@ root24 : Ok besten dank!!!

@ Comspec:Heisst das soviel wie rchner plattmachen und Windows neu aufziehen?Oder den Rechner in die Tonne werfen?

@koile: Klick mal auf diesen Link => File-Upload.net - Ihr kostenloser File Hoster!

Du kannst Dir darin als zip-Datei die drei Programme herunterladen. Es ist sicherheitshalber mit dem Paßwort "tb" (ohne Anführungszeichen) versehen, darin enthalten sind diese Dateien:

123.vbs -> silentrunners
abcfsbl.com -> blacklight
xyzcf.com -> combofix


Aus Sicherheitsgründen habe ich die Dateinamen umbenannt. Führe sie bitte in dieser genannten Reihenfolge auch aus und poste die Logs.

Zitat:

Zitat von koile

@ Comspec:Heisst das soviel wie rchner plattmachen und Windows neu aufziehen?

Die Hardware behälst Du bitte und wenn Du Dich ihrer entledigen willst, dann beim städtischen Recyclinghof.

Noch gibt es gar keinen Befund. Aber die Symptome deuten auf einen halbwegs gut ins System integrierten Schädling hin. Bei vernünftig programmierter Schadsoftware sollte man mMn das Handtuch werfen und neu installieren.
root24 wird Dir nach der Analyse schon sagen wie es um Deine Windowsinstallation bestellt ist.

%ComSpec%

silentrunners:

"Silent Runners.vbs", revision 58, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ICQ" = ""D:\ICQ6\ICQ.exe" silent" ["ICQ, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NWEReboot" = "(empty string)" [file not found]
"RegistryMechanic" = "(empty string)" [file not found]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"ZoneAlarm Client" = ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{055FD26D-3A88-4e15-963D-DC8493744B1D}\(Default) = "XTTBPos00"
-> {HKLM...CLSID} = "XTTBPos00 Class"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{221BBF54-3327-4548-9006-84385B1A5840}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Module"
\InProcServer32\(Default) = "ssymman.dll" [file not found]
{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\(Default) = "WormRadar.com IESiteBlocker.NavFilter"
-> {HKLM...CLSID} = "AVG Safe Search"
\InProcServer32\(Default) = "C:\Programme\AVG\AVG8\avgssie.dll" [file not found]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\ssv.dll" ["Sun Microsystems, Inc."]
{82B8E0B5-45F5-4779-966A-C474164F8F7F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "DVA Media"
\InProcServer32\(Default) = "C:\WINDOWS\temlxopqgdk.dll" [file not found]
{84FEBFF8-945B-4F9A-B9B8-B68EC5020770}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\vtUnmMde.dll" [file not found]
{AECB328C-AD19-A18C-386F-35A24BB56081}\(Default) = "Macromedia Movie"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system\bfdtsc32.dll" [file not found]
{D19BB6AF-D04D-474D-B4FF-14BDC4900971}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\urqOGXrS.dll" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{84FEBFF8-945B-4F9A-B9B8-B68EC5020770}" = "*Z" (unwritable string)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\vtUnmMde.dll" [file not found]

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\
<<!>> "Authentication Packages" = "msv1_0"|"C:\WINDOWS\system32\urqOGXrS"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> vtUnmMde\DLLName = "vtUnmMde.dll" [file not found]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableTaskMgr" = (REG_DWORD) dword:0x00000001
{User Configuration|Administrative Templates|System|Ctrl+Alt+Del Options|
Remove Task Manager}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Maik\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssmypics.scr" [MS]


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

HPGGPhotoEventHandler\
"Provider" = "HP Photosmart Essential"
"InvokeProgID" = "HP.acquireautoplayG"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\HP.acquireautoplayG\shell\open\DropTarget\CLSID = "{F3A39B00-BE67-4d7d-BED7-53E9C510EC5B}"
-> {HKLM...CLSID} = "HP AcquireAutoPlay2 Class"
\InProcServer32\(Default) = "C:\Programme\HP\Photosmart Essential\AcquireAutoPlay.dll" [empty string]

HPUnloadAutoplay\
"Provider" = "HP Übertragung und Schnelldruck"
"InvokeProgID" = "HpqUnApl.Autoplay"
"InvokeVerb" = "Play"
HKLM\SOFTWARE\Classes\HpqUnApl.Autoplay\shell\Play\DropTarget\CLSID = "{E1A1C814-FD09-4c9d-BB4A-0394B836A1F0}"
-> {HKLM...CLSID} = (no title provided)
\LocalServer32\(Default) = "C:\Programme\HP\Digital Imaging\Unload\HpqUnApl.exe" ["Hewlett-Packard"]

MMJBAutoplayBURNERPLUS\
"Provider" = "MUSICMATCH Burner Plus"
"InvokeProgID" = "MMJB.BURN"
"InvokeVerb" = "Burn"
HKLM\SOFTWARE\Classes\MMJB.BURN\shell\Burn\Command\(Default) = ""C:\Programme\Musicmatch\Musicmatch Jukebox\mmfwlaunch.exe""-mmjb"" ["Musicmatch, Inc."]

MMJBPlayCDAudioOnArrival\
"Provider" = "Musicmatch Jukebox"
"InvokeProgID" = "MMJB.AUDIOCD"
"InvokeVerb" = "Play"
HKLM\SOFTWARE\Classes\MMJB.AUDIOCD\shell\Play\command\(Default) = ""C:\Programme\Musicmatch\Musicmatch Jukebox\mmjblaunch.exe" /AudioCD "%1"" ["Musicmatch, Inc."]

MMJBPlayMediaOnArrival\
"Provider" = "Musicmatch Jukebox"
"InvokeProgID" = "MMJB.MMJB"
"InvokeVerb" = "Play"
HKLM\SOFTWARE\Classes\MMJB.MMJB\shell\Play\command\(Default) = ""C:\Programme\Musicmatch\Musicmatch Jukebox\mmjblaunch.exe" "%1"" ["Musicmatch, Inc."]

NeroAutoPlay7CDAudio\
"Provider" = "Nero SoundTrax"
"InvokeProgID" = "Nero.AutoPlay3"
"InvokeVerb" = "HandleCDBurningOnArrival_CDAudio"
HKLM\SOFTWARE\Classes\Nero.AutoPlay3\shell\HandleCDBurningOnArrival_CDAudio\command\(Default) = "C:\Programme\Nero\Nero 7\Nero SoundTrax\SoundTrax.exe /" [file not found]

NeroAutoPlay7CopyCD\
"Provider" = "Nero Burning ROM"
"InvokeProgID" = "Nero.AutoPlay3"
"InvokeVerb" = "PlayMusicFilesOnArrival_CopyCD"
HKLM\SOFTWARE\Classes\Nero.AutoPlay3\shell\PlayMusicFilesOnArrival_CopyCD\command\(Default) = "C:\Programme\Nero\Nero 7\Core\nero.exe /DialogiscCopy /Drive:%L" [file not found]

NeroAutoPlay7PlayAudioCD\
"Provider" = "Nero ShowTime"
"InvokeProgID" = "Nero.AutoPlay3"
"InvokeVerb" = "PlayCDAudioOnArrival_PlayAudioCD"
HKLM\SOFTWARE\Classes\Nero.AutoPlay3\shell\PlayCDAudioOnArrival_PlayAudioCD\command\(Default) = "C:\Programme\Nero\Nero 7\Nero ShowTime\ShowTime.exe /Play /Drive:%L" [file not found]


Enabled Scheduled Tasks:
------------------------

"HPpromotions journeysoftware" -> launches: "C:\Programme\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe /N "journeysoftware" -r" ["hp"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]

blacklight:

05/20/08 00:11:27 [Info]: BlackLight Engine 1.0.70 initialized
05/20/08 00:11:27 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/20/08 00:11:27 [Note]: 7019 4
05/20/08 00:11:27 [Note]: 7005 0
05/20/08 00:11:29 [Note]: 7006 0
05/20/08 00:11:29 [Note]: 7011 1528
05/20/08 00:11:29 [Note]: 7035 0
05/20/08 00:11:29 [Note]: 7026 0
05/20/08 00:11:29 [Note]: 7026 0
05/20/08 00:11:32 [Note]: FSRAW library version 1.7.1024
05/20/08 00:14:13 [Note]: 7007 0

Ich glaube das silentrunners Log ist nicht vollständig. Überprüf das mal bitte!

Zitat:

Zitat von root24

Ich glaube das silentrunners Log ist nicht vollständig. Überprüf das mal bitte!

Stimmt das fehlt noch:

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
PCL Language Monitor\Driver = "hpz3l3xu.dll" ["Hewlett-Packard Company"]


---------- (launch time: 2008-05-20 00:03:44)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 57 seconds, including 8 seconds for message boxes)

Combofix Log:

ComboFix 08-05-19.3 - **** 2008-05-20 0:58:01.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.624 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\****\Desktop\koile\xyzcf.com
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\bwvmhwna.ini
C:\WINDOWS\system32\conf.dat
C:\WINDOWS\system32\cxjxqhps.ini
C:\WINDOWS\system32\fxlhmpvq.ini
C:\WINDOWS\system32\jjqinixy.ini
C:\WINDOWS\system32\joofbucy.ini
C:\WINDOWS\system32\jxpvxhiu.ini
C:\WINDOWS\system32\lkjsoqiw.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mgngjclr.ini
C:\WINDOWS\system32\mtphjwjo.ini
C:\WINDOWS\system32\SrXGOqru.ini
C:\WINDOWS\system32\SrXGOqru.ini2
C:\WINDOWS\system32\urqOGXrS.dll
C:\WINDOWS\system32\uvikqyss.ini
C:\WINDOWS\system32\vrrwuxpx.ini
C:\WINDOWS\system32\xtxhcgxt.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-19 bis 2008-05-19 ))))))))))))))))))))))))))))))
.

2008-05-16 18:21 . 2008-05-19 23:20 <DIR> d-------- C:\!KillBox
2008-05-14 12:54 . 2008-05-14 12:54 <DIR> d-------- C:\Programme\Trend Micro
2008-05-14 12:28 . 2004-03-09 01:00 1,081,616 --a------ C:\WINDOWS\system32\MSCOMCTL.OCX
2008-05-13 14:38 . 2008-05-13 14:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avg8
2008-05-13 14:35 . 2007-12-20 19:03 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-05-13 14:35 . 2007-12-20 18:56 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2008-05-13 14:35 . 2007-12-20 18:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-05-13 14:35 . 2008-05-20 01:02 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-05-13 14:35 . 2007-12-20 18:56 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-05-13 14:35 . 2007-12-20 18:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-05-13 14:35 . 2007-12-20 18:56 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-05-13 14:35 . 2008-05-13 14:35 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-05-13 14:35 . 2008-05-20 00:57 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
2008-05-13 13:29 . 2008-05-13 13:32 514 --a------ C:\WINDOWS\Germany
2008-05-12 14:45 . 2008-05-13 13:08 <DIR> d--h----- C:\$AVG8.VAULT$
2008-05-11 12:43 . 2008-05-16 13:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-10 01:16 . 2008-05-10 01:16 1 --a------ C:\WINDOWS\system32\kr_done1de
2008-04-26 22:10 . 2008-05-20 00:08 2,378 --a------ C:\rollback.ini
2008-04-22 04:27 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-04-22 04:26 . 2008-04-22 04:27 <DIR> d-------- C:\Programme\Java
2008-04-22 04:26 . 2008-04-22 04:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-04-20 16:25 . 2008-05-03 15:17 <DIR> d-------- C:\Programme\ICQToolbar
2008-04-20 16:20 . 2008-04-20 16:20 <DIR> d-------- C:\Dokumente und Einstellungen\****\Anwendungsdaten\InstallShield

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-19 23:09 27,965,984 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-19 23:05 6,097,577 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-05-19 23:03 381,836 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-16 15:00 1,826,304 ----a-w C:\WINDOWS\Internet Logs\xDBF.tmp
2008-05-14 11:10 1,819,648 ----a-w C:\WINDOWS\Internet Logs\xDBE.tmp
2008-05-09 23:48 1,062,912 ----a-w C:\WINDOWS\Internet Logs\xDBD.tmp
2008-05-02 13:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-04-20 14:25 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-19 23:03 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\Shareaza
2008-04-19 04:52 2,621,440 ----a-w C:\WINDOWS\Internet Logs\xDB2A7.tmp
2008-04-18 02:24 --------- d-----w C:\Programme\Gemeinsame Dateien\AVSMedia
2008-04-18 02:24 --------- d-----w C:\Programme\AVSMedia
2008-04-04 12:38 1,548,800 ----a-w C:\WINDOWS\Internet Logs\xDBC.tmp
2008-04-04 12:16 1,548,288 ----a-w C:\WINDOWS\Internet Logs\xDBB.tmp
2008-04-01 16:19 --------- d-----w C:\Programme\QuickTime
2008-03-29 07:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-03-29 07:25 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\skypePM
2008-03-28 10:18 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-03-27 07:31 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\Image Zone Express
2008-03-23 16:25 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-03-21 07:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-03-19 23:05 --------- d-----w C:\Programme\Mirage Interactive
2008-03-16 18:03 1,416,704 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp
2008-02-26 13:41 1,336,832 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp
2008-02-25 22:38 1,498,624 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp
2008-02-25 22:24 1,498,624 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp
2008-02-25 16:18 2,884,608 ----a-w C:\WINDOWS\Internet Logs\xDB5A5.tmp
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{221BBF54-3327-4548-9006-84385B1A5840}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{82B8E0B5-45F5-4779-966A-C474164F8F7F}]
C:\WINDOWS\temlxopqgdk.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AECB328C-AD19-A18C-386F-35A24BB56081}]
C:\WINDOWS\system\bfdtsc32.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="D:\ICQ6\ICQ.exe" [2008-04-20 16:24 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NWEReboot"="" []
"RegistryMechanic"="" []
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-10-04 18:14 8491008]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 20:27 919016]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtUnmMde]
vtUnmMde.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImApp.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"D:\\ICQ6\\ICQ.exe"=

S4 Microsoft P2P2 Service;Microsoft P2P2 Service;C:\WINDOWS\system32\_svchost.exe []

.
Inhalt des "geplante Tasks" Ordners
"2008-05-19 22:00:00 C:\WINDOWS\Tasks\HPpromotions journeysoftware.job"
- C:\Programme\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by ****, ***://***.****.***
Rootkit scan 2008-05-20 01:08:05
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-20 1:14:03 - machine was rebooted [****]
ComboFix-quarantined-files.txt 2008-05-19 23:13:45

8 Verzeichnis(se), 484,585,472 Bytes frei
12 Verzeichnis(se), 478,298,112 Bytes frei

147

Dein System ist ne ziemlich Kloake.
Willst Du wirklich bereinigen oder lieber gleich neu aufsetzen? Sach kurz Bescheid. Dir sei aber gesagt, daß die Bereinigung nicht unbedingt erfolgreich sein kann und die Möglichkeit besteht, Dein System vollends zu zerschießen.

Naja neu aufsetzen ist schwierig bei mir.Was passiert denn unter umständen genau wenn ich ne bereinigung versuche?Und was ist mit den Datenträgern d: e: f:?Sind die auch betroffen?

Zitat:

Zitat von koile

Naja neu aufsetzen ist schwierig bei mir.Was passiert denn unter umständen genau wenn ich ne bereinigung versuche?Und was ist mit den Datenträgern d: e: f:?Sind die auch betroffen?

Wenn man bereinigt, ist es durchaus möglich, sein System zu zerschießen, sodass letztenendes garnichts mehr geht. Oder daß offensichtlich der Schädling/die Schädlinge entfernt wurde(n), aber viel besser versteckte Komponenten schon längst nachinstalliert worden.

Beim neu aufsetzen reicht es, die Systempartition (Windowspartition C: bei dir) schnell zu formatieren. Die anderen müssen nicht formatiert werden, wäre zwar besser, aber es reicht auch, sämtliche auf den anderen Partitionen enthaltenen ausführbaren Dateien zu löschen.

Na dann heisst es wohl neu aufsetzen.Bevor nix mehr geht.

Herzlichen Dank für deine Hilfe,jetzt bin ich ein wenig schlauer.

Aber eine Frage hätte ich da noch:

Woher kommen solche "Schädlinge" und vor allem wie kommen die an meiner Firewall vorbei?Wieso reagiert Zonealarm nicht auf sowas?

Zitat:

Zitat von koile

Aber eine Frage hätte ich da noch:

Woher kommen solche "Schädlinge" und vor allem wie kommen die an meiner Firewall vorbei?Wieso reagiert Zonealarm nicht auf sowas?

Homepage von Malte J. Wetz
Besonders interessant für diese Frage ist Abschnitt 5.6.

Warum kommt Malware an einer Personal-Firewall vorbei?

Du bist sicher, du willst die Antwort hören (lesen)?
Ganz sicher?

1.) Weil keine Personalfirewall, kein Antivirenprogramm perfekt ist

und weil

2.) meist der Nutzer sowas herunterlädt.

Nicht ZA ist dafür verantwortlich, der Nutzer wars (im Allgemeinen). Man darf sich NIE(!) blind auf AV-Programm oder gar Personal-Firewall verlassen.

Egal ob als E-Mail oder als direkten Download, ZA ist zwar nicht perfekt, aber nicht die Ursache.

Beachte auch Anleitung: Neuaufsetzen des Systems + Absicherung

BEVOR du auf die weiteren Partitionen zugreifst, System absichern (inkl. AV-Programm updaten), dann die weiteren Partitionen scannen. Kein Fund ist zwar auch kein Beweis für die Sauberkeit (kein AV-Programm ist unfehlbar), aber zumindest ein Versuch.
(Eventuell noch mit weiteren On-demand-Scannern durchsuchen)

Zitat:

Zitat von koile

Woher kommen solche "Schädlinge" und ...

Nun das hängt ganz von Dir ab. Mal von einigen Cross-Site-Scripting-Attacken und 0-Day Exploits abgesehen wirst Du wohl irgendwie Deine Hand im Spiel gehabt haben, sei es durch nicht aktuelle Software (https://psi.secunia.com/), ein nicht ganz aktuelles Betriebssystem, mangelhafte Systemkonfiguration oder schlicht durch sorglosen Umgang mit ausführbaren Dateien (vor allem im Administratorkontext; besonders fatal bei Risikokompensation durch vermeintlich schützende Sicherheitssoftware).

Zitat:

...vor allem wie kommen die an meiner Firewall vorbei?Wieso reagiert Zonealarm nicht auf sowas?

Wenn der User etwas installiert, kann man die Personal Firewall nehmen und öffentlich den Flammen übereignen (kann man mMn sowieso). Ob der User die Software bewusst, unbewusst, fahrlässig oder wie auch immer installiert hat spielt dabei überhaupt keine Rolle.
Zumindest rudimentäre Kenntnisse über Infektionswege- und strategien sind notwendig um sich halbwegs vernünftig schützen zu können. Bei bestimmten Szenarien ist man mehr oder minder machtlos (z.B. 0-Day Exploit), die Erfahrung zeigt aber, dass sich in den meisten Fällen der eigentliche Schädling ausserhalb des Rechners befindet.

%ComSpec%

Nachtrag:
Es gibt doch immer wieder bestimmte Statements und/oder Fragen die einen kollektiven Antwortreflex ansprechen