Nachdem es sich schon angekündigt hat, da niemand anderes das Problem zu haben schien, löschte ich vor einiger Zeit diese Dateien und durchforsteste alles um die Reste zu beseitigen.

Jetzt sind die Dateien allerdings wieder da und Google hat auch schon ein paar Infos ausgepuckt (letztes gabs noch keine), scheint daher relativ neu zu sein diese Bedrohung?

Hintergrund: Das Problem existiert seit einigen Tagen und trat vor einer WoW Installation niemals auf! Ich vermute daher, das es da einen Zusammenhang geben müsste, vielleicht eine Sicherheitslücke?

Es werden hier Dateien angelegt, die unter C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Anwendungsdaten\assembly abgelegt werden.
Darin enthalten sind dann zwei Ordner dll3 und tmp. Zusätzlich kommen noch weitere Unterordner dazu (so wie der IE sie angelegt, wenn er Tempfiles speichert... z.B. W45748 etc)

Tmp ist leer, doch unter dll3 finden sich mehren dateien:
__AssemblyInfo__.ini
yb.dll

anderer Ordner:
__AssemblyInfo__.ini
fd.dll

In der Ini gibts diese Infos zu lesen:
y g , 1 . 0 . 3 4 0 7 . 3 7 2 1 8 , , h t t p : / / w w w . a n l y t a e s . c o m / t s / w a r f t / y b . d l l

Das wirklich verwirrende daran ist, das "warft" für mich wie Warcraft klingt und es gab da auch schonmal ne Textdatei, wo Benutzernamen und Passwörter drin standen.
Ich habe allerdings nie mehr als ein Addon installiert, und das war jedes mal Questhelper in der aktuellsten Version (von curse), auch hat nie ein Program,
Woher kommt das also? Laut Web Recherce könnte es auch sein, das Webseiten damit infiziert gewesen sind. Das können aber nur buffed - wowwiki oder Berufs-Klassenforum von wow-europe gewesen sein.

Die unlöschbaren Tempdateien sind im Gegensatz zu letztens noch nicht da, daher vermute ich, das dieses Teil noch inaktiv ist, da es auch kein Virenscanner finden kann (schon 5+ mal gescannt).

Wie kann ich das jetzt restlos entfernen? Löschen der gefundenen Dateien reichte offenbar nicht aus, denn es kam ohne richtige Vorwarnung wieder. Wenn es eine Lücke im Client ist, ist das natürlich sehr übel.

Google spuckt leider nicht sehr viele Ergebnisse aus..
http://spywaredlls.prevx.com/RRJGGI1572708/YB.DLL.html

http://www.411-spyware.com/remove-trojan-rbot-yb (ist das der selbe!? kann ich nicht beurteilen).

http://www.threatexpert.com/files/fd.dll.html
(Verzeichnisse passen selten mit meinen zusammen...)

Der ProcessExplorer hat auch nichts ungewöhnlichts entdeckt gehabt, aber vielleicht gibts doch ne Routine die das irgendwie nachlädt.
Irgendwelche Tipps? Nach draußen senden wollte übrigens kein nicht- authorisiertes Programm.

Du könntest mit dem Process Monitor nach Ereignissen suchen, bei denen die beiden Dateien vorkommen. Genauso mit dem Process Explorer nach Programmen aktiven suchen, die diese Dateien nutzen.
Wenn das der ganze Inhalt der __AssemblyInfo__.ini ist, dann ist das zu 100% keine korrekte __AssemblyInfo__.ini (http://blogs.msdn.com/junfeng/archive/2005/03/22/400789.aspx).

Poste doch mal das Ergebnis von HijackThis.

Koscher ist die Domain jedenfalls nicht.

nachtrag:
offenbar haben die __AssemblyInfo__.ini's aus dem assembly ordner doch so ein komisches format

Gehört Hijackthis jetzt zu TrendMicro? Vorher konnte man das doch so herunterladen und ausführen, jetzt will er erst ne Installation machen, wie überflüssig. :)


Also das Log sieht bei mir so aus:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:18:19, on 22.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\PROGRA~1\FOXITS~1\FOXITR~1\FOXITR~1.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IntelliPoint] "c:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.24\RivaTuner.exe" /S
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: ,C:\DOKUME~1\MyUsername\LOKALE~1\Temp\113571711223mxx.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4614 bytes

Etwas merkwürdig kommt mir die .dll im temp vor, die er da auflistet. Die gabs dieses mal nicht, aber ich glaube beim letzten habe ich sie mit Unlocker gelöscht. Und Unlocker ist auch längst von der Platte gefegt.

ATi, Realtek, Microsoft Intelli, Logitech Software gehört zu einigen in dieser Liste. Und ZA ist eigentlich nur zum checken, welches Programm wohin will. Hat die letzten 10 Jahre super geklappt. ;)
Gehört dies bei O2 zum Scannerprogramm oder zum Schädling?

process monitor muss ich gleich mal gucken, über 33.000 Einträge... das dauert ein wenig.

Der 02 Eintrag von AVG ist erstma ok (http://linkscanner.explabs.com/linkscanner/default.aspx) aber der O20 mit 113571711223mxx.dll ganz sicher nicht! Die tät ich mal bei Jotti (http://virusscan.jotti.org/) hochladen.
Über die AppInit_DLLs Funktion wird diese dll nämlich immer dann mit geladen, wenn auch die user32.dll geladen wird, also bei den meisten Programmen! Eine Key Logger Funktion der dll ist daher denkbar.

Der 02 Eintrag von AVG ist erstma ok (http://linkscanner.explabs.com/linkscanner/default.aspx) aber der O20 mit 113571711223mxx.dll ganz sicher nicht! Die tät ich mal bei Jotti (http://virusscan.jotti.org/) hochladen.

Würd ich gern machen, die existiert nur leider nicht mehr. Die hab ich wie gesagt vor einigen Tagen mit dem assembly Ordner zusammen gelöscht.
Nur mit unlocker ging das..

Jetzt ist der assembly Ordner wieder da, nur diese temp datei allerdings nicht. Ich weiß ja nicht mal woher die Dinge wieder kamen. Was bringt mir ne Win Neuinstallation, wenn ich nicht mal die Ursache finde... vielleicht ist irgendeine Webseite damit infiziert und verbreitet es immer und immer wieder.

Raussenden wollte bisher nichts, ich hab auch nur so ~10 Programme/Prozess die ich rauslasse. Würde mich schon wundern, wenn alle Sicherheitsmaßnahmen da gleichzeitig versagt hätten.
Vielleicht hat Windows die sachen wiederhergestellt? Obwohl ich mir nicht sicher bin, das Windows ganze Ordner zwischenspeichert, die es sonst gibt nicht gibt. Bei Systemdateien ja, aber ganze Ordner unter Anwendungsdaten?

Ich hab die Datei auch extra noch nach Viren gecheckt als ich sie fand, nichts war da drin zu finden. Das macht mich ziemlich stutzig. Vielleicht ist die Datei verschlüsselt..

Die yb.dll und fd.dll habe ich mal dort hochgeladen und überall steht, das sie sauber sind.

yb.dll
Dateigröße: 16384 Bytes
Dateityp: PE32 executable for MS Windows (DLL) (console) Intel 80386 32-bit Mono/.Net assembly

fd.dll
Dateigröße: 77824 Bytes
Dateityp: PE32 executable for MS Windows (DLL) (console) Intel 80386 32-bit Mono/.Net assembly

20 Scanner und kein einziger Treffer. Das ist echt zum Verzweifeln!

Wenn der WoW Client ne Sicherheitslücke hat, wäre es durchaus möglich, das jeder mir was unterschieben könnte, vorher hatte ich solche Probleme niemals.

Ansonsten installiere ich nichts, nur Updates zu den genutzten Programmen.

Scan mal mit http://www.silentrunners.org/, vll. bekommst Du so etwas mehr zu der Sache raus.

Nichts gegen dieses Programm, aber ein VBS Script gegen einen Schädling einzusetzen ist mir nicht ganz geheuer. :D

Okay, man kann den Code vorher angucken, aber damit kenn ich mich nicht so gut aus. Vielleicht kann das mal jemand machen und bestätigen, das es clean ist.

Also ProcessExplorer findet nichts ungewöhnliches. Ich sehe nur die Prozesse die ich kenne vom Namen her (seit Jahren), dll suchen gab nichts brauchbares.

Bleibt nur noch Process Monitor, der erst über 2.000.000 Events lädt und irgendwie nie fertig wird? *Das warten geht weiter!*

1) zu Silent Runner -> http://www.hijackthis-forum.de/tipps-tricks/13931-silent-runners-teil-i-ii-script-deutsch.html

2) Process Monitor bei nach Path oder Detail filtern

Mir ist da gerade noch was eingefallen. Vor einiger Zeit wurde ich im ICQ angeschrieben von jemanden den ich nicht kenne.
Habe das natürlich ignoriert und nicht darauf geantwortet. In den ICQ Details stand nicht besonders, nur eine Webseite, die natürlich eine Werbeseite sein könnte.

Kann das vielleicht damit zusammenhängen? Eventuell gibts im ICQ ne Lücke die jemand ausgenutzt hat. Das würde zeitlich zusammen passen.

Im Web hab ich dazu auch was gefunden:
http://de.answers.yahoo.com/question/index?qid=20090622082036AA54lS3

besonders dieser Link lässt darauf schließen, das da jemand absichtlich eine Webseite ins Netz gestellt hat, die Viren verteilt. Eventuell möchte die euch auch adden um an eure IP zu kommen. Es gibt ja die Option über ICQ Server oder direkt zu kommunizieren.
Ich denke auch hier werden einige schon davon gehört haben: Sanela Sprecker.

ProcessMon ist jetzt bei 3,8 Millionen events, dabei hab ich doch kaum programme?? ;D
Habe gerade die ICQ System Message gesehen und mich dran erinnert.

das klingt nach irgendeiner zlob-abart oder trojan.dropper variante. womit hast du dein sys gescannt?
scan mal mit a-squared, das findet nahezu alles.
http://www.emsisoft.de/de/software/free/

(wichtig ist, dass das prog mit admin-rechten läuft. zudem solltes du die systemwiederherstellung vorerst abschalten und im abgesicherten modus scannen

Also dieses Tool da oben spuckt ein recht kurzes Log aus.

"Silent Runners.vbs", revision 59, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"LogitechSoftwareUpdate" = "C:\Programme\Logitech\Video\ManifestEngine.exe boot" ["Logitech Inc."]
"DAEMON Tools Lite" = ""C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun" ["DT Soft Ltd"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."]
"Alcmtr" = "ALCMTR.EXE" ["Realtek Semiconductor Corp."]
"IntelliPoint" = ""c:\Programme\Microsoft IntelliPoint\ipoint.exe"" [MS]
"Start WingMan Profiler" = "C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui" ["Logitech Inc."]
"AVG8_TRAY" = "C:\PROGRA~1\AVG\AVG8\avgtray.exe" ["AVG Technologies CZ, s.r.o."]
"ZoneAlarm Client" = ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]
"LVCOMSX" = "C:\WINDOWS\system32\LVCOMSX.EXE" ["Logitech Inc."]
"LogitechVideoRepair" = "C:\Programme\Logitech\Video\ISStart.exe " ["Logitech Inc."]
"LogitechVideoTray" = "C:\Programme\Logitech\Video\LogiTray.exe" ["Logitech Inc."]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k"
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [file not found]
"StartCCC" = ""C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun" ["Advanced Micro Devices, Inc."]
"RivaTunerStartupDaemon" = ""C:\Programme\RivaTuner v2.24\RivaTuner.exe" /S" [empty string]
"UnlockerAssistant" = ""C:\Programme\Unlocker\UnlockerAssistant.exe"" [file not found]

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\(Default) = "WormRadar.com IESiteBlocker.NavFilter"
-> {HKLM...CLSID} = "AVG Safe Search"
\InProcServer32\(Default) = "C:\Programme\AVG\AVG8\avgssie.dll" ["AVG Technologies CZ, s.r.o."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{F802F260-519B-11D1-BB5D-0060974C6013}" = "ICQ Shell Extension"
-> {HKLM...CLSID} = "ICQ Shell Extension"
\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShExt.dll" ["ICQ"]
"{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
"{20082881-FC36-4E47-9A7A-644C95FF749F}" = "IntelliPoint Wireless Control Panel Property Page"
-> {HKLM...CLSID} = "Schnurlose Eigenschaften"
\InProcServer32\(Default) = ""c:\Programme\Microsoft IntelliPoint\ipcplwir.dll"" [MS]
"{AF90F543-6A3A-4C1B-8B16-ECEC073E69BE}" = "IntelliPoint Wheel Control Panel Property Page"
-> {HKLM...CLSID} = "Scrollrad-Eigenschaftenseite"
\InProcServer32\(Default) = ""c:\Programme\Microsoft IntelliPoint\ipcplwhl.dll"" [MS]
"{653DCCC2-13DB-45B2-A389-427885776CFE}" = "IntelliPoint Activities Control Panel Property Page"
-> {HKLM...CLSID} = "Aktivitäten-Eigenschaftenseite"
\InProcServer32\(Default) = ""c:\Programme\Microsoft IntelliPoint\ipcplact.dll"" [MS]
"{124597D8-850A-41AE-849C-017A4FA99CA2}" = "IntelliPoint Buttons Control Panel Property Page"
-> {HKLM...CLSID} = "Tasten-Eigenschaftenseite"
\InProcServer32\(Default) = ""c:\Programme\Microsoft IntelliPoint\ipcplbtn.dll"" [MS]
"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG8 Shell Extension"
-> {HKLM...CLSID} = "AVG8 Shell Extension Class"
\InProcServer32\(Default) = "C:\Programme\AVG\AVG8\avgse.dll" ["AVG Technologies CZ, s.r.o."]
"{400CFEE2-39D0-46DC-96DF-E0BB5A4324B3}" = "Eigene Logitech-Bilder"
-> {HKLM...CLSID} = "Eigene Logitech-Bilder"
\InProcServer32\(Default) = "C:\Programme\Logitech\Video\Namespc2.dll" ["Logitech Inc."]
"{23170F69-40C1-278A-1000-000100020000}" = "7-Zip Shell Extension"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
-> {HKLM...CLSID} = "SimpleShlExt Class"
\InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll" ["Advanced Micro Devices, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
<<!>> avgrsstarter\DLLName = "avgrsstx.dll" ["AVG Technologies CZ, s.r.o."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
7-ZIP\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
AVG8 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {HKLM...CLSID} = "AVG8 Shell Extension Class"
\InProcServer32\(Default) = "C:\Programme\AVG\AVG8\avgse.dll" ["AVG Technologies CZ, s.r.o."]
ICQMenu\(Default) = "{f802f260-519b-11d1-bb5d-0060974c6013}"
-> {HKLM...CLSID} = "ICQ Shell Extension"
\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShExt.dll" ["ICQ"]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
7-ZIP\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
ICQMenu\(Default) = "{f802f260-519b-11d1-bb5d-0060974c6013}"
-> {HKLM...CLSID} = "ICQ Shell Extension"
\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShExt.dll" ["ICQ"]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
AVG8 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {HKLM...CLSID} = "AVG8 Shell Extension Class"
\InProcServer32\(Default) = "C:\Programme\AVG\AVG8\avgse.dll" ["AVG Technologies CZ, s.r.o."]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments\

"SaveZoneInformation" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "%APPDATA%\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\MyUsername\Anwendungsdaten\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\scrnsave.scr" [MS]


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handler s\

LogitechQuickSync\
"Provider" = "Logitech QuickSync"
"InvokeProgID" = "Applications\QSync.exe"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\Applications\QSync.exe\shell\open\command\(Default) = "C:\Programme\Logitech\Video\QSync.exe" ["Logitech Inc."]

MPCPlayDVDMovieOnArrival\
"Provider" = "Media Player Classic"
"InvokeProgID" = "MediaPlayerClassic.Autorun"
"InvokeVerb" = "PlayDVDMovie"
HKLM\SOFTWARE\Classes\MediaPlayerClassic.Autorun\shell\PlayDVDMovie\Command\(Def ault) = ""C:\Programme\Media Player Classic\mplayerc.exe" %1 /dvd" ["mpc-hc@Sourceforge"]

MPCPlayVideoFilesOnArrival\
"Provider" = "Media Player Classic"
"InvokeProgID" = "MediaPlayerClassic.Autorun"
"InvokeVerb" = "PlayVideoFiles"
HKLM\SOFTWARE\Classes\MediaPlayerClassic.Autorun\shell\PlayVideoFiles\Command\(D efault) = ""C:\Programme\Media Player Classic\mplayerc.exe" %1" ["mpc-hc@Sourceforge"]

MSWPDShellNamespaceHandler\
"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"
"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"
"InitCmdLine" = " "
-> {HKLM...CLSID} = "WPDShextAutoplay"
\LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS]

WinampPlayMediaOnArrival\
"Provider" = "Winamp"
"InvokeProgID" = "Winamp.File"
"InvokeVerb" = "Play"
HKLM\SOFTWARE\Classes\Winamp.File\shell\Play\command\(Default) = ""C:\Programme\Winamp\winamp.exe" "%1"" ["Nullsoft"]
HKLM\SOFTWARE\Classes\Winamp.File\shell\Play\DropTarget\CLSID = "{46986115-84D6-459c-8F95-52DD653E532E}"
-> {HKLM...CLSID} = (no title provided)
\LocalServer32\(Default) = ""C:\Programme\Winamp\winamp.exe"" ["Nullsoft"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Ca talog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Cat alog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 25
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{F2CF5485-4E02-4F68-819C-B92DE9277049}"
-> {HKLM...CLSID} = "&Links"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ieframe.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{6224F700-CBA3-4071-B251-47CB894244CD}\
"ButtonText" = "ICQ Pro"
"MenuText" = "ICQ"
"Exec" = "C:\PROGRA~1\ICQ\ICQ.exe" ["ICQ Inc."]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "@C:\Programme\Messenger\Msgslang.dll,-61144"
"MenuText" = "@C:\Programme\Messenger\Msgslang.dll,-61144"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
AVG Free8 WatchDog, avg8wd, "C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe" ["AVG Technologies CZ, s.r.o."]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
hpzsnt09\Driver = "hpzsnt09.dll" ["HP"]


---------- (launch time: 2009-06-22 22:44:35)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 23 seconds.
---------- (total run time: 54 seconds)

Mir kommts nicht so vor, als liefe da irgendetwas im Hintergrund. Könnte aber sein, das dieses Teil schlummert und irgendwie dorthin gekommen ist.

PS: Laut heise ist IrfanView mal wieder gefährdet.

Kleinigkeit noch, dann gehen mir langsam die Ideen aus.
Wo kann sich ein Programm überall "eintragen", damit es beim Systemboot automatisch startet? Es gab da mehrere Möglichkeiten. Kennt jemand alle?

Was ich jetzt noch machen könnte wäre da nachzugucken, im abgesicherten Modus alles suspekte zu entfernen und hoffen, das es nicht wieder kommt. Auch die Ordner mit Systembackups entfernen etc.

Witzig an der Geschichte ist auf alle Fälle: Bis Anfang diesen Jahres hatte ich niemals eine NET Runtime auf meinem Rechner. Keine einzige.
Jetzt wo ich sie für ein Programm gebraucht habe, fang ich mir gleich ein NET Schädling ein? Klasse Arbeit.. :ugly:

http://666kb.com/i/ba135xbpdast06dzs.jpg
Das ist bis jetzt das einzige was ich über diese Dateinamen gefunden habe und die genannte Datei habe ich damals mit Unlocker entfernen können, sie existiert also nicht mehr (Auslöser war vielleicht sie).

Jetzt verstehe ich nur noch nicht, woher der Ordner assembly kommt (ich meine nicht den unter Windows\, sondern den oben genannten mit den Dateien drin.
Wie sieht die Registry dort normalerweise aus?

Also ich werde jetzt zu der Holzhammermethode greifen... Teil 1: Jegliche .NET Runtime gelöscht. Wenn es eine NET Software gewesen ist, dann ist sie jetzt tot. Aber sowas von. ;)

Teil 2: Format C: ... das Gefühl nicht zu wissen was im Hintergrund alles läuft loszuwerden, ist eigentlich das beste daran.

Teil 3: Adminaccount, Benutzeraccount, Surfaccount anlegen. Kann man diese noch weiter beschränken als sie standardmäßig sind?
Ich hatte früher immer Probleme damit, aber mittlerweile habe ich auch manche Software im Zweitaccount laufen ohne sie jedes mal 2 mal installieren zu müssen.

Um ganz sicher zu gehen, werde ich auch den Browser wechseln, vielleicht hatte der ne Lücke drin die bald gestopft wird.

Das Tool HiJackFree von Emsi ist auch nicht übel, sehr einfach aufgebaut, zeigt alle Prozesse, alle Portbewegungen an und sogar die installierten Services... was ich da alles gefunden habe, sogar uralte Software wie Kaspersky, war vor über 2 Jahren mal installiert, hinterlässt noch Service-Reste auf dem Sys. :eek:
Und Atitool ist auch nicht restlos deinstalliert!