ICQ Account verschickt selbstständig Link mit Virus

#1 Hallo,

ich wurde gestern durch einen Bekannten darauf aufmerksam gemach, dass mein ICQ Account eine Nachricht mit einem Link zu einer *.scr Datei verschickt hat.

Nachrichten Inhalt war:

"hey, guck mal ich habe ein bild von dir gefunden (Link: h**p://w*w.***.com/429942363.html ^^ "

Da er mir auch die Uhrzeit mitteilte, konnte ich im QIP log nachschauen und siehe da ... zu diesem Zeitpunkt kam die Meldung " Ihre ICQ UIN wird auf einem andere Rechner verwendet".

Ich habe gleich im Anschluß HiJackThis und Malewarebytes durchlaufen lassen - anbei beide Log-Datei.

Kaspersky und Spybot Search & Destroy haben nichts gefunden.

Logfile of Trend Micro HiJackThis v2.0.2
Scan saved at 22:24:46, on 21.08.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe
C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe
C:\Program Files\FreePDF_XP\fpassist.exe
C:\Program Files\Logitech\Gaming Software\LWEMon.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
D:\Spiele\Steam\Darkfix\Darkfix.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Users\UserName\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\QIP\qip.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [lxdimon.exe] "C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe"
O4 - HKLM\..\Run: [lxdiamon] "C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Program Files\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Gamma] D:\Spiele\Steam\Darkfix\Darkfix.exe -silent
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: SynTPEnh.exe.lnk = C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {BF985246-09BF-11D2-BE62-006097DF57F6} (SimCityX Control) - h**p://simcity.ea.com/play/classic/SimCityX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8E7ED84-C6CD-44B7-8103-5B8E6E3910A8}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dllC:\PROGR A~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\Windows\System32\DVDRAMSV.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: lxdiCATSCustConnectService - Lexmark International, Inc. - C:\Windows\system32\spool\DRIVERS\W32X86\3\\lxdise rv.exe
O23 - Service: lxdi_device - - C:\Windows\system32\lxdicoms.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Server\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\Windows\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware Registration Service (vmserverdWin32) - VMware, Inc. - C:\Program Files\VMware\VMware Server\vmserverdWin32.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\Windows\system32\vmnat.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 7642 bytes


Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1072
Windows 6.0.6001 Service Pack 1

05:35:52 21.08.2008
mbam-log-08-21-2008 (05-35-52).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 158026
Laufzeit: 3 hour(s), 24 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Program Files\QIP\unqip.exe (Adware.Sogou) -> Quarantined and deleted successfully.
C:\Users\UserName\Downloads\qip8070.exe (Adware.Sogou) -> Quarantined and deleted successfully.


Für sachdienliche Hinweise zur Ergreifung des Eindringlings bedanke ich mich schon mal

#2 Hallo,theraven

«
deinstalliere den ICQ, dann lade ihn neu.


««
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus
RunThis.bat doppelt klicken
reinschreiben: 3

3 : wird Sophos geladen
bei Option 6 - erfolgt ein Fullscan + löschen der infizierten Dateien
"SophosReport.txt" (im SDFix-Ordner) - abkopieren und in den Beitrag

--------

««
unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)
gehe in den Ordner C:\SDFix
RunThis.bat doppelt klicken
folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,

vielen Dank für deine Hilfe,

das Programm SDFix funktioniert aber nur unter Win2k und WinXP. Da ich WinVista habe geht dieses nicht.

Hast du noch eine andere Idee?

Vielen Dank

#4 Hallo,theraven

hat sich schon etwas getan nach Deinstallation/Neuinstallation vom Messi ?

im log von HijackTHis ist nix zu sehen

0.
lösche mit cleaner die temporären Dateien
http://www.ccleaner.de/?protecus.de

1.
wende Combofix an (Warnmeldung wegklicken ) - poste den Report
http://virus-protect.org/artikel/tools/combofix.html

2.
scanne online mit bitdefender und F-Secure + poste die Reports
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Tag,theraven
Kann es sein das du dich mal bei so eine Seite angemeldest hast um z.b ein MP3-player oder sonst was zu gewinnen?
Wenn ja,ändere deine Passwörter,sonst bist kein Herr mehr über ICQ

__________
MfG Argus

#6 Hallo Sabina, Hallo Arnold,

so QIP habe ich neuinstalliert, die Temps mt CCleaner gelöscht und anschliessend ComboFix ausgeführt:

Anbei der Report:

ComboFix 08-08-23.03 - UserName 2008-08-24 15:33:31.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.1.1031.18.1312 [GMT 2:00]
ausgeführt von:: C:\Users\UserName\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-07-24 bis 2008-08-24 ))))))))))))))))))))))))))))))
.

2008-08-23 13:12 . 2008-08-23 13:12 <DIR> d-------- C:\Program Files\QiP
2008-08-23 11:24 . 2008-08-23 11:33 96,976 --a------ C:\Windows\System32\drivers\klin.dat
2008-08-23 11:24 . 2008-08-23 11:24 87,855 --a------ C:\Windows\System32\drivers\klick.dat
2008-08-23 11:23 . 2008-08-23 11:23 <DIR> d-------- C:\Program Files\Kaspersky Lab
2008-08-23 11:23 . 2008-08-24 03:59 3,913,760 --ahs---- C:\Windows\System32\drivers\fidbox.dat
2008-08-23 11:23 . 2008-08-24 03:59 401,440 --ahs---- C:\Windows\System32\drivers\fidbox2.dat
2008-08-23 11:23 . 2008-08-24 03:59 32,704 --ahs---- C:\Windows\System32\drivers\fidbox.idx
2008-08-23 11:23 . 2008-08-24 03:59 3,500 --ahs---- C:\Windows\System32\drivers\fidbox2.idx
2008-08-23 10:53 . 2008-08-23 10:53 <DIR> d-------- C:\Windows\BDOSCAN8
2008-08-23 00:07 . 2008-08-23 00:07 <DIR> d-------- C:\Windows\System32\Kaspersky Lab
2008-08-22 17:02 . 2008-08-22 17:02 <DIR> d-------- C:\Windows\System32\IDE
2008-08-20 22:52 . 2008-08-20 22:52 <DIR> d-------- C:\Program Files\CCleaner
2008-08-20 21:22 . 2008-08-23 11:17 <DIR> d-------- C:\Users\All Users\Spybot - Search & Destroy
2008-08-20 21:22 . 2008-08-23 11:17 <DIR> d-------- C:\ProgramData\Spybot - Search & Destroy
2008-08-20 21:16 . 2008-08-20 21:16 <DIR> d-------- C:\Users\UserName\AppData\Roaming\Malwarebytes
2008-08-20 21:16 . 2008-08-20 21:16 <DIR> d-------- C:\Users\All Users\Malwarebytes
2008-08-20 21:16 . 2008-08-20 21:16 <DIR> d-------- C:\ProgramData\Malwarebytes
2008-08-20 21:16 . 2008-08-20 21:16 <DIR> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-08-20 21:16 . 2008-08-17 15:01 38,472 --a------ C:\Windows\System32\drivers\mbamswissarmy.sys
2008-08-20 21:16 . 2008-08-17 15:01 17,144 --a------ C:\Windows\System32\drivers\mbam.sys
2008-08-20 21:10 . 2008-08-20 21:10 <DIR> d-------- C:\Program Files\Trend Micro
2008-08-17 20:12 . 2008-08-17 20:13 <DIR> d-------- C:\Program Files\PhotoFiltre
2008-08-13 21:59 . 2008-08-13 21:59 <DIR> dr-h----- C:\Users\UserName\AppData\Roaming\SecuROM
2008-08-13 00:15 . 2008-07-16 03:32 2,048 --a------ C:\Windows\System32\tzres.dll
2008-08-13 00:04 . 2008-06-19 05:31 361,984 --a------ C:\Windows\System32\IPSECSVC.DLL
2008-08-13 00:03 . 2008-06-27 03:55 1,383,424 --a------ C:\Windows\System32\mshtml.tlb
2008-08-13 00:03 . 2008-06-27 06:15 827,392 --a------ C:\Windows\System32\wininet.dll
2008-08-13 00:03 . 2008-04-10 07:12 738,304 --a------ C:\Windows\System32\inetcomm.dll
2008-08-13 00:03 . 2008-04-18 07:48 269,312 --a------ C:\Windows\System32\es.dll
2008-08-12 22:54 . 2008-08-12 22:54 <DIR> d-------- C:\Program Files\EA SPORTS
2008-08-12 22:29 . 2008-04-10 00:00 199,728 --a------ C:\Windows\System32\drivers\SynTP.sys
2008-08-12 22:29 . 2008-04-10 00:00 196,608 --a------ C:\Windows\System32\SynCtrl.dll
2008-08-12 22:29 . 2008-04-10 00:00 110,592 --a------ C:\Windows\System32\SynTPCo4.dll
2008-08-12 22:07 . 2008-08-12 22:07 <DIR> d-------- C:\Program Files\BD
2008-08-12 22:07 . 2006-11-01 14:21 143,360 --a------ C:\Windows\System32\DVDMenu.dll
2008-08-12 22:07 . 2006-12-01 13:28 117,744 --a------ C:\Windows\System32\drivers\meiudf.sys
2008-08-12 22:07 . 2006-09-04 16:47 110,592 --a------ C:\Windows\System32\DVDRAMSV.exe
2008-08-12 22:07 . 2006-09-06 16:08 17,024 --a------ C:\Windows\System32\drivers\psecbdr.sys
2008-08-08 16:26 . 2008-08-08 16:26 <DIR> d-------- C:\Users\UserName\AppData\Roaming\PeerNetworking
2008-08-08 16:25 . 2008-08-08 16:25 <DIR> d-------- C:\Users\UserName\AppData\Roaming\Intel
2008-08-08 16:25 . 2008-08-08 16:25 10,167 --a------ C:\WirelessDiagLog.csv
2008-08-08 16:02 . 2008-08-08 16:02 <DIR> d-------- C:\Users\UserName\Roaming
2008-08-08 16:02 . 2008-08-08 16:02 <DIR> d-------- C:\Users\Public\Roaming
2008-08-08 16:02 . 2008-08-08 16:02 <DIR> d-------- C:\Users\Default\Roaming
2008-08-08 16:02 . 2008-08-08 16:02 <DIR> d-------- C:\Users\All Users\Roaming
2008-08-08 16:02 . 2008-08-08 16:02 <DIR> d-------- C:\ProgramData\Roaming
2008-08-08 16:00 . 2008-08-08 16:00 <DIR> d-------- C:\Users\All Users\Intel
2008-08-08 16:00 . 2008-08-08 16:00 <DIR> d-------- C:\ProgramData\Intel
2008-08-08 16:00 . 2008-08-08 16:00 <DIR> d-------- C:\Program Files\Common Files\Intel
2008-08-08 16:00 . 2008-08-08 16:00 <DIR> d-------- C:\Program Files\Cisco
2008-08-01 19:30 . 2008-08-01 19:30 <DIR> d-------- C:\Program Files\MSXML 4.0
2008-07-29 20:21 . 2008-07-29 20:21 218,376 --a------ C:\Windows\System32\klogon.dll
2008-07-29 20:20 . 2008-07-29 20:20 24,774 --a------ C:\Windows\System32\drivers\klopp.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-24 12:50 49,326 ----a-w C:\Users\All Users\nvModes.dat
2008-08-24 12:50 49,326 ----a-w C:\ProgramData\nvModes.dat
2008-08-24 12:50 --------- d-----w C:\ProgramData\Kaspersky Lab
2008-08-24 12:46 --------- d-----w C:\ProgramData\VMware
2008-08-23 23:20 --------- d-----w C:\Program Files\SmartFTP Client
2008-08-23 10:16 --------- d-----w C:\Program Files\Java
2008-08-23 10:08 --------- d-----w C:\Program Files\Opera
2008-08-23 09:14 --------- d-----w C:\ProgramData\Kaspersky Lab Setup Files
2008-08-22 20:23 --------- d-----w C:\Users\UserName\AppData\Roaming\uTorrent
2008-08-18 19:50 --------- d-----w C:\Program Files\Microsoft Silverlight
2008-08-18 19:32 --------- d-----w C:\ProgramData\FreePDF
2008-08-14 20:16 --------- d-----w C:\Users\UserName\AppData\Roaming\VMware
2008-08-12 22:41 --------- d-----w C:\Program Files\Windows Mail
2008-08-12 20:07 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-08 14:00 --------- d-----w C:\Program Files\Intel
2008-08-06 19:46 --------- d-----w C:\ProgramData\Lx_cats
2008-08-03 02:18 --------- d-----w C:\Program Files\Common Files\Steam
2008-08-03 01:57 --------- d-----w C:\Users\UserName\AppData\Roaming\Skype
2008-08-03 00:57 --------- d-----w C:\Users\UserName\AppData\Roaming\skypePM
2008-07-24 18:50 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-07-22 18:57 --------- d-----w C:\ProgramData\App4rTemp
2008-07-22 17:39 --------- d-----w C:\ProgramData\SSScanAppDataDir
2008-07-22 17:39 --------- d-----w C:\ProgramData\MSScanAppDataDir
2008-07-21 16:34 121,872 ----a-w C:\Windows\system32\drivers\kl1.sys
2008-07-16 14:05 53,248 ----a-w C:\Windows\System32\CSVer.dll
2008-07-13 19:07 56 ---ha-w C:\Users\All Users\ezsidmv.dat
2008-07-13 19:07 56 ---ha-w C:\ProgramData\ezsidmv.dat
2008-07-13 19:02 --------- d-----w C:\ProgramData\Skype
2008-07-13 19:02 --------- d-----w C:\Program Files\Skype
2008-07-13 19:02 --------- d-----w C:\Program Files\Common Files\Skype
2008-07-10 18:33 770,048 ----a-w C:\Windows\System32\wlihvui.dll
2008-07-10 18:23 978,944 ----a-w C:\Windows\System32\iwmssvc.dll
2008-07-09 16:28 20,496 ----a-w C:\Windows\system32\drivers\klim6.sys
2008-07-07 19:09 355,584 ----a-w C:\Windows\System32\TuneUpDefragService.exe
2008-07-07 19:09 --------- d-----w C:\Users\UserName\AppData\Roaming\TuneUp Software
2008-07-07 19:08 --------- d-----w C:\ProgramData\TuneUp Software
2008-07-07 19:08 --------- d-----w C:\Program Files\TuneUp Utilities 2008
2008-07-07 19:07 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-07-03 22:35 --------- d-----w C:\ProgramData\NVIDIA
2008-07-03 21:52 --------- d-----w C:\Users\UserName\AppData\Roaming\FRITZ!
2008-06-29 19:47 --------- d-----w C:\Program Files\Common Files\Ahead
2008-06-29 19:47 --------- d-----w C:\Program Files\Ahead
2008-06-26 17:21 27,934 ----a-w C:\Users\UserName\AppData\Roaming\nvModes.dat
2008-06-26 04:30 3,662,848 ----a-w C:\Windows\system32\drivers\NETw5v32.sys
2008-06-26 03:29 801,280 ----a-w C:\Windows\System32\NaturalLanguage6.dll
2008-06-26 01:45 2,644,480 ----a-w C:\Windows\System32\NlsLexicons0009.dll
2008-06-26 01:45 12,240,896 ----a-w C:\Windows\System32\NlsLexicons0007.dll
2008-05-29 07:28 28,416 ----a-w C:\Windows\System32\uxtuneup.dll
2008-05-29 07:28 16,640 ----a-w C:\Windows\System32\authuitu.dll
2008-05-27 05:21 1,582,592 ----a-w C:\Windows\System32\tquery.dll
2008-05-27 05:21 1,418,240 ----a-w C:\Windows\System32\mssrch.dll
2008-05-27 05:17 87,552 ----a-w C:\Windows\System32\SearchFilterHost.exe
2008-05-27 05:17 87,552 ----a-w C:\Windows\System32\mssitlb.dll
2008-05-27 05:17 754,176 ----a-w C:\Windows\System32\propsys.dll
2008-05-27 05:17 60,416 ----a-w C:\Windows\System32\msscntrs.dll
2008-05-27 05:17 6,103,040 ----a-w C:\Windows\System32\chtbrkr.dll
2008-05-27 05:17 34,816 ----a-w C:\Windows\System32\msscb.dll
2008-05-27 05:17 32,768 ----a-w C:\Windows\System32\mssprxy.dll
2008-05-27 05:17 313,344 ----a-w C:\Windows\System32\thawbrkr.dll
2008-05-27 05:17 301,568 ----a-w C:\Windows\System32\srchadmin.dll
2008-05-27 05:17 194,560 ----a-w C:\Windows\System32\offfilt.dll
2008-05-27 05:17 143,872 ----a-w C:\Windows\System32\korwbrkr.dll
2008-05-27 05:17 11,776 ----a-w C:\Windows\System32\msshooks.dll
2008-05-27 05:17 1,671,680 ----a-w C:\Windows\System32\chsbrkr.dll
2008-05-27 04:59 18,904 ----a-w C:\Windows\System32\StructuredQuerySchemaTrivial.bin
2008-05-27 04:59 106,605 ----a-w C:\Windows\System32\StructuredQuerySchema.bin
2008-05-25 20:23 319,456 ----a-w C:\Windows\DIFxAPI.dll
2008-05-25 20:23 315,392 ----a-w C:\Windows\HideWin.exe
2008-05-21 18:46 174 --sha-w C:\Program Files\desktop.ini
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2008-04-01 11:39 486856]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2008-01-18 23:33 202240]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2008-01-18 23:33 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"lxdimon.exe"="C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe" [2007-07-16 12:54 434864]
"lxdiamon"="C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe" [2007-07-16 12:54 25264]
"FreePDF Assistant"="C:\Program Files\FreePDF_XP\fpassist.exe" [2007-06-26 20:27 312320]
"Start WingMan Profiler"="C:\Program Files\Logitech\Gaming Software\LWEMon.exe" [2008-04-04 11:38 88584]
"Gamma"="D:\Spiele\Steam\Darkfix\Darkfix.exe" [2008-05-25 20:32 557056]
"NeroFilterCheck"="C:\Windows\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2008-05-02 22:46 13535776]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2008-05-02 22:46 92704]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2008-04-10 00:00 1045800]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2008-07-29 20:20 206088]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 09:50 20992 C:\Windows\LOGI_MWX.EXE]
"RtHDVCpl"="RtHDVCpl.exe" [2008-05-20 18:06 6144000 C:\Windows\RtHDVCpl.exe]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
SynTPEnh.exe.lnk - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2006-10-22 19:00:36 1045800]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1
\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 11:34 5724184 C:\Program Files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
--a------ 2008-04-10 00:00 1045800 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{8CEF4942-A00F-4FD7-895A-26C15B67C5F4}C:\\programdata\\kaspersky lab setup files\\kaspersky internet security 7.0.1.325\\german\\setup.exe"= UDP:C:\programdata\kaspersky lab setup files\kaspersky internet security 7.0.1.325\german\setup.exe:Installationsprogramm für Kaspersky Internet Security 7.0
"UDP Query User{1581CC16-B640-4968-B6BC-4D969DAFC192}C:\\programdata\\kaspersky lab setup files\\kaspersky internet security 7.0.1.325\\german\\setup.exe"= TCP:C:\programdata\kaspersky lab setup files\kaspersky internet security 7.0.1.325\german\setup.exe:Installationsprogramm für Kaspersky Internet Security 7.0
"{6F2D92A2-58E4-4E11-9C0B-C2845843207B}"= UDP:C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe:Lexmark Device Monitor
"{DD687999-26E3-40C5-AF38-7AB7A919F8A1}"= TCP:C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe:Lexmark Device Monitor
"{AF4972F0-295A-4EF2-9126-E075ADF8E0B9}"= UDP:C:\Program Files\Lexmark 3500-4500 Series\App4R.exe:Lexmark Imaging Studio
"{57BE6DED-C64F-4AD3-94F9-EEF85F2A467C}"= TCP:C:\Program Files\Lexmark 3500-4500 Series\App4R.exe:Lexmark Imaging Studio
"{852F927D-7C23-4B88-9F4D-F7FFE77F7ECB}"= UDP:C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exeevice Monitor
"{B81F5300-A594-4C09-81EE-6BF9C2695D23}"= TCP:C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exeevice Monitor
"{8FD1D7D7-66BD-48B7-99D4-0C82AA08F31A}"= UDP:C:\Windows\System32\lxdicfg.exerinter Communication System
"{9E850F10-6747-4EDC-90D2-C2F600571059}"= TCP:C:\Windows\System32\lxdicfg.exerinter Communication System
"{2EA9B89F-394D-4768-91C8-A3045F19F86E}"= UDP:C:\Windows\System32\lxdicoms.exe:Lexmark Communications System
"{A772E5F0-2945-4A0F-88FA-70F29445FE3C}"= TCP:C:\Windows\System32\lxdicoms.exe:Lexmark Communications System
"{8468CC95-E891-4FC7-9CDF-FE8896528B16}"= UDP:C:\Windows\System32\spool\drivers\w32x86\3\lxdipswx.exerinter Status Window Interface
"{B0713D54-906F-4F74-AE72-61E6585BEA27}"= TCP:C:\Windows\System32\spool\drivers\w32x86\3\lxdipswx.exerinter Status Window Interface
"{744169C2-5BD2-4A9C-911B-CB43B74F51BD}"= UDP:C:\Windows\System32\spool\drivers\w32x86\3\lxditime.exe:Lexmark Connect Time Executable
"{84205541-5734-4271-A5D3-4C087A4D2E43}"= TCP:C:\Windows\System32\spool\drivers\w32x86\3\lxditime.exe:Lexmark Connect Time Executable
"{6846E0E3-4748-4F71-876D-0297AE908F4D}"= UDP:C:\Windows\System32\spool\drivers\w32x86\3\lxdijswx.exe:Job Status Window Interface
"{8A2FBDE0-52D5-43A6-AC39-D72DD11AD3E1}"= TCP:C:\Windows\System32\spool\drivers\w32x86\3\lxdijswx.exe:Job Status Window Interface
"{0F4C8194-BB4C-4416-A685-F46086F57265}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{4C074471-1C8C-4654-B344-F3F10520E51D}"= UDP:C:\Program Files\FRITZ!\fboxset.exe:AVM FRITZ!fax for FRITZ!Box - fboxset.exe
"{1AD5AF18-7034-4AF0-91BB-2A66C5810550}"= TCP:C:\Program Files\FRITZ!\fboxset.exe:AVM FRITZ!fax for FRITZ!Box - fboxset.exe
"{AEDF3AC6-6DC4-4BB8-AFAD-B6C6D348EB12}"= UDP:C:\Program Files\FRITZ!\igd_finder.exe:AVM FRITZ!fax for FRITZ!Box - igd_finder.exe
"{51EC5520-86D6-45E9-9136-0AC4E28BF3A1}"= TCP:C:\Program Files\FRITZ!\igd_finder.exe:AVM FRITZ!fax for FRITZ!Box - igd_finder.exe
"{11BD0AFB-9811-4D9B-88F2-2E10452E1A11}"= C:\Program Files\Skype\Phone\Skype.exe:Skype
"{02577B0E-33A3-49A4-825C-F9EF5384C657}"= UDP:C:\Program Files\uTorrent\uTorrent.exe:µTorrent (TCP-In)
"{B5F13490-1825-4D67-806C-6547FB1A9AC1}"= TCP:C:\Program Files\uTorrent\uTorrent.exe:µTorrent (UDP-In)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

R0 klbg;Kaspersky Lab Boot Guard Driver;C:\Windows\system32\drivers\klbg.sys [2008-01-29 18:29]
R0 psecbdr;psecbdr;C:\Windows\system32\Drivers\psecbdr.sys [2006-09-06 16:08]
R1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;C:\Windows\system32\DRIVERS\klim6.sys [2008-07-09 18:28]
R2 lxdi_device;lxdi_device;C:\Windows\system32\lxdicoms.exe [2007-06-11 10:14]
R2 lxdiCATSCustConnectService;lxdiCATSCustConnectService;C:\Windows\system32\spool\DRIVERS\W32X86\3\\lxdiserv.exe [2007-06-11 10:14]
R2 UxTuneUp;TuneUp Designerweiterung;C:\Windows\System32\svchost.exe [2008-01-18 23:33]
R2 vmserverdWin32;VMware Registration Service;C:\Program Files\VMware\VMware Server\vmserverdWin32.exe [2008-05-09 21:05]
R3 b57nd60x;%SvcDispName%;C:\Windows\system32\DRIVERS\b57nd60x.sys [2008-01-18 20:25]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\Windows\system32\DRIVERS\klfltdev.sys [2008-03-13 19:02]
R3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;C:\Windows\system32\DRIVERS\NETw5v32.sys [2008-06-26 06:30]
R3 SMSCIRDA;SMSC Infrared Device Driver;C:\Windows\system32\DRIVERS\SMSCirda.sys [2007-04-25 13:32]
S3 Steam Client Service;Steam Client Service;C:\Program Files\Common Files\Steam\SteamService.exe [2008-08-01 22:19]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\Windows\System32\TuneUpDefragService.exe [2008-07-07 21:09]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-08-24 C:\Windows\Tasks\1-Klick-Wartung.job
- C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-11 11:54]

2008-08-24 C:\Windows\Tasks\User_Feed_Synchronization-{14AFA6F2-C5D3-4297-A59F-8FCA16CB9123}.job
- C:\Windows\system32\msfeedssync.exe [2008-01-18 23:33]
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Users\UserName\AppData\Roaming\Mozilla\Firefox\Profiles\8l91g72t.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://w*w.gmer.net
Rootkit scan 2008-08-24 15:36:12
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-24 15:38:16
ComboFix-quarantined-files.txt 2008-08-24 13:38:11

Pre-Run: 13 Verzeichnis(se), 23,534,108,672 Bytes frei
Post-Run: 21 Verzeichnis(se), 23,338,606,592 Bytes frei

246 --- E O F --- 2008-08-22 23:40:41



@ Arnold, nein auf so dubiosen Seiten habe ich micht nicht angemeldet ... brauche keine MP3 Player ^^

So, nun steht noch der Scan mit F-Prot und Bitdefender aus

#7 wie ich schon erwartet hatte - es ist nichts in den Logs zu sehen ...da bleibt nur tüchtig mit Onlinescannern scannen und hoffen, dass sie was finden
Und: vorher ICQ- deinstallieren und neuladen.
__________
MfG Sabina

rund um die PC-Sicherheit

#8 soo,

beim Fullscan mit F-Prot gibts nen Bluescreen zwecks Klif.sys -> gehört zu Kaspersky.

Bitdefender mag das ActivX-Steuerelement nicht korrekt installieren ... beim Update der Virendefinitionen zeigt er "Fehler" an.


*update*

f... Vista -> vergessen den Browser als Admin zu starten -> nun läuft der Bitdefender durch

#9 wurde was gefunden ?
Es wird ein Bericht erstellt.....
__________
MfG Sabina

rund um die PC-Sicherheit