Sicherheitslücken in Messenger-Programmen?

#1 Hallo,

ich habe das Problem, dass fremde Leute auf meinen Rechner zugreifen können, obwohl ich weder einen Virus noch einen Trojaner auf dem Rechner habe... entsprechende Scans per A squared, AntiVir, TrendMicro Onlinescanner, Spybot verliefen ohne irgendeinen Fund. Sophos Anti Rootkit meldet mir zwar zwei versteckte Dateien, diese befinden sich aber im temp-Verzeichnis und gehören zum a squared Scanner, der während ich Sophos laufen ließ, lief.

Bei einer entsprechenden manuellen Suche von mir in der Registry ("run" und "run once") finde ich auch keine Auffälligkeiten. Auch im Hijackthis-Log kann ich nichts finden.

Nun ist es aber so, dass mein Rechner brutalst langsam wurde, meine CPU stets auf 100% läuft und wenn ich in der DOS-Box den netstat -a bzw. netstat -n Befehl eingebe, Leute angezeigt bekomme, die über diverse Ports mit meinem Rechner kommunizieren, obwohl ich die in keinem Messenger drinhabe - schon lokalitätsmäßig nicht...habs mit NeoTrace Pro gecheckt.

Meine einzige Vermutung ist, dass die über einen der Messenger reinkommen. Die habe ich komplett geupdated - hilft nix. Ich kann die Messenger aber nicht deinstallieren, da das für mich die einzige Möglichkeit ist, relativ kostengünstig mit meiner Verlobten in Wien (lebe in Hamburg) zu kommunizieren.
Es kann ja auch nicht die Lösung sein.

Habe Standardsetup, was Hardware angeht, d.h.: Router, PC mit LAN und Firewall (ZoneAlarm)...Windoof Firewall ist natürlich off.

Alles Weitere seht ihr im Hijackthis - Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:10:55, on 20.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programme\a-squared Free\a2free.exe
C:\Programme\Sophos\Sophos Anti-Rootkit\sargui.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Torsten\LOKALE~1\Temp\jstnsg.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189870583015
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-28cdb1e25b5bc1e6.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://bmm.imgag.com/imgag/cp/install/crusher-de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{03F6F73B-727A-489A-B228-0A7C88F57541}: NameServer = 213.191.74.19 62.109.123.197
O17 - HKLM\System\CS1\Services\Tcpip\..\{03F6F73B-727A-489A-B228-0A7C88F57541}: NameServer = 213.191.74.19 62.109.123.197
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9698 bytes

Habt ihr irgendeine Idee? Und was mache ich mit den Leuten, die da auf meinem Rechner sind? Kann ja nicht mit denen kommunizieren und sie fragen, wie sie`s schaffen...*gg*

Ich weiss zwar, dass Skype Netzwerke nutzt, um Verbindungen aufzubauen und daher unbekannte Personen über -dann offene- Ports mit meinem Rechner kommunizieren können...ich hab die aber auch drauf, wenn ich Skype beende.

Sorry - halte mich für nicht ganz so blöd, aber DAS geht über mein Wissen hinaus

Danke für Eure Mühen vorab!

Torsten

#2 Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei VirusTotal oder Jotti

C:\DOKUME~1\Torsten\LOKALE~1\Temp\jstnsg.exe

Stand alone DrWeb
Stand alone Kaspersky
__________
MfG Argus

#3 Hallo Arnold!

Danke für Deine Antwort und Deine Mühe!

Verborgene und Systemdateien sind bei mir standardmäßig angezeigt.

Die Datei ist nicht mehr da...ich nehme an, es handelt sich um eine Zufallsdatei, die beim Scanvorgang von A squared erstellt wurde - dies, weil der Dateiname im gesamten Internet unbekannt ist, wenn man googelt.

Interessant ist allerdings folgendes: Das Sophos Anti-Rootkit findet bei jedem Scanvorgang andere versteckte Dateien - jedesmal nur 1 oder 2...aber eben jedesmal andere. Hab das auch noch nicht erlebt...aber damit etwas laufen kann, muss es doch vorher irgendwie aktiviert werden. Hm.

Poste nochmal mein aktuelles Logfile von eben gerade:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:10:12, on 20.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Sophos\Sophos Anti-Rootkit\sargui.exe
C:\DOKUME~1\Torsten\LOKALE~1\Temp\wvxkst.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189870583015
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-28cdb1e25b5bc1e6.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://bmm.imgag.com/imgag/cp/install/crusher-de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{03F6F73B-727A-489A-B228-0A7C88F57541}: NameServer = 213.191.74.19 62.109.123.197
O17 - HKLM\System\CS1\Services\Tcpip\..\{03F6F73B-727A-489A-B228-0A7C88F57541}: NameServer = 213.191.74.19 62.109.123.197
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9572 bytes

Alles sehr merkwürdig. Aber das Logfile sieht doch gut aus, oder?

NEEEE! TUT ES NICHT! Seh grade: Was ist denn die C:\DOKUME~1\Torsten\LOKALE~1\Temp\wvxkst.exe ?? Ich finde die nicht. Nicht, wenn ich per Explorer reinschau und nicht mal über Sophos. Sophos meldet mir auch keine versteckten Dateien im Temp-Ordner. Moment!
Mache gleich mal einen Scan im abgesicherten Modus und melde mich wieder.
Danke!

Zitat

Arnold postete
Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei VirusTotal oder [url="http://virusscan.Jotti.org/"]Jotti[/url]

C:\DOKUME~1\Torsten\LOKALE~1\Temp\jstnsg.exe

Stand alone DrWeb
Stand alone Kaspersky

#4 ComboFix arbeitet zur Zeit nicht,versuchen wir es mit...
DSS
Download dss zum Desktop
Doppelklick dss.exe
Kopiere den Inhalt des Berichts C:/ main.txt in dein folgender Bericht
__________
MfG Argus

#5 Hallo Arnold,

nachfolgend.

Der Systemscan im abgesicherten Modus brachte bei A-squared, AntiVir und Spybot keinen Fund. Alle sind natürlich auf dem neuesten Stand - wie mein Betriebssystem auch...

imDeckard's System Scanner v20071014.68
Run by Torsten on 2007-11-20 17:08:42
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
19: 2007-11-20 16:08:47 UTC - RP203 - Deckard's System Scanner Restore Point
18: 2007-11-19 08:53:30 UTC - RP202 - Software Distribution Service 3.0
17: 2007-11-18 18:45:34 UTC - RP201 - Software Distribution Service 3.0
16: 2007-11-18 14:23:22 UTC - RP200 - Installed Windows Live
15: 2007-11-17 19:00:13 UTC - RP199 - Installed Windows Live


-- First Restore Point --
1: 2007-10-30 12:27:11 UTC - RP185 - Der unsignierte Treiber kann nicht aktualisiert werden


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as Torsten.exe) ---------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:09:22, on 20.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Torsten\Desktop\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\Torsten.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189870583015
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-28cdb1e25b5bc1e6.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://bmm.imgag.com/imgag/cp/install/crusher-de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{03F6F73B-727A-489A-B228-0A7C88F57541}: NameServer = 213.191.74.19 62.109.123.197
O17 - HKLM\System\CS1\Services\Tcpip\..\{03F6F73B-727A-489A-B228-0A7C88F57541}: NameServer = 213.191.74.19 62.109.123.197
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9315 bytes

-- HijackThis Fixed Entries (C:\PROGRA~1\TRENDM~1\HIJACK~1\backups\) -----------

backup-20071118-234613-627 O4 - HKCU\..\Run: [PhilipsLime] "C:\Programme\Philips\Philips Lime Service\bin\LimeAlive.exe"
backup-20071120-063211-716 O4 - HKLM\..\Run: [PhilipsDM] "C:\Programme\Philips\Philips Device Manager\Bin\DeviceManager.exe"
backup-20071120-063211-799 O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
backup-20071120-160952-283 O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

-- File Associations -----------------------------------------------------------

All associations okay.


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R3 camfilt2 - c:\windows\system32\drivers\camfilt2.sys <Not Verified; Guillemot Corporation; Hercules Webcam>
R3 SNPSTD3 (Hercules Classic Silver) - c:\windows\system32\drivers\snpstd3.sys <Not Verified; Sonix Co. Ltd.; USB PC Camera>

S3 MEMSWEEP2 - c:\windows\system32\2d.tmp <Not Verified; Sophos Plc; Sophos Anti-Virus>


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - "c:\programme\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; Scheduler>


-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Description: Ethernet-Controller
Device ID: PCI\VEN_14E4&DEV_16A6&SUBSYS_80A91043&REV_02\4&3B90381F&0&28F0
Manufacturer:
Name: Ethernet-Controller
PNP Device ID: PCI\VEN_14E4&DEV_16A6&SUBSYS_80A91043&REV_02\4&3B90381F&0&28F0
Service:

Class GUID: {4D36E96C-E325-11CE-BFC1-08002BE10318}
Description: C-Media AC97 Audio Device
Device ID: PCI\VEN_8086&DEV_24C5&SUBSYS_80951043&REV_02\3&61AAA01&0&FD
Manufacturer: C-Media
Name: C-Media AC97 Audio Device
PNP Device ID: PCI\VEN_8086&DEV_24C5&SUBSYS_80951043&REV_02\3&61AAA01&0&FD
Service: cmuda


-- Scheduled Tasks -------------------------------------------------------------

2007-11-16 17:15:00 400 --a------ C:\WINDOWS\Tasks\1-Klick-Wartung.job
2007-11-16 14:22:01 276 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job


-- Files created between 2007-10-20 and 2007-11-20 -----------------------------

2007-11-18 23:43:33 0 d-------- C:\Programme\Trend Micro
2007-11-18 20:43:42 0 d-------- C:\Programme\NeoTracePro
2007-11-18 15:41:17 0 d-------- C:\Programme\Microsoft SQL Server Compact Edition
2007-11-18 15:21:31 38160 --a------ C:\WINDOWS\system32\LMRTREND.dll <Not Verified; Microsoft Corporation; Microsoft® Windows(TM) Operating System>
2007-11-18 15:21:18 182032 --a------ C:\WINDOWS\system32\dxtmsft3.dll <Not Verified; Microsoft Corporation; Microsoft® Windows(TM) Operating System>
2007-11-18 15:20:37 63488 --a------ C:\WINDOWS\system32\unam4ie.exe <Not Verified; Microsoft Corporation; DirectShow>
2007-11-18 15:19:48 10240 --a------ C:\WINDOWS\system32\vidx16.dll
2007-11-18 15:19:42 194320 --a------ C:\WINDOWS\system32\qcut.dll <Not Verified; Microsoft Corporation; DirectShow>
2007-11-18 15:19:18 4608 --a------ C:\WINDOWS\system32\w95inf32.dll <Not Verified; Microsoft Corporation; Microsoft® Plus! for Windows® 95>
2007-11-18 15:19:18 2272 --a------ C:\WINDOWS\system32\w95inf16.dll <Not Verified; Microsoft Corporation; Microsoft® Plus! for Windows® 95>
2007-11-18 15:18:50 24576 --a------ C:\WINDOWS\system32\TTIC32.dll <Not Verified; PoINT Software & Systems GmbH; TTIC32>
2007-11-18 15:18:50 24576 --a------ C:\WINDOWS\system32\TTI32.dll <Not Verified; PoINT Software & Systems GmbH; TTI32>
2007-11-18 15:18:50 24576 --a------ C:\WINDOWS\system32\STRING32.DLL <Not Verified; PoINT Software & Systems GmbH; STRING32>
2007-11-18 15:18:50 57344 --a------ C:\WINDOWS\system32\DLLTPO32.dll <Not Verified; PoINT Software & Systems GmbH; DLLTPO32>
2007-11-18 15:18:50 151552 --a------ C:\WINDOWS\system32\DLLRES32.DLL <Not Verified; PoINT Software & Systems GmbH; DLLRES32>
2007-11-18 15:18:50 36864 --a------ C:\WINDOWS\system32\DLLRD32.dll <Not Verified; PoINT Software & Systems GmbH; DLLRD32>
2007-11-18 15:18:49 61440 --a------ C:\WINDOWS\system32\DLLPTL32.dll <Not Verified; PoINT Software & Systems GmbH; DLLPTL32>
2007-11-18 15:18:49 53248 --a------ C:\WINDOWS\system32\DLLPRJ32.dll <Not Verified; PoINT Software & Systems GmbH; DLLPRJ32>
2007-11-18 15:18:49 45056 --a------ C:\WINDOWS\system32\DLLPRF32.dll <Not Verified; PoINT Software & Systems GmbH; DLLPRF32>
2007-11-18 15:18:49 36864 --a------ C:\WINDOWS\system32\DLLPNT32.DLL <Not Verified; PoINT Software & Systems GmbH; DLLPNT32>
2007-11-18 15:18:49 32768 --a------ C:\WINDOWS\system32\DLLMSC32.dll <Not Verified; PoINT Software & Systems GmbH; DLLMSC32>
2007-11-18 15:18:49 24576 --a------ C:\WINDOWS\system32\DLLIX.dll <Not Verified; PoINT Software & Systems GmbH; DLLIX>
2007-11-18 15:18:49 28672 --a------ C:\WINDOWS\system32\DLLISO32.dll <Not Verified; PoINT Software & Systems GmbH; DLLISO32>
2007-11-18 15:18:49 40960 --a------ C:\WINDOWS\system32\DLLIO32.DLL <Not Verified; PoINT Software & Systems GmbH; DLLIO32>
2007-11-18 15:18:49 40960 --a------ C:\WINDOWS\system32\DLLIMG32.dll <Not Verified; PoINT Software & Systems GmbH; DLLIMG32>
2007-11-18 15:18:49 90112 --a------ C:\WINDOWS\system32\DLLDRV32.DLL <Not Verified; PoINT Software & Systems GmbH; DLLDRV32>
2007-11-18 15:18:49 32768 --a------ C:\WINDOWS\system32\DLLDIR32.dll <Not Verified; PoINT Software & Systems GmbH; DLLDIR32>
2007-11-18 15:18:49 122880 --a------ C:\WINDOWS\system32\DLLDEV32.DLL <Not Verified; PoINT Software & Systems GmbH; DLLDEV32>
2007-11-18 15:18:48 77824 --a------ C:\WINDOWS\system32\DLLCPY32.dll <Not Verified; PoINT Software & Systems GmbH; DLLCPY32>
2007-11-18 15:18:48 61440 --a------ C:\WINDOWS\system32\DLLCDF32.dll <Not Verified; PoINT Software & Systems GmbH; DLLCDF32>
2007-11-18 15:18:48 94208 --a------ C:\WINDOWS\system32\DLLCDA32.dll <Not Verified; PoINT Software & Systems GmbH; PoINT CDarchive for Windows>
2007-11-18 15:18:48 39136 --a------ C:\WINDOWS\system32\cdrom.sys <Not Verified; Microsoft Corporation; Microsoft(R) Windows NT(TM) Operating System>
2007-11-18 15:04:43 0 d-------- C:\MAGIX
2007-11-17 19:59:21 0 d--hs--c- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2007-11-17 19:58:22 0 d-------- C:\Programme\Windows Live
2007-11-16 11:55:22 0 d-------- C:\Programme\Shareaza
2007-11-09 01:49:40 0 d-------- C:\Programme\QuickTime
2007-11-09 01:49:13 0 d-------- C:\Programme\Apple Software Update
2007-11-06 01:50:42 0 d-------- C:\Programme\VideoLAN
2007-11-02 17:15:52 0 d-------- C:\Programme\Skype
2007-11-02 17:15:51 0 d-------- C:\Programme\Gemeinsame Dateien\Skype
2007-11-01 01:05:27 0 d-------- C:\Programme\a-squared Free
2007-10-23 13:59:10 0 d-------- C:\Programme\MSXML 4.0


-- Find3M Report ---------------------------------------------------------------

2007-11-20 16:59:36 0 d-------- C:\Dokumente und Einstellungen\Torsten\Anwendungsdaten\Skype
2007-11-20 16:33:21 0 d-------- C:\Programme\Eraser
2007-11-18 19:49:41 405118 --a------ C:\WINDOWS\system32\perfh007.dat
2007-11-18 19:49:41 70580 --a------ C:\WINDOWS\system32\perfc007.dat
2007-11-18 15:53:55 0 d-------- C:\Programme\IrfanView
2007-11-18 15:43:05 0 d--h----- C:\Programme\WindowsUpdate
2007-11-17 19:59:21 0 d-------- C:\Programme\Gemeinsame Dateien
2007-11-15 13:24:27 0 d-------- C:\Programme\Java
2007-11-15 01:46:04 0 d-------- C:\Programme\Movie Maker
2007-11-15 01:46:01 0 d-------- C:\Programme\ClearProg
2007-11-15 01:46:01 0 d-------- C:\Programme\Alice
2007-11-06 01:59:17 0 d-------- C:\Dokumente und Einstellungen\Torsten\Anwendungsdaten\vlc
2007-10-30 12:54:17 0 d-------- C:\Programme\Philips
2007-10-30 12:46:24 0 d--h----- C:\Programme\InstallShield Installation Information
2007-10-19 19:33:48 72748 --a------ C:\WINDOWS\unins000.exe <Not Verified; Jordan Russell; >
2007-10-19 19:33:48 663 --a------ C:\WINDOWS\unins000.dat
2007-10-18 12:35:46 0 d-------- C:\Programme\Sophos
2007-10-18 09:18:54 0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-10-13 10:09:49 0 d-------- C:\Programme\OLYMPUS PhotoAlbum
2007-10-10 10:34:38 0 d-------- C:\Dokumente und Einstellungen\Torsten\Anwendungsdaten\CyberLink
2007-10-10 10:33:40 0 d-------- C:\Programme\CyberLink
2007-10-10 10:33:04 0 d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2007-10-08 13:58:05 0 d-------- C:\Programme\Hercules
2007-10-08 13:57:40 0 d-------- C:\Dokumente und Einstellungen\Torsten\Anwendungsdaten\InstallShield
2007-10-03 17:18:18 51056 --a------ C:\Dokumente und Einstellungen\Torsten\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-09-27 00:07:15 1431 --a------ C:\WINDOWS\mozver.dat
2007-09-27 00:06:49 0 d-------- C:\Dokumente und Einstellungen\Torsten\Anwendungsdaten\Real


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="cmicnfg.cpl" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [10.10.2007 23:12]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [21.06.2007 20:54]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [25.09.2007 01:11]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [28.06.2007 23:43]
"nwiz"="nwiz.exe" [28.06.2007 23:43 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [28.06.2007 23:43]
"Lexmark X74-X75"="C:\Programme\Lexmark X74-X75\lxbbbmgr.exe" [14.10.2002 14:12]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [14.12.2004 01:12]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [19.10.2007 20:16]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 08:57]
"Eraser"="C:\Programme\Eraser\eraser.exe" [26.12.2006 01:23]
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" [30.08.2007 16:43]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [13.09.2007 13:31]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [31.08.2007 16:46]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [18.10.2007 11:34]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=1 (0x1)
"NoRecentDocsHistory"=1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Corel Reminder]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NWEReboot]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhilipsLime]
"C:\Programme\Philips\Philips Lime Service\bin\LimeAlive.exe"


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2653CA9F-491D-4EFF-4FE4-6A4CA43F6DC6}]
C:\DOKUME~1\Torsten\LOKALE~1\Temp\fert1.exe



-- End of Deckard's System Scanner: finished at 2007-11-20 17:10:09 ------------

Zitat

Arnold postete
ComboFix arbeitet zur Zeit nicht,versuchen wir es mit...
DSS
Download dss zum Desktop
Doppelklick dss.exe
Kopiere den Inhalt des Berichts C:/ main.txt in dein folgender Bericht

#6 Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei VirusTotal oder Jotti

C:\DOKUME~1\Torsten\LOKALE~1\Temp\fert1.exe

Stand alone DrWeb
Stand alone Kaspersky
__________
MfG Argus

#7 Hallo und guten Morgen, Arnold!

Wie ich bereits oben gepostet habe, sind bei mir auf dem Rechner alle verborgenen Dateien standardmäßig "windows-mäßig" sichtbar gemacht!!

Das Problem scheint zu sein, dass ich eine Datei auf dem Rechner habe, die nicht nur den Namen bei Zugriff ändert, sondern auch noch das Verzeichnis.

Jedenfalls zeigt mir das Sophos Anti-Rootkit bei jedem Scan eine andere Datei an und wenn ich nach dieser Datei suche oder sie anzeigen lassen will, ist sie weg.

In dem Moment ist auch Dein doppelter Ratschlag, doch die Suchdienste der o.a. zwei Internetseiten zu nutzen, etwas sinnlos, da ich für diese Dienste eine Datei HOCHLADEN soll...die ich in dem Moment aber nicht mehr finde, da sie im Moment des Zugriffs den Namen (und offenbar auch das Verzeichnis!) ändert!!!

Scans im abgesicherten Modus bringen nichts; Hijack liefert in dem Moment nur eine "Momentaufnahme", (die sich im Moment des Zugriffs ja ändert!!) - also wie kommen wir an den Mist ran?

Mein Gedanke ist nun folgender: Egal, wie oft sich das Ding ändert und egal was es macht...irgendwo muss es beim Booten initialisiert werden. Nur: Wo???
Sowohl Registry, RegCleaner, Msconfig als auch Hijack liefern nichts...höchstens den Namen der Datei, der sich aber im Moment des Zugriffs offenbar ändert.

ALSO!:

Erfolgt die Initialisierung von außen??

Ich habe irgendwo gelesen, dass ein Messenger-Kontakt, mit dem man einmal CAM (!)-Kontakt hatte und der Befugnis zum Kontakt mit meinem Rechner hatte...dass dieser -obwohl er bei MIR im Messenger-Verzeichnis gelöscht wurde- nach wie vor über einen Cam-Port zugreifen kann und Dinge initialisieren kann...da der Messenger sich automatisch ins Netz einloggt und dieser Person das gemeldet wird (da diese Person mich ja nicht aus IHREM Verzeichnis gelöscht haben muss) - kann er dann noch zugreifen und etwas auslösen?

Ist es das?

Zitat

Arnold postete
Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei VirusTotal oder [url="http://virusscan.Jotti.org/"]Jotti[/url]

C:\DOKUME~1\Torsten\LOKALE~1\Temp\fert1.exe

Stand alone DrWeb
Stand alone Kaspersky

#8 Kannst du mal nachschauen wass sich bei
{2653CA9F-491D-4EFF-4FE4-6A4CA43F6DC6} in
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2653CA9F-491D-4EFF-4FE4-6A4CA43F6DC6}
sich befindet?

Scanne mit Blacklight
Download Blacklight zum Desktop
Dopplelkick: fsbl.exe
Haacke an “I accept the agreement”
Klicke Next,klicke Scan
Am Ende stet ein Log:fsbl-xxxxxxxxx.logauf dein Desktop
Kopiere den Inhalt des Berichts „fsbl-xxxxxxxxx.log” in diesen Thread
__________
MfG Argus

#9 Hallo Arnold!

Heisser Tipp!
In der Registry finde ich unter Deiner Angabe folgende Einträge:

(Standard) REG_SZ (Wert nicht gesetzt)
StubPath REG_SZ C:\Dokume~1\Torsten\Lokale~1\Temp\fert1.exe...

Hier das Log:

11/24/07 11:28:46 [Info]: BlackLight Engine 1.0.67 initialized
11/24/07 11:28:46 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/24/07 11:28:47 [Note]: 7019 4
11/24/07 11:28:47 [Note]: 7005 0
11/24/07 11:28:55 [Note]: 7006 0
11/24/07 11:28:55 [Note]: 7011 1420
11/24/07 11:28:55 [Note]: 7026 0
11/24/07 11:28:55 [Note]: 7026 0
11/24/07 11:28:59 [Note]: FSRAW library version 1.7.1024
11/24/07 11:35:26 [Note]: 2000 1012
11/24/07 11:37:19 [Note]: 7007 0

Beim Scan hat er übrigens keine versteckten Dateien gefunden...muss aber nichts heissen...Sophos findet mal was, dann wieder nichts.

Zitat

Arnold postete
Kannst du mal nachschauen wass sich bei
{2653CA9F-491D-4EFF-4FE4-6A4CA43F6DC6} in
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2653CA9F-491D-4EFF-4FE4-6A4CA43F6DC6}
sich befindet?

Scanne mit Blacklight
Download Blacklight zum Desktop
Dopplelkick: fsbl.exe
Haacke an “I accept the agreement”
Klicke Next,klicke Scan
Am Ende stet ein Log:fsbl-xxxxxxxxx.logauf dein Desktop
Kopiere den Inhalt des Berichts „fsbl-xxxxxxxxx.log” in diesen Thread

#10 kanns du die C:\Dokume~1\Torsten\Lokale~1\Temp\fert1.exe auch mal bei virustotal und jotty überprüfen bitte und die ergebnisse posten.-

#11 Hallo Virenfinder -

hier mein Posting von 2 Zeilen weiter oben:


Hallo und guten Morgen, Arnold!

Wie ich bereits oben gepostet habe, sind bei mir auf dem Rechner alle verborgenen Dateien standardmäßig "windows-mäßig" sichtbar gemacht!!

Das Problem scheint zu sein, dass ich eine Datei auf dem Rechner habe, die nicht nur den Namen bei Zugriff ändert, sondern auch noch das Verzeichnis.

Jedenfalls zeigt mir das Sophos Anti-Rootkit bei jedem Scan eine andere Datei an und wenn ich nach dieser Datei suche oder sie anzeigen lassen will, ist sie weg.

In dem Moment ist auch Dein doppelter Ratschlag, doch die Suchdienste der o.a. zwei Internetseiten zu nutzen, etwas sinnlos, da ich für diese Dienste eine Datei HOCHLADEN soll...die ich in dem Moment aber nicht mehr finde, da sie im Moment des Zugriffs den Namen (und offenbar auch das Verzeichnis!) ändert!!!

Zitat

virenfinder postete
kanns du die C:\Dokume~1\Torsten\Lokale~1\Temp\fert1.exe auch mal bei virustotal und jotty überprüfen bitte und die ergebnisse posten.-

#12 Hi,Torsten
Ich schicke dir eine PN
__________
MfG Argus