Backdoor.prorat |
||
---|---|---|
#0
| ||
25.10.2004, 16:05
Member
Beiträge: 20 |
||
|
||
25.10.2004, 16:24
Moderator
Beiträge: 7805 |
#2
Wenn du es riskieren willst, das ohne neu aufsetzen zu machen, solltest du ein Hijackthis log posten und nach der Reinigung alle Passwoerter aendern!
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
25.10.2004, 16:33
Member
Themenstarter Beiträge: 20 |
#3
Ok ein versuch ist es wert oder meinst du es lohnt sich nicht?
also bei dem hijackthis muß ich mich jetzt erst einmal schlau machen wie das geht, da habe ich noch keine schimmer von, aber man lernt ja gerne! wenn du eine schnelle anweisung hast dann nur zu ich freue mich! MfG Michael |
|
|
||
25.10.2004, 16:36
Moderator
Beiträge: 7805 |
#4
Ich dachte, du haettest es gesehen:
!! Anleitung: Wie HijackThisLog erstellen... *click* __________ MfG Ralf SEO-Spam Hunter |
|
|
||
25.10.2004, 16:36
Member
Themenstarter Beiträge: 20 |
#5
So da bin ich wieder hier ganz schnell ne lösung gefunden und hier ist das log:
Logfile of HijackThis v1.98.2 Scan saved at 16:35:24, on 25.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\services.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\WINDOWS\Dit.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Broderbund\Atomic Clock 8.0\AtomClk.exe C:\WINDOWS\ALCFDRTM.EXE C:\WINDOWS\DitExp.exe C:\PROGRA~1\eScan\TRAYICOS.EXE C:\PROGRA~1\Ahead\NEROPH~1\data\Xtras\mssysmgr.exe C:\PROGRA~1\eScan\MAILDISP.EXE C:\PROGRA~1\eScan\SPOOLER.EXE C:\PROGRA~1\eScan\helperservice.exe C:\PROGRA~1\eScan\TRAYSSER.EXE C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\eMule\emule.exe C:\Programme\Avant Browser\avant.exe C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Michael\LOKALE~1\Temp\Rar$EX00.125\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.europe.yahoo.com/config/mail?.intl=de F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Atomic Clock] C:\Programme\Broderbund\Atomic Clock 8.0\AtomClk.exe O4 - HKLM\..\Run: [AlcFDMonitor] C:\WINDOWS\ALCFDRTM.EXE O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE" O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\PROGRA~1\Ahead\NEROPH~1\data\Xtras\mssysmgr.exe O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: @C:\Programme\Messenger2\im2_ie_plugin.dll,-4 - {410C30C7-098A-4090-928E-F1D356D34C7F} - C:\Programme\Messenger2\im2_ie_plugin.dll O9 - Extra 'Tools' menuitem: Store link with e-Stalker - {410C30C7-098A-4090-928E-F1D356D34C7F} - C:\Programme\Messenger2\im2_ie_plugin.dll O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{85E596BA-3D2B-4B7C-8BD9-16CB979AEF3C}: NameServer = 217.237.150.97 217.237.149.161 |
|
|
||
25.10.2004, 16:37
Member
Themenstarter Beiträge: 20 |
#6
hey das geht hier ja richtig fix, das freut mich sehr!
|
|
|
||
25.10.2004, 16:44
Moderator
Beiträge: 7805 |
#7
Wo wird das RAT gefunden? In welcher DAtei und in welchem Ordner. Was sagt Escan, wenn du es im abgesicherten Modus nutzt?
Diese Datei C:\WINDOWS\services.exe bitte hier testen: http://www.kaspersky.com/scanforvirus wenn dort nichts gefunden wird, bitte mal an virus@protecus.de schicken. Wenn etwas gefunden wird, was? __________ MfG Ralf SEO-Spam Hunter |
|
|
||
25.10.2004, 16:50
Member
Themenstarter Beiträge: 20 |
#8
muß ich escan noch einmal laufen lassen oder kann ich eine report finden von dem letzten durchlauf?
ich habe in windows die datei services.exe 3 mal gefunden welche soll ich denn nehmen! auf jeden fall meldet nav die datei reginv.dll in system32 ist befallen! MfG Michael |
|
|
||
25.10.2004, 16:54
Moderator
Beiträge: 7805 |
#9
Ich meinte die aus dem Windowsordner: C:\WINDOWS\services.exe
Nutze Escan im abgesicherten Modus. Da das die Trial zu sein scheint, kannst du die Dateien wohl auch loeschen. Benenne die Datei reginv.dll im abgesicherten Modus mal um und schicke sie auch nach einem neustart. Updates von Antivir sind aktuell? abgesicherte Modus: http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20020114122843924?OpenDocument&ExpandSection=2%2C5 __________ MfG Ralf SEO-Spam Hunter |
|
|
||
25.10.2004, 17:00
Member
Themenstarter Beiträge: 20 |
#10
Hallo Ralf,
also ich habe alle drei getestet mit dem link und habe jedesmal die meldung youre clean bekommen! die virusmeldung von nav sagt der ort ist c:\windows\system32\reginv.dll der virenname ist backdoor.prorat die gleiche meldung bekomme ich auch wenn ich im explorer nur auf die die datei: winkey.dll und winkey.dll.mwt gehe! MfG Michael |
|
|
||
25.10.2004, 17:02
Member
Themenstarter Beiträge: 20 |
#11
Wenn ich diese files bei kaspersky lab eingeben will geht es nicht!
|
|
|
||
25.10.2004, 17:07
Member
Themenstarter Beiträge: 20 |
#12
Hallo ralf,
worin soll ich die besagte datei oder eben die drei denn umbenennen und welche einstellungen nehme ich in escan ,welches wirklich die trial ist, denn vor und kann ich infiziert gefundene dateien denn damit sofort löschen oder wie ist der weg? was mir nicht ganz klar war beim booten im abgesicherten modus ist , wie ich mich anmelde, als admin oder eben als mich also als der definierte benutzerkonto? MfG Michael |
|
|
||
25.10.2004, 17:07
Moderator
Beiträge: 7805 |
#13
Dann schick sie an virus@protecus.de
und poste inzwischen bitte eine Startuplist. Hijackthis starten auf Config/misc tool hake "list minor sections" an und druecke "generate Startuplist" __________ MfG Ralf SEO-Spam Hunter |
|
|
||
25.10.2004, 17:09
Member
Themenstarter Beiträge: 20 |
#14
So ralf hier die Startup list:
StartupList report, 25.10.2004, 17:09:03 StartupList version: 1.52.2 Started from : C:\Dokumente und Einstellungen\Michael\Desktop\HijackThis.EXE Detected: Windows XP SP2 (WinNT 5.01.2600) Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180) * Using default options * Showing rarely important sections ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\services.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\WINDOWS\Dit.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Broderbund\Atomic Clock 8.0\AtomClk.exe C:\WINDOWS\ALCFDRTM.EXE C:\WINDOWS\DitExp.exe C:\PROGRA~1\eScan\TRAYICOS.EXE C:\PROGRA~1\Ahead\NEROPH~1\data\Xtras\mssysmgr.exe C:\PROGRA~1\eScan\MAILDISP.EXE C:\PROGRA~1\eScan\SPOOLER.EXE C:\PROGRA~1\eScan\helperservice.exe C:\PROGRA~1\eScan\TRAYSSER.EXE C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\eMule\emule.exe C:\Programme\Avant Browser\avant.exe C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Michael\Desktop\HijackThis.exe -------------------------------------------------- Listing of startup folders: Shell folders Startup: [C:\Dokumente und Einstellungen\Michael\Startmenü\Programme\Autostart] Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run MSConfig = C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto Symantec NetDriver Monitor = C:\PROGRA~1\SYMNET~1\SNDMon.exe SunJavaUpdateSched = C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe SoundMan = SOUNDMAN.EXE PinnacleDriverCheck = C:\WINDOWS\System32\PSDrvCheck.exe PCMService = "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" nwiz = nwiz.exe /install NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe Dit = Dit.exe CloneCDTray = "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s ccApp = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" Atomic Clock = C:\Programme\Broderbund\Atomic Clock 8.0\AtomClk.exe AlcFDMonitor = C:\WINDOWS\ALCFDRTM.EXE 1A:Stardock TrayMonitor = MailScan Dispatcher = "C:\Programme\eScan\LAUNCH.EXE" eScan Updater = C:\PROGRA~1\eScan\TRAYICOS.EXE /App -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices 1A:Stardock TrayMonitor = -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run PhotoShow Deluxe Media Manager = C:\PROGRA~1\Ahead\NEROPH~1\data\Xtras\mssysmgr.exe -------------------------------------------------- Enumerating Active Setup stub paths: HKLM\Software\Microsoft\Active Setup\Installed Components (* = disabled by HKCU twin) [>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP [>{26923b43-4d38-484f-9b9e-de460746276c}] * StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE [>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] * StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE [{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] * StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll [{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] * StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install [{5Y99AE78-58TT-11dW-BE53-Y67078979Y}] * StubPath = C:\WINDOWS\system\sservice.exe [{7790769C-0471-11d2-AF11-00C04FA35D02}] * StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install [{89820200-ECBD-11cf-8B85-00AA005B4340}] * StubPath = regsvr32.exe /s /n /i:U shell32.dll [{89820200-ECBD-11cf-8B85-00AA005B4383}] * StubPath = %SystemRoot%\system32\ie4uinit.exe [{89B4C1CD-B018-4511-B0A1-5476DBF70820}] * StubPath = C:\WINDOWS\System32\Rundll32.exe C:\WINDOWS\System32\mscories.dll,Install -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe SCRNSAVE.EXE=*Registry value not found* drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry key not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Checking for EXPLORER.EXE instances: C:\WINDOWS\Explorer.exe: PRESENT! C:\Explorer.exe: not present C:\WINDOWS\Explorer\Explorer.exe: not present C:\WINDOWS\System\Explorer.exe: not present C:\WINDOWS\System32\Explorer.exe: not present C:\WINDOWS\Command\Explorer.exe: not present C:\WINDOWS\Fonts\Explorer.exe: not present -------------------------------------------------- Checking for superhidden extensions: .lnk: HIDDEN! (arrow overlay: yes) .pif: HIDDEN! (arrow overlay: yes) .exe: not hidden .com: not hidden .bat: not hidden .hta: not hidden .scr: not hidden .shs: HIDDEN! .shb: HIDDEN! .vbs: not hidden .vbe: not hidden .wsh: not hidden .scf: HIDDEN! (arrow overlay: NO!) .url: HIDDEN! (arrow overlay: yes) .js: not hidden .jse: not hidden -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} NAV Helper - C:\Programme\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872} -------------------------------------------------- Enumerating Task Scheduler jobs: Norton AntiVirus - Meinen Computer prüfen - Michael.job Symantec NetDetect.job -------------------------------------------------- Enumerating Download Program Files: [Shockwave ActiveX Control] InProcServer32 = C:\WINDOWS\system32\Macromed\Director\SwDir.dll CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab [MSSecurityAdvisor Class] InProcServer32 = C:\WINDOWS\system32\mssecadv.dll CODEBASE = http://download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de-373c3e5552fc/msSecAdv.cab?1092847540421 [{33564D57-0000-0010-8000-00AA00389B71}] CODEBASE = http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB [Office Update Installation Engine] InProcServer32 = C:\WINDOWS\opuc.dll CODEBASE = http://office.microsoft.com/officeupdate/content/opuc.cab [EARTPatchX Class] InProcServer32 = C:\WINDOWS\Downloaded Program Files\EARTPX.dll CODEBASE = http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab [GSDACtl Class] InProcServer32 = C:\WINDOWS\Downloaded Program Files\gsda.dll CODEBASE = http://launch.gamespyarcade.com/software/launch/alaunch.cab [{9F1C11AA-197B-4942-BA54-47A8489BB47F}] CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37918.1709722222 [ActiveDataInfo Class] InProcServer32 = C:\WINDOWS\Downloaded Program Files\SymAData.dll CODEBASE = https://www-secure.symantec.com/techsupp/activedata/SymAData.cab [Shockwave Flash Object] InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab [ActiveDataObj Class] InProcServer32 = C:\WINDOWS\Downloaded Program Files\ActiveData.dll CODEBASE = https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab -------------------------------------------------- Enumerating Winsock LSP files: Protocol #1: mwtsp.dll (file MISSING) Protocol #2: mwtsp.dll (file MISSING) Protocol #3: mwtsp.dll (file MISSING) Protocol #4: mwtsp.dll (file MISSING) Protocol #5: mwtsp.dll (file MISSING) Protocol #6: mwtsp.dll (file MISSING) Protocol #7: mwtsp.dll (file MISSING) Protocol #8: mwtsp.dll (file MISSING) Protocol #9: mwtsp.dll (file MISSING) Protocol #10: mwtsp.dll (file MISSING) Protocol #11: mwtsp.dll (file MISSING) Protocol #12: mwtsp.dll (file MISSING) Protocol #13: mwtsp.dll (file MISSING) Protocol #14: mwtsp.dll (file MISSING) Protocol #15: mwtsp.dll (file MISSING) Protocol #16: mwtsp.dll (file MISSING) Protocol #17: mwtsp.dll (file MISSING) Protocol #18: mwtsp.dll (file MISSING) Protocol #19: mwtsp.dll (file MISSING) Protocol #20: mwtsp.dll (file MISSING) Protocol #41: mwtsp.dll (file MISSING) -------------------------------------------------- Enumerating Windows NT/2000/XP services Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) AVK Service: C:\PROGRA~1\eScan\helperservice.exe (autostart) AVK Wächter: C:\PROGRA~1\eScan\AVKWCTL.EXE (autostart) Computerbrowser: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Symantec Event Manager: "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" (autostart) Symantec Settings Manager: "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" (autostart) Arrowkey Device Access: \??\C:\Programme\321Studios\Shared\CDRPDACC.SYS (autostart) Kryptografiedienste: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) DCOM-Server-Prozessstart: %SystemRoot%\system32\svchost -k DcomLaunch (autostart) Verwaltung logischer Datenträger: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) ElbyCDIO Driver: System32\Drivers\ElbyCDIO.sys (autostart) eScan Server-Updater: C:\PROGRA~1\eScan\TRAYSSER.EXE (autostart) Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart) Fax: %systemroot%\system32\fxssvc.exe (autostart) IrDA-Protokoll: system32\DRIVERS\irda.sys (autostart) Infrarotüberwachung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Server: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Arbeitsstationsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Ereignisprotokoll-Überwachung: C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (autostart) Norton AntiVirus Firewall Monitor Service: "C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe" (autostart) NVIDIA Display Driver Service: %SystemRoot%\system32\nvsvc32.exe (autostart) Plug & Play: %SystemRoot%\system32\services.exe (autostart) Geschützter Speicher: %SystemRoot%\system32\lsass.exe (autostart) RPC-Locator: %SystemRoot%\System32\locator.exe (autostart) Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart) ScriptBlocking Service: C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe (autostart) Taskplaner: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Secdrv: System32\DRIVERS\secdrv.sys (autostart) Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Shellhardwareerkennung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Symantec SPBBCSvc: "C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe" (autostart) Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart) Systemwiederherstellungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Symantec Core LC: C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe (autostart) symlcbrd: \??\C:\WINDOWS\system32\drivers\symlcbrd.sys (autostart) Designs: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Windows User Mode Driver Framework: C:\WINDOWS\system32\wdfmgr.exe (autostart) Webclient: %SystemRoot%\System32\svchost.exe -k LocalService (autostart) Automatische Updates: %systemRoot%\System32\svchost.exe -k netsvcs (autostart) Konfigurationsfreie drahtlose Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) -------------------------------------------------- Enumerating Windows NT logon/logoff scripts: *No scripts set to run* Windows NT 'Wininit.ini': PendingFileRenameOperations: C:\WINDOWS\_ds1.tmp||C:\Programme\InstallShield Installation Information\{CC67770B-581D-4E96-B72A-A7907CE18725}\setup.exe||C:\Programme\InstallShield Installation Information\{CC67770B-581D-4E96-B72A-A7907CE18725}\ -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll WebCheck: C:\WINDOWS\System32\webcheck.dll SysTray: C:\WINDOWS\System32\stobject.dll -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run DirectX For Microsoft® Windows = C:\WINDOWS\system32\fservice.exe -------------------------------------------------- End of report, 14.639 bytes Report generated in 0,093 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only |
|
|
||
25.10.2004, 17:13
Member
Themenstarter Beiträge: 20 |
#15
Ach so noch etwas,
im ordner windows habe ich keine services sondern nur im unterordner system32!!! und was soll ich jetzt an diese email adresse schicken? die verseuchten dateien? MfG Michael |
|
|
||
bitte um rasche hilfe!
danke im voraus!