C:\WINDOWS\SYSTEM\winlogon.exe AdClicker-AI |
||
---|---|---|
#0
| ||
30.11.2004, 01:07
Ehrenmitglied
Beiträge: 29434 |
||
|
||
30.11.2004, 01:19
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#2
Hallo@Slobodjan
Gehe in die Registry: HKEY_LOCAL_MACHINE\Software\Microsoft\ Internet Explorer\Main Use Search Asst = "no" --> aendere in "yes" (ohne Anfuehrungsstriche) HKEY_CURRENT_USER\Software\Microsoft\ Internet Explorer\Main Use Search Asst = "no" --> aendere in "yes" HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html loesche: CLSID = "{CFAEC943-4183-11D9-AA1C-00505CB00250} HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain loesche: CLSID = "{CFAEC943-4183-11D9-AA1C-00505CB00250}" HKEY_LOCAL_MACHINE>Software>Microsoft> Internet Explorer>Main loesche: HOMEOldSP = "about:blank" HKEY_CURRENT_USER>Software>Microsoft> Internet Explorer>Main loesche: HOMEOldSP = "about:blank" --- <HKEY_CLASSES_ROOT>CLSID> loesche: {CFAEC943-4183-11D9-AA1C-00505CB00250} schliesse die Registry auch loeschen: <SP.HTML <die dll (war nicht sichtbar im Log ) fuer :Win98: HDCleaner Im Cleancenter gibt es einige Möglichkeiten Windows-Einstellungen und Logdateien direkt zu reinigen. Zum Beispiel den Cache und die Cookies des Internet Explorers oder die Verlaufs-Ordner (Liste der zuletzt aufgerufenen Internetseiten und Dokumente). http://www.rhein-main.net/sixcms/list.php?page=fnp2_news_article&id=1352029 ------------------------------------------------------------------------------- http://groups.google.com/groups?q=GLB1A2B.exe&hl=en&lr=&ie=UTF-8&oe=UTF-8&selm=3C96C128.1EE7A678%40actrix.co.nz&rnum=1 Das hier ist ein Problem: C:\WINDOWS\TEMP\GLB1A2B.EXE-->loeschen ! Details - This is a combo worm and virus - and is transmitted by e- mail that will include a file attachment that appears to be a text file. To save you all the gory details - the short version is that GLB1A2B will add the files MTX_.EXE and IE_PACK.EXE to the windows directory, as well as a file titled WININIT.INI. Every time windows is started the WININIT file will load the other programs, and the computer will attempt to call home. If the programs fail to reach the author, they will repeat the attempt every two minutes until successful. #McAfee FreeScan (Online) www.mcafee.com/myapps/mfs/default.asp ----------------------------------------------------------------------------- #eScan-Erkennungstool..poste bitte die infizierten Dateien, bevor du sie loescht http://www.rokop-security.de/board/index.php?showtopic=3867 mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.11.2004 um 01:34 Uhr von Sabina editiert.
|
|
|
||
30.11.2004, 12:21
...neu hier
Beiträge: 5 |
#3
So, hab alles gemacht, wie du's gesagt hast.
McAffee hat folgende infizierte Dateien gefunden: C:\WINDOWS\SYSTEM\winlogon.exe --->AdClicker-AI C:\WINDOWS\...\jar\mmm.jar-fc797b-6c3872d9.zip Exploit-ByteVerify C:\WINDOWS\...\jar\mmm.jar-fc797b-6c3872d9.zip Exploit-ByteVerify C:\WINDOWS\...\jar\mmm.jar-fc797b-6c3872d9.zip Exploit-ByteVerify C:\WINDOWS\...\jar\mmm.jar-fc797b-6c3872d9.zip Exploit-ByteVerify Löschen ? Gruß, Marc(Slobodjan) Dieser Beitrag wurde am 30.11.2004 um 13:15 Uhr von Sabina editiert.
|
|
|
||
30.11.2004, 13:06
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#4
Hallo@Slobodian
Ja, loeschen und dann das machen: #eScan-Erkennungstool..poste bitte die infizierten Dateien, bevor du sie loescht http://www.rokop-security.de/board/index.php?showtopic=3867 mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.12.2004, 22:27
...neu hier
Beiträge: 5 |
#5
So, ich hab mir ein wenig Schlaf gegen meine Erkältung (noch ein Virus ) gegönnt. Folgende Dateien hat eScan gefunden:
File C:\WINDOWS\homepage.htm tagged as not-a-virus:AdWare.Bekser.a. No Action Taken. File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll tagged as not-a-virus:AdWare.Gator.1019. No Action Taken. File C:\msalert.exe infected by "TrojanDownloader.Win32.Small.lc" Virus. Action Taken: No Action Taken "Msalert.exe" hatte ein Erstellungsdatum, das ungefähr zum Beginn meiner Probleme passte. Daraufhin konnte ich mir vor lauter Begeisterung nicht verkneifen, die Datei im abgesicherten Modus zu löschen. (Ich hoffe, da hab ich keinen Unfug gemacht *bibber*) Allerdings meldete AntiVir dann einige Stunden danach wieder ein Exemplar von "TR/Startpage.IX" und nach "L" für Löschen stürzte der PC wieder ab (Bildschirm wird schwarz mit einem rötlichen Rand oben). |
|
|
||
01.12.2004, 23:28
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#6
Hallo@Slobodjan
loesche auch unbedingt: C:\WINDOWS\homepage.htm Solange die Eintraege vom Trojaner in der Registry da sind...wird er immer wieder kommen. Du musst also in der Registry suchen: <msalert....und ALLE Eintraege loeschen und die dll, wenn sie angekuendigt wird, in Quarantaene nehmen und dann ebenfalls in der Registry alle Eintrage loeschen...wie: [es kann auch eine andere Zahlenfolge sein] : HKEY_CLASSES_ROOT\CLSID\{CFAEC943-4183-11D9-AA1C-00505CB00250}\InProcServer32 HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html CLSID = "{CFAEC943-4183-11D9-AA1C-00505CB00250} HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain CLSID = "{CFAEC943-4183-11D9-AA1C-00505CB00250}" <HKEY_CLASSES_ROOT>CLSID> {CFAEC943-4183-11D9-AA1C-00505CB00250} mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 01.12.2004 um 23:33 Uhr von Sabina editiert.
|
|
|
||
02.12.2004, 23:22
...neu hier
Beiträge: 5 |
#7
Hallo !
So, hab alles gemacht....... Ich hoffe das war's jetzt. In der Registry finden sich unter "HKEY_CLASSES_ROOT\PROTOCOLS\Filter\" allerdings nicht die Einträge "text/html" und "text/plain", sondern nur "text/webviewhtml", "lzdhtml", "gzip", "deflate" und "Class Install Handler". In jeder der fünf findet sich ein Eintrag CLSID="lange Nummer", aber keine die zu einer der dll-Dateien gehörte, die mir als Virus gemeldet wurden. Sind die Einträge okay ? Außerdem finden sich unter HKEY_CLASSES_ROOT\CLSID unzählige Ordner mit komischen Nummern. Sind die da am rechten Platz ? Ich tippe mal auf "ja". Gruß, Marc |
|
|
||
03.12.2004, 00:00
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#8
Hallo@
Lade dieses Tool und scanne...dann berichte <Backdoor.Agent.B Removal Tool http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 03.12.2004 um 00:02 Uhr von Sabina editiert.
|
|
|
||
03.12.2004, 12:33
...neu hier
Beiträge: 9 |
#9
Hallo Sabrine
ich habe mal eine allgemeine aber dringende Frage. Kann mann mit dem Logfile der mit Hijackthis erstellt wurde irgendwelchen Usinn anstellen z.B. den Angriff auf meinen PC oder persönliche Daten rauslesen Gruß Udo |
|
|
||
03.12.2004, 14:02
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#10
Zitat udokawa posteteNein, das kann man nicht. Es werden Software und Hardware-Daten , sowie Konfigurations-Infos angezeigt (und oft auch Viren oder Trojaner), die sich im System "versteckt" haben, aber keine persoenlichen Daten...wie du im Log oben sehen kannst. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 03.12.2004 um 14:04 Uhr von Sabina editiert.
|
|
|
||
03.12.2004, 22:06
Moderator
Beiträge: 6466 |
#11
Alles, was auf die interne Struktur in einem Netzwerk hinweist streichen. DNS-einträge, URLs...
Speziell wenn es sich um ein Geschäfts-Notebook/PC handelt. Ich sage dies im Hinblick auf: http://board.protecus.de/t10702.htm __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
06.12.2004, 23:11
...neu hier
Beiträge: 5 |
#12
Moin Sabina !
Das "Backdoor.Agent.B Removal Tool" hat tatsächlich ein Exemplar gefunden und nach Rebooten gelöscht. Danach hab ich das Tool nochmal drüber laufen lassen und wie zu erwarten war wurde nichts mehr gefunden. Auch Hijack und eScan haben anschließend nichts mehr gemeldet. Gruß, Marc |
|
|
||
11.12.2004, 19:03
...neu hier
Beiträge: 5 |
#13
Hallo Sabina !
Es sind keine Probleme mehr aufgetreten. Noch mal ein ganz großes DANKE von mir !!! Viele Grüße, Marc |
|
|
||
Meine Virenprogramme (AntiVir, AdAware, a-squared - wobei nur Antivir als aktiver Guard) halten meinen PC für sauber, HijackThis findet auch nur drei Einträge, die okay sind (The Cleaner-Monitor, AntiVir, ZoneAlarm).
Im Registrierungseditor hab ich mal nach der letzten DLL-Datei gesucht und sie unter HKEY_CLASSES_ROOT\CLSID\{CFAEC943-4183-11D9-AA1C-00505CB00250}\InProcServer32 unter (Standard) gefunden.
So, erstmal der 1.Log. Der zweite kommt dann mit der nächsten Nachricht.
Lade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor -->
nun das
KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Logfile of HijackThis v1.98.2
Scan saved at 13:10:33, on 29.11.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\THE CLEANER\TCM.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\HANSENET\HANSENET SPEED-PRODUKTE\APP\TANGOMANAGER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\ICQLITE\ICQLITE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\EIGENE DATEIEN\MEIN KRAM II\HIJACKTHIS1982\HIJACKTHIS.EXE
C:\WINDOWS\NOTEPAD.EXE
O4 - HKLM\..\Run: [tcmonitor] C:\PROGRAMME\THE CLEANER\tcm.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
StartupList report, 29.11.04, 13:13:44
StartupList version: 1.52.2
Started from : C:\EIGENE DATEIEN\MEIN KRAM II\HIJACKTHIS1982\HIJACKTHIS.EXE
Detected: Windows 98 SE (Win9x 4.10.2222A)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
* Including empty and uninteresting sections
* Showing rarely important sections
==================================================
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\THE CLEANER\TCM.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\HANSENET\HANSENET SPEED-PRODUKTE\APP\TANGOMANAGER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\ICQLITE\ICQLITE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\EIGENE DATEIEN\MEIN KRAM II\HIJACKTHIS1982\HIJACKTHIS.EXE
--------------------------------------------------
Listing of startup folders:
Shell folders Startup:
[C:\WINDOWS\Startmenü\Programme\Autostart]
*No files*
Shell folders AltStartup:
*Folder not found*
User shell folders Startup:
*Folder not found*
User shell folders AltStartup:
*Folder not found*
Shell folders Common Startup:
[C:\WINDOWS\All Users\Startmenü\Programme\Autostart]
*No files*
Shell folders Common AltStartup:
*Folder not found*
User shell folders Common Startup:
*Folder not found*
User shell folders Alternate Common Startup:
*Folder not found*
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Host =
tcmonitor = C:\PROGRAMME\THE CLEANER\tcm.exe
AVGCtrl = C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
Zone Labs Client = "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Host =
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
ICQ Lite = C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*Registry key not found*
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*No values found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[OptionalComponents]
*No values found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*Registry key not found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*
--------------------------------------------------
File association entry for .EXE:
HKEY_CLASSES_ROOT\exefile\shell\open\command
(Default) = "%1" %*
--------------------------------------------------
File association entry for .COM:
HKEY_CLASSES_ROOT\comfile\shell\open\command
(Default) = "%1" %*
--------------------------------------------------
File association entry for .BAT:
HKEY_CLASSES_ROOT\batfile\shell\open\command
(Default) = "%1" %*
--------------------------------------------------
File association entry for .PIF:
HKEY_CLASSES_ROOT\piffile\shell\open\command
(Default) = "%1" %*
--------------------------------------------------
File association entry for .SCR:
HKEY_CLASSES_ROOT\scrfile\shell\open\command
(Default) = "%1" /S
--------------------------------------------------
File association entry for .HTA:
HKEY_CLASSES_ROOT\htafile\shell\open\command
(Default) = C:\WINDOWS\SYSTEM\MSHTA.EXE "%1" %*
--------------------------------------------------
File association entry for .TXT:
HKEY_CLASSES_ROOT\txtfile\shell\open\command
(Default) = C:\WINDOWS\NOTEPAD.EXE %1
--------------------------------------------------
Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)
[SetupcPerUser] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection SetupcPerUser 64 C:\WINDOWS\INF\setupc.inf
[AppletsPerUser] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection AppletsPerUser 64 C:\WINDOWS\INF\applets.inf
[FontsPerUser] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection FontsPerUser 64 C:\WINDOWS\INF\fonts.inf
[{5A8D6EE0-3E18-11D0-821E-444553540000}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSectionEx C:\WINDOWS\INF\icw.inf,PerUserStub,,36
[PerUser_ICW_Inis] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_ICW_Inis 0 C:\WINDOWS\INF\icw97.inf
[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = rundll32.exe advpack.dll,UserInstStubWrapper {89820200-ECBD-11cf-8B85-00AA005B4383}
[{89820200-ECBD-11cf-8B85-00AA005B4395}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSectionEx C:\WINDOWS\SYSTEM\ie4uinit.inf,Shell.UserStub,,36
[>PerUser_MSN_Clean] *
StubPath = C:\WINDOWS\msnmgsr1.exe
[{CA0A4247-44BE-11d1-A005-00805F8ABE06}] *
StubPath = RunDLL setupx.dll,InstallHinfSection PowerCfg.user 0 powercfg.inf
[PerUser_Msinfo] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_Msinfo 64 C:\WINDOWS\INF\msinfo.inf
[PerUser_Msinfo2] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_Msinfo2 64 C:\WINDOWS\INF\msinfo.inf
[MotownMmsysPerUser] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection MotownMmsysPerUser 64 C:\WINDOWS\INF\motown.inf
[MotownAvivideoPerUser] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection MotownAvivideoPerUser 64 C:\WINDOWS\INF\motown.inf
[{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\mplayer2.inf,PerUserStub
[MotownMPlayPerUser] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection MotownMPlayPerUser 64 C:\WINDOWS\INF\mplay98.inf
[PerUser_Base] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_Base 64 C:\WINDOWS\INF\msmail.inf
[ShellPerUser] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection ShellPerUser 64 C:\WINDOWS\INF\shell.inf
[Shell2PerUser] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection Shell2PerUser 64 C:\WINDOWS\INF\shell2.inf
[PerUser_winbase_Links] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_winbase_Links 64 C:\WINDOWS\INF\subase.inf
[PerUser_winapps_Links] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_winapps_Links 64 C:\WINDOWS\INF\subase.inf
[PerUser_LinkBar_URLs] *
StubPath = C:\WINDOWS\COMMAND\sulfnbk.exe /L
[TapiPerUser] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection TapiPerUser 64 C:\WINDOWS\INF\tapi.inf
[{73fa19d0-2d75-11d2-995d-00c04f98bbc9}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\webfdr16.inf,PerUserStub.Install,1
[PerUserOldLinks] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUserOldLinks 64 C:\WINDOWS\INF\appletpp.inf
[MmoptRegisterPerUser] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection MmoptRegisterPerUser 64 C:\WINDOWS\INF\mmopt.inf
[OlsPerUser] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection OlsPerUser 64 C:\WINDOWS\INF\ols.inf
[OlsMsnPerUser] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection OlsMsnPerUser 64 C:\WINDOWS\INF\ols.inf
[PerUser_Paint_Inis] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_Paint_Inis 64 C:\WINDOWS\INF\applets.inf
[PerUser_Calc_Inis] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_Calc_Inis 64 C:\WINDOWS\INF\applets.inf
[PerUser_CVT_Inis] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_CVT_Inis 64 C:\WINDOWS\INF\applets1.inf
[MotownRecPerUser] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection MotownRecPerUser 64 C:\WINDOWS\INF\motown.inf
[PerUser_Vol] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_Vol 64 C:\WINDOWS\INF\motown.inf
[PerUser_MSWordPad_Inis] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_MSWordPad_Inis 64 C:\WINDOWS\INF\wordpad.inf
[PerUser_RNA_Inis] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_RNA_Inis 64 C:\WINDOWS\INF\rna.inf
[PerUser_Dialer_Inis] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_Dialer_Inis 64 C:\WINDOWS\INF\appletpp.inf
[PerUser_CDPlayer_Inis] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_CDPlayer_Inis 64 C:\WINDOWS\INF\mmopt.inf
[{44BBA842-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.W95
[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = rundll32.exe advpack.dll,UserInstStubWrapper {44BBA840-CC51-11CF-AAFA-00AA00B6015C}
[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = rundll32.exe advpack.dll,UserInstStubWrapper {7790769C-0471-11d2-AF11-00C04FA35D02}
[OlsAolPerUser] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection OlsAolPerUser 64 C:\WINDOWS\INF\ols.inf
[OlsCompuservePerUser] *
StubPath = rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection OlsCompuservePerUser 64 C:\WINDOWS\INF\ols.inf
[{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}] *
StubPath = C:\WINDOWS\SYSTEM\updcrl.exe -e -u C:\WINDOWS\SYSTEM\verisignpub1.crl
[{44BBA851-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wpie5x86.inf,PerUserStub
[>{2F1105CA-A64A-4893-A51C-528B35731058}] *
StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
--------------------------------------------------
Enumerating ICQ Agent Autostart apps:
HKCU\Software\Mirabilis\ICQ\Agent\Apps
*Registry key not found*
--------------------------------------------------
Load/Run keys from C:\WINDOWS\WIN.INI:
load=
run=
--------------------------------------------------
Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:
Shell=Explorer.exe
SCRNSAVE.EXE=
drivers=mmsystem.dll power.drv
Checking for EXPLORER.EXE instances:
C:\WINDOWS\Explorer.exe: PRESENT!
C:\Explorer.exe: not present
C:\WINDOWS\Explorer\Explorer.exe: not present
C:\WINDOWS\System\Explorer.exe: not present
C:\WINDOWS\System32\Explorer.exe: not present
C:\WINDOWS\Command\Explorer.exe: not present
C:\WINDOWS\Fonts\Explorer.exe: not present
--------------------------------------------------
C:\WINDOWS\WININIT.INI listing:
*File not found*
--------------------------------------------------
C:\WINDOWS\WININIT.BAK listing:
(Created 28/11/2004, 22:20:4)
[rename]
NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE
--------------------------------------------------
C:\AUTOEXEC.BAT listing:
mode con codepage prepare=((850) C:\WINDOWS\COMMAND\ega.cpi)
mode con codepage select=850
keyb gr,,C:\WINDOWS\COMMAND\keyboard.sys
--------------------------------------------------
C:\CONFIG.SYS listing:
device=C:\WINDOWS\COMMAND\display.sys con=(ega,,1)
Country=049,850,C:\WINDOWS\COMMAND\country.sys
--------------------------------------------------
C:\WINDOWS\WINSTART.BAT listing:
*File not found*
--------------------------------------------------
C:\WINDOWS\DOSSTART.BAT listing:
*File not found*
--------------------------------------------------
Checking for superhidden extensions:
.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden
--------------------------------------------------
Verifying REGEDIT.EXE integrity:
- Regedit.exe found in C:\WINDOWS
- .reg open command is normal (regedit.exe %1)
- Company name OK: 'Microsoft Corporation'
- Original filename OK: 'REGEDIT.EXE'
- File description: 'Registrierungseditor'
Registry check passed
--------------------------------------------------
Enumerating Browser Helper Objects:
*No BHO's found*
--------------------------------------------------
Enumerating Task Scheduler jobs:
Programmstart beschleunigen.job
--------------------------------------------------
Enumerating Download Program Files:
[Microsoft XML Parser for Java]
CODEBASE = file://C:\WINDOWS\Java\classes\xmldso4.cab
OSD = C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd
[DirectAnimation Java Classes]
CODEBASE = file://C:\WINDOWS\SYSTEM\dajava.cab
OSD = C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd
[Internet Explorer Classes for Java]
CODEBASE = file://C:\WINDOWS\SYSTEM\iejava.cab
OSD = C:\WINDOWS\Downloaded Program Files\Internet Explorer Classes for Java.osd
[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
[Update Class]
InProcServer32 = C:\WINDOWS\SYSTEM\IUCTL.DLL
CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38149.2030671296
[Java Plug-in 1.4.2_04]
InProcServer32 = C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
CODEBASE = http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab
[Java Plug-in 1.4.2_04]
InProcServer32 = C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
CODEBASE = http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab
--------------------------------------------------
Enumerating Winsock LSP files:
NameSpace #1: C:\WINDOWS\SYSTEM\rnr20.dll
Protocol #1: C:\WINDOWS\SYSTEM\mswsosp.dll
Protocol #2: C:\WINDOWS\SYSTEM\msafd.dll
Protocol #3: C:\WINDOWS\SYSTEM\msafd.dll
Protocol #4: C:\WINDOWS\SYSTEM\msafd.dll
Protocol #5: C:\WINDOWS\SYSTEM\rsvpsp.dll
Protocol #6: C:\WINDOWS\SYSTEM\rsvpsp.dll
--------------------------------------------------
Enumerating Win9x VxD services:
VNETSUP: vnetsup.vxd
NDIS: ndis.vxd,ndis2sup.vxd
JAVASUP: JAVASUP.VXD
CONFIGMG: *CONFIGMG
NTKern: *NTKERN
VWIN32: *VWIN32
VFBACKUP: *VFBACKUP
VCOMM: *VCOMM
COMBUFF: *COMBUFF
IFSMGR: *IFSMGR
IOS: *IOS
MTRR: *mtrr
SPOOLER: *SPOOLER
UDF: *UDF
VFAT: *VFAT
VCACHE: *VCACHE
VCOND: *VCOND
VCDFSD: *VCDFSD
VXDLDR: *VXDLDR
VDEF: *VDEF
VPICD: *VPICD
VTD: *VTD
REBOOT: *REBOOT
VDMAD: *VDMAD
VSD: *VSD
V86MMGR: *V86MMGR
PAGESWAP: *PAGESWAP
DOSMGR: *DOSMGR
VMPOLL: *VMPOLL
SHELL: *SHELL
PARITY: *PARITY
BIOSXLAT: *BIOSXLAT
VMCPD: *VMCPD
VTDAPI: *VTDAPI
PERF: *PERF
VRTWD: C:\WINDOWS\SYSTEM\vrtwd.386
VFIXD: C:\WINDOWS\SYSTEM\vfixd.vxd
VNETBIOS: vnetbios.vxd
NDISWAN: ndiswan.vxd
VREDIR: vredir.vxd
DFS: dfs.vxd
VSDATA95: vsdata95.vxd
--------------------------------------------------
Enumerating ShellServiceObjectDelayLoad items:
WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
*Registry key not found*
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
*Registry key not found*
--------------------------------------------------
End of report, 20.104 bytes
Report generated in 1,010 seconds
Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
__________
MfG Sabina
rund um die PC-Sicherheit