Hey,

hier erstmal mein Log-File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:00:03, on 21.05.2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CAP3RSK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\PROGRA~1\USBTnKey\USBTnKey.EXE
C:\PROGRA~1\USBTnKey\KPDrv4XP.EXE
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Java\jre1.5.0_04\bin\jucheck.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\9129837.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\XXXXX\Desktop\Anti Malware\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: searchersmart search enhancer - {6E05BB5F-9DAD-2EA0-4CE4-86026570A1AC} - C:\WINDOWS\System32\qclccasrnoq.dll
O2 - BHO: offersfortoday - {8bcb384f-30e1-806c-e6ac-c5acb336ca61} - C:\WINDOWS\System32\nsr2B6.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [CAP3ON] C:\WINDOWS\System32\spool\drivers\w32x86\3\CAP3ONN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [USB-TenKey] C:\PROGRA~1\USBTnKey\USBTnKey.EXE
O4 - HKLM\..\Run: [USBKPDrv] C:\PROGRA~1\USBTnKey\KPDrv4XP.EXE
O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://h**p://download.ebay.com/turb...DE/install.cab
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - h**p://www3.snapfish.de/SnapfishActivia.cab
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

--
End of file - 6417 bytes


So, während ich eben Malwarebytes hab laufen lassen hab ich jede Menge Error Codes bekommen, in folgender Reihenfolge:

1. Malwarebytes Error Code 721 (0, 14)
2. CTF Loader hat ein Problem festgestellt und muss beendet werden...
3. Windows-Fehler (0x0000017)
4. Windows-Fehler (0x000012d)
5. Process ID=0x254 (596)
Thread ID=0xd48 (3400)
6. Malwarebytes Error Codes 722 (0, 7)
7. Generic Host Process for WIN32 Services hat ein Problem festgestellt...


Ich glaube ich hab neulich irgendwas gelöscht was nicht gelöscht werde sollte....

Ich hab zu diversen Programmen keine Verknüpfung mehr,z.B, Avira.
Hab eben Malwarebytes laufen lassen, hatte 6 Funde... aber der Log ist wech...

Bitte helft mir bevor ich mein Laptop an die Wand schmeisse

Greetz

P.S.: Bekam grad noch die Meldung das Windows nicht genügend virtuellen Speicher hat und der Messenger ein Problem hat...

Hallo Stina307,

Lade bitte folgende Datei bei Virus total hoch und schick die Auswertung:
C:\WINDOWS\9129837.exe

Bitte Fix folgenden Eintrag:
O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe

Sagen dir diese Einträge etwas?
O4 - HKLM\..\Run: [USB-TenKey] C:\PROGRA~1\USBTnKey\USBTnKey.EXE
O2 - BHO: offersfortoday - {8bcb384f-30e1-806c-e6ac-c5acb336ca61} - C:\WINDOWS\System32\nsr2B6.dll
O2 - BHO: searchersmart search enhancer - {6E05BB5F-9DAD-2EA0-4CE4-86026570A1AC} - C:\WINDOWS\System32\qclccasrnoq.dll

Bitte lad dir den neusten Internet Explorer herunter! Deiner Version ist veraltet! Aber erst wenn dein PC "normal" läuft.

Poste den HijackThis log nochmals, und versuche einen scann mit Malwarebytes durchzuführen.

Auswertung der Datei:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.21 -
AhnLab-V3 5.0.0.2 2009.05.21 -
AntiVir 7.9.0.168 2009.05.21 -
Antiy-AVL 2.0.3.1 2009.05.21 -
Authentium 5.1.2.4 2009.05.21 -
Avast 4.8.1335.0 2009.05.20 -
AVG 8.5.0.339 2009.05.21 SHeur2.AGZN
BitDefender 7.2 2009.05.21 -
CAT-QuickHeal 10.00 2009.05.21 -
ClamAV 0.94.1 2009.05.21 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.21 -
eSafe 7.0.17.0 2009.05.21 Win32.Banker
eTrust-Vet 31.6.6516 2009.05.21 -
F-Prot 4.4.4.56 2009.05.21 -
F-Secure 8.0.14470.0 2009.05.21 -
Fortinet 3.117.0.0 2009.05.21 -
GData 19 2009.05.21 -
Ikarus T3.1.1.49.0 2009.05.21 -
K7AntiVirus 7.10.741 2009.05.21 -
Kaspersky 7.0.0.125 2009.05.21 -
McAfee 5622 2009.05.21 -
McAfee+Artemis 5622 2009.05.21 -
McAfee-GW-Edition 6.7.6 2009.05.21 -
Microsoft 1.4701 2009.05.21 -
NOD32 4094 2009.05.21 -
Norman 6.01.05 2009.05.20 -
nProtect 2009.1.8.0 2009.05.21 -
Panda 10.0.0.14 2009.05.21 -
PCTools 4.4.2.0 2009.05.21 -
Prevx 3.0 2009.05.21 Medium Risk Malware
Rising 21.30.32.00 2009.05.21 -
Sophos 4.42.0 2009.05.21 Mal/EncPk-HJ
Sunbelt 3.2.1858.2 2009.05.20 -
Symantec 1.4.4.12 2009.05.21 -
TheHacker 6.3.4.1.328 2009.05.21 -
TrendMicro 8.950.0.1092 2009.05.21 -
VBA32 3.12.10.5 2009.05.21 suspected of Malware-Cryptor.Win32.General.3
ViRobot 2009.5.21.1745 2009.05.21 -
VirusBuster 4.6.5.0 2009.05.21 -
weitere Informationen
File size: 29696 bytes
MD5...: f8a61a9b81ce662315de7f2b98086fe1
SHA1..: 4eaf8c7232475b1c95c9d7274b2a69d84c382ff0
SHA256: 2fd729796e44495036d38ac1785e72a3a5739731f68b73d3e18950a677b66fd5
SHA512: 472c03126ee10cccbbd53120bf9fb8043578097968d1fc5aaf0a6b30b5be94d3
aaa5255484fbe2c2641ebe51029ae526bedf6c6ec3fd0190d295014d296be4f3
ssdeep: 768:db1CLPbIK1gZInn6ESg/OycjFqPgHwPoLrwXVhR:F1C7b31h6EUyw7AoLr6V
h
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2496
timedatestamp.....: 0x47d45ee9 (Sun Mar 09 22:04:25 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1796 0x1800 7.79 0ed26540313ebe8f7fd6cbbab3ee16db
.rdata 0x3000 0x511e 0x5200 7.91 3542024cde72c1d99cb46d232958e970
.data 0x9000 0x125b9 0x600 6.13 3647cd0144d6f76437e68e4f9e74b612

( 3 imports )
> GDI32.dll: GetTextExtentPoint32W, CreatePen, GetObjectW, SetBkMode
> MSVCRT.dll: qsort, __getmainargs, _strcmpi, malloc, _chdir, _ltow
> KERNEL32.dll: ExitProcess, GetCurrentThreadId, FormatMessageA, GetModuleHandleA, GetSystemTimeAsFileTime, GetTickCount, GetLastError, lstrcpynA, GetCommandLineA, Sleep, VerSetConditionMask

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=5B25E951002FF4AC7440003284583D002D451A9A' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=5B25E951002FF4AC7440003284583D002D451A9A</a>

Bitte Fix folgenden Eintrag:
O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe


Was genau soll ich damit machen?


O4 - HKLM\..\Run: [USB-TenKey] C:\PROGRA~1\USBTnKey\USBTnKey.EXE

das dürfte nix problematisches sein!

O2 - BHO: offersfortoday - {8bcb384f-30e1-806c-e6ac-c5acb336ca61} - C:\WINDOWS\System32\nsr2B6.dll


Ich kriege ständig pop-ups mit offersfortoday, das scheint ja hiermit was zu tun zu haben

O2 - BHO: searchersmart search enhancer - {6E05BB5F-9DAD-2EA0-4CE4-86026570A1AC} - C:\WINDOWS\System32\qclccasrnoq.dll

Keine Ahnung was das ist

Hallo Stina307 und

1.) Kopiere die Dateien

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\System32\qclccasrnoq.dll
C:\WINDOWS\System32\nsr2B6.dll
         

auf deinen Desktop.

2.) Starte HJT => Do a system scan only => Markiere:

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: searchersmart search enhancer - {6E05BB5F-9DAD-2EA0-4CE4-86026570A1AC} - C:\WINDOWS\System32\qclccasrnoq.dll
O2 - BHO: offersfortoday - {8bcb384f-30e1-806c-e6ac-c5acb336ca61} - C:\WINDOWS\System32\nsr2B6.dll
O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe
         

=> Fix checked => Neustart

3.) Lade die Dateien, die du auf deinen Desktop kopiert hast und

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\9129837.exe
         

bitte gemäß dieser Anleitung (nur Punkt 2) bei uns hoch.

4.) Klicke auf "Für alle Neuen" in meiner Anleitung, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas

Da Malwarebytes nicht upgedatet ist und ich den Scanbericht von heute abend nicht aufrufen konnte hab ich SUPERAntiSpyware laufen lassen....


LOGFILE:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 05/22/2009 at 00:14 AM

Application Version : 4.26.1002

Core Rules Database Version : 3895
Trace Rules Database Version: 1843

Scan type : Complete Scan
Total Scan Time : 00:42:48

Memory items scanned : 409
Memory threats detected : 1
Registry items scanned : 5092
Registry threats detected : 3
File items scanned : 19548
File threats detected : 32

Trojan.Downloader-Gen/Win
C:\WINDOWS\9129837.EXE
C:\WINDOWS\9129837.EXE
[ttool] C:\WINDOWS\9129837.EXE

Rootkit.Gen/NewDrv
HKLM\System\ControlSet002\Services\new_drv
C:\WINDOWS\NEW_DRV.SYS
HKLM\System\ControlSet002\Enum\Root\LEGACY_new_drv
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP337\A0141139.SYS
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP337\A0142138.SYS

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Kerstin Satzinger\Cookies\*************@adserver.adtechus[1].txt
C:\Dokumente und Einstellungen\Kerstin Satzinger\Cookies\*************@doubleclick[1].txt
C:\Dokumente und Einstellungen\Kerstin Satzinger\Cookies\***************@tribalfusion[2].txt
C:\QooBox\Quarantine\C\Dokumente und Einstellungen\***************\Cookies\*****************@advertising[1].txt.vir

Rogue.SpywareGuard2008
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\DLLS\IEMODULE.DLL

Trojan.Net-SvHoster
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\APPLICATION DATA\MICROSOFT\PROTECT\SVHOST.EXE

Trojan.Agent/Gen-SysPack
C:\DOKUMENTE UND EINSTELLUNGEN\KERSTIN SATZINGER\LOKALE EINSTELLUNGEN\TEMP\ORZ.EXE

Trojan.Dropper/YYY-Gen
C:\DOKUMENTE UND EINSTELLUNGEN\*******\LOKALE EINSTELLUNGEN\TEMP\YYY18919.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\********\LOKALE EINSTELLUNGEN\TEMP\YYY18912.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\*********\LOKALE EINSTELLUNGEN\TEMP\YYY18916.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\*********\LOKALE EINSTELLUNGEN\TEMP\YYY19023.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\**********\LOKALE EINSTELLUNGEN\TEMP\YYY19030.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\************\LOKALE EINSTELLUNGEN\TEMP\YYY19033.EXE

Adware.Vundo/Variant
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP323\A0140882.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP323\A0140884.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP324\A0140887.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP324\A0140889.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP324\A0140892.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP324\A0140893.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP324\A0140900.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP324\A0140901.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP326\A0140975.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP326\A0140982.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP326\A0140983.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP330\A0141030.DLL
C:\WINDOWS\SYSTEM32\RYPQILCGCWFQBWDF.DLL

Adware.Vundo/Variant-0216
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP327\A0141007.DLL

Trojan.Dropper/Gen-NV
C:\WINDOWS\SYSTEM32\CONT_OFFERSFORTODAY-REMOVE.EXE

@ john.doe


Danke! Das werde ich morgen abend machen, weil ich jetzt mal ins Bett muss, sitz schon den ganzen abend vor der Kiste!

Greetz

Zitat:

Zitat von john.doe

Hallo Stina307 und

1.) Kopiere die Dateien

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\System32\qclccasrnoq.dll
C:\WINDOWS\System32\nsr2B6.dll
         

auf deinen Desktop.


Habe ich gemacht!




2.) Starte HJT => Do a system scan only => Markiere:

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: searchersmart search enhancer - {6E05BB5F-9DAD-2EA0-4CE4-86026570A1AC} - C:\WINDOWS\System32\qclccasrnoq.dll
O2 - BHO: offersfortoday - {8bcb384f-30e1-806c-e6ac-c5acb336ca61} - C:\WINDOWS\System32\nsr2B6.dll
O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe
         

=> Fix checked => Neustart


Die ersten 2 habe ich, die letzte war nicht da... hätte ich die nicht auch erst vorher auf den Desktop kopieren müssen???



3.) Lade die Dateien, die du auf deinen Desktop kopiert hast und

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\9129837.exe
         

bitte gemäß dieser Anleitung (nur Punkt 2) bei uns hoch.


Habe ich gemacht!


4.) Klicke auf "Für alle Neuen" in meiner Anleitung, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.


Kommt gleich!

ciao, andreas

Jetzt bekomme ich ständig eine Internet Explorer Meldung das mein PC mit Viren infiziert ist und ich irgendeinen kostenlosen Scan machen soll....was mache ich damit???

*Kurz reinhüpfe*

Nicht beachten, das ist Rouge Software. Die installiert beim ausführen noch mehr an Trojanern auf deinem PC und gaugelt einem vor, man sei infiziert (egal ob man es ist oder nicht) bloß nicht darauf eingehen.

*raushüpfe*

Nicht machen, das ist ein Fake. Falls du es doch machst, hast du noch viel mehr auf deinem Rechner.

Lasse schnellstmöglich Malwarebytes laufen.

ciao, andreas

Logfile Malwarebytes




Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 1

22.05.2009 23:52:59
mbam-log-2009-05-22 (23-52-59).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)
Durchsuchte Objekte: 155507
Laufzeit: 1 hour(s), 27 minute(s), 6 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 24

Infizierte Speicherprozesse:
c:\WINDOWS\ld08.exe (Trojan.KoobFace) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{f7d09218-46d7-4d3d-9b7f-315204cd0836} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{e63648f7-3933-440e-b4f6-a8584dd7b7eb} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{31c2a4cc-289d-442a-950c-b33b1b06522b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{31c2a4cc-289d-442a-950c-b33b1b06522b} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pp (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysldtray (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysdll (Worm.Autorun) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\121973\121973.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\aoulsu.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\hpemuk.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\ibtvhcfi.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\iimhojiy.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\jpnjga.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\kmxgxlay.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\lalgoc.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\qulasbun.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\rngwfsvd.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\rxmwqjvp.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\swbkmptd.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\wuvujcbu.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\ygedbpuh.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\ynfvkvpv.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\yudybg.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP326\A0140974.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP326\A0140998.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP338\A0142141.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP338\A0142142.dll (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\components\d46b13ae-0063-4d1e-4392-e38d42292d8e.dll (Adware.Yoog) -> Quarantined and deleted successfully.
c:\WINDOWS\pp10.exe (Backdoor.Bot) -> Delete on reboot.
C:\Programme\Mozilla Firefox\components\nsoffersfortoday.dll (Adware.BHO) -> Delete on reboot.
c:\WINDOWS\ld08.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

So,

nachdem ich den ganzen Mist gemacht habe läuft mein Internet nicht mehr

Meine WLAN Verbindung funktioniert, beim Firefox kommt die Meldung das die Verbindung zum Proxy-Server verweigert wird, Explorer kann die Seite nicht anzeigen.

Und nu?

Ich habe bei Malwarebytes jetzt 69 Funde in Quaratäne, soll ich die löschen?

Zitat:

nachdem ich den ganzen Mist gemacht habe läuft mein Internet nicht mehr

Naja, wundern tut mich das nicht nach den Funden:

Zitat:

c:\WINDOWS\pp10.exe (Backdoor.Bot) -> Delete on reboot.
c:\WINDOWS\ld08.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

nicht wirklich. Wobei die Ursache eigentlich schon beim ersten HJT-Log klar war:

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)

Zitat:

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

(s.a. http://www.trojaner-board.de/431835-post12.html)
Das ist selbstverschuldet. Ich weiß jetzt wirklich nicht, ob es noch Sinn macht hier weiterzumachen. Deine Entscheidung. Entweder: http://www.trojaner-board.de/51262-a...sicherung.html
Oder: Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

In jedem Fall von einem sauberen Rechner alle Kennwörter ändern.

ciao, andreas

Hab mich für die zweite Variante entschieden

Hier ist das Ergebnis von Combo Fix


ComboFix 09-05-23.04 - **** 24.05.2009 0:45.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.49.1031.18.447.139 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\ComboFix.exe
AV: AntiVir Personal Edition *On-access scanning enabled* (Outdated) {F50D9AC1-6409-476C-A8D6-8F5F82336C8F}
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\****\Anwendungsdaten\wiaserva.log
c:\programme\Mozilla Firefox\components\qclccasrnoq.dll
c:\windows\emMON.exe
c:\windows\system32\dz1.txt
c:\windows\system32\p1.txt
c:\windows\system32\r24.txt
c:\windows\system32\sdd.txt
c:\windows\system32\SYSDLL.exe
c:\windows\system32\wbem\grpconv.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NEW_DRV


((((((((((((((((((((((( Dateien erstellt von 2009-04-23 bis 2009-05-23 ))))))))))))))))))))))))))))))
.

2009-05-22 20:40 . 2009-05-22 20:40 51200 ----a-w c:\windows\system32\mashtuic32.dll
2009-05-22 20:22 . 2009-05-22 20:22 2967799 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-05-22 19:54 . 2009-05-22 19:54 2 ---h--w c:\windows\sonce122730.dat
2009-05-22 19:54 . 2009-05-22 21:52 -------- d-----w c:\windows\system32\121973
2009-05-21 21:00 . 2009-05-23 22:52 117760 ----a-w c:\dokumente und einstellungen\****\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-05-21 20:56 . 2009-05-21 20:56 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-21 20:56 . 2009-05-21 20:56 -------- d-----w c:\programme\SUPERAntiSpyware
2009-05-21 20:56 . 2009-05-21 20:56 -------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-21 20:54 . 2009-05-21 20:54 -------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-05-14 20:03 . 2009-05-14 20:04 -------- d-----r c:\programme\Skype

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-23 22:50 . 2008-08-10 10:50 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-05-22 21:58 . 2004-12-13 18:30 72424 ----a-w c:\dokumente und einstellungen\****\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-05-22 20:23 . 2008-08-10 13:17 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-14 20:04 . 2008-08-10 11:02 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-05-06 20:32 . 2008-12-29 02:57 57480 ----a-w c:\windows\system32\qclccasrnoq.dll-uninst.exe
2009-05-05 18:35 . 2009-04-10 17:57 85657 ----a-w c:\windows\system32\bc29e6a0-f94f-c6bb-2430-8ddb472eae74.exe
2009-04-17 22:18 . 2009-04-17 22:17 -------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\Snapfish
2009-04-16 21:41 . 2001-08-18 10:00 86148 ----a-w c:\windows\system32\perfc007.dat
2009-04-16 21:41 . 2001-08-18 10:00 441850 ----a-w c:\windows\system32\perfh007.dat
2009-04-15 19:52 . 2009-04-15 19:52 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\FujiDirekt
2009-04-15 19:52 . 2009-04-15 19:52 -------- d-----w c:\programme\FujiDirekt
2009-04-06 13:32 . 2008-08-10 13:17 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 13:32 . 2008-08-10 13:17 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-03-03 20:30 . 2008-12-29 02:57 48269 ----a-w c:\windows\system32\cdpkroralfinwm.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D6E0FAFC-2B61-4753-B3DA-D83BE96A2C39}]
2009-05-22 20:40 51200 ----a-w c:\windows\system32\mashtuic32.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2002-08-29 13312]
"MSMSGS"="c:\programme\Messenger\MSMSGS.EXE" [2004-11-15 1670144]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-08-10 39408]
"AdobeUpdater"="c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 2321600]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-05-14 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CAP3ON"="c:\windows\System32\spool\drivers\w32x86\3\CAP3ONN.EXE" [2007-01-19 28288]
"SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_04\bin\jusched.exe" [2005-06-03 36975]
"USB-TenKey"="c:\progra~1\USBTnKey\USBTnKey.EXE" [2002-05-24 94208]
"USBKPDrv"="c:\progra~1\USBTnKey\KPDrv4XP.EXE" [2002-02-20 32768]
"LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2007-09-25 532776]
"Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2008-08-10 29744]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-10-15 185632]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-08-29 13312]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Dienst-Manager.lnk - c:\programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 74308]
Lexware Info Service.lnk - c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [2007-9-25 532776]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"EnableProfileQuota"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05 356352 ----a-w c:\programme\SUPERAntiSpyware\SASWINLO.dll

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32
"wave1"= serwvdrv.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Statusfenster für Canon LASER SHOT LBP-1120.LNK]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Statusfenster für Canon LASER SHOT LBP-1120.LNK
backup=c:\windows\pss\Statusfenster für Canon LASER SHOT LBP-1120.LNKCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk
backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [14.05.2009 14:22 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [14.05.2009 14:22 72944]
R2 USBKBFlt;Dritek USB Keypad Filter;c:\windows\system32\drivers\USBKBFLT.SYS [27.05.2002 04:17 29532]
R3 PRISM_A00;PRISM 802.11g Driver;c:\windows\system32\drivers\PRISMA00.sys [13.12.2004 18:14 380736]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [14.05.2009 14:22 7408]
R3 tifmsi;tifmsi;c:\windows\system32\drivers\tifmsi.sys [17.02.2004 17:37 66944]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [17.01.2009 22:46 1527900]
S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;c:\programme\Google\Google Desktop Search\GoogleDesktop.exe [10.08.2008 12:51 29744]
S3 S6U12AScanner;MUSTEK 1200 CU PLUS Still Image Device Service;c:\windows\system32\drivers\UsbScan.sys [24.05.2008 20:32 14208]
.
Inhalt des "geplante Tasks" Ordners

2009-05-23 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-08-10 21:38]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-procexp90.Sys


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
uInternet Settings,ProxyServer = http=localhost:7171
uInternet Settings,ProxyOverride = *.local;<local>
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\ofh3oz2c.default\
FF - prefs.js: network.proxy.http - localhost
FF - prefs.js: network.proxy.http_port - 7171
FF - prefs.js: network.proxy.type - 1
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJPI150_04.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPOJI610.dll

---- FIREFOX Richtlinien ----
FF - user.js: google.toolbar.linkdoctor.enabled - false
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-24 00:52
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(760)
c:\windows\system32\ODBC32.dll
c:\programme\SUPERAntiSpyware\SASWINLO.dll

- - - - - - - > 'lsass.exe'(816)
c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(2880)
c:\windows\System32\msi.dll
c:\programme\Microsoft Office\OFFICE11\msohev.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\CAP3RSK.EXE
c:\windows\system32\spool\drivers\w32x86\3\CAP3SWK.EXE
c:\windows\system32\spool\drivers\w32x86\3\CAP3SWK.EXE
c:\windows\system32\spool\drivers\w32x86\3\CAP3SWK.EXE
c:\windows\system32\spool\drivers\w32x86\3\CAP3SWK.EXE
c:\windows\system32\spool\drivers\w32x86\3\CAP3SWK.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-23 1:04 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-05-23 23:04
ComboFix2.txt 2008-08-20 14:10

Vor Suchlauf: 18 Verzeichnis(se), 22.372.233.216 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 22.329.200.640 Bytes frei

175 --- E O F --- 2007-12-01 10:27

Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Erstelle ein Filelisting.

• Lade die Datei File-Upload.net - listing0.bat auf deinen Desktop
• Doppelklicke auf listing0.bat
• Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de) hochladen und hier den Link posten.

ciao, andreas