Festplatte voll
 

Hallo,
kann mir jemand helfen,meine Festplatte ist unterteilt in vier abteilungen.
c: d: e: f:
Auf der Abteilung c: ist nur windows drauf und diverse Programme wie Zonealarm und icq.Die kapazität von c: ist 19,5 gb und davon sind nur noch 600 mb frei.
Ich weiss nicht wieso nur noch so wenig platz auf c: ist.Hat jemand einen Tipp?
Kann es sein das ich ein unerwünschtes Programm habe das irgendetwas ohne mein wissen speichert?Also ein Virus kann es nicht sein da Zonealarm keinen Virus anzeigt.Ich habe ständig das Problem das ich zu wenig Speicherplatz habe,und die Datenträgerbereinigung bringt auch nicht viel,nach spätestens zwei tagen kriege ich wieder diese meldung.
Vielen Dank im voraus!!

Hier ist der Hijackthis Log falls der weiterhilft:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:45:12, on 19.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\rundll32.exe
D:\ICQ6\ICQ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [e4053169] rundll32.exe "C:\WINDOWS\system32\yxiniqjj.dll",b
O4 - HKCU\..\Run: [ICQ] "D:\ICQ6\ICQ.exe" silent
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 1416 bytes

Was hat dies im Diskussionsforum über Sicherheitsprogramme verloren?
"Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches. Störer werden "sanft aus dem Raum begleitet"."

*Verschoben*

lasse C:\WINDOWS\system32\yxiniqjj.dll mal bei http://virusscan.jotti.org/ und/oder http://www.virustotal.com/ überprüfen.
Ergebnis komplett hier rein

Ist das Logfile wirklich komplett?
Jemand der ICQ und Zonealarm installiert, sollte tatsächlich so ein kurzes Log haben? *wunder* ;)


Hast du schon mal den "Datenträger bereinigen" lassen?
Lehre mal alle Temp-Verzeichnisse.
Schau auch mal auf c:\windows nach versteckten Dateien nach dem Muster $NtUninstallKB...., diese können entfernt werden (macht u.U. ein paar hundert MB), sie dienen einem "Uninstall" von Patches.

Schau auch mal, wie groß der verborgene Ordner "Installer" in c:\windows ist. NUR SCHAUEN und melden.

Hallo,
sorry erstmal das ich das Thema ins falsche Forum gesetzt habe,war keine Absicht.
Also die Datei,die ich prüfen soll ist nicht mehr vorhanden.
Die Temp verzeichnisse hab ich gelehrt,hat aber nicht viel gebracht.eine Datenträgerbereinigung mache ich alle zwei Tage,da mein Rechner mich immer drauf hinweist.Und der Logfile ist nicht grösser,keine ahnung warum.Ich habe nochmal einen gemacht,der ist auch nicht grösser.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:02:13, on 19.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\rundll32.exe
D:\ICQ6\ICQ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [e4053169] rundll32.exe "C:\WINDOWS\system32\xpxuwrrv.dll",b
O4 - HKCU\..\Run: [ICQ] "D:\ICQ6\ICQ.exe" silent
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 1416 bytes

Ich habe die Datei C:\WINDOWS\System32\xpxuwrrv.dll",b scannen lassen.
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.16.0 2008.05.19 -
AntiVir 7.8.0.19 2008.05.18 -
Authentium 5.1.0.4 2008.05.18 -
Avast 4.8.1195.0 2008.05.18 -
AVG 7.5.0.516 2008.05.18 -
BitDefender 7.2 2008.05.19 -
CAT-QuickHeal 9.50 2008.05.17 -
ClamAV 0.92.1 2008.05.19 -
DrWeb 4.44.0.09170 2008.05.19 -
eSafe 7.0.15.0 2008.05.18 -
eTrust-Vet 31.4.5798 2008.05.16 -
Ewido 4.0 2008.05.18 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.19 -
Fortinet 3.14.0.0 2008.05.19 -
GData 2.0.7306.1023 2008.05.19 -
Ikarus T3.1.1.26.0 2008.05.19 -
Kaspersky 7.0.0.125 2008.05.19 -
McAfee 5297 2008.05.17 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3107 2008.05.18 -
Norman 5.80.02 2008.05.16 -
Panda 9.0.0.4 2008.05.18 -
Prevx1 V2 2008.05.19 Cloaked Malware
Rising 20.45.01.00 2008.05.19 -
Sophos 4.29.0 2008.05.19 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.19 -
TheHacker 6.2.92.313 2008.05.19 -
VBA32 3.12.6.6 2008.05.18 -
VirusBuster 4.3.26:9 2008.05.18 -
Webwasher-Gateway 6.6.2 2008.05.19 Win32.Malware.gen!92 (suspicious)
weitere Informationen
File size: 91264 bytes
MD5...: 13ed91e5b3c86325efcb99e1e1583597
SHA1..: 1cf7d3842c4916e8f6593eb48a9e8c5387d62ed6
SHA256: 415465889ebc083ed37dc6cb0723d5fce6100dd224be3387564f733fee0dfd5a
SHA512: 657873cd65402bcdc031294fc450d39119bb2cb274436090cd946e76f8f52cda
343a4142e77af1287a56fd8747dd86fb2177cbbc4d8deeffb15b36ce6b48376c
PEiD..: Armadillo v1.xx - v2.xx
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001242
timedatestamp.....: 0x48219e78 (Wed May 07 12:20:08 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2000 0x2000 4.74 6bd960adfde956dc9084e43ee01bc455
.rsrc 0x3000 0x1000 0xa00 4.40 1c278592f807e74963d6653bd1c4a837
.text 0x4000 0x5000 0x4800 7.99 770ad09679ac2726c4f49f90f0bfab1e
.reloc 0x9000 0x1d000 0xd480 7.99 4d496c074990f5bec3d5a9842b29da7e

( 5 imports )
> kernel32.dll: GetCurrentThreadId, GetProcAddress, InitializeCriticalSection, LoadLibraryA, LocalAlloc, LocalFree, MultiByteToWideChar, VirtualAlloc, VirtualFree, VirtualProtect, WideCharToMultiByte
> user32.dll: BeginPaint, CheckMenuRadioItem, CheckRadioButton, CreateMenu, CreateWindowExA, DestroyCursor, DestroyWindow, EndPaint, ExitWindowsEx, FindWindowExA, GetCapture, GetCursorPos, GetDC, GetSystemMetrics, GetWindow, GetWindowDC, GetWindowDC, GetWindowTextA, GetWindowTextLengthA, InvalidateRect, IsWindow, KillTimer, LoadCursorA, LoadIconA, SetPropA, SetScrollPos, SetScrollRange, SetSysColors, SetTimer, SetWindowLongA, SetWindowPos, ShowWindow, SystemParametersInfoA, TranslateMessage, UpdateWindow, ValidateRect, WaitMessage, wvsprintfA
> gdi32.dll: CreateSolidBrush, DeleteDC, DeleteObject, GetDeviceCaps, GetPixel, GetStockObject, MoveToEx, Rectangle, RestoreDC, SaveDC, SelectObject, SetBkColor, SetBkMode, SetBrushOrgEx, SetPixel, SetStretchBltMode, SetTextColor, SetWindowOrgEx, StretchBlt, TextOutA
> shell32.dll: SHBrowseForFolder, SHGetPathFromIDList
> comdlg32.dll: ChooseColorA

( 0 exports )
Prevx info: LTGVWQDE.DLL - Prevx

Ich hoffe es hilft weiter.
Danke im voraus!

Die Datei ist deswegen nicht mehr zu finden, da sie nach jedem Neustart einen anderen Namen hat. Häufig ändert der Prozess beim Herunterfahren den Dateinamen inklusive Autostarteintrag (Dienst, HKLM...\run, etc).

Schau Dir folgende Zeile an:
Hier findest Du den aktuellen Dateinamen. In diesem Fall "xpxuwrrv.dll".

%ComSpec%

Hallo,
was isn das für ne Datei?Und wie werd ich die los.Die gehört doch sicher nicht in mein System oder??
Ich habe die Datei ja scannen lassen,ich kann mit dem Report nur leider nix anfangen.

Das steht vermutlich in dem Scanreport.
Mit an Sicherheit grenzender Wahrscheinlichkeit gehört dieser Binärklumpen nicht zu einer erwünschten Anwendung, schon gar nicht zum Betriebssystem.
Poste den Report hier. Irgendjemand wird schon was damit anfangen können.

%ComSpec%

Hier der Report von Virustotal:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.16.0 2008.05.19 -
AntiVir 7.8.0.19 2008.05.18 -
Authentium 5.1.0.4 2008.05.18 -
Avast 4.8.1195.0 2008.05.18 -
AVG 7.5.0.516 2008.05.18 -
BitDefender 7.2 2008.05.19 -
CAT-QuickHeal 9.50 2008.05.17 -
ClamAV 0.92.1 2008.05.19 -
DrWeb 4.44.0.09170 2008.05.19 -
eSafe 7.0.15.0 2008.05.18 -
eTrust-Vet 31.4.5798 2008.05.16 -
Ewido 4.0 2008.05.18 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.19 -
Fortinet 3.14.0.0 2008.05.19 -
GData 2.0.7306.1023 2008.05.19 -
Ikarus T3.1.1.26.0 2008.05.19 -
Kaspersky 7.0.0.125 2008.05.19 -
McAfee 5297 2008.05.17 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3107 2008.05.18 -
Norman 5.80.02 2008.05.16 -
Panda 9.0.0.4 2008.05.18 -
Prevx1 V2 2008.05.19 Cloaked Malware
Rising 20.45.01.00 2008.05.19 -
Sophos 4.29.0 2008.05.19 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.19 -
TheHacker 6.2.92.313 2008.05.19 -
VBA32 3.12.6.6 2008.05.18 -
VirusBuster 4.3.26:9 2008.05.18 -
Webwasher-Gateway 6.6.2 2008.05.19 Win32.Malware.gen!92 (suspicious)
weitere Informationen
File size: 91264 bytes
MD5...: 13ed91e5b3c86325efcb99e1e1583597
SHA1..: 1cf7d3842c4916e8f6593eb48a9e8c5387d62ed6
SHA256: 415465889ebc083ed37dc6cb0723d5fce6100dd224be338756 4f733fee0dfd5a
SHA512: 657873cd65402bcdc031294fc450d39119bb2cb274436090cd 946e76f8f52cda
343a4142e77af1287a56fd8747dd86fb2177cbbc4d8deeffb1 5b36ce6b48376c
PEiD..: Armadillo v1.xx - v2.xx
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001242
timedatestamp.....: 0x48219e78 (Wed May 07 12:20:08 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2000 0x2000 4.74 6bd960adfde956dc9084e43ee01bc455
.rsrc 0x3000 0x1000 0xa00 4.40 1c278592f807e74963d6653bd1c4a837
.text 0x4000 0x5000 0x4800 7.99 770ad09679ac2726c4f49f90f0bfab1e
.reloc 0x9000 0x1d000 0xd480 7.99 4d496c074990f5bec3d5a9842b29da7e

( 5 imports )
> kernel32.dll: GetCurrentThreadId, GetProcAddress, InitializeCriticalSection, LoadLibraryA, LocalAlloc, LocalFree, MultiByteToWideChar, VirtualAlloc, VirtualFree, VirtualProtect, WideCharToMultiByte
> user32.dll: BeginPaint, CheckMenuRadioItem, CheckRadioButton, CreateMenu, CreateWindowExA, DestroyCursor, DestroyWindow, EndPaint, ExitWindowsEx, FindWindowExA, GetCapture, GetCursorPos, GetDC, GetSystemMetrics, GetWindow, GetWindowDC, GetWindowDC, GetWindowTextA, GetWindowTextLengthA, InvalidateRect, IsWindow, KillTimer, LoadCursorA, LoadIconA, SetPropA, SetScrollPos, SetScrollRange, SetSysColors, SetTimer, SetWindowLongA, SetWindowPos, ShowWindow, SystemParametersInfoA, TranslateMessage, UpdateWindow, ValidateRect, WaitMessage, wvsprintfA
> gdi32.dll: CreateSolidBrush, DeleteDC, DeleteObject, GetDeviceCaps, GetPixel, GetStockObject, MoveToEx, Rectangle, RestoreDC, SaveDC, SelectObject, SetBkColor, SetBkMode, SetBrushOrgEx, SetPixel, SetStretchBltMode, SetTextColor, SetWindowOrgEx, StretchBlt, TextOutA
> shell32.dll: SHBrowseForFolder, SHGetPathFromIDList
> comdlg32.dll: ChooseColorA

( 0 exports )
Prevx info: LTGVWQDE.DLL - Prevx

Ist das Hijackthis Logfile wirklich so kurz? Wenn ja, dann erstell mal bitte mit dieser umbenannten hijackthis.exe ein neues Logfile und vergleiche es. Sollte es länger sein bzw. "normal" lang aussehen sofort posten.

Mach auch mal:

- silentrunners
- blacklight (blacklight nur durchlaufen lassen und den Report posten, wenn es versteckte Objekte gefunden hat)
- combofix



Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:

Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing8.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Hier schon mal der Logfile von dem unbenannten Hijackthis,er ist etwas länger:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:26:32, on 19.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\ICQ6\ICQ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\****\Desktop\qlketzd.com

O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Module - {221BBF54-3327-4548-9006-84385B1A5840} - ssymman.dll (file missing)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: DVA Media - {82B8E0B5-45F5-4779-966A-C474164F8F7F} - C:\WINDOWS\temlxopqgdk.dll (file missing)
O2 - BHO: (no name) - {84FEBFF8-945B-4F9A-B9B8-B68EC5020770} - C:\WINDOWS\system32\vtUnmMde.dll (file missing)
O2 - BHO: Macromedia Movie - {AECB328C-AD19-A18C-386F-35A24BB56081} - C:\WINDOWS\system\bfdtsc32.dll (file missing)
O2 - BHO: (no name) - {D19BB6AF-D04D-474D-B4FF-14BDC4900971} - C:\WINDOWS\system32\urqOGXrS.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ICQ] "D:\ICQ6\ICQ.exe" silent
O20 - Winlogon Notify: vtUnmMde - vtUnmMde.dll (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 2423 bytes

- silentrunners
- blacklight (blacklight nur durchlaufen lassen und den Report posten, wenn es versteckte Objekte gefunden hat)
- combofix
Das lässt sich nicht öffnen,Verbindung zum Server unterbrochen!

Ich befürchte Dein Rechner wurde gekapert. Aber richtig. Zum einen ist die Platte voll ohne Ende (oje, hoffentlich funktioniert Dein PC nicht als warez-plattform) und zum anderen versteckt sich alles vor Dir, Windows und sogar hijackthis!

Aber warten wir mal die anderen Logs ab. :balla:

Alle Programme lassen sich nicht öffnen?

Nein,keins davon geht.
Jedesmal verbindung unterbrochen.Was bedeutet Warez-Plattform??

Warez = gecrackte Programme
Ich lad Dir die Programme mal eben hoch und hoffe, dass Du sie dann herunterladen kannst. Ich meld mich gleich noch mal.

Wie root24 bereits bemerkte ist Dein Rechner unter Umständen zu einer Dateiaustauschplattform geworden (würde den Speicherplatzverlust erklären). Die Symptomatik ist derart unangenehm, dass man von Bereinigungsversuchen absehen sollte (Totes Pferd ...). Vertrauen würde ich diesem System auch nach erfolgreicher Behebung der Symptome nicht mehr.

%ComSpec%

@ root24 : Ok besten dank!!!

@ Comspec:Heisst das soviel wie rchner plattmachen und Windows neu aufziehen?Oder den Rechner in die Tonne werfen?

@koile: Klick mal auf diesen Link => File-Upload.net - Ihr kostenloser File Hoster!

Du kannst Dir darin als zip-Datei die drei Programme herunterladen. Es ist sicherheitshalber mit dem Paßwort "tb" (ohne Anführungszeichen) versehen, darin enthalten sind diese Dateien:

123.vbs -> silentrunners
abcfsbl.com -> blacklight
xyzcf.com -> combofix


Aus Sicherheitsgründen habe ich die Dateinamen umbenannt. Führe sie bitte in dieser genannten Reihenfolge auch aus und poste die Logs.

Die Hardware behälst Du bitte und wenn Du Dich ihrer entledigen willst, dann beim städtischen Recyclinghof.

Noch gibt es gar keinen Befund. Aber die Symptome deuten auf einen halbwegs gut ins System integrierten Schädling hin. Bei vernünftig programmierter Schadsoftware sollte man mMn das Handtuch werfen und neu installieren.
root24 wird Dir nach der Analyse schon sagen wie es um Deine Windowsinstallation bestellt ist.

%ComSpec%

silentrunners:

"Silent Runners.vbs", revision 58, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ICQ" = ""D:\ICQ6\ICQ.exe" silent" ["ICQ, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NWEReboot" = "(empty string)" [file not found]
"RegistryMechanic" = "(empty string)" [file not found]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"ZoneAlarm Client" = ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{055FD26D-3A88-4e15-963D-DC8493744B1D}\(Default) = "XTTBPos00"
-> {HKLM...CLSID} = "XTTBPos00 Class"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{221BBF54-3327-4548-9006-84385B1A5840}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Module"
\InProcServer32\(Default) = "ssymman.dll" [file not found]
{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\(Default) = "WormRadar.com IESiteBlocker.NavFilter"
-> {HKLM...CLSID} = "AVG Safe Search"
\InProcServer32\(Default) = "C:\Programme\AVG\AVG8\avgssie.dll" [file not found]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\ssv.dll" ["Sun Microsystems, Inc."]
{82B8E0B5-45F5-4779-966A-C474164F8F7F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "DVA Media"
\InProcServer32\(Default) = "C:\WINDOWS\temlxopqgdk.dll" [file not found]
{84FEBFF8-945B-4F9A-B9B8-B68EC5020770}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\vtUnmMde.dll" [file not found]
{AECB328C-AD19-A18C-386F-35A24BB56081}\(Default) = "Macromedia Movie"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system\bfdtsc32.dll" [file not found]
{D19BB6AF-D04D-474D-B4FF-14BDC4900971}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\urqOGXrS.dll" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{84FEBFF8-945B-4F9A-B9B8-B68EC5020770}" = "*Z" (unwritable string)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\vtUnmMde.dll" [file not found]

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\
<<!>> "Authentication Packages" = "msv1_0"|"C:\WINDOWS\system32\urqOGXrS"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> vtUnmMde\DLLName = "vtUnmMde.dll" [file not found]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableTaskMgr" = (REG_DWORD) dword:0x00000001
{User Configuration|Administrative Templates|System|Ctrl+Alt+Del Options|
Remove Task Manager}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Maik\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssmypics.scr" [MS]


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

HPGGPhotoEventHandler\
"Provider" = "HP Photosmart Essential"
"InvokeProgID" = "HP.acquireautoplayG"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\HP.acquireautoplayG\shell\open\DropTarget\CLSID = "{F3A39B00-BE67-4d7d-BED7-53E9C510EC5B}"
-> {HKLM...CLSID} = "HP AcquireAutoPlay2 Class"
\InProcServer32\(Default) = "C:\Programme\HP\Photosmart Essential\AcquireAutoPlay.dll" [empty string]

HPUnloadAutoplay\
"Provider" = "HP Übertragung und Schnelldruck"
"InvokeProgID" = "HpqUnApl.Autoplay"
"InvokeVerb" = "Play"
HKLM\SOFTWARE\Classes\HpqUnApl.Autoplay\shell\Play\DropTarget\CLSID = "{E1A1C814-FD09-4c9d-BB4A-0394B836A1F0}"
-> {HKLM...CLSID} = (no title provided)
\LocalServer32\(Default) = "C:\Programme\HP\Digital Imaging\Unload\HpqUnApl.exe" ["Hewlett-Packard"]

MMJBAutoplayBURNERPLUS\
"Provider" = "MUSICMATCH Burner Plus"
"InvokeProgID" = "MMJB.BURN"
"InvokeVerb" = "Burn"
HKLM\SOFTWARE\Classes\MMJB.BURN\shell\Burn\Command\(Default) = ""C:\Programme\Musicmatch\Musicmatch Jukebox\mmfwlaunch.exe""-mmjb"" ["Musicmatch, Inc."]

MMJBPlayCDAudioOnArrival\
"Provider" = "Musicmatch Jukebox"
"InvokeProgID" = "MMJB.AUDIOCD"
"InvokeVerb" = "Play"
HKLM\SOFTWARE\Classes\MMJB.AUDIOCD\shell\Play\command\(Default) = ""C:\Programme\Musicmatch\Musicmatch Jukebox\mmjblaunch.exe" /AudioCD "%1"" ["Musicmatch, Inc."]

MMJBPlayMediaOnArrival\
"Provider" = "Musicmatch Jukebox"
"InvokeProgID" = "MMJB.MMJB"
"InvokeVerb" = "Play"
HKLM\SOFTWARE\Classes\MMJB.MMJB\shell\Play\command\(Default) = ""C:\Programme\Musicmatch\Musicmatch Jukebox\mmjblaunch.exe" "%1"" ["Musicmatch, Inc."]

NeroAutoPlay7CDAudio\
"Provider" = "Nero SoundTrax"
"InvokeProgID" = "Nero.AutoPlay3"
"InvokeVerb" = "HandleCDBurningOnArrival_CDAudio"
HKLM\SOFTWARE\Classes\Nero.AutoPlay3\shell\HandleCDBurningOnArrival_CDAudio\command\(Default) = "C:\Programme\Nero\Nero 7\Nero SoundTrax\SoundTrax.exe /" [file not found]

NeroAutoPlay7CopyCD\
"Provider" = "Nero Burning ROM"
"InvokeProgID" = "Nero.AutoPlay3"
"InvokeVerb" = "PlayMusicFilesOnArrival_CopyCD"
HKLM\SOFTWARE\Classes\Nero.AutoPlay3\shell\PlayMusicFilesOnArrival_CopyCD\command\(Default) = "C:\Programme\Nero\Nero 7\Core\nero.exe /Dialog:DiscCopy /Drive:%L" [file not found]

NeroAutoPlay7PlayAudioCD\
"Provider" = "Nero ShowTime"
"InvokeProgID" = "Nero.AutoPlay3"
"InvokeVerb" = "PlayCDAudioOnArrival_PlayAudioCD"
HKLM\SOFTWARE\Classes\Nero.AutoPlay3\shell\PlayCDAudioOnArrival_PlayAudioCD\command\(Default) = "C:\Programme\Nero\Nero 7\Nero ShowTime\ShowTime.exe /Play /Drive:%L" [file not found]


Enabled Scheduled Tasks:
------------------------

"HPpromotions journeysoftware" -> launches: "C:\Programme\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe /N "journeysoftware" -r" ["hp"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]

blacklight:

05/20/08 00:11:27 [Info]: BlackLight Engine 1.0.70 initialized
05/20/08 00:11:27 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/20/08 00:11:27 [Note]: 7019 4
05/20/08 00:11:27 [Note]: 7005 0
05/20/08 00:11:29 [Note]: 7006 0
05/20/08 00:11:29 [Note]: 7011 1528
05/20/08 00:11:29 [Note]: 7035 0
05/20/08 00:11:29 [Note]: 7026 0
05/20/08 00:11:29 [Note]: 7026 0
05/20/08 00:11:32 [Note]: FSRAW library version 1.7.1024
05/20/08 00:14:13 [Note]: 7007 0

Ich glaube das silentrunners Log ist nicht vollständig. Überprüf das mal bitte!

Stimmt das fehlt noch:

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
PCL Language Monitor\Driver = "hpz3l3xu.dll" ["Hewlett-Packard Company"]


---------- (launch time: 2008-05-20 00:03:44)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 57 seconds, including 8 seconds for message boxes)

Combofix Log:

ComboFix 08-05-19.3 - **** 2008-05-20 0:58:01.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.624 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\****\Desktop\koile\xyzcf.com
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\bwvmhwna.ini
C:\WINDOWS\system32\conf.dat
C:\WINDOWS\system32\cxjxqhps.ini
C:\WINDOWS\system32\fxlhmpvq.ini
C:\WINDOWS\system32\jjqinixy.ini
C:\WINDOWS\system32\joofbucy.ini
C:\WINDOWS\system32\jxpvxhiu.ini
C:\WINDOWS\system32\lkjsoqiw.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mgngjclr.ini
C:\WINDOWS\system32\mtphjwjo.ini
C:\WINDOWS\system32\SrXGOqru.ini
C:\WINDOWS\system32\SrXGOqru.ini2
C:\WINDOWS\system32\urqOGXrS.dll
C:\WINDOWS\system32\uvikqyss.ini
C:\WINDOWS\system32\vrrwuxpx.ini
C:\WINDOWS\system32\xtxhcgxt.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-19 bis 2008-05-19 ))))))))))))))))))))))))))))))
.

2008-05-16 18:21 . 2008-05-19 23:20 <DIR> d-------- C:\!KillBox
2008-05-14 12:54 . 2008-05-14 12:54 <DIR> d-------- C:\Programme\Trend Micro
2008-05-14 12:28 . 2004-03-09 01:00 1,081,616 --a------ C:\WINDOWS\system32\MSCOMCTL.OCX
2008-05-13 14:38 . 2008-05-13 14:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avg8
2008-05-13 14:35 . 2007-12-20 19:03 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-05-13 14:35 . 2007-12-20 18:56 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2008-05-13 14:35 . 2007-12-20 18:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-05-13 14:35 . 2008-05-20 01:02 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-05-13 14:35 . 2007-12-20 18:56 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-05-13 14:35 . 2007-12-20 18:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-05-13 14:35 . 2007-12-20 18:56 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-05-13 14:35 . 2008-05-13 14:35 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-05-13 14:35 . 2008-05-20 00:57 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
2008-05-13 13:29 . 2008-05-13 13:32 514 --a------ C:\WINDOWS\Germany
2008-05-12 14:45 . 2008-05-13 13:08 <DIR> d--h----- C:\$AVG8.VAULT$
2008-05-11 12:43 . 2008-05-16 13:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-10 01:16 . 2008-05-10 01:16 1 --a------ C:\WINDOWS\system32\kr_done1de
2008-04-26 22:10 . 2008-05-20 00:08 2,378 --a------ C:\rollback.ini
2008-04-22 04:27 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-04-22 04:26 . 2008-04-22 04:27 <DIR> d-------- C:\Programme\Java
2008-04-22 04:26 . 2008-04-22 04:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-04-20 16:25 . 2008-05-03 15:17 <DIR> d-------- C:\Programme\ICQToolbar
2008-04-20 16:20 . 2008-04-20 16:20 <DIR> d-------- C:\Dokumente und Einstellungen\****\Anwendungsdaten\InstallShield

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-19 23:09 27,965,984 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-19 23:05 6,097,577 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-05-19 23:03 381,836 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-16 15:00 1,826,304 ----a-w C:\WINDOWS\Internet Logs\xDBF.tmp
2008-05-14 11:10 1,819,648 ----a-w C:\WINDOWS\Internet Logs\xDBE.tmp
2008-05-09 23:48 1,062,912 ----a-w C:\WINDOWS\Internet Logs\xDBD.tmp
2008-05-02 13:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-04-20 14:25 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-19 23:03 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\Shareaza
2008-04-19 04:52 2,621,440 ----a-w C:\WINDOWS\Internet Logs\xDB2A7.tmp
2008-04-18 02:24 --------- d-----w C:\Programme\Gemeinsame Dateien\AVSMedia
2008-04-18 02:24 --------- d-----w C:\Programme\AVSMedia
2008-04-04 12:38 1,548,800 ----a-w C:\WINDOWS\Internet Logs\xDBC.tmp
2008-04-04 12:16 1,548,288 ----a-w C:\WINDOWS\Internet Logs\xDBB.tmp
2008-04-01 16:19 --------- d-----w C:\Programme\QuickTime
2008-03-29 07:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-03-29 07:25 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\skypePM
2008-03-28 10:18 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-03-27 07:31 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\Image Zone Express
2008-03-23 16:25 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-03-21 07:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-03-19 23:05 --------- d-----w C:\Programme\Mirage Interactive
2008-03-16 18:03 1,416,704 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp
2008-02-26 13:41 1,336,832 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp
2008-02-25 22:38 1,498,624 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp
2008-02-25 22:24 1,498,624 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp
2008-02-25 16:18 2,884,608 ----a-w C:\WINDOWS\Internet Logs\xDB5A5.tmp
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{221BBF54-3327-4548-9006-84385B1A5840}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{82B8E0B5-45F5-4779-966A-C474164F8F7F}]
C:\WINDOWS\temlxopqgdk.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AECB328C-AD19-A18C-386F-35A24BB56081}]
C:\WINDOWS\system\bfdtsc32.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="D:\ICQ6\ICQ.exe" [2008-04-20 16:24 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NWEReboot"="" []
"RegistryMechanic"="" []
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-10-04 18:14 8491008]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 20:27 919016]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtUnmMde]
vtUnmMde.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImApp.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"D:\\ICQ6\\ICQ.exe"=

S4 Microsoft P2P2 Service;Microsoft P2P2 Service;C:\WINDOWS\system32\_svchost.exe []

.
Inhalt des "geplante Tasks" Ordners
"2008-05-19 22:00:00 C:\WINDOWS\Tasks\HPpromotions journeysoftware.job"
- C:\Programme\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by ****, ***://***.****.***
Rootkit scan 2008-05-20 01:08:05
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-20 1:14:03 - machine was rebooted [****]
ComboFix-quarantined-files.txt 2008-05-19 23:13:45

8 Verzeichnis(se), 484,585,472 Bytes frei
12 Verzeichnis(se), 478,298,112 Bytes frei

147

Dein System ist ne ziemlich Kloake. :pukeface:
Willst Du wirklich bereinigen oder lieber gleich neu aufsetzen? Sach kurz Bescheid. Dir sei aber gesagt, daß die Bereinigung nicht unbedingt erfolgreich sein kann und die Möglichkeit besteht, Dein System vollends zu zerschießen.

Naja neu aufsetzen ist schwierig bei mir.Was passiert denn unter umständen genau wenn ich ne bereinigung versuche?Und was ist mit den Datenträgern d: e: f:?Sind die auch betroffen?

Wenn man bereinigt, ist es durchaus möglich, sein System zu zerschießen, sodass letztenendes garnichts mehr geht. Oder daß offensichtlich der Schädling/die Schädlinge entfernt wurde(n), aber viel besser versteckte Komponenten schon längst nachinstalliert worden.

Beim neu aufsetzen reicht es, die Systempartition (Windowspartition C: bei dir) schnell zu formatieren. Die anderen müssen nicht formatiert werden, wäre zwar besser, aber es reicht auch, sämtliche auf den anderen Partitionen enthaltenen ausführbaren Dateien zu löschen.

Na dann heisst es wohl neu aufsetzen.Bevor nix mehr geht.

Herzlichen Dank für deine Hilfe,jetzt bin ich ein wenig schlauer.

Aber eine Frage hätte ich da noch:

Woher kommen solche "Schädlinge" und vor allem wie kommen die an meiner Firewall vorbei?Wieso reagiert Zonealarm nicht auf sowas?

Homepage von Malte J. Wetz
Besonders interessant für diese Frage ist Abschnitt 5.6.

Warum kommt Malware an einer Personal-Firewall vorbei?

Du bist sicher, du willst die Antwort hören (lesen)?
Ganz sicher?

1.) Weil keine Personalfirewall, kein Antivirenprogramm perfekt ist

und weil

2.) meist der Nutzer sowas herunterlädt.

Nicht ZA ist dafür verantwortlich, der Nutzer wars (im Allgemeinen). Man darf sich NIE(!) blind auf AV-Programm oder gar Personal-Firewall verlassen.

Egal ob als E-Mail oder als direkten Download, ZA ist zwar nicht perfekt, aber nicht die Ursache.

Beachte auch Anleitung: Neuaufsetzen des Systems + Absicherung

BEVOR du auf die weiteren Partitionen zugreifst, System absichern (inkl. AV-Programm updaten), dann die weiteren Partitionen scannen. Kein Fund ist zwar auch kein Beweis für die Sauberkeit (kein AV-Programm ist unfehlbar), aber zumindest ein Versuch.
(Eventuell noch mit weiteren On-demand-Scannern durchsuchen)

Nun das hängt ganz von Dir ab. Mal von einigen Cross-Site-Scripting-Attacken und 0-Day Exploits abgesehen wirst Du wohl irgendwie Deine Hand im Spiel gehabt haben, sei es durch nicht aktuelle Software (https://psi.secunia.com/), ein nicht ganz aktuelles Betriebssystem, mangelhafte Systemkonfiguration oder schlicht durch sorglosen Umgang mit ausführbaren Dateien (vor allem im Administratorkontext; besonders fatal bei Risikokompensation durch vermeintlich schützende Sicherheitssoftware).

Wenn der User etwas installiert, kann man die Personal Firewall nehmen und öffentlich den Flammen übereignen (kann man mMn sowieso). Ob der User die Software bewusst, unbewusst, fahrlässig oder wie auch immer installiert hat spielt dabei überhaupt keine Rolle.
Zumindest rudimentäre Kenntnisse über Infektionswege- und strategien sind notwendig um sich halbwegs vernünftig schützen zu können. Bei bestimmten Szenarien ist man mehr oder minder machtlos (z.B. 0-Day Exploit), die Erfahrung zeigt aber, dass sich in den meisten Fällen der eigentliche Schädling ausserhalb des Rechners befindet.

%ComSpec%

Nachtrag:
Es gibt doch immer wieder bestimmte Statements und/oder Fragen die einen kollektiven Antwortreflex ansprechen ;)

Verdammt gute Lektüre!!Hätt ich nicht gedacht!!
Ich danke euch für die Infos und natürlich für alles andere auch und wünsch noch nen schönen Abend!!

M.F.G. Koile