Virus namens IMG-0012.zip über Messenger-Programm

#1 Hallo,

habe heute über den MSN-Messenger ein Virus eingefangen. Es sah so aus als ob, mir ein Bekannter eine Datei senden wollte. Text war spanischsprachig (ich lebe in Argentinien und der Bekannte lebt auch hier). Jetzt versucht der Windows-Messenger anscheinend auch solche Dateien zu versenden. Die Datei heißt IMG-0012.zip und wenn man sie entpackt, findet man ein weitere Datei (img0012-www.photostorage.com). Mein Virenscanner NOD32 kann den Virus leider nicht identifizieren. Hier die Logs:

ComboFix 07-09-10.6 - "Carsten Schumacher" 2007-09-11 19:29:01.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.134 [GMT -3:00]
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\sys.txt


((((((((((((((((((((((( Dateien erstellt von 2007-08-11 bis 2007-09-11 ))))))))))))))))))))))))))))))
.

2007-09-11 19:28 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-11 18:22 25,600 -r-hs---- C:\WINDOWS\system\lsass.exe
2007-08-28 22:17 7,680 --a------ C:\WINDOWS\system32\ff_vfw.dll
2007-08-28 22:17 <DIR> d-------- C:\Programme\ffdshow
2007-08-24 12:59 <DIR> d-------- C:\xampplite

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-11 18:33 --------- d-------- C:\Programme\Trillian
2007-09-11 18:33 --------- d-------- C:\DOKUME~1\CARSTE~1\ANWEND~1\Free Download Manager
2007-09-11 18:00 --------- d-------- C:\Programme\Mozilla Thunderbird
2007-09-11 16:22 --------- d-------- C:\Programme\eMule
2007-09-11 15:18 --------- d-------- C:\DOKUME~1\CARSTE~1\ANWEND~1\Skype
2007-09-05 19:00 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\pdf995
2007-09-02 21:13 --------- d-------- C:\Programme\DVD Flick
2007-08-22 17:19 --------- d-------- C:\Programme\WMR11
2007-08-21 13:37 --------- d-------- C:\Programme\phase5
2007-08-07 18:15 --------- d-------- C:\DOKUME~1\CARSTE~1\ANWEND~1\Good Keywords v2
2007-08-02 19:19 --------- d-------- C:\DOKUME~1\CARSTE~1\ANWEND~1\Free Monitor for Google
2007-08-02 17:59 --------- d-------- C:\Programme\Free Monitor for Google
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\dllcache\cdm.dll
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\dllcache\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\dllcache\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\dllcache\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\dllcache\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\dllcache\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\dllcache\wups.dll
2007-07-26 14:33 --------- d-------- C:\DOKUME~1\CARSTE~1\ANWEND~1\ImgBurn
2007-07-25 22:23 --------- d-------- C:\Programme\Astonsoft
2007-07-25 22:13 --------- d-------- C:\Programme\Gemeinsame Dateien\Astonsoft
2007-07-25 22:13 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Astonsoft
2007-07-25 11:44 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Elaborate Bytes
2007-07-23 17:34 --------- d-------- C:\Programme\Skype
2007-07-23 15:02 --------- d-------- C:\Programme\Gemeinsame Dateien\Skype
2007-07-23 15:02 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Skype
2007-07-20 17:32 --------- d-------- C:\Programme\StealthNet
2007-07-20 11:06 --------- d-------- C:\Programme\MemoMaster
2007-07-20 11:05 --------- d-------- C:\Programme\Open Workbench
2007-07-20 11:04 --------- d-------- C:\Programme\TVAnts
2007-07-20 00:00 --------- d-------- C:\Programme\Grips
2007-07-19 03:56 3583488 --a------ C:\WINDOWS\system32\dllcache\mshtml.dll
2007-07-12 20:30 765952 --a------ C:\WINDOWS\system32\dllcache\vgx.dll
2007-07-12 13:29 --------- d-------- C:\Programme\Anti-Leech
2007-06-27 11:05 823808 --a------ C:\WINDOWS\system32\dllcache\wininet.dll
2007-06-27 11:05 671232 --a------ C:\WINDOWS\system32\dllcache\mstime.dll
2007-06-27 11:05 52224 --------- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-06-27 11:05 477696 --a------ C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-06-27 11:05 459264 --------- C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-06-27 11:05 27648 --a------ C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-06-27 11:05 232960 --------- C:\WINDOWS\system32\dllcache\webcheck.dll
2007-06-27 11:05 193024 --a------ C:\WINDOWS\system32\dllcache\msrating.dll
2007-06-27 11:05 1152000 --a------ C:\WINDOWS\system32\dllcache\urlmon.dll
2007-06-27 11:05 105984 --------- C:\WINDOWS\system32\dllcache\url.dll
2007-06-27 11:05 102400 --------- C:\WINDOWS\system32\dllcache\occache.dll
2007-06-27 11:04 6058496 --------- C:\WINDOWS\system32\dllcache\ieframe.dll
2007-06-27 11:04 44544 --------- C:\WINDOWS\system32\dllcache\iernonce.dll
2007-06-27 11:04 384512 --------- C:\WINDOWS\system32\dllcache\iedkcs32.dll
2007-06-27 11:04 383488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-06-27 11:04 267776 --------- C:\WINDOWS\system32\dllcache\iertutil.dll
2007-06-27 11:04 230400 --------- C:\WINDOWS\system32\dllcache\ieaksie.dll
2007-06-27 11:04 153088 --------- C:\WINDOWS\system32\dllcache\ieakeng.dll
2007-06-27 11:04 132608 --a------ C:\WINDOWS\system32\dllcache\extmgr.dll
2007-06-27 11:04 124928 --------- C:\WINDOWS\system32\dllcache\advpack.dll
2007-06-27 05:27 63488 --------- C:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-06-27 05:27 13824 --------- C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-06-27 05:26 625152 --------- C:\WINDOWS\system32\dllcache\iexplore.exe
2007-06-27 04:00 161792 --------- C:\WINDOWS\system32\dllcache\ieakui.dll
2007-06-26 03:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-26 03:08 1104896 --------- C:\WINDOWS\system32\dllcache\msxml3.dll
2007-06-19 10:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-19 10:31 282112 --------- C:\WINDOWS\system32\dllcache\gdi32.dll
2007-06-13 10:21 1036288 --a------ C:\WINDOWS\explorer.exe
2007-06-13 10:21 1036288 --------- C:\WINDOWS\system32\dllcache\explorer.exe
2006-05-22 16:52 251 --a------ C:\Programme\wt3d.ini
2005-05-13 16:12:00 217,073 --sha-r C:\WINDOWS\meta4.exe
2005-10-24 10:13:58 66,560 --sha-r C:\WINDOWS\MOTA113.exe
2005-07-14 11:31:20 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll
2006-05-22 19:16:02 88 --sh--r C:\WINDOWS\system32\D8015DCC0D.sys
2006-05-03 09:06:54 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2004-01-24 23:00:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
2006-05-22 19:16:07 3,766 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2007-02-21 10:47:16 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2004-01-24 23:00:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 10:01]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-12-13 19:44]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-12-13 19:41]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-12-13 19:45]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"SigmatelSysTrayApp"="stsystra.exe" [2005-11-16 17:35 C:\WINDOWS\stsystra.exe]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-11-29 14:56]
"ShowLOMControl"="1 (0x1)" []
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-28 07:55]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-12-28 07:56]
"ISUSPM Startup"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2005-06-10 06:44]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-06-10 06:44]
"routcnf"="C:\Programme\Telekom\T-Eumex 220PC\routcnf.exe" []
"LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2003-08-29 09:17]
"LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2003-08-29 09:20]
"MSKDetectorExe"="C:\Programme\McAfee\SpamKiller\MSKDetct.exe" [2005-07-12 15:05]
"nod32kui"="C:\Programme\Eset\nod32kui.exe" [2006-07-15 05:17]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 12:40]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2006-02-18 22:41]
"Dell QuickSet"="C:\Programme\Dell\QuickSet\Quickset.exe" [2005-12-06 06:45]
"Windows Lsass Services"="C:\WINDOWS\system\lsass.exe" [2007-09-11 21:20]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 10:00]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-06-08 15:18]

C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\
Digital Line Detect.lnk - C:\Programme\Digital Line Detect\DLG.exe [2006-05-17 09:58:52]
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 00:21:22]
sipgate X-Lite.lnk - C:\Programme\sipgate X-Lite\sipgateXLite.exe [2007-06-20 13:39:37]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

R2 SVKP;SVKP;\??\C:\WINDOWS\system32\SVKP.sys
S2 DETEWECP;Telekom CapiPort;C:\WINDOWS\system32\drivers\detewecp.sys
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys
S3 PID_0920;Logitech QuickCam Express(PID_0920);C:\WINDOWS\system32\DRIVERS\LV532AV.SYS
S3 sonypvs1;Sony Digital Imaging Video2;C:\WINDOWS\system32\DRIVERS\sonypvs1.sys
S3 ulisa;Telekom ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ef924123-e9bd-11da-9a0c-806d6172696f}]
play\Command- "C:\Programme\Windows Media Player\wmplayer.exe" /prefetch:3 /device:AudioCD "%L"

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2006-05-23 19:15:12 C:\WINDOWS\Tasks\ISP-Anmeldungserinnerung 1.job"
- C:\WINDOWS\system32\OOBE\oobebaln.exe
"2007-09-07 21:30:00 C:\WINDOWS\Tasks\McAfee.com - Virenscan - Mein Computer (D43QR82J-Carsten Schumacher).job"
- c:\programme\mcafee.com\vso\mcmnhdlr.exe
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-11 19:32:10
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

C:\WINDOWS\system32\cmd.exe [1972] 0xFBE62BF0


scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************
.
Completion time: 2007-09-11 19:33:22
C:\ComboFix-quarantined-files.txt ... 2007-09-11 19:32
C:\ComboFix2.txt ... 2007-01-02 11:39
.
--- E O F ---

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:36:43, on 11.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Programme\Eset\nod32krn.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Dell\QuickSet\Quickset.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\WINDOWS\system\lsass.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Carsten Schumacher\Desktop\Virusbeseitigung\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ShowLOMControl]

O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\T-Eumex 220PC\routcnf.exe /capiactive
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\Programme\McAfee\SpamKiller\MSKDetct.exe /uninstall
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\Quickset.exe
O4 - HKLM\..\Run: [Windows Lsass Services] C:\WINDOWS\system\lsass.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: sipgate X-Lite.lnk = C:\Programme\sipgate X-Lite\sipgateXLite.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Webseite mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlpage.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{66B8A648-D266-4AEA-98D4-A685EB60C187}: NameServer = 10.0.0.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{904CED47-5C07-49CE-8FCC-1C8A95E4D38F}: NameServer = 10.0.0.2
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 8102 bytes

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 48C2-95C5

Verzeichnis von C:\WINDOWS\system32

11.09.2007 15:18 2.206 wpa.dbl
29.08.2007 22:27 249.852 TZLog.log
11.08.2007 18:43 5.156 jupdate-1.6.0_02-b06.log
03.08.2007 01:34 16.789.464 MRT.exe
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
29.07.2007 17:51 7.680 ff_vfw.dll
22.07.2007 23:13 341 lsprst7.dll
22.07.2007 23:13 355 lsprst7.tgz
22.07.2007 23:13 87 ssprs.tgz
22.07.2007 23:13 73 ssprs.dll
22.07.2007 18:39 279.552 swreg.exe
19.07.2007 03:56 3.583.488 mshtml.dll
18.07.2007 09:42 60.416 tzchange.exe
12.07.2007 02:22 139.264 javaws.exe
12.07.2007 02:22 69.632 javacpl.cpl
12.07.2007 01:22 135.168 javaw.exe
12.07.2007 01:22 135.168 java.exe
10.07.2007 19:21 405.644 perfh009.dat
10.07.2007 19:21 77.236 perfc007.dat
10.07.2007 19:21 64.194 perfc009.dat
10.07.2007 19:21 421.000 perfh007.dat
10.07.2007 19:21 941.690 PerfStringBackup.INI
10.07.2007 18:10 547 ff_vfw.dll.manifest
27.06.2007 11:05 823.808 wininet.dll
27.06.2007 11:05 232.960 webcheck.dll
27.06.2007 11:05 1.152.000 urlmon.dll
27.06.2007 11:05 102.400 occache.dll
27.06.2007 11:05 671.232 mstime.dll
27.06.2007 11:05 105.984 url.dll
27.06.2007 11:05 193.024 msrating.dll
27.06.2007 11:05 477.696 mshtmled.dll
27.06.2007 11:05 459.264 msfeeds.dll
27.06.2007 11:05 52.224 msfeedsbs.dll
27.06.2007 11:05 27.648 jsproxy.dll
27.06.2007 11:05 1.824.256 inetcpl.cpl
27.06.2007 11:04 267.776 iertutil.dll
27.06.2007 11:04 6.058.496 ieframe.dll
27.06.2007 11:04 44.544 iernonce.dll
27.06.2007 11:04 384.512 iedkcs32.dll
27.06.2007 11:04 383.488 ieapfltr.dll
27.06.2007 11:04 230.400 ieaksie.dll
27.06.2007 11:04 153.088 ieakeng.dll
27.06.2007 11:04 132.608 extmgr.dll
27.06.2007 11:04 124.928 advpack.dll
27.06.2007 05:27 13.824 ieudinit.exe
27.06.2007 05:27 63.488 ie4uinit.exe
27.06.2007 04:00 161.792 ieakui.dll
26.06.2007 03:08 1.104.896 msxml3.dll
19.06.2007 10:31 282.112 gdi32.dll
11.06.2007 23:51 10.834.944 wmp.dll

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 48C2-95C5

Verzeichnis von C:\DOKUME~1\CARSTE~1\LOKALE~1\Temp

11.09.2007 19:38 118.886 datfind.txt
1 Datei(en) 118.886 Bytes
0 Verzeichnis(se), 11.525.447.680 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 48C2-95C5

Verzeichnis von C:\WINDOWS

11.09.2007 19:02 1.341.436 WindowsUpdate.log
11.09.2007 18:25 439 system.ini
11.09.2007 18:22 25.754 IMG-0012.zip
11.09.2007 17:14 135.046 wmsetup.log
11.09.2007 16:23 4.146 ModemLog_Conexant HDA D110 MDC V.92 Modem.txt
11.09.2007 15:33 254 wiadebug.log
11.09.2007 15:17 0 0.log
11.09.2007 15:17 50 wiaservc.log
11.09.2007 15:17 2.048 bootstat.dat
11.09.2007 15:16 32.638 SchedLgU.Txt
10.09.2007 16:39 229 NeroDigital.ini
09.09.2007 21:40 707.156 setupapi.log
05.09.2007 19:00 60 wpd99.drv
30.08.2007 09:00 131.208 MedCtrOC.log
30.08.2007 09:00 55.585 ehOCGen.log
30.08.2007 09:00 1.155.574 iis6.log
30.08.2007 09:00 304.240 comsetup.log
30.08.2007 09:00 425.493 tsoc.log
30.08.2007 09:00 190.144 ntdtcsetup.log
30.08.2007 09:00 42.657 tabletoc.log
30.08.2007 09:00 1.374 imsins.log
30.08.2007 09:00 50.286 ocmsn.log
30.08.2007 09:00 10.141 KB939683.log
30.08.2007 09:00 169.271 netfxocm.log
30.08.2007 09:00 481.764 ocgen.log
30.08.2007 09:00 125.155 plusoc.log
30.08.2007 09:00 45.660 msgsocm.log
30.08.2007 09:00 892.046 FaxSetup.log
30.08.2007 09:00 312.606 msmqinst.log
29.08.2007 22:27 1.374 imsins.BAK
29.08.2007 22:27 23.476 KB933360.log
29.08.2007 14:33 871 win.ini
15.08.2007 09:07 21.193 spupdsvc.log
15.08.2007 07:27 20.276 KB936021.log
15.08.2007 07:27 72.953 updspapi.log
15.08.2007 07:26 19.783 KB938828.log
15.08.2007 07:26 19.153 KB921503.log
15.08.2007 07:26 19.042 KB938829.log
15.08.2007 07:24 24.145 KB937143-IE7.log
15.08.2007 07:24 13.373 KB938127-IE7.log
15.08.2007 07:23 290.608 msxml4-KB936181-enu.LOG
15.08.2007 07:23 10.389 KB936782.log
20.07.2007 00:47 109.056 catchme.exe
10.07.2007 19:26 12.566 KB936357.log
10.07.2007 19:16 11.546 KB930494.log
17.06.2007 00:11 51.200 NirCmd.exe
13.06.2007 10:21 1.036.288 explorer.exe
12.06.2007 20:56 20.064 KB929123.log
12.06.2007 20:56 19.569 KB935840.log
12.06.2007 20:54 19.207 KB935839.log
12.06.2007 20:53 24.710 KB933566-IE7.log
08.06.2007 15:14 221 NCLogConfig.ini
22.05.2007 15:41 8.505 KB927891.log
14.05.2007 08:55 705 setupact.log
09.05.2007 15:53 18.040 KB931768-IE7.log
09.05.2007 15:52 12.428 KB930916.log

315 Datei(en) 22.235.475 Bytes
0 Verzeichnis(se), 11.525.431.296 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 48C2-95C5

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 48C2-95C5

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.11.2006 14:36 5.019 swflash.inf
19.08.2005 20:56 65 desktop.ini
10.06.2005 06:44 417.792 isusweb.dll
25.07.2002 14:13 24.576 dwusplay.dll
25.07.2002 14:13 196.608 dwusplay.exe
5 Datei(en) 644.060 Bytes
0 Verzeichnis(se), 11.525.431.296 Bytes frei
.
.
.

Danke für die Unterstützung ...

Viele Grüße

Carsten

#2 Als erstes MSN entfernen via Start -> Sytemsteuerung-> Software
Entferne auch: C:\Programme\MSN Messenger

Entferne auf C:\Qoobox-->Papierkorb leeren

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O4 - HKLM\..\Run: [Windows Lsass Services] C:\WINDOWS\system\lsass.exe

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Installiere AVG Anti Spyware 7.5
http://board.protecus.de/t29853.htm

Folge diese Anleitung http://board.protecus.de/t30786.htm

ps
Wenn alles wieder in Ordnung ist und MSN ist wieder installiert schicke bitte deine Kontaktpersonen eine Bericht dass sie auch AVG Anti Spyware benützen sollen!
__________
MfG Argus

#3 Hallo Arnold,

vielen Dank für die schnelle Antwort. Habe heute alles in Ruhe abgearbeitet und es gibt keine Anzeichen von irgendwelchen Überbleibseln. Also ich denke, ich habe das jetzt unter Kontrolle.

Vielen Dank noch einmal

Viele Grüße aus dem Süden

Carsten

#4 Hi,Carsten
Gut das es gelungen ist
Mach noch eine Systemwiederherstellung und aufpassen bei Skype gibt es auch sowas
http://www.computerwoche.de/knowledge_center/it_security/529089/?ILC-RSSFEED&feed=529089%20rssnews

MfG
Arnold
__________
MfG Argus