Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Verdacht auf Spoofing via ICQ

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 07.03.2010, 23:57   #1
crazycat
 
Verdacht auf Spoofing via ICQ - Standard

Verdacht auf Spoofing via ICQ



Guten Abend allerseits,

bitte habt mit mir nachsehen, falls irgendwas in der Beschreibung fehlen oder unverständlich sein sollte. Das ist mein erster Post in einem solchen Forum und ich bin durch das stöbern in etlichen Foren bei meiner Hilfesuche noch etwas verunsichert und will auch niemanden dadurch verärgern.

Seit ein paar Tagen schon vermute ich einen Virenbefall o.Ä. auf meinem Laptop. Im Verlauf der letzten Woche öffnete sich eine seltsame Seite in meinem Browser (Firefox), die ich aber umgehend schloss und nicht weiter beachtet hatte. Da ich die Chronik seit einigen Wochen schon nicht mehr speichere, kann ich das jetzt nicht mehr nachvollziehen. Wenn mich nicht alles täuscht warnte die Seite vor Spyware o.Ä. und wirkte nicht seriös.

Dieser Verdacht erhärtete sich am Freitag, als ich über ICQ eine unverständliche Nachricht von einer Freundin bekam, die offline war. Ich kopierte die Nachricht und fragte sie später, was das denn da bloß mit ihr los war. Eine weitere Freundin erhielt ebenfalls eine ähnliche Nachricht von ihr, von der sie aber, wie von der die ich bekam, nichts wusste. Die Nachricht sah dann so aus:

Zitat:
cêèíü ñìñêó 2196336 ía íîìåð 3121 ýòî ìîé ïîäàðîê íàäåþñü òåáå ïîíðàâèòñÿ íå ïîñìîòðèøü ÿ îáèæóñü :-(
Daraufhin führte ich einen Virenscan mit Avira durch. Der Virenscanner konnte nichts finden. Das ganze hat mich aber nach stundenlanger Internetrecherche weiterhin misstrauisch gemacht. Das ich auf Spoofing kam lag daran, dass die Identität meiner Freunding "geklaut" und "missbraucht" wurde, um mir eine Nachricht zu schicken. Über das Thema Spoofing und ICQ lässt sich ja auch einiges nachlesen. Die Informationen diesbezüglich sind oft mehrere Jahre alt und beschreiben aber eher das Problem anstelle eine Problemlösung aufzuzeigen.

Ich führte, wie hier im Forum empfohlen, die entsprechenden scans durch. Die Antimalware-Software hatte einen infizierten Registrierungsschlüssel gefunden. Das habe ich dann auch mit dem Programm, wie in der Anleitung beschrieben, auch behoben.

Hier sind die Ergebnisse und Logdaten:

Zitat:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3833
Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

07.03.2010 22:25:06
mbam-log-2010-03-07 (22-25-06).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 275414
Laufzeit: 1 hour(s), 8 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\adtools, inc. (Adware.AdTools) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Zitat:
Logfile of random's system information tool 1.06 (written by random/random)
Run by ** at 2010-03-07 22:41:30
Microsoft® Windows Vista™ Home Premium Service Pack 2
System drive C: has 83 GB (36%) free of 228 GB
Total RAM: 3038 MB (50% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:41:39, on 07.03.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\sony\ISB Utility\ISBMgr.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\CyberLink\YouCam\YCMMirage.exe
C:\Program Files\CyberLink\YouCam\YouCam.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Sony\VAIO Update 4\VAIOUpdt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Users\**\Desktop\RSIT.exe
C:\Program Files\trend micro\**.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ISBMgr.exe] "C:\Program Files\Sony\ISB Utility\ISBMgr.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [YouCam Mirage] "C:\Program Files\CyberLink\YouCam\YCMMirage.exe"
O4 - HKLM\..\Run: [YouCam Tray] "C:\Program Files\CyberLink\YouCam\YouCam.exe" /s
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ7.0\ICQ.exe" silent loginmode=4
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - Unknown owner - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Google Update Service (gupdate1c9d26c7dfe79a0) (gupdate1c9d26c7dfe79a0) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NSUService - Sony Corporation - C:\Program Files\sony\Network Utility\NSUService.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Realtek Audio Service (RtkAudioService) - Realtek Semiconductor - C:\Windows\RtkAudioService.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: VAIO Power Management - Sony Corporation - C:\Program Files\Sony\VAIO Power Management\SPMService.exe
O23 - Service: VAIO Content Folder Watcher (VCFw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe
O23 - Service: VAIO Content Metadata Intelligent Analyzing Manager (VcmIAlzMgr) - Sony Corporation - C:\Program Files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe
O23 - Service: VAIO Content Metadata XML Interface (VcmXmlIfHelper) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 7250 bytes

======Scheduled tasks folder======

C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-12-21 75200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-10-11 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{855F3B16-6D32-4fe6-8A56-BBB695989046}

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-21 1008184]
"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2008-10-17 6295552]
"SynTPEnh"=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2007-03-10 835584]
"ISBMgr.exe"=C:\Program Files\Sony\ISB Utility\ISBMgr.exe [2008-04-03 317280]
"StartCCC"=C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2008-01-21 61440]
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"Skytel"=C:\Windows\Skytel.exe [2008-10-17 1826816]
"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-10-11 149280]
"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-12-22 35760]
"Adobe ARM"=C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2009-12-11 948672]
"YouCam Mirage"=C:\Program Files\CyberLink\YouCam\YCMMirage.exe [2010-01-25 136488]
"YouCam Tray"=C:\Program Files\CyberLink\YouCam\YouCam.exe [2010-01-25 224352]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"=C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe [2010-01-07 429392]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"=C:\Program Files\DAEMON Tools Lite\daemon.exe [2008-12-29 687560]
"WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe [2008-01-21 202240]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2009-04-11 1233920]
"ICQ"=C:\Program Files\ICQ7.0\ICQ.exe [2010-02-11 133368]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-12-22 35760]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MarketingTools]
C:\Program Files\Sony\Marketing Tools\MarketingTools.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NSUFloatingUI]
C:\Program Files\Sony\Network Utility\LANUtil.exe [2008-11-05 270336]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
igfxdev.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\VESWinlogon]
C:\Windows\system32\VESWinlogon.dll [2008-11-05 98304]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"BindDirectlyToPropertySetStorage"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{80719f1e-956e-11de-8ed2-001dbab230b3}]
shell\AutoRun\command - H:\__STICKYDRIVE\StickyDrive.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{83c535a3-0db8-11de-a08c-001dbab230b3}]
shell\AutoRun\command - G:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fc7e26bd-4200-11de-8227-001dbab230b3}]
shell\AutoRun\command - .\Encryption Tool\MaxtorEncryption.exe


======List of files/folders created in the last 1 months======

2010-03-07 22:41:30 ----D---- C:\rsit
2010-03-07 22:41:30 ----D---- C:\Program Files\trend micro
2010-03-07 21:03:48 ----D---- C:\Users\**\AppData\Roaming\Malwarebytes
2010-03-07 21:03:41 ----D---- C:\ProgramData\Malwarebytes
2010-03-07 21:03:41 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2010-03-07 20:33:52 ----D---- C:\Program Files\CCleaner
2010-03-03 21:59:18 ----A---- C:\Windows\system32\winhttp.dll
2010-03-02 23:04:25 ----A---- C:\Windows\system32\kerberos.dll
2010-03-02 23:04:24 ----A---- C:\Windows\system32\schannel.dll
2010-02-23 19:50:00 ----A---- C:\Windows\system32\tzres.dll
2010-02-23 19:49:48 ----A---- C:\Windows\system32\secproc_isv.dll
2010-02-23 19:49:48 ----A---- C:\Windows\system32\secproc.dll
2010-02-23 19:49:48 ----A---- C:\Windows\system32\RMActivate_isv.exe
2010-02-23 19:49:47 ----A---- C:\Windows\system32\secproc_ssp_isv.dll
2010-02-23 19:49:47 ----A---- C:\Windows\system32\secproc_ssp.dll
2010-02-23 19:49:47 ----A---- C:\Windows\system32\RMActivate_ssp_isv.exe
2010-02-23 19:49:47 ----A---- C:\Windows\system32\RMActivate_ssp.exe
2010-02-23 19:49:47 ----A---- C:\Windows\system32\RMActivate.exe
2010-02-23 19:49:47 ----A---- C:\Windows\system32\msdrm.dll
2010-02-23 19:49:45 ----A---- C:\Windows\system32\GameUXLegacyGDFs.dll
2010-02-23 19:49:45 ----A---- C:\Windows\system32\gameux.dll
2010-02-23 19:49:45 ----A---- C:\Windows\system32\Apphlpdm.dll
2010-02-21 23:27:03 ----D---- C:\ProgramData\CyberLink
2010-02-21 23:25:58 ----D---- C:\Users\**\AppData\Roaming\CyberLink
2010-02-21 21:28:42 ----D---- C:\Program Files\CyberLink
2010-02-21 21:26:42 ----D---- C:\ProgramData\Temp
2010-02-10 14:41:57 ----A---- C:\Windows\system32\ntoskrnl.exe
2010-02-10 14:41:57 ----A---- C:\Windows\system32\ntkrnlpa.exe
2010-02-10 14:37:33 ----A---- C:\Windows\system32\tsbyuv.dll
2010-02-10 14:37:33 ----A---- C:\Windows\system32\quartz.dll
2010-02-10 14:37:33 ----A---- C:\Windows\system32\msyuv.dll
2010-02-10 14:37:33 ----A---- C:\Windows\system32\msvidc32.dll
2010-02-10 14:37:33 ----A---- C:\Windows\system32\msvfw32.dll
2010-02-10 14:37:33 ----A---- C:\Windows\system32\msrle32.dll
2010-02-10 14:37:33 ----A---- C:\Windows\system32\mciavi32.dll
2010-02-10 14:37:33 ----A---- C:\Windows\system32\iyuv_32.dll
2010-02-10 14:37:32 ----A---- C:\Windows\system32\avifil32.dll

======List of files/folders modified in the last 1 months======

2010-03-07 22:41:39 ----D---- C:\Windows\Prefetch
2010-03-07 22:41:33 ----D---- C:\Windows\Temp
2010-03-07 22:41:30 ----RD---- C:\Program Files
2010-03-07 22:40:26 ----D---- C:\Users\**\AppData\Roaming\ICQ
2010-03-07 21:03:44 ----D---- C:\Windows\system32\drivers
2010-03-07 21:03:41 ----HD---- C:\ProgramData
2010-03-07 20:43:31 ----D---- C:\Windows\Minidump
2010-03-07 20:43:31 ----D---- C:\Windows\Debug
2010-03-07 20:43:31 ----D---- C:\Windows
2010-03-07 16:19:27 ----SHD---- C:\System Volume Information
2010-03-04 19:28:13 ----D---- C:\Windows\rescache
2010-03-03 23:38:09 ----D---- C:\Windows\System32
2010-03-03 23:23:46 ----D---- C:\Windows\winsxs
2010-03-03 23:23:39 ----D---- C:\Windows\system32\de-DE
2010-03-03 21:58:58 ----D---- C:\Windows\system32\catroot2
2010-03-03 21:58:58 ----D---- C:\Windows\system32\catroot
2010-02-27 04:04:39 ----D---- C:\Users\**\AppData\Roaming\Skype
2010-02-27 00:10:58 ----D---- C:\Users\**\AppData\Roaming\skypePM
2010-02-25 23:31:25 ----SHD---- C:\Windows\Installer
2010-02-25 23:31:25 ----SHD---- C:\Config.Msi
2010-02-24 09:16:06 ----N---- C:\Windows\system32\MpSigStub.exe
2010-02-24 07:25:15 ----RSD---- C:\Windows\Fonts
2010-02-24 07:25:15 ----D---- C:\Windows\AppPatch
2010-02-21 21:34:54 ----HD---- C:\Program Files\InstallShield Installation Information
2010-02-21 21:30:51 ----D---- C:\Windows\inf
2010-02-19 22:10:39 ----D---- C:\Program Files\Mozilla Firefox
2010-02-18 07:33:00 ----D---- C:\Program Files\ICQ7.0
2010-02-14 13:33:15 ----A---- C:\Windows\system32\PerfStringBackup.INI
2010-02-10 16:45:35 ----D---- C:\Program Files\Windows Mail
2010-02-09 18:33:20 ----D---- C:\Program Files\Google

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 DMICall;Sony DMI Call service; C:\Windows\system32\DRIVERS\DMICall.sys [2008-08-22 10216]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-12-09 56816]
R2 mdmxsdk;mdmxsdk; C:\Windows\system32\DRIVERS\mdmxsdk.sys [2008-01-25 12672]
R2 rimsptsk;rimsptsk; C:\Windows\system32\DRIVERS\rimsptsk.sys [2008-06-28 68608]
R2 risdptsk;risdptsk; C:\Windows\system32\DRIVERS\risdptsk.sys [2008-10-03 46592]
R2 XAudio;XAudio; C:\Windows\system32\DRIVERS\xaudio.sys [2008-01-25 8192]
R3 atikmdag;atikmdag; C:\Windows\system32\DRIVERS\atikmdag.sys [2008-10-07 3847168]
R3 clwvd;CyberLink WebCam Virtual Driver; C:\Windows\system32\DRIVERS\clwvd.sys [2010-01-25 27504]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\Windows\system32\DRIVERS\CmBatt.sys [2008-01-21 14208]
R3 HSF_DPV;HSF_DPV; C:\Windows\system32\DRIVERS\HSX_DPV.sys [2008-01-25 985600]
R3 HSXHWAZL;HSXHWAZL; C:\Windows\system32\DRIVERS\HSXHWAZL.sys [2008-01-25 207360]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2008-10-17 2149912]
R3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit; C:\Windows\system32\DRIVERS\NETw5v32.sys [2008-08-28 3664384]
R3 SFEP;Sony Firmware Extension Parser; C:\Windows\system32\DRIVERS\SFEP.sys [2008-08-22 9344]
R3 SynTP;Synaptics TouchPad Driver; C:\Windows\system32\DRIVERS\SynTP.sys [2007-03-10 181560]
R3 usbvideo;USB-Videogerät (WDM); C:\Windows\System32\Drivers\usbvideo.sys [2008-01-21 134016]
R3 winachsf;winachsf; C:\Windows\system32\DRIVERS\HSX_CNXT.sys [2008-01-25 659968]
R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-21 83328]
R3 yukonwlh;NDIS6.0 Miniport Driver for Marvell Yukon Ethernet Controller; C:\Windows\system32\DRIVERS\yk60x86.sys [2008-05-28 310272]
S3 aaxwksvg;aaxwksvg; C:\Windows\system32\drivers\aaxwksvg.sys []
S3 athr;Atheros Extensible Wireless LAN device driver; C:\Windows\system32\DRIVERS\athr.sys [2008-06-10 909824]
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-21 5632]
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 HSFHWAZL;HSFHWAZL; C:\Windows\system32\DRIVERS\VSTAZL3.SYS [2008-01-21 200704]
S3 igfx;igfx; C:\Windows\system32\DRIVERS\igdkmd32.sys []
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-21 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-21 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-21 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-21 6016]
S3 RimUsb;BlackBerry-Smartphone; C:\Windows\System32\Drivers\RimUsb.sys [2008-04-16 22784]
S3 WimFltr;WimFltr; C:\Windows\system32\DRIVERS\wimfltr.sys [2008-06-07 131000]
S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [2009-10-01 40448]
S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys [2008-01-21 6656]
S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys [2008-01-21 386616]
S4 sdbus;sdbus; C:\Windows\system32\DRIVERS\sdbus.sys [2008-01-21 88576]
S4 UIUSys;Conexant Setup API; C:\Windows\system32\DRIVERS\UIUSYS.SYS []
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2008-01-21 11264]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 Ati External Event Utility;Ati External Event Utility; C:\Windows\system32\Ati2evxx.exe [2008-10-07 692224]
R2 BcmSqlStartupSvc;SQL Server-Startdienst für Business Contact Manager; C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe [2008-01-16 30312]
R2 EvtEng;Intel® PROSet/Wireless Event Log; C:\Program Files\Intel\WiFi\bin\EvtEng.exe [2008-08-20 860160]
R2 ICQ Service;ICQ Service; C:\Program Files\ICQ6Toolbar\ICQ Service.exe [2008-10-19 222456]
R2 NSUService;NSUService; C:\Program Files\sony\Network Utility\NSUService.exe [2008-11-05 303104]
R2 RegSrvc;Intel® PROSet/Wireless Registry Service; C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe [2008-08-20 466944]
R2 RtkAudioService;Realtek Audio Service; C:\Windows\RtkAudioService.exe [2008-10-17 104992]
R2 SQLWriter;SQL Server VSS Writer; C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe [2007-02-10 89968]
R2 VAIO Power Management;VAIO Power Management; C:\Program Files\Sony\VAIO Power Management\SPMService.exe [2008-09-05 411488]
R2 VCFw;VAIO Content Folder Watcher; C:\Program Files\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe [2008-09-11 446464]
R2 XAudioService;XAudioService; C:\Windows\system32\DRIVERS\xaudio.exe [2008-01-25 386560]
S2 gupdate1c9d26c7dfe79a0;Google Update Service (gupdate1c9d26c7dfe79a0); C:\Program Files\Google\Update\GoogleUpdate.exe [2009-05-11 133104]
S3 ACDaemon;ArcSoft Connect Daemon; C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe []
S3 FontCache;@%systemroot%\system32\FntCache.dll,-100; C:\Windows\system32\svchost.exe [2008-01-21 21504]
S3 MSCSPTISRV;MSCSPTISRV; C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe [2008-05-20 53248]
S3 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ); C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2007-02-10 29178224]
S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2007-08-24 443776]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 PACSPTISVR;PACSPTISVR; C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe [2008-05-20 53248]
S3 SPTISRV;Sony SPTI Service; C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe [2008-05-20 77824]
S3 VcmIAlzMgr;VAIO Content Metadata Intelligent Analyzing Manager; C:\Program Files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe [2008-06-11 337184]
S3 VcmXmlIfHelper;VAIO Content Metadata XML Interface; C:\Program Files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper.exe [2008-06-11 83232]
S4 MSSQLServerADHelper;Hilfsdienst von SQL Server für Active Directory; C:\Program Files\Microsoft SQL Server\90\Shared\sqladhlp90.exe [2005-10-14 45272]
S4 SQLBrowser;SQL Server-Browser; C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe [2007-02-10 242544]

-----------------EOF-----------------
Offen bleiben mir jetzt noch folgende Fragen.

Ich möchte jetzt natürlich gerne wissen, was das da genauf für ein illegaler Einwanderer gewesen ist, der mich schon tagelang beschäftigt hat.

Habe ich alles richtig gemacht und muss ich keine Angst mehr vor weiteren Angriffen auf meine Registry haben?

Wenn meine standardmäßige Virensoftware das Problem ja offensichtlich nicht erkannt hat bleibt die Frage offen, wie ich mich in Zukunft davor schützen kann.

Kann ich herausfinden auf welche Dateien genau in meinem System zugegriffen wurde und, ob Passwörter (ich denk da insbesondere an Online-Banking) mit solchen kleinen Hackerprogrammen "mitgeschrieben" wurden?

Und natürlich: Wie kam das überhaupt bei mir rein?

Fragen über Fragen...

Vielen Dank an dieser Stelle schon einmal denjenigen, die soweit gelesen haben und einen erholsamen Schlaf in die neue Woche!

Nice Greetz
Crazycat

Antwort

Themen zu Verdacht auf Spoofing via ICQ
32 bit, adware.adtools, antivir, antivir guard, avgntflt.sys, avira, bho, browser, chronik, desktop, device driver, diagnostics, e-banking, error, firefox, fontcache, frage, gupdate, hdaudio.sys, hijack, hijackthis, home, home premium, installation, logfile, malwarebytes' anti-malware, mozilla, mssql, problem, programdata, programm, proxy, realtek, registry, rundll, scan, seltsame seite, spyware, svchost.exe, system, usbvideo.sys, virensoftware, vista 32, vista 32 bit, wireless lan, über icq



Ähnliche Themen: Verdacht auf Spoofing via ICQ


  1. Email Adresse versendet Spam (über 4000 Mails) trotz Passwortänderung/Formatierung/Systemwechsel an Kontakte und Fremde (kein Spoofing)
    Plagegeister aller Art und deren Bekämpfung - 01.10.2015 (9)
  2. server spoofing in Studentenheim durch ein Macbook Pro
    Alles rund um Mac OSX & Linux - 22.09.2015 (17)
  3. eMail Spoofing
    Plagegeister aller Art und deren Bekämpfung - 24.12.2013 (1)
  4. Spybot meldet "possible URL Spoofing (Cross Site)"
    Plagegeister aller Art und deren Bekämpfung - 17.06.2013 (8)
  5. Adress-Spoofing-Schwachstelle in iOS-Safari
    Nachrichten - 20.03.2012 (0)
  6. ARP Cache Spoofing - oder auch: Man-in-the-middle Attac - Kurze Einschätzung von euch?
    Log-Analyse und Auswertung - 08.12.2011 (6)
  7. avira meldet: HTML/Spoofing.Gen
    Plagegeister aller Art und deren Bekämpfung - 23.05.2011 (26)
  8. Avira Antivie meldet spoofing durch HTML/spoofing.gen Datei
    Log-Analyse und Auswertung - 23.10.2010 (20)
  9. Antivir meldet HTLM/Spoofing.Gen
    Log-Analyse und Auswertung - 20.08.2010 (21)
  10. HTML/Spoofing.Gen im Firefox Cache
    Plagegeister aller Art und deren Bekämpfung - 01.04.2010 (21)
  11. HTML/Spoofing.Gen in C:\Dokumente...\***\...
    Log-Analyse und Auswertung - 28.01.2010 (8)
  12. Rechner infiziert? Linux/Rootkit-S Linux/Posix HTML/Spoofing.Gen adaware
    Log-Analyse und Auswertung - 26.01.2010 (1)
  13. Outlook zerschossen - Spoofing.gen
    Log-Analyse und Auswertung - 25.01.2010 (3)
  14. HTML/Spoofing - Antivir schlägt dauernd an.
    Log-Analyse und Auswertung - 04.02.2009 (0)
  15. HTML/Spoofing.Gen im Outlook PST Ordner
    Log-Analyse und Auswertung - 21.09.2008 (1)
  16. HTML/Spoofing.Gen - Malware
    Plagegeister aller Art und deren Bekämpfung - 27.05.2008 (3)
  17. mac spoofing
    Plagegeister aller Art und deren Bekämpfung - 19.06.2007 (2)

Zum Thema Verdacht auf Spoofing via ICQ - Guten Abend allerseits, bitte habt mit mir nachsehen, falls irgendwas in der Beschreibung fehlen oder unverständlich sein sollte. Das ist mein erster Post in einem solchen Forum und ich bin - Verdacht auf Spoofing via ICQ...
Archiv
Du betrachtest: Verdacht auf Spoofing via ICQ auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.