Backdoor.prorat

#0
25.10.2004, 16:05
Member

Beiträge: 20
#1 Hallo Leute, habe seit gestern den oben genannten virus und norton kann diesen weder löschen noch bereinigen, sobald ich norton laufen lasse bekomme ich unaufhörlich ein warnmeldung des virus, habe dann mit der hilfe von symantec versucht diesen im abgesicherten modus zu entfernen , aber kein erfolg, nun bin ich ziemlich ratlos, weiß nicht wie ich diese infizierten dateien dauerhaft entferne, damit sie nach einem neustart nicht wieder da sind, hat den jemand eine lösung die nicht ein formatieren und neuaufspielen des betriebssystems beinhaltet, meines ist übrigens windows xp home edition!
bitte um rasche hilfe!

danke im voraus!
Seitenanfang Seitenende
25.10.2004, 16:24
Moderator

Beiträge: 7805
#2 Wenn du es riskieren willst, das ohne neu aufsetzen zu machen, solltest du ein Hijackthis log posten und nach der Reinigung alle Passwoerter aendern!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.10.2004, 16:33
Member

Themenstarter

Beiträge: 20
#3 Ok ein versuch ist es wert oder meinst du es lohnt sich nicht?
also bei dem hijackthis muß ich mich jetzt erst einmal schlau machen wie das geht, da habe ich noch keine schimmer von, aber man lernt ja gerne!
wenn du eine schnelle anweisung hast dann nur zu ich freue mich!
MfG Michael
Seitenanfang Seitenende
25.10.2004, 16:36
Moderator

Beiträge: 7805
#4 Ich dachte, du haettest es gesehen:

!! Anleitung: Wie HijackThisLog erstellen... *click*
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.10.2004, 16:36
Member

Themenstarter

Beiträge: 20
#5 So da bin ich wieder hier ganz schnell ne lösung gefunden und hier ist das log:

Logfile of HijackThis v1.98.2
Scan saved at 16:35:24, on 25.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\services.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\Dit.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Broderbund\Atomic Clock 8.0\AtomClk.exe
C:\WINDOWS\ALCFDRTM.EXE
C:\WINDOWS\DitExp.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\Ahead\NEROPH~1\data\Xtras\mssysmgr.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\helperservice.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\eMule\emule.exe
C:\Programme\Avant Browser\avant.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Michael\LOKALE~1\Temp\Rar$EX00.125\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.europe.yahoo.com/config/mail?.intl=de
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Atomic Clock] C:\Programme\Broderbund\Atomic Clock 8.0\AtomClk.exe
O4 - HKLM\..\Run: [AlcFDMonitor] C:\WINDOWS\ALCFDRTM.EXE
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\PROGRA~1\Ahead\NEROPH~1\data\Xtras\mssysmgr.exe
O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: @C:\Programme\Messenger2\im2_ie_plugin.dll,-4 - {410C30C7-098A-4090-928E-F1D356D34C7F} - C:\Programme\Messenger2\im2_ie_plugin.dll
O9 - Extra 'Tools' menuitem: Store link with e-Stalker - {410C30C7-098A-4090-928E-F1D356D34C7F} - C:\Programme\Messenger2\im2_ie_plugin.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{85E596BA-3D2B-4B7C-8BD9-16CB979AEF3C}: NameServer = 217.237.150.97 217.237.149.161
Seitenanfang Seitenende
25.10.2004, 16:37
Member

Themenstarter

Beiträge: 20
#6 hey das geht hier ja richtig fix, das freut mich sehr!
Seitenanfang Seitenende
25.10.2004, 16:44
Moderator

Beiträge: 7805
#7 Wo wird das RAT gefunden? In welcher DAtei und in welchem Ordner. Was sagt Escan, wenn du es im abgesicherten Modus nutzt?


Diese Datei C:\WINDOWS\services.exe bitte hier testen:
http://www.kaspersky.com/scanforvirus

wenn dort nichts gefunden wird, bitte mal an virus@protecus.de schicken. Wenn etwas gefunden wird, was?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.10.2004, 16:50
Member

Themenstarter

Beiträge: 20
#8 muß ich escan noch einmal laufen lassen oder kann ich eine report finden von dem letzten durchlauf?
ich habe in windows die datei services.exe 3 mal gefunden welche soll ich denn nehmen!
auf jeden fall meldet nav die datei reginv.dll in system32 ist befallen!

MfG
Michael
Seitenanfang Seitenende
25.10.2004, 16:54
Moderator

Beiträge: 7805
#9 Ich meinte die aus dem Windowsordner: C:\WINDOWS\services.exe

Nutze Escan im abgesicherten Modus. Da das die Trial zu sein scheint, kannst du die Dateien wohl auch loeschen.

Benenne die Datei reginv.dll im abgesicherten Modus mal um und schicke sie auch nach einem neustart. Updates von Antivir sind aktuell?
abgesicherte Modus: http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20020114122843924?OpenDocument&ExpandSection=2%2C5
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.10.2004, 17:00
Member

Themenstarter

Beiträge: 20
#10 Hallo Ralf,

also ich habe alle drei getestet mit dem link und habe jedesmal die meldung youre clean bekommen!
die virusmeldung von nav sagt der ort ist
c:\windows\system32\reginv.dll
der virenname ist backdoor.prorat

die gleiche meldung bekomme ich auch wenn ich im explorer nur auf die die datei:
winkey.dll und winkey.dll.mwt gehe!

MfG Michael
Seitenanfang Seitenende
25.10.2004, 17:02
Member

Themenstarter

Beiträge: 20
#11 Wenn ich diese files bei kaspersky lab eingeben will geht es nicht!
Seitenanfang Seitenende
25.10.2004, 17:07
Member

Themenstarter

Beiträge: 20
#12 Hallo ralf,

worin soll ich die besagte datei oder eben die drei denn umbenennen und welche einstellungen nehme ich in escan ,welches wirklich die trial ist, denn vor und kann ich infiziert gefundene dateien denn damit sofort löschen oder wie ist der weg?
was mir nicht ganz klar war beim booten im abgesicherten modus ist , wie ich mich anmelde, als admin oder eben als mich also als der definierte benutzerkonto?

MfG

Michael
Seitenanfang Seitenende
25.10.2004, 17:07
Moderator

Beiträge: 7805
#13 Dann schick sie an virus@protecus.de

und poste inzwischen bitte eine Startuplist.

Hijackthis starten auf Config/misc tool hake "list minor sections" an und druecke "generate Startuplist"
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.10.2004, 17:09
Member

Themenstarter

Beiträge: 20
#14 So ralf hier die Startup list:

StartupList report, 25.10.2004, 17:09:03
StartupList version: 1.52.2
Started from : C:\Dokumente und Einstellungen\Michael\Desktop\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
* Showing rarely important sections
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\services.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\Dit.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Broderbund\Atomic Clock 8.0\AtomClk.exe
C:\WINDOWS\ALCFDRTM.EXE
C:\WINDOWS\DitExp.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\Ahead\NEROPH~1\data\Xtras\mssysmgr.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\helperservice.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\eMule\emule.exe
C:\Programme\Avant Browser\avant.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Michael\Desktop\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Dokumente und Einstellungen\Michael\Startmenü\Programme\Autostart]
Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

MSConfig = C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
Symantec NetDriver Monitor = C:\PROGRA~1\SYMNET~1\SNDMon.exe
SunJavaUpdateSched = C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
SoundMan = SOUNDMAN.EXE
PinnacleDriverCheck = C:\WINDOWS\System32\PSDrvCheck.exe
PCMService = "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
nwiz = nwiz.exe /install
NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe
Dit = Dit.exe
CloneCDTray = "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
ccApp = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
Atomic Clock = C:\Programme\Broderbund\Atomic Clock 8.0\AtomClk.exe
AlcFDMonitor = C:\WINDOWS\ALCFDRTM.EXE
1A:Stardock TrayMonitor =
MailScan Dispatcher = "C:\Programme\eScan\LAUNCH.EXE"
eScan Updater = C:\PROGRA~1\eScan\TRAYICOS.EXE /App

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

1A:Stardock TrayMonitor =

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

PhotoShow Deluxe Media Manager = C:\PROGRA~1\Ahead\NEROPH~1\data\Xtras\mssysmgr.exe

--------------------------------------------------

Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)

[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP

[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE

[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

[{5Y99AE78-58TT-11dW-BE53-Y67078979Y}] *
StubPath = C:\WINDOWS\system\sservice.exe

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = %SystemRoot%\system32\ie4uinit.exe

[{89B4C1CD-B018-4511-B0A1-5476DBF70820}] *
StubPath = C:\WINDOWS\System32\Rundll32.exe C:\WINDOWS\System32\mscories.dll,Install

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Checking for EXPLORER.EXE instances:

C:\WINDOWS\Explorer.exe: PRESENT!

C:\Explorer.exe: not present
C:\WINDOWS\Explorer\Explorer.exe: not present
C:\WINDOWS\System\Explorer.exe: not present
C:\WINDOWS\System32\Explorer.exe: not present
C:\WINDOWS\Command\Explorer.exe: not present
C:\WINDOWS\Fonts\Explorer.exe: not present

--------------------------------------------------

Checking for superhidden extensions:

.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
NAV Helper - C:\Programme\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Norton AntiVirus - Meinen Computer prüfen - Michael.job
Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave ActiveX Control]
InProcServer32 = C:\WINDOWS\system32\Macromed\Director\SwDir.dll
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab

[MSSecurityAdvisor Class]
InProcServer32 = C:\WINDOWS\system32\mssecadv.dll
CODEBASE = http://download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de-373c3e5552fc/msSecAdv.cab?1092847540421

[{33564D57-0000-0010-8000-00AA00389B71}]
CODEBASE = http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

[Office Update Installation Engine]
InProcServer32 = C:\WINDOWS\opuc.dll
CODEBASE = http://office.microsoft.com/officeupdate/content/opuc.cab

[EARTPatchX Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\EARTPX.dll
CODEBASE = http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab

[GSDACtl Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\gsda.dll
CODEBASE = http://launch.gamespyarcade.com/software/launch/alaunch.cab

[{9F1C11AA-197B-4942-BA54-47A8489BB47F}]
CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37918.1709722222

[ActiveDataInfo Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\SymAData.dll
CODEBASE = https://www-secure.symantec.com/techsupp/activedata/SymAData.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[ActiveDataObj Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\ActiveData.dll
CODEBASE = https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab

--------------------------------------------------

Enumerating Winsock LSP files:

Protocol #1: mwtsp.dll (file MISSING)
Protocol #2: mwtsp.dll (file MISSING)
Protocol #3: mwtsp.dll (file MISSING)
Protocol #4: mwtsp.dll (file MISSING)
Protocol #5: mwtsp.dll (file MISSING)
Protocol #6: mwtsp.dll (file MISSING)
Protocol #7: mwtsp.dll (file MISSING)
Protocol #8: mwtsp.dll (file MISSING)
Protocol #9: mwtsp.dll (file MISSING)
Protocol #10: mwtsp.dll (file MISSING)
Protocol #11: mwtsp.dll (file MISSING)
Protocol #12: mwtsp.dll (file MISSING)
Protocol #13: mwtsp.dll (file MISSING)
Protocol #14: mwtsp.dll (file MISSING)
Protocol #15: mwtsp.dll (file MISSING)
Protocol #16: mwtsp.dll (file MISSING)
Protocol #17: mwtsp.dll (file MISSING)
Protocol #18: mwtsp.dll (file MISSING)
Protocol #19: mwtsp.dll (file MISSING)
Protocol #20: mwtsp.dll (file MISSING)
Protocol #41: mwtsp.dll (file MISSING)

--------------------------------------------------

Enumerating Windows NT/2000/XP services

Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
AVK Service: C:\PROGRA~1\eScan\helperservice.exe (autostart)
AVK Wächter: C:\PROGRA~1\eScan\AVKWCTL.EXE (autostart)
Computerbrowser: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Symantec Event Manager: "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" (autostart)
Symantec Settings Manager: "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" (autostart)
Arrowkey Device Access: \??\C:\Programme\321Studios\Shared\CDRPDACC.SYS (autostart)
Kryptografiedienste: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
DCOM-Server-Prozessstart: %SystemRoot%\system32\svchost -k DcomLaunch (autostart)
Verwaltung logischer Datenträger: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
ElbyCDIO Driver: System32\Drivers\ElbyCDIO.sys (autostart)
eScan Server-Updater: C:\PROGRA~1\eScan\TRAYSSER.EXE (autostart)
Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart)
Fax: %systemroot%\system32\fxssvc.exe (autostart)
IrDA-Protokoll: system32\DRIVERS\irda.sys (autostart)
Infrarotüberwachung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Server: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Arbeitsstationsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Ereignisprotokoll-Überwachung: C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (autostart)
Norton AntiVirus Firewall Monitor Service: "C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe" (autostart)
NVIDIA Display Driver Service: %SystemRoot%\system32\nvsvc32.exe (autostart)
Plug & Play: %SystemRoot%\system32\services.exe (autostart)
Geschützter Speicher: %SystemRoot%\system32\lsass.exe (autostart)
RPC-Locator: %SystemRoot%\System32\locator.exe (autostart)
Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)
ScriptBlocking Service: C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe (autostart)
Taskplaner: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Secdrv: System32\DRIVERS\secdrv.sys (autostart)
Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Shellhardwareerkennung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Symantec SPBBCSvc: "C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe" (autostart)
Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart)
Systemwiederherstellungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Symantec Core LC: C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe (autostart)
symlcbrd: \??\C:\WINDOWS\system32\drivers\symlcbrd.sys (autostart)
Designs: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Windows User Mode Driver Framework: C:\WINDOWS\system32\wdfmgr.exe (autostart)
Webclient: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
Automatische Updates: %systemRoot%\System32\svchost.exe -k netsvcs (autostart)
Konfigurationsfreie drahtlose Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)


--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:\WINDOWS\_ds1.tmp||C:\Programme\InstallShield Installation Information\{CC67770B-581D-4E96-B72A-A7907CE18725}\setup.exe||C:\Programme\InstallShield Installation Information\{CC67770B-581D-4E96-B72A-A7907CE18725}\


--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

DirectX For Microsoft® Windows = C:\WINDOWS\system32\fservice.exe

--------------------------------------------------

End of report, 14.639 bytes
Report generated in 0,093 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
Seitenanfang Seitenende
25.10.2004, 17:13
Member

Themenstarter

Beiträge: 20
#15 Ach so noch etwas,
im ordner windows habe ich keine services sondern nur im unterordner system32!!!
und was soll ich jetzt an diese email adresse schicken?
die verseuchten dateien?

MfG

Michael
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: