Kann kein Anti-Virus/Anti Trojan/.../Taskmanager öffnen!

#1 Hallo,

also ich hab hier nen Lappi vom Chef. Alles lässt sich öffnen (Excel, Word usw...) ausser alles was mit Anti Virus, Anti Trojan usw zu tun hat. Der Task Manager geht kurz auf, ist aber innerhalb einer Sekunde wieder zu. Genauso "msconfig". Sieht mir sehr nach nem Trojaner aus.

Hier mal der Auszug aus Hijack this... das läuft noch:

Logfile of HijackThis v1.97.7
Scan saved at 16:11:38, on 21.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\RoamMgr.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\sdpasvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Hcontrol.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Logitech\ImageStudio\LogiTray.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\T-Online\BSW4\ToADiMon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\System32\vhgru.exe
C:\WINDOWS\ATKOSD.exe
C:\WINDOWS\System32\LVComS.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis 1.97.7.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\Hcontrol.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Microsoft Config 32bit] mscnfg32.exe
O4 - HKLM\..\Run: [Microsoft Updates] wkssvr.exe
O4 - HKLM\..\Run: [Microsoft Update] wuammgr32.exe
O4 - HKLM\..\Run: [0utlook Express] vhgru.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-Online\BSW4\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\RunServices: [Microsoft Config 32bit] mscnfg32.exe
O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvr.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuammgr32.exe
O4 - HKLM\..\RunServices: [0utlook Express] vhgru.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Microsoft Config 32bit] mscnfg32.exe
O4 - HKCU\..\Run: [Microsoft Updates] wkssvr.exe
O4 - HKCU\..\Run: [Microsoft Update] wuammgr32.exe
O4 - HKCU\..\Run: [0utlook Express] vhgru.exe
O4 - HKCU\..\RunServices: [0utlook Express] vhgru.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.co...t/c381/chat.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.co...v45/yacscom.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/...bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.c...7850.3772569444
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/...ash/swflash.cab


__________________

#2 # Deaktiviere die Wiederherstellung


Fixe mit dem HijackThis

O4 - HKLM\..\Run: [Microsoft Config 32bit] mscnfg32.exe
O4 - HKLM\..\Run: [Microsoft Updates] wkssvr.exe
O4 - HKLM\..\Run: [Microsoft Update] wuammgr32.exe
O4 - HKLM\..\Run: [0utlook Express] vhgru.exe
O4 - HKLM\..\RunServices: [Microsoft Config 32bit] mscnfg32.exe
O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvr.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuammgr32.exe
O4 - HKLM\..\RunServices: [0utlook Express] vhgru.exe
O4 - HKCU\..\Run: [Microsoft Config 32bit] mscnfg32.exe
O4 - HKCU\..\Run: [Microsoft Updates] wkssvr.exe
O4 - HKCU\..\Run: [Microsoft Update] wuammgr32.exe
O4 - HKCU\..\Run: [0utlook Express] vhgru.exe
O4 - HKCU\..\RunServices: [0utlook Express] vhgru.exe

neustarten

Gehe in den abgesicherten Modus...F8 beim Hochfahren druecken

Gehe in die Registry und loesche, was ich poste
Start\Ausfuehren\regedit


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Microsoft Config 32bit]
Microsoft Updates] wkssvr.exe
Microsoft Update] wuammgr32.exe
[0utlook Express] vhgru.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservice
[Microsoft Config 32bit] mscnfg32.exe
Microsoft Updates] wkssvr.exe
[Microsoft Update] wuammgr32.exe
[0utlook Express] vhgru.exe

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[Microsoft Config 32bit] mscnfg32.exe
[Microsoft Updates] wkssvr.exe
[Microsoft Update] wuammgr32.exe
[0utlook Express] vhgru.exe

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices
[0utlook Express] vhgru.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\NT\CurrentVersion\Winlogon
aendere diesen Eintrag
"Shell"="Explorer.exe smssnt.exe"
zu:
"Shell"="Explorer.exe"


schliesse die Registry


Loesche

mscnfg32.exe
wkssvr.exe
wuammgr32.exe
vhgru.exe



neustarten

#ueberpruefe mit Kaspersky
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\RoamMgr.exe
C:\WINDOWS\System32\sdpasvc.exe
http://www.kaspersky.com/remoteviruschk.html


#Lade mwav.exe...30 Tage free und scanne, kann sein, dass das Tool noch was findet
http://www.mwti.net/antivirus/free_utilities.asp

#Mache einen Onlinescann
http://www.bitdefender.com/scan/license.php

Dann poste das Log noch einmal.

MfG
Sabina
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.ee.html


P.S. deinstalliere alle Antivirensoftware...ist zerstoert und installiere neu.
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo,

Ich habe genau dasselbe Problem jedoch lässt sich selbst Hijackthis bei mir nicht mehr öffnen !!!

#4 Andy0601

Start\Ausfuehren \msconfig
Unter StartUp nimm alles raus, was nach Virus aussieht, also alle 04 Eintraege, die du oben in dem anderen Thread siehst.
Dann neustarten

Deaktiviere deinen Virenscanner und lade Antivirus
http://www.free-av.de/
Warte den Installationsscann ab.,stelle ein \alle Dateien scannen\

#dann gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm
und mache dort einen Vollscann.

neustarten

Dann lade mwav.exe und scanne \alle Dateien\
http://www.mwti.net/antivirus/free_utilities.asp

Dann versuche. das HijackThis zu posten.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Bei mir lässt sich ebenfalls der Taskmanager nur für eine Sekunde öffnen. Jetzt spielt auch der DSL-Anschluss verrückt. Kann mich gerade noch einloggen und dann braucht er ewig bis er eine Seite heruntergeladen hat. Wurde immer schlimmer und ist jetzt nicht zu gebrauchen. Zudem kommt immer die Meldung im Dos Fenster das er nicht mehr debuggen kann - Wuamgrd1.exe.

Habe vorher das Problem gehabt, das der Rechner sich nach dem Hochfahren ständig alleine ins Internet einwählen wollte. Spybot, Adaware,Antivir und NortonAntivir .... Habe eine Virus entfernt der die Partition schädigt, und Sasser entfernt. Servicepack1 installiert und bin laut mehren Virenprogramme und Trojanerfinder etc. sauber.

Da die Einwahl über rasatauto.exe erfolgte, habe ich dich rasauto.dll verschoben. Macht aber keinen Unterschied ob ich sie wieder zurückverschiebe. Das alles auf XP. Irgendein Tip wie ich weiter vorgehen sollte? Keine Lust nochmal das ganze System neu zu installieren - hat ja auch nicht lange geholfen.

#6 Du kannst ein Hijackthis log posten
http://board.protecus.de/t9391.htm
oder dich vorher hier durcharbeiten:
http://www.rokop-security.de/board/index.php?showtopic=3867
__________
MfG Ralf
SEO-Spam Hunter

#7 Nochmal im abgesicherten Modus Antivir,Spybot,Adaware und ein Sasserantivrusprogram laufen lassen. Kein Befund. Nach dem Hochfahren erscheint im Dos Fenster folhende Meldung: Debugging Console Enabled. Alle unter der Pfadangabe C:\Windows\System32\Wuamgrd1.exe. Die Datei kann ich an der Stelle nicht finden und weiss auch nicht wozu die gut ist. Der taskmanager lässt sich auch nur für 1 Sekunde öffnen.

Habe jetzt ein HijackThis log erstellt und hoffe jemand kann mir weiter helfen.

Logfile of HijackThis v1.98.0
Scan saved at 15:52:55, on 21.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Baba\Desktop\Virenprogramme\FxSasser.exe
C:\Dokumente und Einstellungen\Baba\Desktop\Virenprogramme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gmx.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [AWatch] D:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] dpkruho.exe
O4 - HKLM\..\Run: [Windows Registers] winservicess.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [VolumeCounter] "D:\Programme\Volumenzaehler\BoVolume.exe"
O4 - HKLM\..\Run: [MSN Messenger] jqdbamq.exe
O4 - HKLM\..\Run: [restrictanonymous]

O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\Run: [Services] C:\WINDOWS\System32\wuamgrd1.exe
O4 - HKLM\..\Run: [asdfaaa] C:\WINDOWS\System32\wjservb.exe
O4 - HKLM\..\Run: [regsrv] scvhost.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] dpkruho.exe
O4 - HKLM\..\RunServices: [Windows Registers] winservicess.exe
O4 - HKLM\..\RunServices: [MSN Messenger] jqdbamq.exe
O4 - HKLM\..\RunServices: [EnableDCOM] N
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\RunServices: [regsrv] scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] dpkruho.exe
O4 - HKCU\..\Run: [Windows Registers] winservicess.exe
O4 - HKCU\..\Run: [MSN Messenger] jqdbamq.exe
O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe
O4 - HKCU\..\RunServices: [MSN Messenger] jqdbamq.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{6446A4DB-2E83-4757-B9D8-D0F169968920}: NameServer = 192.168.122.252,192.168.122.253

#8 Na, dann fix mal das im abgesicherten Modus:

- HKLM\..\Run: [Microsoft Update Machine] dpkruho.exe
O4 - HKLM\..\Run: [Windows Registers] winservicess.exe
O4 - HKLM\..\Run: [MSN Messenger] jqdbamq.exe
O4 - HKLM\..\Run: [restrictanonymous]

O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\Run: [Services] C:\WINDOWS\System32\wuamgrd1.exe
O4 - HKLM\..\Run: [asdfaaa] C:\WINDOWS\System32\wjservb.exe
O4 - HKLM\..\Run: [regsrv] scvhost.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] dpkruho.exe
O4 - HKLM\..\RunServices: [Windows Registers] winservicess.exe
O4 - HKLM\..\RunServices: [MSN Messenger] jqdbamq.exe
O4 - HKLM\..\RunServices: [EnableDCOM] N
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\RunServices: [regsrv] scvhost.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] dpkruho.exe
O4 - HKCU\..\Run: [Windows Registers] winservicess.exe
O4 - HKCU\..\Run: [MSN Messenger] jqdbamq.exe
O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe
O4 - HKCU\..\RunServices: [MSN Messenger] jqdbamq.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

Neu starten und diesen Scanner herunterladen und starten, auch am besten m abgesicherten Modus
ftp://ftp.microworldsystems.com/download/tools/mwav.exe:
__________
MfG Ralf
SEO-Spam Hunter

#9 Hallo Raman,

Hab die Sachen im abgesicherten Modus gefixt und mvav.exe laufen lassen. Hat ein paar Trojaner etc. gefunden. Rechner läuft jetzt wieder einwandfrei. Besten Dank. Hoffe es kommt nicht noch was nach ...

#10 Hallo,
der Eitrag
O4 - HKLM\..\Run: [asdfaaa] C:\WINDOWS\System32\wjservb.exe
stammt von einer neuen Sasser-Variante.
Der befallenne PC greift nach dem Zufallsprinzip andere PC im Netz bzw. Internet an und läßt die angegriffenen PC mit w2k oder xp runterfahren.
Den Registryeintrag dringend löschen und den Task bzw. Prozess beenden.

syswolf

#11 @syswolf

welche Sasser Variante ist das?
__________
MfG Ralf
SEO-Spam Hunter

#12 Hallo Raman

der Virus ist noch nicht bekannt. Ich habe ihn zur Überprüfung zum BSI
und zu antivir.de geschickt. Vom BSI habe ich noch keine Antwort,
antivir.de (H+BEDV Datentechnik GmbH) hat ihn in der von mir zugesannten
Datei wjservb.exe entdeckt und Worm.Rbot.cm genannt.
Ich selbst habe ihn Sasser-Variante im Posting genannt, weil er die gleiche
Lücke im lsass ausnutzt und sich so wie die bisher bekanten Sasser-Varianten
benimmt.

syswolf

#13 Hallo zusammen,
kann mir vielleicht anhand dieses log-files von Hijack jemand sagen ob ich einen virus, trojaner oder spyware auf meinem rechner habe?
danke!
gruß P.



Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\isw\netcol.dsl\signup\Tray.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\user\LOKALE~1\Temp\Rar$EX00.890\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{6991B455-29F1-4F6F-BC28-5B3F5C3558AB}: NameServer = 194.8.194.60 213.168.112.60

#14 Rbot, das kann schon eher sein. Auch wenn sie die gleiche Luecke ausnutzen, sind Sasser und rbot durchaus unterschiedlich!
Rbots nutzen so ziemlich jede Luecke, die aktuell ist.
__________
MfG Ralf
SEO-Spam Hunter

#15 Das Log sieht sauber aus.. Windowsupdates alle installiert?
__________
MfG Ralf
SEO-Spam Hunter