Hallo,

ich wurde gestern durch einen Bekannten darauf aufmerksam gemach, dass mein ICQ Account eine Nachricht mit einem Link zu einer *.scr Datei verschickt hat.

Nachrichten Inhalt war:

"hey, guck mal ich habe ein bild von dir gefunden (Link: h**p://w*w.***.com/429942363.html lol ^^ "

Da er mir auch die Uhrzeit mitteilte, konnte ich im QIP log nachschauen und siehe da ... zu diesem Zeitpunkt kam die Meldung " Ihre ICQ UIN wird auf einem andere Rechner verwendet".

Ich habe gleich im Anschluß HiJackThis und Malewarebytes durchlaufen lassen - anbei beide Log-Datei.

Kaspersky und Spybot Search & Destroy haben nichts gefunden.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:24:46, on 21.08.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe
C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe
C:\Program Files\FreePDF_XP\fpassist.exe
C:\Program Files\Logitech\Gaming Software\LWEMon.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
D:\Spiele\Steam\Darkfix\Darkfix.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Users\UserName\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\QIP\qip.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [lxdimon.exe] "C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe"
O4 - HKLM\..\Run: [lxdiamon] "C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Program Files\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Gamma] D:\Spiele\Steam\Darkfix\Darkfix.exe -silent
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: SynTPEnh.exe.lnk = C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {BF985246-09BF-11D2-BE62-006097DF57F6} (SimCityX Control) - h**p://simcity.ea.com/play/classic/SimCityX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8E7ED84-C6CD-44B7-8103-5B8E6E3910A8}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dllC:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\Windows\System32\DVDRAMSV.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: lxdiCATSCustConnectService - Lexmark International, Inc. - C:\Windows\system32\spool\DRIVERS\W32X86\3\\lxdiserv.exe
O23 - Service: lxdi_device - - C:\Windows\system32\lxdicoms.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Server\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\Windows\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware Registration Service (vmserverdWin32) - VMware, Inc. - C:\Program Files\VMware\VMware Server\vmserverdWin32.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\Windows\system32\vmnat.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 7642 bytes


Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1072
Windows 6.0.6001 Service Pack 1

05:35:52 21.08.2008
mbam-log-08-21-2008 (05-35-52).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 158026
Laufzeit: 3 hour(s), 24 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Program Files\QIP\unqip.exe (Adware.Sogou) -> Quarantined and deleted successfully.
C:\Users\UserName\Downloads\qip8070.exe (Adware.Sogou) -> Quarantined and deleted successfully.


Für sachdienliche Hinweise zur Ergreifung des Eindringlings bedanke ich mich schon mal

Hi,
probiers mal mit dem Sohanad Removal Tool
Ansonsten einen Scan mit dem Tool machen:

Deckards System Scanner (DSS)

Hier gibt es das Tool -> dss.exe

• Schließe alle Anwendungen
• Doppelklicke dss.exe um das Programm zu starten
• Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt der main.txt öffnen.
• Ein weiteres Logfile, die extra.txt liegt im Verzeichnis c:\Deckard\SystemScanner\extra.txt
• Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als ['CODE]Hier das Logfile Rein['/CODE] (Ohne die ' )

Was Deckards System Scanner macht:

• Es Erstellt einen System Wiederherstellungspunkt
• es säubert die temporären Dateien, Downloaded Program Files, Internet
• Cache Dateien und es leert den Mülleimer auf allen Lauferken.

Hallo Dark Virus,

der Scan mit dem Tool Sohanad Removal Tool brachte keine Infektion zu Tage.

Nun probier ich einen Scan mit dss.exe


*update*

wobei ich soeben auf der Page von dss gelesen habe das beim Einsatz von dss.exe in Verbindung mit einem bestimmten Rootkit das Sytem unbrauchbar wird und deshalb der Downloadlink von der Seite entfernt wurde bis es einen Fix dafür gibt

Ok, und lies bitte die PM.
Und schau bitte, ob du unter C:\WINDOWS\system32\1088 eine scvhost.exe findest.

mfg

Edit:

Zitat:

wobei ich soeben auf der Page von dss gelesen habe das beim Einsatz von dss.exe in Verbindung mit einem bestimmten Rootkit das Sytem unbrauchbar wird und deshalb der Downloadlink von der Seite entfernt wurde bis es einen Fix dafür gibt

Schon richtig, der Rootkit wird von Malwarebytes erkannt, und ich erkenn den nicht in deinem Logfile.

also den Ordner 1088 gibts bei mir nicht ... die Datei scvhost.exe ebenfalls nicht

Bin grad auf der Suche nach einer alternativen Download-Quelle für dss.exe .

Seltsam, weder die typische Wurmdatei noch ein Eintrag im Logfile von HijackThis deutet auf Sohanad hin.
Ich würde sagen, das du clean bist.

Ansonsten hab ich noch ein Tool zur Überprüfung auf andere Würmer, wenn du willst.

mfg

Ich nehm alles was mein gewissen beruhigt ...

was mich auch wundert ist, dass diesmal die nachricht die verschickt wurde auf deutsch war ... alte Fälle die ich im Netz gefunden habe waren immer mit englischem Text.

Hat halt einer 9 Jahre lang probiert mein ICQ Kennwort zu knacken ... denn so alt ist der Account schon *g

Hattest du denn schonmal Probleme mit Schädlingen?
Wenn ja, welche?

Mh,

auf diesem Rechner, soweit ich mich erinnern kann, hatte ich noch gar keine Schädlinge (Rechner wurde im Mai komplett neu installiert)

Okay, nutzt du QIP?
Wenn ja, kannst du die zwei Dateien wo bei Malwarebytes in der Quarantäne stecken wieder rausholen.

Führe bitte mal dieses Tool aus, zur Überprüfung ob du Backdoorwürmer, etc. auf dem Rechner hast/hattest:

SDFix anwenden:

• Lade das SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
• Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken:
  
• Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
• Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
• Gib ein Y ein, um den Reinigungsprozess zu beginnen.
• Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
• Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
• Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
• Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
• Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
• Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
• Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

SDFix hät ich gern ausprobiert ... läuft leider nur auf W2k und WXP

Dann eben das (Genau durchlesen!):

ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Hallo DarkVirus,

nabei der Log von ComboFix

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 08-08-23.03 - UserName 2008-08-24 15:33:31.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium   6.0.6001.1.1252.1.1031.18.1312 [GMT 2:00]
ausgeführt von:: C:\Users\UserName\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((   Dateien erstellt von 2008-07-24 bis 2008-08-24  ))))))))))))))))))))))))))))))
.

2008-08-23 13:12 . 2008-08-23 13:12	<DIR>	d--------	C:\Program Files\QiP
2008-08-23 11:24 . 2008-08-23 11:33	96,976	--a------	C:\Windows\System32\drivers\klin.dat
2008-08-23 11:24 . 2008-08-23 11:24	87,855	--a------	C:\Windows\System32\drivers\klick.dat
2008-08-23 11:23 . 2008-08-23 11:23	<DIR>	d--------	C:\Program Files\Kaspersky Lab
2008-08-23 11:23 . 2008-08-24 03:59	3,913,760	--ahs----	C:\Windows\System32\drivers\fidbox.dat
2008-08-23 11:23 . 2008-08-24 03:59	401,440	--ahs----	C:\Windows\System32\drivers\fidbox2.dat
2008-08-23 11:23 . 2008-08-24 03:59	32,704	--ahs----	C:\Windows\System32\drivers\fidbox.idx
2008-08-23 11:23 . 2008-08-24 03:59	3,500	--ahs----	C:\Windows\System32\drivers\fidbox2.idx
2008-08-23 10:53 . 2008-08-23 10:53	<DIR>	d--------	C:\Windows\BDOSCAN8
2008-08-23 00:07 . 2008-08-23 00:07	<DIR>	d--------	C:\Windows\System32\Kaspersky Lab
2008-08-22 17:02 . 2008-08-22 17:02	<DIR>	d--------	C:\Windows\System32\IDE
2008-08-20 22:52 . 2008-08-20 22:52	<DIR>	d--------	C:\Program Files\CCleaner
2008-08-20 21:22 . 2008-08-23 11:17	<DIR>	d--------	C:\Users\All Users\Spybot - Search & Destroy
2008-08-20 21:22 . 2008-08-23 11:17	<DIR>	d--------	C:\ProgramData\Spybot - Search & Destroy
2008-08-20 21:16 . 2008-08-20 21:16	<DIR>	d--------	C:\Users\UserName\AppData\Roaming\Malwarebytes
2008-08-20 21:16 . 2008-08-20 21:16	<DIR>	d--------	C:\Users\All Users\Malwarebytes
2008-08-20 21:16 . 2008-08-20 21:16	<DIR>	d--------	C:\ProgramData\Malwarebytes
2008-08-20 21:16 . 2008-08-20 21:16	<DIR>	d--------	C:\Program Files\Malwarebytes' Anti-Malware
2008-08-20 21:16 . 2008-08-17 15:01	38,472	--a------	C:\Windows\System32\drivers\mbamswissarmy.sys
2008-08-20 21:16 . 2008-08-17 15:01	17,144	--a------	C:\Windows\System32\drivers\mbam.sys
2008-08-20 21:10 . 2008-08-20 21:10	<DIR>	d--------	C:\Program Files\Trend Micro
2008-08-17 20:12 . 2008-08-17 20:13	<DIR>	d--------	C:\Program Files\PhotoFiltre
2008-08-13 21:59 . 2008-08-13 21:59	<DIR>	dr-h-----	C:\Users\UserName\AppData\Roaming\SecuROM
2008-08-13 00:15 . 2008-07-16 03:32	2,048	--a------	C:\Windows\System32\tzres.dll
2008-08-13 00:04 . 2008-06-19 05:31	361,984	--a------	C:\Windows\System32\IPSECSVC.DLL
2008-08-13 00:03 . 2008-06-27 03:55	1,383,424	--a------	C:\Windows\System32\mshtml.tlb
2008-08-13 00:03 . 2008-06-27 06:15	827,392	--a------	C:\Windows\System32\wininet.dll
2008-08-13 00:03 . 2008-04-10 07:12	738,304	--a------	C:\Windows\System32\inetcomm.dll
2008-08-13 00:03 . 2008-04-18 07:48	269,312	--a------	C:\Windows\System32\es.dll
2008-08-12 22:54 . 2008-08-12 22:54	<DIR>	d--------	C:\Program Files\EA SPORTS
2008-08-12 22:29 . 2008-04-10 00:00	199,728	--a------	C:\Windows\System32\drivers\SynTP.sys
2008-08-12 22:29 . 2008-04-10 00:00	196,608	--a------	C:\Windows\System32\SynCtrl.dll
2008-08-12 22:29 . 2008-04-10 00:00	110,592	--a------	C:\Windows\System32\SynTPCo4.dll
2008-08-12 22:07 . 2008-08-12 22:07	<DIR>	d--------	C:\Program Files\BD
2008-08-12 22:07 . 2006-11-01 14:21	143,360	--a------	C:\Windows\System32\DVDMenu.dll
2008-08-12 22:07 . 2006-12-01 13:28	117,744	--a------	C:\Windows\System32\drivers\meiudf.sys
2008-08-12 22:07 . 2006-09-04 16:47	110,592	--a------	C:\Windows\System32\DVDRAMSV.exe
2008-08-12 22:07 . 2006-09-06 16:08	17,024	--a------	C:\Windows\System32\drivers\psecbdr.sys
2008-08-08 16:26 . 2008-08-08 16:26	<DIR>	d--------	C:\Users\UserName\AppData\Roaming\PeerNetworking
2008-08-08 16:25 . 2008-08-08 16:25	<DIR>	d--------	C:\Users\UserName\AppData\Roaming\Intel
2008-08-08 16:25 . 2008-08-08 16:25	10,167	--a------	C:\WirelessDiagLog.csv
2008-08-08 16:02 . 2008-08-08 16:02	<DIR>	d--------	C:\Users\UserName\Roaming
2008-08-08 16:02 . 2008-08-08 16:02	<DIR>	d--------	C:\Users\Public\Roaming
2008-08-08 16:02 . 2008-08-08 16:02	<DIR>	d--------	C:\Users\Default\Roaming
2008-08-08 16:02 . 2008-08-08 16:02	<DIR>	d--------	C:\Users\All Users\Roaming
2008-08-08 16:02 . 2008-08-08 16:02	<DIR>	d--------	C:\ProgramData\Roaming
2008-08-08 16:00 . 2008-08-08 16:00	<DIR>	d--------	C:\Users\All Users\Intel
2008-08-08 16:00 . 2008-08-08 16:00	<DIR>	d--------	C:\ProgramData\Intel
2008-08-08 16:00 . 2008-08-08 16:00	<DIR>	d--------	C:\Program Files\Common Files\Intel
2008-08-08 16:00 . 2008-08-08 16:00	<DIR>	d--------	C:\Program Files\Cisco
2008-08-01 19:30 . 2008-08-01 19:30	<DIR>	d--------	C:\Program Files\MSXML 4.0
2008-07-29 20:21 . 2008-07-29 20:21	218,376	--a------	C:\Windows\System32\klogon.dll
2008-07-29 20:20 . 2008-07-29 20:20	24,774	--a------	C:\Windows\System32\drivers\klopp.dat

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-24 12:50	49,326	----a-w	C:\Users\All Users\nvModes.dat
2008-08-24 12:50	49,326	----a-w	C:\ProgramData\nvModes.dat
2008-08-24 12:50	---------	d-----w	C:\ProgramData\Kaspersky Lab
2008-08-24 12:46	---------	d-----w	C:\ProgramData\VMware
2008-08-23 23:20	---------	d-----w	C:\Program Files\SmartFTP Client
2008-08-23 10:16	---------	d-----w	C:\Program Files\Java
2008-08-23 10:08	---------	d-----w	C:\Program Files\Opera
2008-08-23 09:14	---------	d-----w	C:\ProgramData\Kaspersky Lab Setup Files
2008-08-22 20:23	---------	d-----w	C:\Users\UserName\AppData\Roaming\uTorrent
2008-08-18 19:50	---------	d-----w	C:\Program Files\Microsoft Silverlight
2008-08-18 19:32	---------	d-----w	C:\ProgramData\FreePDF
2008-08-14 20:16	---------	d-----w	C:\Users\UserName\AppData\Roaming\VMware
2008-08-12 22:41	---------	d-----w	C:\Program Files\Windows Mail
2008-08-12 20:07	---------	d--h--w	C:\Program Files\InstallShield Installation Information
2008-08-08 14:00	---------	d-----w	C:\Program Files\Intel
2008-08-06 19:46	---------	d-----w	C:\ProgramData\Lx_cats
2008-08-03 02:18	---------	d-----w	C:\Program Files\Common Files\Steam
2008-08-03 01:57	---------	d-----w	C:\Users\UserName\AppData\Roaming\Skype
2008-08-03 00:57	---------	d-----w	C:\Users\UserName\AppData\Roaming\skypePM
2008-07-24 18:50	---------	d-----w	C:\Program Files\Mozilla Thunderbird
2008-07-22 18:57	---------	d-----w	C:\ProgramData\App4rTemp
2008-07-22 17:39	---------	d-----w	C:\ProgramData\SSScanAppDataDir
2008-07-22 17:39	---------	d-----w	C:\ProgramData\MSScanAppDataDir
2008-07-21 16:34	121,872	----a-w	C:\Windows\system32\drivers\kl1.sys
2008-07-16 14:05	53,248	----a-w	C:\Windows\System32\CSVer.dll
2008-07-13 19:07	56	---ha-w	C:\Users\All Users\ezsidmv.dat
2008-07-13 19:07	56	---ha-w	C:\ProgramData\ezsidmv.dat
2008-07-13 19:02	---------	d-----w	C:\ProgramData\Skype
2008-07-13 19:02	---------	d-----w	C:\Program Files\Skype
2008-07-13 19:02	---------	d-----w	C:\Program Files\Common Files\Skype
2008-07-10 18:33	770,048	----a-w	C:\Windows\System32\wlihvui.dll
2008-07-10 18:23	978,944	----a-w	C:\Windows\System32\iwmssvc.dll
2008-07-09 16:28	20,496	----a-w	C:\Windows\system32\drivers\klim6.sys
2008-07-07 19:09	355,584	----a-w	C:\Windows\System32\TuneUpDefragService.exe
2008-07-07 19:09	---------	d-----w	C:\Users\UserName\AppData\Roaming\TuneUp Software
2008-07-07 19:08	---------	d-----w	C:\ProgramData\TuneUp Software
2008-07-07 19:08	---------	d-----w	C:\Program Files\TuneUp Utilities 2008
2008-07-07 19:07	---------	d-----w	C:\Program Files\Common Files\Wise Installation Wizard
2008-07-03 22:35	---------	d-----w	C:\ProgramData\NVIDIA
2008-07-03 21:52	---------	d-----w	C:\Users\UserName\AppData\Roaming\FRITZ!
2008-06-29 19:47	---------	d-----w	C:\Program Files\Common Files\Ahead
2008-06-29 19:47	---------	d-----w	C:\Program Files\Ahead
2008-06-26 17:21	27,934	----a-w	C:\Users\UserName\AppData\Roaming\nvModes.dat
2008-06-26 04:30	3,662,848	----a-w	C:\Windows\system32\drivers\NETw5v32.sys
2008-06-26 03:29	801,280	----a-w	C:\Windows\System32\NaturalLanguage6.dll
2008-06-26 01:45	2,644,480	----a-w	C:\Windows\System32\NlsLexicons0009.dll

2008-06-26 01:45	12,240,896	----a-w	C:\Windows\System32\NlsLexicons0007.dll
2008-05-29 07:28	28,416	----a-w	C:\Windows\System32\uxtuneup.dll
2008-05-29 07:28	16,640	----a-w	C:\Windows\System32\authuitu.dll
2008-05-27 05:21	1,582,592	----a-w	C:\Windows\System32\tquery.dll
2008-05-27 05:21	1,418,240	----a-w	C:\Windows\System32\mssrch.dll
2008-05-27 05:17	87,552	----a-w	C:\Windows\System32\SearchFilterHost.exe
2008-05-27 05:17	87,552	----a-w	C:\Windows\System32\mssitlb.dll
2008-05-27 05:17	754,176	----a-w	C:\Windows\System32\propsys.dll
2008-05-27 05:17	60,416	----a-w	C:\Windows\System32\msscntrs.dll
2008-05-27 05:17	6,103,040	----a-w	C:\Windows\System32\chtbrkr.dll
2008-05-27 05:17	34,816	----a-w	C:\Windows\System32\msscb.dll
2008-05-27 05:17	32,768	----a-w	C:\Windows\System32\mssprxy.dll
2008-05-27 05:17	313,344	----a-w	C:\Windows\System32\thawbrkr.dll
2008-05-27 05:17	301,568	----a-w	C:\Windows\System32\srchadmin.dll
2008-05-27 05:17	194,560	----a-w	C:\Windows\System32\offfilt.dll
2008-05-27 05:17	143,872	----a-w	C:\Windows\System32\korwbrkr.dll
2008-05-27 05:17	11,776	----a-w	C:\Windows\System32\msshooks.dll
2008-05-27 05:17	1,671,680	----a-w	C:\Windows\System32\chsbrkr.dll
2008-05-27 04:59	18,904	----a-w	C:\Windows\System32\StructuredQuerySchemaTrivial.bin
2008-05-27 04:59	106,605	----a-w	C:\Windows\System32\StructuredQuerySchema.bin
2008-05-25 20:23	319,456	----a-w	C:\Windows\DIFxAPI.dll
2008-05-25 20:23	315,392	----a-w	C:\Windows\HideWin.exe
2008-05-21 18:46	174	--sha-w	C:\Program Files\desktop.ini
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2008-04-01 11:39 486856]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2008-01-18 23:33 202240]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2008-01-18 23:33 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"lxdimon.exe"="C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe" [2007-07-16 12:54 434864]
"lxdiamon"="C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe" [2007-07-16 12:54 25264]
"FreePDF Assistant"="C:\Program Files\FreePDF_XP\fpassist.exe" [2007-06-26 20:27 312320]
"Start WingMan Profiler"="C:\Program Files\Logitech\Gaming Software\LWEMon.exe" [2008-04-04 11:38 88584]
"Gamma"="D:\Spiele\Steam\Darkfix\Darkfix.exe" [2008-05-25 20:32 557056]
"NeroFilterCheck"="C:\Windows\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2008-05-02 22:46 13535776]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2008-05-02 22:46 92704]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2008-04-10 00:00 1045800]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2008-07-29 20:20 206088]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 09:50 20992 C:\Windows\LOGI_MWX.EXE]
"RtHDVCpl"="RtHDVCpl.exe" [2008-05-20 18:06 6144000 C:\Windows\RtHDVCpl.exe]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
SynTPEnh.exe.lnk - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2006-10-22 19:00:36 1045800]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 11:34 5724184 C:\Program Files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
--a------ 2008-04-10 00:00 1045800 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{8CEF4942-A00F-4FD7-895A-26C15B67C5F4}C:\\programdata\\kaspersky lab setup files\\kaspersky internet security 7.0.1.325\\german\\setup.exe"= UDP:C:\programdata\kaspersky lab setup files\kaspersky internet security 7.0.1.325\german\setup.exe:Installationsprogramm für Kaspersky Internet Security 7.0
"UDP Query User{1581CC16-B640-4968-B6BC-4D969DAFC192}C:\\programdata\\kaspersky lab setup files\\kaspersky internet security 7.0.1.325\\german\\setup.exe"= TCP:C:\programdata\kaspersky lab setup files\kaspersky internet security 7.0.1.325\german\setup.exe:Installationsprogramm für Kaspersky Internet Security 7.0
"{6F2D92A2-58E4-4E11-9C0B-C2845843207B}"= UDP:C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe:Lexmark Device Monitor
"{DD687999-26E3-40C5-AF38-7AB7A919F8A1}"= TCP:C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe:Lexmark Device Monitor
"{AF4972F0-295A-4EF2-9126-E075ADF8E0B9}"= UDP:C:\Program Files\Lexmark 3500-4500 Series\App4R.exe:Lexmark Imaging Studio
"{57BE6DED-C64F-4AD3-94F9-EEF85F2A467C}"= TCP:C:\Program Files\Lexmark 3500-4500 Series\App4R.exe:Lexmark Imaging Studio
"{852F927D-7C23-4B88-9F4D-F7FFE77F7ECB}"= UDP:C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe:Device Monitor
"{B81F5300-A594-4C09-81EE-6BF9C2695D23}"= TCP:C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe:Device Monitor
"{8FD1D7D7-66BD-48B7-99D4-0C82AA08F31A}"= UDP:C:\Windows\System32\lxdicfg.exe:Printer Communication System
"{9E850F10-6747-4EDC-90D2-C2F600571059}"= TCP:C:\Windows\System32\lxdicfg.exe:Printer Communication System
"{2EA9B89F-394D-4768-91C8-A3045F19F86E}"= UDP:C:\Windows\System32\lxdicoms.exe:Lexmark Communications System
"{A772E5F0-2945-4A0F-88FA-70F29445FE3C}"= TCP:C:\Windows\System32\lxdicoms.exe:Lexmark Communications System
"{8468CC95-E891-4FC7-9CDF-FE8896528B16}"= UDP:C:\Windows\System32\spool\drivers\w32x86\3\lxdipswx.exe:Printer Status Window Interface
"{B0713D54-906F-4F74-AE72-61E6585BEA27}"= TCP:C:\Windows\System32\spool\drivers\w32x86\3\lxdipswx.exe:Printer Status Window Interface
"{744169C2-5BD2-4A9C-911B-CB43B74F51BD}"= UDP:C:\Windows\System32\spool\drivers\w32x86\3\lxditime.exe:Lexmark Connect Time Executable
"{84205541-5734-4271-A5D3-4C087A4D2E43}"= TCP:C:\Windows\System32\spool\drivers\w32x86\3\lxditime.exe:Lexmark Connect Time Executable
"{6846E0E3-4748-4F71-876D-0297AE908F4D}"= UDP:C:\Windows\System32\spool\drivers\w32x86\3\lxdijswx.exe:Job Status Window Interface
"{8A2FBDE0-52D5-43A6-AC39-D72DD11AD3E1}"= TCP:C:\Windows\System32\spool\drivers\w32x86\3\lxdijswx.exe:Job Status Window Interface
"{0F4C8194-BB4C-4416-A685-F46086F57265}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{4C074471-1C8C-4654-B344-F3F10520E51D}"= UDP:C:\Program Files\FRITZ!\fboxset.exe:AVM FRITZ!fax for FRITZ!Box - fboxset.exe
"{1AD5AF18-7034-4AF0-91BB-2A66C5810550}"= TCP:C:\Program Files\FRITZ!\fboxset.exe:AVM FRITZ!fax for FRITZ!Box - fboxset.exe
"{AEDF3AC6-6DC4-4BB8-AFAD-B6C6D348EB12}"= UDP:C:\Program Files\FRITZ!\igd_finder.exe:AVM FRITZ!fax for FRITZ!Box - igd_finder.exe
"{51EC5520-86D6-45E9-9136-0AC4E28BF3A1}"= TCP:C:\Program Files\FRITZ!\igd_finder.exe:AVM FRITZ!fax for FRITZ!Box - igd_finder.exe
"{11BD0AFB-9811-4D9B-88F2-2E10452E1A11}"= C:\Program Files\Skype\Phone\Skype.exe:Skype
"{02577B0E-33A3-49A4-825C-F9EF5384C657}"= UDP:C:\Program Files\uTorrent\uTorrent.exe:µTorrent (TCP-In)
"{B5F13490-1825-4D67-806C-6547FB1A9AC1}"= TCP:C:\Program Files\uTorrent\uTorrent.exe:µTorrent (UDP-In)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

R0 klbg;Kaspersky Lab Boot Guard Driver;C:\Windows\system32\drivers\klbg.sys [2008-01-29 18:29]
R0 psecbdr;psecbdr;C:\Windows\system32\Drivers\psecbdr.sys [2006-09-06 16:08]
R1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;C:\Windows\system32\DRIVERS\klim6.sys [2008-07-09 18:28]
R2 lxdi_device;lxdi_device;C:\Windows\system32\lxdicoms.exe [2007-06-11 10:14]
R2 lxdiCATSCustConnectService;lxdiCATSCustConnectService;C:\Windows\system32\spool\DRIVERS\W32X86\3\\lxdiserv.exe [2007-06-11 10:14]
R2 UxTuneUp;TuneUp Designerweiterung;C:\Windows\System32\svchost.exe [2008-01-18 23:33]
R2 vmserverdWin32;VMware Registration Service;C:\Program Files\VMware\VMware Server\vmserverdWin32.exe [2008-05-09 21:05]
R3 b57nd60x;%SvcDispName%;C:\Windows\system32\DRIVERS\b57nd60x.sys [2008-01-18 20:25]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\Windows\system32\DRIVERS\klfltdev.sys [2008-03-13 19:02]
R3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;C:\Windows\system32\DRIVERS\NETw5v32.sys [2008-06-26 06:30]
R3 SMSCIRDA;SMSC Infrared Device Driver;C:\Windows\system32\DRIVERS\SMSCirda.sys [2007-04-25 13:32]
S3 Steam Client Service;Steam Client Service;C:\Program Files\Common Files\Steam\SteamService.exe [2008-08-01 22:19]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\Windows\System32\TuneUpDefragService.exe [2008-07-07 21:09]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-08-24 C:\Windows\Tasks\1-Klick-Wartung.job
- C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-11 11:54]

2008-08-24 C:\Windows\Tasks\User_Feed_Synchronization-{14AFA6F2-C5D3-4297-A59F-8FCA16CB9123}.job
- C:\Windows\system32\msfeedssync.exe [2008-01-18 23:33]
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Users\UserName\AppData\Roaming\Mozilla\Firefox\Profiles\8l91g72t.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://w*w.gmer.net
Rootkit scan 2008-08-24 15:36:12
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-24 15:38:16
ComboFix-quarantined-files.txt  2008-08-24 13:38:11

Pre-Run: 13 Verzeichnis(se), 23,534,108,672 Bytes frei
Post-Run: 21 Verzeichnis(se), 23,338,606,592 Bytes frei

246	--- E O F ---	2008-08-22 23:40:41