Trojanische Pferd TR/LowZones.A.2Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
05.04.2005, 20:49
...neu hier
Beiträge: 4 |
||
|
||
05.04.2005, 22:41
...neu hier
Beiträge: 5 |
#107
Hallo,
vielen, vielen Dank. Scheint wieder sauber zu sein! Hijack Log: Logfile of HijackThis v1.99.1 Scan saved at 22:37:58, on 05.04.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\CTSvcCDA.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\IC\Card Reader Driver v1.9e\Disk_Monitor.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Bischof Nixoratio\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC\Card Reader Driver v1.9e\Disk_Monitor.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112731451156 O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Gruß, Nixoratio |
|
|
||
06.04.2005, 00:19
Ehrenmitglied
Beiträge: 29434 |
#108
Hallo@ANdreHeinz
Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann aktiviere sie wieder) Gehe in die Registry Start<Ausfuehren<regedit HKEY_LOCAL_MACHINE>Software>Microsoft> Windows>CurrentVersion>Run # In the right panel, locate and delete the entry: MicroSoft Windows Updater = "winsupdater.exe" HKEY_LOCAL_MACHINE>Software>Microsoft> Windows>CurrentVersion>RunServices # In the right panel, locate and delete the entry: MicroSoft Windows Updater = "winsupdater.exe" HKEY_CURRENT_USER>Software>Microsoft> Windows>CurrentVersion>Run # In the right panel, locate and delete the entry: MicroSoft Windows Updater = "winsupdater.exe" HKEY_LOCAL_MACHINE>Software>Microsoft>OLE # In the right panel, right-click on EnableDCOM and choose Modify # In the text box under Value Date, type Y HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control>LSA. # In the right panel, right-click on Restrictanonymous and choose Modify. # In the text box under Value data: type 0. # Close Registry Editor. #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R3 - URLSearchHook: (no name) - {CC8C8F4F-F2E8-404B-A43D-5CC57876A008} - (no file) O2 - BHO: ToolHelper - {AAAE1C1A-89F7-4AF6-ABD1-F8FBCFA47408} - C:\WINDOWS\DOWNLO~1\xtoolbar.dll O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE O4 - HKLM\..\Run: [MicroSoft Window Updater] winsupdater.exe<--LowZones-M/WORM_RBOT.AXM O4 - HKLM\..\RunServices: [MicroSoft Window Updater] winsupdater.exe O4 - HKCU\..\Run: [MicroSoft Window Updater] winsupdater.exe O15 - Trusted Zone: http://ny.contentmatch.net (HKLM) O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxxx.mht!http://home.dworx.org/ax/loud.chm::/bridge-c11.cab O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O16 - DPF: {CFAC00A4-E9E7-4A40-97A4-1E888B3DF0A6} - ms-its:mhtml:file://c:\nosuxxx.mht!http://toolbar.dworx.org/toolbar/xt.chm::/xtoolbar.cab PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\System32\Bootios1.exe C:\Windows\Downloaded Program Files\xtoolbar.dll C:\WINDOWS\System32\outlookupdate3778.exe C:\WINDOWS\System32\outlookupdate 3779.exe C:\rell.REG C:\mtu.bat C:\re12.reg C:\re11.reg C:\WINDOWS\System32\msnupdate.exe C:\UNMT.EXE C:\WINDOWS\System32\mspd.exe C:\WINDOWS\System32\winsupdater.exe PC neustarten C:\Dokumente und Einstellungen\Deathrow\Lokale Einstellungen\Temporary Internet Files\Content.IE5\<---alles leeren (lasse nur die index.dat) This malware exploits known vulnerabilities in Windows . Download and install the following fix patches supplied by Microsoft: * Microsoft Security Bulletin (MS04-011) * Microsoft Security Bulletin (MS030-026) http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx •Online-Scann (Panda) http://www.pandasoftware.com/activescan/com/activescan_principal.htm •Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml •Trend-Micro (Online) http://de.trendmicro-europe.com/consumer/products/housecall_launch.php http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php •BitDefender Scan http://www.bitdefender.de/scan/licence.html www.bitdefender.com/scan/Msie/index.php -------------------------------------------------------------------------- •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen -->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben und nun alles rauskopieren, was angezeigt wird--> __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.04.2005, 00:25
Ehrenmitglied
Beiträge: 29434 |
#109
Zitat Nickyy postete Hallo@ Leider sitze ich nicht am PC und kann nicht nachsehen,,,ich bin schon auf deine Mithilfe angewiesen Du musst mir das Log von dem Scann (die infizierten Datein) posten ------------------------------------------------------------------ •Online-Scann (Panda) http://www.pandasoftware.com/activescan/com/activescan_principal.htm •Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml •Trend-Micro (Online) http://de.trendmicro-europe.com/consumer/products/housecall_launch.php http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php •BitDefender Scan http://www.bitdefender.de/scan/licence.html www.bitdefender.com/scan/Msie/index.php Berichte dann auch von diesen Onlinescanns, bitte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.04.2005, 00:30
Ehrenmitglied
Beiträge: 29434 |
#110
Zitat Hannibal78 postete Loesche im abgesicherten Modus-->F:\WINDOWS\system32\msnmsgr.exe Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) F:\Eigene Dateien\Download wichtig\burn4free_setup.exe (solltest du loeschen--> ist Spyware) #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 •Online-Scann (Panda) http://www.pandasoftware.com/activescan/com/activescan_principal.htm #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) #TuneUp2004 (30 Tage free) http://www.tuneup.de/products/tuneup-utilities/ Cleanup repair -->TuneUp Diskcleaner Cleanup repair -->Registry Cleaner __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.04.2005, 15:26
...neu hier
Beiträge: 3 |
#111
Hallo.
Mit der Meldung, der Trojaner lowzones.A.2 sei eingetroffen fing es an, jetzt läuft rein gar nicht mehr, so daß ich also nichtmal einen scrrenshot machen kann. Die Maus ist nämlich lahmgelegt, und die Tastaturmaus gleich mit. Und damit es richtig Spaß mach gleichauf allen vier Systemen, die ich auf meinen drei Festplatten habe. Wie ist sowas möglich, und was kann ich jetzt machen? Ich kann ja nichtmal ans INett oder das System scannen, weil ich keinerlei Zugang mehr durch die Mausausfälle haben? Danke rabenkrähe |
|
|
||
06.04.2005, 15:42
Ehrenmitglied
Beiträge: 29434 |
#112
Hallo@rabenkrähe
versuche eine Systemwiederherstellung zu machen (eventuell vom abgesicherten Modus aus...) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.04.2005, 20:44
...neu hier
Beiträge: 1 |
#113
Hallo,
Ich habe auch den Virus Trojanisches Pferd TR/LowZonesAP Logfile of HijackThis v1.99.1 Scan saved at 20:41:49, on 06.04.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\popupkill.exe C:\Programme\inKline Global\PC Booster\pcbooster.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\nvscv32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Microsoft Office\Office\FINDFAST.EXE C:\Programme\Microsoft Office\Office\OSA.EXE C:\WINDOWS\47A0.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wisptis.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\heiko\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.findin.org/searchbar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.findin.org/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cixity.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hyrican.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.findin.org/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.findin.org/ R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: NewsStand Toolbar - {6E94ACD5-2C6A-48AC-84EF-A4DE746D385F} - C:\Programme\NewsStand\Reader\NSIEToolbar.dll O4 - HKLM\..\Run: [PC Booster] C:\Programme\inKline Global\PC Booster\pcbooster.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [MS Unix Binary] msmq2inst.exe O4 - HKLM\..\Run: [MasterBoot Switch] popupkill.exe O4 - HKLM\..\Run: [FireWire Service] nvscv32.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe O4 - HKLM\..\Run: [salm] c:\temp\salm.exe O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" O4 - HKLM\..\Run: [mvatwlgd] C:\WINDOWS\mvatwlgd.exe O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\heiko\LOKALE~1\Temp\sahagent-cdt1004.exe run O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe O4 - HKLM\..\Run: [Microsoft Messenger XP] MSMSN32.exe O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe O4 - HKLM\..\RunServices: [Microsoft Update Machine] pcp.exe O4 - HKLM\..\RunServices: [MS Unix Binary] msmq2inst.exe O4 - HKLM\..\RunServices: [MasterBoot Switch] popupkill.exe O4 - HKLM\..\RunServices: [FireWire Service] nvscv32.exe O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe O4 - HKLM\..\RunServices: [Microsoft Messenger XP] MSMSN32.exe O4 - HKLM\..\RunOnce: [MasterBoot Switch] popupkill.exe O4 - HKCU\..\Run: [YAW Autostart] "C:\Programme\YAW\yaw.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [MasterBoot Switch] popupkill.exe O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe O4 - HKCU\..\Run: [Microsoft Messenger XP] MSMSN32.exe O4 - HKCU\..\RunOnce: [MasterBoot Switch] popupkill.exe O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: X-Diver - {CE5D2BAD-61A3-46FA-BB22-E5BA59DE26B3} - C:\WINDOWS\System32\diver32.exe (file missing) (HKCU) O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab O16 - DPF: {11BF0E2B-4229-4ADC-9C11-1C6968731018} (Download Class) - http://www.0190-dialer.com/VLoading.cab O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c267.cab O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab O16 - DPF: {AB1E62EB-3DE3-428F-A417-64AB3C9B6CF0} (eConn Class) - http://econnect.libereco.net/econnect.cab O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundler/CAB/RealArcadeRdxIE.cab O16 - DPF: {C5869C6C-F1FD-41BD-9DC0-332E258A3691} - http://www.telecoin.de/ActiveInst.cab O16 - DPF: {DE726BC4-5F2F-4984-B28B-3D6D76724F64} (TSVoiceC Class) - http://download.tscash.com/static/TSVc.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://195.124.234.138/install/StarInstall.ocx O16 - DPF: {E44151C8-0C6C-4A7D-B677-4FCC9552E957} (snConnect Class) - http://www.4netmedia.com/suninfoconnect.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe |
|
|
||
06.04.2005, 22:05
...neu hier
Beiträge: 4 |
#114
Also bei mir scheint alles weg zuseien danke.
Wenn ich den PC mal neu mache. Welches update muß ich da laden? |
|
|
||
07.04.2005, 00:52
...neu hier
Beiträge: 1 |
#115
Hallo erstma, ich hab mir auch diesen "netten" Virus eingefangen, hab auch schon versucht den loszuwerden in dem ich die Systemwiederherstellung deaktiviert habe und meinen Virenscanner "Antivir Personal" suchen lassen.
Also diesen "TR/LowZones.AP"; scheint bei mir auch eine Verbindung zu "www.ostra-mar.com.ar" zu haben, denn die Windows gibt mir eine Meldung das ein Programm eine Internetverbindung angefordert hat und gibt mir meine Liste mit den Verbindungen, und all das erst nachdem ich diesen Virus auf meiner HDD hatte. Benutze nicht den IE, sondern Firefox, falls das etwas zur Sache tut. Hier is das Hijackthis-Log: Logfile of HijackThis v1.99.1 Scan saved at 00:38:35, on 07.04.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\SoundMAX\SMTray.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\System32\MSAOL32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\MSAOL32.exe C:\Programme\mIRC\mirc.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Dokumente und Einstellungen\Illuminatus\Desktop\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE O4 - HKLM\..\Run: [WindowsRegKey update] winupdate.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [$WindowsRegKey%update] IEXPLORE.EXE O4 - HKLM\..\RunServices: [WindowsRegKey update] winupdate.exe O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE O4 - HKCU\..\Run: [WindowsRegKey update] winupdate.exe O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098482731609 O17 - HKLM\System\CCS\Services\Tcpip\..\{FB306AD6-D6DA-4FE3-9DBC-E831CC9BA61C}: NameServer = 217.237.149.225 217.237.151.97 O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Icafod32.dll (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe Bedanke mich schonmal im vorraus für Hilfe -Jerec Dieser Beitrag wurde am 07.04.2005 um 00:58 Uhr von Jerec editiert.
|
|
|
||
07.04.2005, 01:03
...neu hier
Beiträge: 3 |
#116
Hallo.
In einem kurzen, lichten Maus-Moment hab ich den scan hinbekommen, wie bekomme ich den nun mit der TastaturMaus markiert und hier reingestellt? rabenkrähe |
|
|
||
07.04.2005, 12:12
...neu hier
Beiträge: 3 |
#117
Logfile of HijackThis v1.99.1
Scan saved at 03:22:02, on 07.04.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\NILaunch.exe C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\WINDOWS\Dit.exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Telekom\Eumex 404PC\Capictrl.exe C:\Programme\ITE\ITE IT8212 ATA RAID Controller\RaidMgr.exe C:\lotus\organize\easyclip.exe C:\lotus\smartctr\smartctr.exe C:\lotus\smartctr\suitest.exe C:\Programme\TELEDAT\WCOM\SYSTEM\ccui.exe C:\Programme\TELEDAT\WCOM\SYSTEM\ccsrv.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\BullsEye Network\bin\bargains.exe C:\Dokumente und Einstellungen\Jürgen Andrzejewski.1IQ9KDPVJ7CBWFY\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Outlook Express\msimn.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [System Setup] rpcxcmod.exe O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe O4 - HKLM\..\Run: [Services] C:\WINDOWS\TEMP\dip.exe O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 404PC\routcnf.exe O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [Distributed Link Transfer Server] mshl32.exe O4 - HKLM\..\Run: [Windows secure] setver32.exe O4 - HKLM\..\Run: [ScManager] scman.exe O4 - HKLM\..\Run: [FireWire Driver] samx.exe O4 - HKLM\..\Run: [Windows Update AutoUpdate Client Product] wuauct.exe O4 - HKLM\..\Run: [Microsoft Update Agent] muamgr.exe O4 - HKLM\..\Run: [VCqf] C:\WINDOWS\apfkil.exe O4 - HKLM\..\Run: [ErrorGuard] C:\Programme\ErrorGuard\ErrorGuard.Exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\RunServices: [System Setup] rpcxcmod.exe O4 - HKLM\..\RunServices: [Distributed Link Transfer Server] mshl32.exe O4 - HKLM\..\RunServices: [Windows secure] setver32.exe O4 - HKLM\..\RunServices: [ScManager] scman.exe O4 - HKLM\..\RunServices: [FireWire Driver] samx.exe O4 - HKLM\..\RunServices: [Windows Update AutoUpdate Client Product] wuauct.exe O4 - HKLM\..\RunServices: [Microsoft Update Agent] muamgr.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [System Setup] rpcxcmod.exe O4 - HKCU\..\Run: [Distributed Link Transfer Server] mshl32.exe O4 - HKCU\..\Run: [FireWire Driver] samx.exe O4 - HKCU\..\Run: [ScManager] scman.exe O4 - HKCU\..\Run: [Microsoft Update Agent] muamgr.exe O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - HKCU\..\RunServices: [Microsoft Update Agent] muamgr.exe O4 - HKCU\..\RunOnce: [CommCenter] C:\Programme\TELEDAT\WCOM\SYSTEM\ccui.exe O4 - Startup: Lotus Organizer EasyClip.lnk = C:\lotus\organize\easyclip.exe O4 - Startup: Lotus Schnellstart.lnk = C:\lotus\wordpro\ltsstart.exe O4 - Startup: Lotus SmartCenter.lnk = C:\lotus\smartctr\smartctr.exe O4 - Startup: Lotus SuiteStart.lnk = C:\lotus\smartctr\suitest.exe O4 - Global Startup: ALF-Reminder.lnk = C:\Programme\ALFBanCo\Common\AlfReminder.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: RAID Manager.lnk = ? O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094235856045 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: ScManager (USBFire) - Unknown owner - C:\WINDOWS\System32\scman.exe" -netsvcs (file missing) O23 - Service: ZESOFT - Unknown owner - C:\WINDOWS\zeta.exe |
|
|
||
07.04.2005, 12:36
Ehrenmitglied
Beiträge: 29434 |
#118
Hallo@heiko1979
Dein PC ist VOELLIG VERSEUCHT. Er besteht nur aus Wuermern/Backdoors. Nimm bitte sofort diese Virenschleuder aus dem Netz und formatiere Was tun bei Kompromittierung des Systems? http://oschad.de/wiki/index.php/Kompromittierung http://virus-protect.org/ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.04.2005, 12:39
Ehrenmitglied
Beiträge: 29434 |
#119
Hallo@ANdreHeinz
Zitat Also bei mir scheint alles weg zuseien danke. Poste bitte das neue Log vom HijackThis. Und wenn du neu aufsetzen solltest, dann lade SP2 (WindowsUpdates) http://virus-protect.org/ Wie kann ich das Service Pack 2 installieren? Sie können Windows XP Service Pack 2 mit der Funktion Windows Update oder von CD installieren. [A] Installation über Windows Update (Internet) 1. Wählen Sie im Start-Menü den Befehl Windows Update. Sie werden automatisch mit der Internetseite Windows Update verbunden (Internetverbindung vorausgesetzt). 2. Aktivieren Sie Windows XP Servicepack 2 und Updates installieren. Installation von CD 1. Legen Sie die CD mit Service Pack 2 in das CD-Laufwerk Ihres PCs ein. 2. Klicken Sie nach dem Autostart auf Weiter. 3. Lesen Sie aufmerksam die Informationen Was sie wissen sollten, bevor sie mit der Installation beginnen. 4. Starten Sie das Setup, in dem Sie Jetzt installieren klicken. 5. Folgen Sie den weiteren Anweisungen. Am Sichersten ist es, wenn man das SP2 schon von einer CD vor dem Anschluss ans Internet installiert hat. Diese Updates werden regelmässig in PC-Zeitschriften angeboten oder man lädt und brennt sie sich selbst , so dass man sie zur Hand hat, wenn eine Neuinstallation notwendig geworden ist. Außerdem gibt es beim Microsoft-Support auch die Möglichkeit diese CD kostenlos anzufordern und sich zuschicken zu lassen. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.04.2005, 12:56
Ehrenmitglied
Beiträge: 29434 |
#120
rabenkrähe
Keine Chance..... Dein PC ist VOELLIG VERSEUCHT. Er besteht nur aus Wuermern/Backdoors. Nimm bitte sofort diese Virenschleuder aus dem Netz und formatiere Was tun bei Kompromittierung des Systems? http://oschad.de/wiki/index.php/Kompromittierung http://virus-protect.org/ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Logfile of HijackThis v1.99.1
Scan saved at 20:47:33, on 05.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\System32\winsupdater.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\winsupdater.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Deathrow\LOKALE~1\Temp\Rar$EX00.360\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: (no name) - {CC8C8F4F-F2E8-404B-A43D-5CC57876A008} - (no file)
O2 - BHO: ToolHelper - {AAAE1C1A-89F7-4AF6-ABD1-F8FBCFA47408} - C:\WINDOWS\DOWNLO~1\xtoolbar.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [MicroSoft Window Updater] winsupdater.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\RunServices: [MicroSoft Window Updater] winsupdater.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MicroSoft Window Updater] winsupdater.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxxx.mht!http://home.dworx.org/ax/loud.chm::/bridge-c11.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112454594296
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {CFAC00A4-E9E7-4A40-97A4-1E888B3DF0A6} - ms-its:mhtml:file://c:\nosuxxx.mht!http://toolbar.dworx.org/toolbar/xt.chm::/xtoolbar.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{01F88EAF-B1C0-45A1-AA0E-04FE9B734FF7}: NameServer = 195.50.140.252 145.253.2.75
O17 - HKLM\System\CS1\Services\Tcpip\..\{01F88EAF-B1C0-45A1-AA0E-04FE9B734FF7}: NameServer = 195.50.140.252 145.253.2.75
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe