programme\Messenger\MSMSGS.EXE" [2004-11-15 1670144]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-08-10 39408]
"AdobeUpdater"="c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 2321600]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-05-14 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CAP3ON"="c:\windows\System32\spool\drivers\w32x86\3\CAP3ONN.EXE" [2007-01-19 28288]
"SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_04\bin\jusched.exe" [2005-06-03 36975]
"USB-TenKey"="c:\progra~1\USBTnKey\USBTnKey.EXE" [2002-05-24 94208]
"USBKPDrv"="c:\progra~1\USBTnKey\KPDrv4XP.EXE" [2002-02-20 32768]
"LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2007-09-25 532776]
"Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2008-08-10 29744]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-10-15 185632]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-08-29 13312]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Dienst-Manager.lnk - c:\programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 74308]
Lexware Info Service.lnk - c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [2007-9-25 532776]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"EnableProfileQuota"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05 356352 ----a-w c:\programme\SUPERAntiSpyware\SASWINLO.dll

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32
"wave1"= serwvdrv.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Statusfenster für Canon LASER SHOT LBP-1120.LNK]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Statusfenster für Canon LASER SHOT LBP-1120.LNK
backup=c:\windows\pss\Statusfenster für Canon LASER SHOT LBP-1120.LNKCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk
backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [14.05.2009 14:22 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [14.05.2009 14:22 72944]
R2 USBKBFlt;Dritek USB Keypad Filter;c:\windows\system32\drivers\USBKBFLT.SYS [27.05.2002 04:17 29532]
R3 PRISM_A00;PRISM 802.11g Driver;c:\windows\system32\drivers\PRISMA00.sys [13.12.2004 18:14 380736]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [14.05.2009 14:22 7408]
R3 tifmsi;tifmsi;c:\windows\system32\drivers\tifmsi.sys [17.02.2004 17:37 66944]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [17.01.2009 22:46 1527900]
S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;c:\programme\Google\Google Desktop Search\GoogleDesktop.exe [10.08.2008 12:51 29744]
S3 S6U12AScanner;MUSTEK 1200 CU PLUS Still Image Device Service;c:\windows\system32\drivers\UsbScan.sys [24.05.2008 20:32 14208]
.
Inhalt des "geplante Tasks" Ordners

2009-05-23 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-08-10 21:38]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-procexp90.Sys


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
uInternet Settings,ProxyServer = http=localhost:7171
uInternet Settings,ProxyOverride = *.local;<local>
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\ofh3oz2c.default\
FF - prefs.js: network.proxy.http - localhost
FF - prefs.js: network.proxy.http_port - 7171
FF - prefs.js: network.proxy.type - 1
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJPI150_04.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPOJI610.dll

---- FIREFOX Richtlinien ----
FF - user.js: google.toolbar.linkdoctor.enabled - false
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-24 00:52
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(760)
c:\windows\system32\ODBC32.dll
c:\programme\SUPERAntiSpyware\SASWINLO.dll

- - - - - - - > 'lsass.exe'(816)
c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(2880)
c:\windows\System32\msi.dll
c:\programme\Microsoft Office\OFFICE11\msohev.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\CAP3RSK.EXE
c:\windows\system32\spool\drivers\w32x86\3\CAP3SWK.EXE
c:\windows\system32\spool\drivers\w32x86\3\CAP3SWK.EXE
c:\windows\system32\spool\drivers\w32x86\3\CAP3SWK.EXE
c:\windows\system32\spool\drivers\w32x86\3\CAP3SWK.EXE
c:\windows\system32\spool\drivers\w32x86\3\CAP3SWK.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-23 1:04 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-05-23 23:04
ComboFix2.txt 2008-08-20 14:10

Vor Suchlauf: 18 Verzeichnis(se), 22.372.233.216 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 22.329.200.640 Bytes frei

175 --- E O F --- 2007-12-01 10:27

Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Erstelle ein Filelisting.

• Lade die Datei File-Upload.net - listing0.bat auf deinen Desktop
• Doppelklicke auf listing0.bat
• Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de) hochladen und hier den Link posten.

ciao, andreas