Home » Viren, Trojaner & Malware Forum » Browser sendet Signale->SearchURL = http://216.65.3.72/search.php » Themenansicht
Browser sendet Signale->SearchURL = http://216.65.3.72/search.php |
||
|---|---|---|
| #0
| ||
|
18.12.2004, 00:41
Ehrenmitglied
 Beiträge: 29434 |
||
 
|
|
|
|
18.12.2004, 12:45
Member
Beiträge: 3306 |
#17
Herrlich der Rechner ist voll mit irgendwelchem Mist und er will hier eine theoretische Abhandlung was auf seinem Rechner passiert. Man muss Sabina schon bewundern das sie hier überhaupt noch postet. Ich würde eine Formatierung mit anschließendem Computerkurs empfehlen. Lektion 1: Eigene Unwissenheit eingestehen und Hilfe anderer annehmen.
__________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. |
|
|
|
|
|
|
03.01.2005, 13:13
Member
Themenstarter Beiträge: 17 |
#18
Hast recht Eddi, vielleicht war ich ein bisschen hysterisch. Bedanke mich herzlichst bei Sabina für die tolle Hilfe. Will aber noch eine Frage stellen: bei nem Bekannten auf Windows XP SP1/IE v6.00 SP1 habe ich dasselbe Verhalten gefunden. Hat der vielleicht auch gleichen Virus? Oder könntet ihr mir den Unterschied zwischen dem port-log-file von Firefox und Firebird auf demselben Rechner erklären. Wo kommt der Port 239.255.255.250 her. Habe Firefox neuinstalliert und nur hochgefahren; dasselbe mit Firebird. Wenn normal, wäre ich ja beruhigt. Anbei hijack-log und log-file mit jetico-firewall erstellt und arcor über Modem.
hijackthis-file: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe C:\Dokumente und Einstellungen\Microsoft\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis199_beta.zip\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/12dad9d111250fb01c17/netzip/RdxIE601_de.cab O23 - Service: CA-Lizenz-Client - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe ......................................................................... (Anmerkungen: Neu Zeile fängt immer beim Datum an. 8Uhr: Fox1.0 gestartet. 2Mal beendet und gestartet, netstat zeigt nun 145...... . Fox 1.0 deinstalliert (jetico aus). Firebird installiert. 9.03Uhr: ins Netz . Fbird mehrmals an/ aus gestellt. 9.08Uhr: google angewählt (Nachrichten). 9.09Uhr: tagesschaulink geklickt. Meine IP war hier: 212.144.132.13. Arcor. Spalten jetico-log: time-action-description-size-protocol-event-attacker-sourcadress-destination-sourceport-destination-application-localadress-remoteadress-localport-misc. ) Firewall-log: ________________ 03.01.2005 8:00:48.250 Policy "Optimal Protection" loaded 03.01.2005 8:00:49.109 ask access to network C:\WINDOWS\system32\csrss.exe PID: 364 03.01.2005 8:00:53.406 Policy "Optimal Protection" loaded 03.01.2005 8:00:53.406 ask access to network C:\WINDOWS\system32\csrss.exe PID: 364 03.01.2005 8:01:24.906 Policy "Optimal Protection" loaded 03.01.2005 8:01:24.921 ask access to network C:\WINDOWS\System32\alg.exe PID: 1128 03.01.2005 8:01:33.421 Policy "Optimal Protection" loaded 03.01.2005 8:02:18.781 ask access to network C:\WINDOWS\system32\cmd.exe PID: 256 03.01.2005 8:02:32.953 Policy "Optimal Protection" loaded 03.01.2005 8:02:32.953 ask access to network C:\WINDOWS\system32\netstat.exe PID: 332 03.01.2005 8:02:38.234 Policy "Optimal Protection" loaded 03.01.2005 8:03:31.546 ask TCP/IP send datagrams C:\WINDOWS\System32\svchost.exe 127.0.0.1 239.255.255.250 3007 1900 PID: 644; Connection: 37 03.01.2005 8:03:31.609 reject Block All not Processed IP Packets 40 2 outgoing packet 145.254.248.248 224.0.0.22 TTL: 1; TOS: 0; ID: 0000 03.01.2005 8:03:32.531 reject Block All not Processed IP Packets 40 2 outgoing packet 145.254.248.248 224.0.0.22 TTL: 1; TOS: 0; ID: 0300 03.01.2005 8:03:33.515 Policy "Optimal Protection" loaded 03.01.2005 8:03:33.515 ask TCP/IP send datagrams C:\WINDOWS\System32\svchost.exe 127.0.0.1 239.255.255.250 3007 1900 PID: 644; Connection: 37 03.01.2005 8:03:44.125 reject Block All not Processed IP Packets 44 TCP incoming packet 202.108.249.206 145.254.248.248 80 29691 TTL: 13; TOS: 0; ID: 0000; TCP flags: RST ACK ; TCP Seq: E5A65A1C 03.01.2005 8:03:48.890 Policy "Optimal Protection" loaded 03.01.2005 8:03:48.890 ask TCP/IP send datagrams C:\WINDOWS\System32\svchost.exe 145.254.248.248 255.255.255.255 68 67 PID: 644; Connection: 45 03.01.2005 8:03:53.453 Policy "Optimal Protection" loaded 03.01.2005 8:03:58.171 reject Block All not Processed IP Packets 48 TCP incoming packet 220.163.252.230 145.254.248.248 1799 5554 TTL: 110; TOS: 0; ID: 3F9F; TCP flags: SYN ; TCP Seq: 5D7AAB00 03.01.2005 8:03:59.203 reject Block All not Processed IP Packets 48 TCP incoming packet 220.163.252.230 145.254.248.248 1998 1023 TTL: 110; TOS: 0; ID: 07A0; TCP flags: SYN ; TCP Seq: 5E13B67D 03.01.2005 8:04:17.281 ask access to network C:\Programme\Mozilla Firefox\firefox.exe PID: 848 03.01.2005 8:04:19.968 Policy "Optimal Protection" loaded 03.01.2005 8:04:25.000 ask TCP/IP outbound connection C:\Programme\Mozilla Firefox\firefox.exe 0.0.0.0 145.253.66.10 3014 80 PID: 848; Connection: 52 03.01.2005 8:04:40.031 Policy "Optimal Protection" loaded 03.01.2005 8:04:48.484 reject Block All not Processed IP Packets 40 TCP outgoing packet 145.254.248.248 145.253.66.10 3014 80 TTL: 128; TOS: 0; ID: 2F00; TCP flags: ACK ; TCP Seq: 210F7F1D 03.01.2005 8:05:02.828 reject Block All not Processed IP Packets 40 TCP incoming packet 145.253.66.10 145.254.248.248 80 3014 TTL: 57; TOS: 0; ID: B623; TCP flags: FIN ACK ; TCP Seq: F1B100C3 03.01.2005 8:05:08.312 reject Block All not Processed IP Packets 40 TCP outgoing packet 145.254.248.248 145.253.66.10 3017 80 TTL: 128; TOS: 0; ID: 4F00; TCP flags: ACK ; TCP Seq: 21517CF3 03.01.2005 8:05:18.203 reject Block All not Processed IP Packets 40 TCP incoming packet 145.253.66.10 145.254.248.248 80 3014 TTL: 57; TOS: 0; ID: B723; TCP flags: FIN ACK ; TCP Seq: F1B100C3 03.01.2005 8:05:24.531 reject Block All not Processed IP Packets 40 TCP incoming packet 145.253.66.10 145.254.248.248 80 3017 TTL: 57; TOS: 0; ID: 9D34; TCP flags: FIN ACK ; TCP Seq: F2F838E9 03.01.2005 8:05:33.640 reject Block All not Processed IP Packets 78 UDP incoming packet 221.233.10.108 145.254.248.248 16364 137 TTL: 46; TOS: 0; ID: 0E74 03.01.2005 8:05:37.125 ask TCP/IP outbound connection C:\Programme\Mozilla Firefox\firefox.exe 0.0.0.0 66.102.9.99 3021 80 PID: 1072; Connection: 6C 03.01.2005 8:05:41.000 Policy "Optimal Protection" loaded 03.01.2005 8:05:41.812 reject Block All not Processed IP Packets 40 TCP incoming packet 145.253.66.10 145.254.248.248 80 3017 TTL: 57; TOS: 0; ID: 9E34; TCP flags: FIN ACK ; TCP Seq: F2F838E9 03.01.2005 8:05:41.859 ask TCP/IP outbound connection C:\Programme\Mozilla Firefox\firefox.exe 0.0.0.0 66.102.9.104 3022 80 PID: 1072; Connection: 6E 03.01.2005 8:05:48.375 reject Block All not Processed IP Packets 40 TCP incoming packet 145.253.66.10 145.254.248.248 80 3014 TTL: 57; TOS: 0; ID: B823; TCP flags: FIN ACK ; TCP Seq: F1B100C3 03.01.2005 8:05:53.468 Policy "Optimal Protection" loaded 03.01.2005 8:05:53.468 ask TCP/IP outbound connection C:\Programme\Mozilla Firefox\firefox.exe 0.0.0.0 66.102.9.104 3022 80 PID: 1072; Connection: 6E 03.01.2005 8:05:59.609 Policy "Optimal Protection" loaded 03.01.2005 8:07:39.687 ask Suspicious process activity attacker installs system-wide windows hook C:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe 03.01.2005 8:07:51.546 Policy "Optimal Protection" loaded 03.01.2005 8:11:18.093 ask Suspicious process activity attacker installs system-wide windows hook C:\Programme\StarOffice7\program\soffice.exe 03.01.2005 8:11:23.171 Policy "Optimal Protection" loaded 03.01.2005 8:25:10.296 ask Suspicious process activity attacker installs system-wide windows hook C:\WINDOWS\Explorer.EXE 03.01.2005 8:25:14.421 Policy "Optimal Protection" loaded 03.01.2005 8:45:07.890 Firewall shutdown completed. 03.01.2005 8:45:24.187 Policy "Optimal Protection" loaded 03.01.2005 8:45:29.312 Policy "Optimal Protection" loaded 03.01.2005 8:45:40.671 Firewall shutdown completed. __________________________________ Ab hier ist Firebird installiert: _________________________________________ 03.01.2005 9:03:49.765 Policy "Optimal Protection" loaded 03.01.2005 9:03:54.984 Policy "Optimal Protection" loaded 03.01.2005 9:06:45.015 Policy "Optimal Protection" loaded 03.01.2005 9:06:45.109 reject Block All not Processed IP Packets 40 2 outgoing packet 212.144.132.13 224.0.0.22 TTL: 1; TOS: 0; ID: 2F01 03.01.2005 9:06:45.843 reject Block All not Processed IP Packets 40 2 outgoing packet 212.144.132.13 224.0.0.22 TTL: 1; TOS: 0; ID: 3301 03.01.2005 9:06:50.015 Policy "Optimal Protection" loaded 03.01.2005 9:07:05.453 ask access to network C:\Programme\Mozilla.org\Firebird\MozillaFirebird.exe PID: 1568 03.01.2005 9:07:09.906 Policy "Optimal Protection" loaded 03.01.2005 9:07:57.875 ask TCP/IP outbound connection C:\Programme\Mozilla.org\Firebird\MozillaFirebird.exe 0.0.0.0 66.102.9.99 3051 80 PID: 1840; Connection: F2 03.01.2005 9:08:01.781 Policy "Optimal Protection" loaded 03.01.2005 9:08:16.859 reject Block All not Processed IP Packets 40 TCP outgoing packet 212.144.132.13 66.102.9.99 3052 80 TTL: 128; TOS: 0; ID: AE01; TCP flags: ACK ; TCP Seq: 54F610AD 03.01.2005 9:08:16.875 reject Block All not Processed IP Packets 40 TCP outgoing packet 212.144.132.13 66.102.9.99 3051 80 TTL: 128; TOS: 0; ID: B301; TCP flags: ACK ; TCP Seq: 54F035B8 03.01.2005 9:08:18.421 reject Block All not Processed IP Packets 40 TCP incoming packet 66.102.9.99 212.144.132.13 80 3051 TTL: 243; TOS: 0; ID: 7B65; TCP flags: FIN ACK ; TCP Seq: 11AFAE08 03.01.2005 9:08:19.875 reject Block All not Processed IP Packets 40 TCP incoming packet 66.102.9.99 212.144.132.13 80 3052 TTL: 242; TOS: 0; ID: ACD9; TCP flags: FIN ACK ; TCP Seq: 264CEC2A 03.01.2005 9:08:21.531 reject Block All not Processed IP Packets 40 TCP incoming packet 66.102.9.99 212.144.132.13 80 3051 TTL: 243; TOS: 0; ID: E7AF; TCP flags: FIN ACK ; TCP Seq: 11AFAE08 03.01.2005 9:08:23.875 reject Block All not Processed IP Packets 40 TCP incoming packet 66.102.9.99 212.144.132.13 80 3052 TTL: 242; TOS: 0; ID: 39CA; TCP flags: FIN ACK ; TCP Seq: 264CEC2A 03.01.2005 9:08:27.750 reject Block All not Processed IP Packets 40 TCP incoming packet 66.102.9.99 212.144.132.13 80 3051 TTL: 243; TOS: 0; ID: BA6D; TCP flags: FIN ACK ; TCP Seq: 11AFAE08 03.01.2005 9:08:31.890 reject Block All not Processed IP Packets 40 TCP incoming packet 66.102.9.99 212.144.132.13 80 3052 TTL: 242; TOS: 0; ID: 4AD5; TCP flags: FIN ACK ; TCP Seq: 264CEC2A 03.01.2005 9:08:40.156 reject Block All not Processed IP Packets 40 TCP incoming packet 66.102.9.99 212.144.132.13 80 3051 TTL: 243; TOS: 0; ID: 693E; TCP flags: FIN ACK ; TCP Seq: 11AFAE08 03.01.2005 9:08:49.859 reject Block All not Processed IP Packets 48 TCP incoming packet 67.167.82.148 212.144.132.13 2071 4662 TTL: 112; TOS: 0; ID: 6BD1; TCP flags: SYN ; TCP Seq: 58367331 03.01.2005 9:08:52.968 reject Block All not Processed IP Packets 48 TCP incoming packet 67.167.82.148 212.144.132.13 2071 4662 TTL: 112; TOS: 0; ID: C0D1; TCP flags: SYN ; TCP Seq: 58367331 03.01.2005 9:09:21.421 ask TCP/IP outbound connection C:\Programme\Mozilla.org\Firebird\MozillaFirebird.exe 0.0.0.0 145.253.66.10 3061 80 PID: 1612; Connection: 118 03.01.2005 9:09:24.703 Policy "Optimal Protection" loaded 03.01.2005 9:09:36.421 ask TCP/IP outbound connection C:\Programme\Mozilla.org\Firebird\MozillaFirebird.exe 0.0.0.0 217.111.11.32 3063 80 PID: 1612; Connection: 11C 03.01.2005 9:09:49.968 Policy "Optimal Protection" loaded 03.01.2005 9:09:49.968 ask TCP/IP outbound connection C:\Programme\Mozilla.org\Firebird\MozillaFirebird.exe 0.0.0.0 217.111.11.32 3063 80 PID: 1612; Connection: 11C 03.01.2005 9:09:54.062 Policy "Optimal Protection" loaded 03.01.2005 9:09:54.062 ask TCP/IP outbound connection C:\Programme\Mozilla.org\Firebird\MozillaFirebird.exe 0.0.0.0 193.97.251.251 3065 80 PID: 1612; Connection: 120 03.01.2005 9:10:00.328 Policy "Optimal Protection" loaded Wodurch lässt sich der Unterschied zwischen Firefox und Bird erklären? Gruesse sg |
|
|
|
|
|
|
03.01.2005, 13:33
Ehrenmitglied
Beiträge: 29434 |
#19
Hallo@schülergerd
Siehst du, ich wusste es doch  Nimm bloss deine Virenschleuder aus dem Netz !!!Du hast drauf, was ich vorausgesagt habe: O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - *http://*207.188.7.150/12dad9d111250fb01c17/netzip/RdxIE601_de.cab* (siehe Thread weiter oben) Mache also folgendes: #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/12dad9d111250fb01c17/netzip/RdxIE601_de.cab PC neustarten http://bilder.informationsarchiv.net/Nikitas_Tools/ Lade: SYS-UP.zip entpacke und klicke: SysUp.exe (DOS oeffnet sich) TrendMikro -->scan -->poste das Scan-Log #eScan-Erkennungstool[/u] ftp://mwti.matrix.lv/download/tools/ erstelle den Ordner c:\bases mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavupd.exe (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein  jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. und ganz unten steht die zusammenfassung, diese auch hier posten  ------------------------------------------------------------------------------------------- Lade: FindIt.zip http://bilder.informationsarchiv.net/Nikitas_Tools/ Lade, entpacke und klicke auf: "find.bat" [ignoriere : File not found messages] <DOS oeffnet sich -->warte den Scan ab --> es oeffnet sich der Texteditor --> und poste den Text von output.txt. FINDnFIX her: http://downloads.subratam.org/FINDnFIX.exe -->!LOG!.bat -->Log.txt --posten StartupList 1.20 http://bilder.informationsarchiv.net/Nikitas_Tools/ klicke : startuplist.exe und kopiere die startuplist.txt ins Forum __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 03.01.2005 um 13:36 Uhr von Sabina editiert.
|
|
|
|
|
|
|
03.01.2005, 17:33
Member
Themenstarter Beiträge: 17 |
#20
Servus Sabina,
geht klar! Werde ich machen. Wird aber seine Zeit dauern. Melde mich dann wieder. Lachen brauchst nicht(war eh von Dir überzeugt). Drei Dinge noch: a) ich lüge nicht und will(/ habe)Dich auch nicht mit falschen Daten in die Irre führen! b) es bleibt weiterhin: MEIN System ist Win98se. c) wie erstelle ich ein hijack für den firefox? Und ausserdem: kann es sein, dass es sehr viele von denen gibt, die das gleiche Problem wie ich haben? Denn ich hab noch jemanden gefunden der auch sowas berichtet!!! Gruesse SchülerG |
|
|
|
|
|
|
05.01.2005, 18:21
Member
Themenstarter Beiträge: 17 |
#21
Hallo Sabina,
habe versucht Deine Reihenfolge einzuhalten. Bin nicht als Administrator in den abgesicherten Modus sondern unter Benutzerkonto "microsoft". Von dort konnte ich nicht ins Internet(tu-berlin....). escan: habe den Button "Scan/ Clean" gedrückt: files scanned 30657, number of errors 4, sonst alles 0, time elapsed 00:42:32. "mwav.txt" war nicht auffindbar! escan-Startfenster unten rechts: "Virus(es) Count 114718". FindIt: cmd.exe lief, dos-fenster 1. Zeile: "Datei fehlt", nach Beendigung kein output.txt mehr vorhanden. Habe aber vorher auf Diskette abgespeichert. FindnFix: no access; konnte nicht heruntergeladen werden. Was soll ich nun machen? Hier die logs: ____________________ 1.) sysclean.log: 2005-01-04, 19:30:12, Auto-clean mode specified. 2005-01-04, 19:30:12, Running scanner "C:\TEMP\SYS-UP\TSC.BIN"... 2005-01-04, 19:30:28, Scanner "C:\TEMP\SYS-UP\TSC.BIN" has finished running. 2005-01-04, 19:30:28, TSC Log: Damage Cleanup Engine (DCE) 3.8(Build 1019) Windows XP(Build 2600: Service Pack 1) Start time : Di Jan 04 2005 19:30:12 Load Damage Cleanup Template (DCT) "C:\TEMP\SYS-UP\tsc.ptn" (version 477) [success] Complete time : Di Jan 04 2005 19:30:28 Execute pattern count(1644), Virus found count(0), Virus clean count(0), Clean failed count(0) 2005-01-04, 19:30:41, An error occurred while scanning file "C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT": Zugriff verweigert 2005-01-04, 19:30:41, An error occurred while scanning file "C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG": Zugriff verweigert 2005-01-04, 19:30:41, An error occurred while scanning file "C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat": Zugriff verweigert 2005-01-04, 19:30:41, An error occurred while scanning file "C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG": Zugriff verweigert 2005-01-04, 19:30:41, An error occurred while scanning file "C:\Dokumente und Einstellungen\Microsoft\NTUSER.DAT": Zugriff verweigert 2005-01-04, 19:30:41, An error occurred while scanning file "C:\Dokumente und Einstellungen\Microsoft\ntuser.dat.LOG": Zugriff verweigert 2005-01-04, 19:30:49, An error occurred while scanning file "C:\Dokumente und Einstellungen\Microsoft\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat": Zugriff verweigert 2005-01-04, 19:30:49, An error occurred while scanning file "C:\Dokumente und Einstellungen\Microsoft\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG": Zugriff verweigert 2005-01-04, 19:30:53, An error occurred while scanning file "C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT": Zugriff verweigert 2005-01-04, 19:30:53, An error occurred while scanning file "C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG": Zugriff verweigert 2005-01-04, 19:30:53, An error occurred while scanning file "C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat": Zugriff verweigert 2005-01-04, 19:30:53, An error occurred while scanning file "C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG": Zugriff verweigert 2005-01-04, 19:33:54, An error was detected on "C:\System Volume Information\*.*": Zugriff verweigert 2005-01-04, 19:33:59, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB824141$\user32.dll": Zugriff verweigert 2005-01-04, 19:33:59, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB824141$\win32k.sys": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\accwiz.exe": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\crypt32.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\cryptsvc.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\hh.exe": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\hhctrl.ocx": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\hhsetup.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\html32.cnv": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\itss.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\locator.exe": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\magnify.exe": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\migwiz.exe": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\mrxsmb.sys": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\msconv97.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\narrator.exe": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\newdev.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\ntdll.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\ntkrnlpa.exe": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\ntoskrnl.exe": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\osk.exe": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\pchshell.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\raspptp.sys": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\shell32.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\shmedia.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\srrstr.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\srv.sys": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\sysmain.sdb": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\user32.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\win32k.sys": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\winsrv.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826939$\zipfldr.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826942$\dhcpcsvc.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826942$\ndis.sys": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826942$\ndisuio.sys": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826942$\netshell.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826942$\wzcdlg.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826942$\wzcsapi.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB826942$\wzcsvc.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB828035$\msgsvc.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB828035$\wkssvc.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB829558$\dao360.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB829558$\expsrv.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB829558$\msexch40.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB829558$\msexcl40.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB829558$\msjet40.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB829558$\msjetol1.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB829558$\msjetoledb40.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB829558$\msjint40.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB829558$\msjter40.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB829558$\msjtes40.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB829558$\msltus40.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB829558$\mspbde40.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB829558$\msrd2x40.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB829558$\msrd3x40.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB829558$\msrepl40.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB829558$\mstext40.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB829558$\mswdat10.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB829558$\mswstr10.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB829558$\msxbde40.dll": Zugriff verweigert 2005-01-04, 19:34:00, Could not set file for reading on "C:\WINDOWS\$NtUninstallKB829558$\vbajet32.dll": Zugriff verweigert 2005-01-04, 19:34:01, Could not set file for reading on "C:\WINDOWS\$NtUninstallQ828026$\msdxm.ocx": Zugriff verweigert 2005-01-04, 19:34:01, Could not set file for reading on "C:\WINDOWS\$NtUninstallQ828026$\wmp.dll": Zugriff verweigert 2005-01-04, 19:35:20, Could not set file for reading on "C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf": Zugriff verweigert 2005-01-04, 19:35:20, Could not set file for reading on "C:\WINDOWS\Prefetch\EXPLORER.EXE-082F38A9.pf": Zugriff verweigert 2005-01-04, 19:35:20, Could not set file for reading on "C:\WINDOWS\Prefetch\LOGON.SCR-151EFAEA.pf": Zugriff verweigert 2005-01-04, 19:35:20, Could not set file for reading on "C:\WINDOWS\Prefetch\NETSTAT.EXE-2B2B4428.pf": Zugriff verweigert 2005-01-04, 19:35:20, Could not set file for reading on "C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf": Zugriff verweigert 2005-01-04, 19:35:20, Could not set file for reading on "C:\WINDOWS\Prefetch\NTVDM.EXE-1A10A423.pf": Zugriff verweigert 2005-01-04, 19:35:20, Could not set file for reading on "C:\WINDOWS\Prefetch\SYSCLEAN.COM-1B1F66EE.pf": Zugriff verweigert 2005-01-04, 19:35:20, Could not set file for reading on "C:\WINDOWS\Prefetch\SYSCLEAN.EXE-2DDB9BB8.pf": Zugriff verweigert 2005-01-04, 19:35:20, Could not set file for reading on "C:\WINDOWS\Prefetch\TSC.BIN-1C4817E0.pf": Zugriff verweigert 2005-01-04, 19:35:20, Could not set file for reading on "C:\WINDOWS\Prefetch\WGET.EXE-1BD0F98C.pf": Zugriff verweigert 2005-01-04, 19:36:12, An error occurred while scanning file "C:\WINDOWS\system32\config\default": Zugriff verweigert 2005-01-04, 19:36:12, An error occurred while scanning file "C:\WINDOWS\system32\config\default.LOG": Zugriff verweigert 2005-01-04, 19:36:12, An error occurred while scanning file "C:\WINDOWS\system32\config\SAM": Zugriff verweigert 2005-01-04, 19:36:12, An error occurred while scanning file "C:\WINDOWS\system32\config\SAM.LOG": Zugriff verweigert 2005-01-04, 19:36:12, An error occurred while scanning file "C:\WINDOWS\system32\config\SECURITY": Zugriff verweigert 2005-01-04, 19:36:12, An error occurred while scanning file "C:\WINDOWS\system32\config\SECURITY.LOG": Zugriff verweigert 2005-01-04, 19:36:12, An error occurred while scanning file "C:\WINDOWS\system32\config\software": Zugriff verweigert 2005-01-04, 19:36:12, An error occurred while scanning file "C:\WINDOWS\system32\config\software.LOG": Zugriff verweigert 2005-01-04, 19:36:13, An error occurred while scanning file "C:\WINDOWS\system32\config\system": Zugriff verweigert 2005-01-04, 19:36:13, An error occurred while scanning file "C:\WINDOWS\system32\config\system.LOG": Zugriff verweigert 2005-01-04, 19:37:13, Running scanner "C:\TEMP\SYS-UP\VSCANTM.BIN"... 2005-01-04, 19:45:20, Files Detected: Copyright (c) 1990 - 2004 Trend Micro Inc. Report Date : 1/4/2005 19:37:13 VSAPI Engine Version : 7.000-1004 VSCANTM Version : 1.1-1001 Virus Pattern Version : 333 (84580 Patterns) (2005/01/04) (233300) Command Line: C:\TEMP\SYS-UP\VSCANTM.BIN /NBPM /S /CLEANALL /LAPPEND /LD /LC /LCF /NM /NB /C /ACTIVEACTION=5 C:\*.* /P=C:\TEMP\SYS-UP 28519 files have been read. 28519 files have been checked. 22035 files have been scanned. 43346 files have been scanned. (including files in archived) 0 files containing viruses. Found 0 viruses totally. Maybe 0 viruses totally. Stop At : 1/4/2005 19:45:20 ---------*---------*---------*---------*---------*---------*---------*---------* 2005-01-04, 19:45:20, Files Clean: Copyright (c) 1990 - 2004 Trend Micro Inc. Report Date : 1/4/2005 19:37:13 VSAPI Engine Version : 7.000-1004 VSCANTM Version : 1.1-1001 Virus Pattern Version : 333 (84580 Patterns) (2005/01/04) (233300) Command Line: C:\TEMP\SYS-UP\VSCANTM.BIN /NBPM /S /CLEANALL /LAPPEND /LD /LC /LCF /NM /NB /C /ACTIVEACTION=5 C:\*.* /P=C:\TEMP\SYS-UP 28519 files have been read. 28519 files have been checked. 22035 files have been scanned. 43346 files have been scanned. (including files in archived) 0 files containing viruses. Found 0 viruses totally. Maybe 0 viruses totally. Stop At : 1/4/2005 19:45:20 8 minutes 6 seconds (485.88 seconds) has elapsed. ---------*---------*---------*---------*---------*---------*---------*---------* 2005-01-04, 19:45:20, Clean Fail: Copyright (c) 1990 - 2004 Trend Micro Inc. Report Date : 1/4/2005 19:37:13 VSAPI Engine Version : 7.000-1004 VSCANTM Version : 1.1-1001 Virus Pattern Version : 333 (84580 Patterns) (2005/01/04) (233300) Command Line: C:\TEMP\SYS-UP\VSCANTM.BIN /NBPM /S /CLEANALL /LAPPEND /LD /LC /LCF /NM /NB /C /ACTIVEACTION=5 C:\*.* /P=C:\TEMP\SYS-UP 28519 files have been read. 28519 files have been checked. 22035 files have been scanned. 43346 files have been scanned. (including files in archived) 0 files containing viruses. Found 0 viruses totally. Maybe 0 viruses totally. Stop At : 1/4/2005 19:45:20 8 minutes 6 seconds (485.88 seconds) has elapsed. ---------*---------*---------*---------*---------*---------*---------*---------* 2005-01-04, 19:45:20, Scanner "C:\TEMP\SYS-UP\VSCANTM.BIN" has finished running. 2005-01-04, 19:45:20, An error was detected on "D:\System Volume Information\*.*": Zugriff verweigert 2005-01-04, 19:46:13, Running scanner "C:\TEMP\SYS-UP\VSCANTM.BIN"... 2005-01-04, 19:46:48, Files Detected: Copyright (c) 1990 - 2004 Trend Micro Inc. Report Date : 1/4/2005 19:46:15 VSAPI Engine Version : 7.000-1004 VSCANTM Version : 1.1-1001 Virus Pattern Version : 333 (84580 Patterns) (2005/01/04) (233300) Command Line: C:\TEMP\SYS-UP\VSCANTM.BIN /NBPM /S /CLEANALL /LAPPEND /LD /LC /LCF /NM /NB /C /ACTIVEACTION=5 D:\*.* /P=C:\TEMP\SYS-UP 1439 files have been read. 1439 files have been checked. 1334 files have been scanned. 1847 files have been scanned. (including files in archived) 0 files containing viruses. Found 0 viruses totally. Maybe 0 viruses totally. Stop At : 1/4/2005 19:46:48 ---------*---------*---------*---------*---------*---------*---------*---------* 2005-01-04, 19:46:48, Files Clean: Copyright (c) 1990 - 2004 Trend Micro Inc. Report Date : 1/4/2005 19:46:15 VSAPI Engine Version : 7.000-1004 VSCANTM Version : 1.1-1001 Virus Pattern Version : 333 (84580 Patterns) (2005/01/04) (233300) Command Line: C:\TEMP\SYS-UP\VSCANTM.BIN /NBPM /S /CLEANALL /LAPPEND /LD /LC /LCF /NM /NB /C /ACTIVEACTION=5 D:\*.* /P=C:\TEMP\SYS-UP 1439 files have been read. 1439 files have been checked. 1334 files have been scanned. 1847 files have been scanned. (including files in archived) 0 files containing viruses. Found 0 viruses totally. Maybe 0 viruses totally. Stop At : 1/4/2005 19:46:48 33 seconds (32.75 seconds) has elapsed. ---------*---------*---------*---------*---------*---------*---------*---------* 2005-01-04, 19:46:48, Clean Fail: Copyright (c) 1990 - 2004 Trend Micro Inc. Report Date : 1/4/2005 19:46:15 VSAPI Engine Version : 7.000-1004 VSCANTM Version : 1.1-1001 Virus Pattern Version : 333 (84580 Patterns) (2005/01/04) (233300) Command Line: C:\TEMP\SYS-UP\VSCANTM.BIN /NBPM /S /CLEANALL /LAPPEND /LD /LC /LCF /NM /NB /C /ACTIVEACTION=5 D:\*.* /P=C:\TEMP\SYS-UP 1439 files have been read. 1439 files have been checked. 1334 files have been scanned. 1847 files have been scanned. (including files in archived) 0 files containing viruses. Found 0 viruses totally. Maybe 0 viruses totally. Stop At : 1/4/2005 19:46:48 33 seconds (32.75 seconds) has elapsed. ---------*---------*---------*---------*---------*---------*---------*---------* 2005-01-04, 19:46:48, Scanner "C:\TEMP\SYS-UP\VSCANTM.BIN" has finished running. 2005-01-04, 19:46:49, Running scanner "C:\TEMP\SYS-UP\VSCANTM.BIN"... 2005-01-04, 19:46:51, Files Detected: Copyright (c) 1990 - 2004 Trend Micro Inc. Report Date : 1/4/2005 19:46:50 VSAPI Engine Version : 7.000-1004 VSCANTM Version : 1.1-1001 Virus Pattern Version : 333 (84580 Patterns) (2005/01/04) (233300) Command Line: C:\TEMP\SYS-UP\VSCANTM.BIN /NBPM /S /CLEANALL /LAPPEND /LD /LC /LCF /NM /NB /C /ACTIVEACTION=5 E:\*.* /P=C:\TEMP\SYS-UP 40 files have been read. 40 files have been checked. 36 files have been scanned. 36 files have been scanned. (including files in archived) 0 files containing viruses. Found 0 viruses totally. Maybe 0 viruses totally. Stop At : 1/4/2005 19:46:51 ---------*---------*---------*---------*---------*---------*---------*---------* 2005-01-04, 19:46:51, Files Clean: Copyright (c) 1990 - 2004 Trend Micro Inc. Report Date : 1/4/2005 19:46:50 VSAPI Engine Version : 7.000-1004 VSCANTM Version : 1.1-1001 Virus Pattern Version : 333 (84580 Patterns) (2005/01/04) (233300) Command Line: C:\TEMP\SYS-UP\VSCANTM.BIN /NBPM /S /CLEANALL /LAPPEND /LD /LC /LCF /NM /NB /C /ACTIVEACTION=5 E:\*.* /P=C:\TEMP\SYS-UP 40 files have been read. 40 files have been checked. 36 files have been scanned. 36 files have been scanned. (including files in archived) 0 files containing viruses. Found 0 viruses totally. Maybe 0 viruses totally. Stop At : 1/4/2005 19:46:51 1 second (1.06 seconds) has elapsed. ---------*---------*---------*---------*---------*---------*---------*---------* 2005-01-04, 19:46:51, Clean Fail: Copyright (c) 1990 - 2004 Trend Micro Inc. Report Date : 1/4/2005 19:46:50 VSAPI Engine Version : 7.000-1004 VSCANTM Version : 1.1-1001 Virus Pattern Version : 333 (84580 Patterns) (2005/01/04) (233300) Command Line: C:\TEMP\SYS-UP\VSCANTM.BIN /NBPM /S /CLEANALL /LAPPEND /LD /LC /LCF /NM /NB /C /ACTIVEACTION=5 E:\*.* /P=C:\TEMP\SYS-UP 40 files have been read. 40 files have been checked. 36 files have been scanned. 36 files have been scanned. (including files in archived) 0 files containing viruses. Found 0 viruses totally. Maybe 0 viruses totally. Stop At : 1/4/2005 19:46:51 1 second (1.06 seconds) has elapsed. ---------*---------*---------*---------*---------*---------*---------*---------* 2005-01-04, 19:46:51, Scanner "C:\TEMP\SYS-UP\VSCANTM.BIN" has finished running. __________________________________________________________________-- 2.) output.txt: Warning! This utility will find legitimate files in addition to malware. Do not remove anything unless you are sure you know what you're doing. ------- System Files in System32 Directory ------- Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2C10-ED01 Verzeichnis von C:\WINDOWS\System32 23.12.2004 11:24 <DIR> dllcache 11.11.2003 22:51 <DIR> Microsoft 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 15.167.156.224 Bytes frei ------- Hidden Files in System32 Directory ------- Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2C10-ED01 Verzeichnis von C:\WINDOWS\System32 23.12.2004 11:24 <DIR> dllcache 11.11.2003 21:28 488 logonui.exe.manifest 11.11.2003 21:28 488 WindowsLogon.manifest 11.11.2003 21:28 749 nwc.cpl.manifest 11.11.2003 21:28 749 sapi.cpl.manifest 11.11.2003 21:28 749 wuaucpl.cpl.manifest 11.11.2003 21:28 749 cdplayer.exe.manifest 11.11.2003 21:28 749 ncpa.cpl.manifest 7 Datei(en) 4.721 Bytes 1 Verzeichnis(se), 15.167.152.128 Bytes frei ---------- Files Named "Guard" ------------- Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2C10-ED01 Verzeichnis von C:\WINDOWS\System32 --------- Temp Files in System32 Directory -------- Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2C10-ED01 Verzeichnis von C:\WINDOWS\System32 29.08.2002 13:00 2.951 CONFIG.TMP 1 Datei(en) 2.951 Bytes 0 Verzeichnis(se), 15.167.152.128 Bytes frei ---------------- User Agent ------------ REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] ------------ Keys Under Notify ------------ REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui] @="" "DLLName"="igfxsrvc.dll" "Asynchronous"=dword:00000001 "Impersonate"=dword:00000001 "Unlock"="WinlogonUnlockEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 ---------------- Xfind Results ----------------- -------------- Locate.com Results --------------- No matches found. ________________________________________________________________________________ 3.) Startuplist.txt StartupList report, 05.01.2005, 17:30:40 StartupList version: 1.34.0 Started from : C:\Temp\StartupList.EXE Detected: Windows XP SP1 (WinNT 5.01.2600) Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106) * Using default options ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Temp\StartupList.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run SoundMan = SOUNDMAN.EXE IgfxTray = C:\WINDOWS\System32\igfxtray.exe HotKeysCmds = C:\WINDOWS\System32\hkcmd.exe NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe HPDJ Taskbar Utility = C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe JeticoPFStartup = "C:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe" -------------------------------------------------- Enumerating Active Setup stub paths: HKLM\Software\Microsoft\Active Setup\Installed Components (* = disabled by HKCU twin) [>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP [>{26923b43-4d38-484f-9b9e-de460746276c}] * StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE [>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] * StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE [{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] * StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll [{306D6C21-C1B6-4629-986C-E59E1875B8AF}] * StubPath = "C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",HideIconsUser [{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] * StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install [{7790769C-0471-11d2-AF11-00C04FA35D02}] * StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install [{89820200-ECBD-11cf-8B85-00AA005B4340}] * StubPath = regsvr32.exe /s /n /i:U shell32.dll [{89820200-ECBD-11cf-8B85-00AA005B4383}] * StubPath = %SystemRoot%\system32\ie4uinit.exe [{89B4C1CD-B018-4511-B0A1-5476DBF70820}] * StubPath = C:\WINDOWS\System32\Rundll32.exe C:\WINDOWS\System32\mscories.dll,Install -------------------------------------------------- Checking for EXPLORER.EXE instances: C:\WINDOWS\Explorer.exe: PRESENT! C:\Explorer.exe: not present C:\WINDOWS\Explorer\Explorer.exe: not present C:\WINDOWS\System\Explorer.exe: not present C:\WINDOWS\System32\Explorer.exe: not present C:\WINDOWS\Command\Explorer.exe: not present -------------------------------------------------- Checking for superhidden extensions: .lnk: HIDDEN! (arrow overlay: yes) .pif: HIDDEN! (arrow overlay: yes) .exe: not hidden .com: not hidden .bat: not hidden .hta: not hidden .scr: not hidden .shs: HIDDEN! .shb: HIDDEN! .vbs: not hidden .vbe: not hidden .wsh: not hidden .scf: HIDDEN! (arrow overlay: NO!) .url: HIDDEN! (arrow overlay: yes) .js: not hidden .jse: not hidden -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -------------------------------------------------- Enumerating Download Program Files: [Shockwave ActiveX Control] InProcServer32 = C:\WINDOWS\system32\Macromed\Director\SwDir.dll CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab [Office Update Installation Engine] InProcServer32 = C:\WINDOWS\opuc.dll CODEBASE = http://office.microsoft.com/officeupdate/content/opuc.cab [Update Class] InProcServer32 = C:\WINDOWS\System32\iuctl.dll CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37936.6149189815 [Shockwave Flash Object] InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab -------------------------------------------------- End of report, 5.020 bytes Report generated in 0,281 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only _______________ Sind ja nun eine ganze Menge neuer Dateien vorhanden. Gruesse Schülerg |
|
|
|
|
|
|
05.01.2005, 19:10
Ehrenmitglied
Beiträge: 29434 |
#22
Hallo@schülerger
------------------------------------------------------------------------------------------ Mache bitte folgendes: lade: #Antivirus (free) --<ware den Installation in aller Ruhe ab, dann konfiguriere http://www.free-av.de/ gehe in den abgesicherten Modus, wenn du (du brauchst keine Internetverbindung, wenn du einen Virenscann durchfuehrst...also bitte halte dich an meine Anweisungen...ich habe meine Gruende dafuer) und mache einen Komplettscann. Danach kopierst du bitte das komplette SCannlog ins Forum [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien und das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 05.01.2005 um 19:25 Uhr von Sabina editiert.
|
|
|
|
|
|
|
05.01.2005, 19:20
Ehrenmitglied
Beiträge: 29434 |
#23
Zitat schülergerd posteteDu hast meiner Meinung nach Win98, und XP Hijacklog: Logfile of HijackThis v1.99.0 (BETA) Scan saved at 17:55:12, on 15.12.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.00 (5.00.2713.3500) Windows XP(Build 2600: Service Pack 1) Du postest also von zwei verschiedenen Betriebssystemen ..... Vielleicht einigen wir uns mal auf eins ???  __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 05.01.2005 um 19:26 Uhr von Sabina editiert.
|
|
|
|
|
|
|
05.01.2005, 23:15
Member
Themenstarter Beiträge: 17 |
#24
So Sabina,
Hab installiertrt, dann in abg. Modus; antivir scheint keine Viren gefunden zu haben. Aber das xp verhält sich jetzt wirklich wie ne Virenschleuder. Mit dem kann man nicht mehr ins Netz gehen.Was soll ich nun machen? Werde frühestens morgen wieder antworten können. __________________________________________________________________ Antivirlog: Erstellungsdatum der Reportdatei: Mittwoch, 5. Januar 2005 21:59 AntiVir®/XP (2000 + NT) Personal Edition v6.29.00.03 vom 13.12.2004 VDF-Datei v6.29.0.51 (0) vom 05.01.2005 Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt. Jede andere Verwendung ist NICHT gestattet. Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei: www.antivir.de. Es wird nach 95076 Viren bzw. unerwünschten Programmen gesucht. Lizenznehmer: AntiVir Personal Edition Seriennummer: 0000149996-ADJIE-0001 FUSE: Grundlizenz Bitte tragen Sie in dieses Formular den Rechnerstandort und den zuständigen Ansprechpartner mit Telefonnummer ein: Name ___________________________________________ Straße ___________________________________________ PLZ/Ort ___________________________________________ Telefon/Fax ___________________________________________ EMail ___________________________________________ Plattform: Windows NT Workstation Windows-Version: 5.1 Build 2600 (Service Pack 1) Benutzername: Microsoft Computername: COMPUTER Prozessor: Pentium Arbeitsspeicher: 253424 KB frei Versionsinformationen: AVWIN.DLL : v6.29.00.03 524328 13.12.2004 11:45:58 AVEWIN32.DLL : v6.29.0.5 782848 15.12.2004 10:03:52 AVGNT.EXE : v6.28.00.02 127016 08.11.2004 08:12:44 AVGUARD.EXE : v6.29.00.03 241704 17.11.2004 14:44:04 GUARDMSG.DLL : v6.28.00.02 98344 30.09.2004 08:10:44 AVGCMSG.DLL : v6.28.00.02 266280 08.11.2004 08:12:44 AVGNTDD.SYS : v6.29.00.02 32560 10.12.2004 12:46:28 AVPACK32.DLL : v6, 28, 0, 4 303144 28.10.2004 10:37:46 AVGETVER.DLL : v6.22.00.00 24576 30.09.2004 08:10:40 AVWIN.DLL : v6.29.00.03 524328 13.12.2004 11:45:58 AVSHLEXT.DLL : v6.22.00.00 57344 30.09.2004 08:10:42 AVSched32.EXE : v6.29.00.00 110632 19.11.2004 12:04:14 AVSched32.DLL : v6.28.00.01 122880 30.09.2004 08:10:42 AVREG.DLL : v6.27.00.01 41000 30.09.2004 08:10:42 AVRep.DLL : v6.29.00.44 839720 31.12.2004 10:24:50 INETUPD.EXE : v6.29.00.02 262203 23.11.2004 12:51:52 INETUPD.DLL : v6.29.00.02 159815 23.11.2004 12:51:52 CTL3D32.DLL : v2.31.000 27136 29.08.2002 13:00:00 MFC42.DLL : v6.00.8665.0 995383 29.08.2002 13:00:00 MSVCRT.DLL : v7.0.2600.1106 (xpsp1.020828-1920 MSVCRT.DLL : v7.0.2600.1106 323072 29.08.2002 13:00:00 CTL3DV2.DLL : Keine Information Konfigurationsdaten: Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG Startpfad: C:\Programme\AVPersonal Kommandozeile: Startmodus: unbekannt Modus der Reportdatei: [ ] Kein Report erstellen [X] Report überschreiben [ ] Neuen Report anhängen Daten in Reportdatei: [X] Infizierte Dateien [ ] Infizierte Dateien mit Pfaden [ ] Alle durchsuchten Dateien [ ] Komplette Information Reportdatei kürzen: [ ] Reportdatei kürzen Warnungen im Report: [X] Zugriffsfehler/Datei gesperrt [X] Falsche Dateigröße im Verzeichnis [X] Falsche Erstellungszeit im Verzeichnis [ ] COM-Datei zu groß [X] Ungültige Startadresse [X] Ungültiger EXE-Header [X] Möglicherweise beschädigt Kurzreport: [X] Kurzreport erstellen Ausgabedatei: AVWIN.ACT Maximale Anzahl Einträge: 100 Wo zu suchen ist: [X] Speicher [X] Bootsektor Suchlaufwerke [X] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien Reaktion bei Fund: [X] Reparieren mit Rückfrage [ ] Reparieren ohne Rückfrage [ ] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Nur in Logdatei aufzeichnen [X] Akustische Warnung Reaktion bei defekten Dateien: [X] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Ignorieren Reaktion bei defekten Dateien: [X] Nicht verändern [ ] Aktuelle Systemzeit [ ] Datum korrigieren Drag&Drop-Einstellungen: [X] Unterverzeichnisse durchsuchen Profil-Einstellungen: [X] Unterverzeichnisse durchsuchen Einstellungen der Archive [X] Archive durchsuchen [X] Alle Archive-Typen Diverse Optionen: Temporärer Pfad: %TEMP% -> C:\DOKUME~1\MICROS~1\LOKALE~1\Temp [X] Virulente Dateien überschreiben [ ] Leerlaufzeit entdecken [X] Stoppen der Prüfung zulassen [ ] AVWin®/NT Guard beim Systemstart laden Allgemeine Einstellungen: [X] Einstellungen beim Beenden speichern Priorität: mittel Laufwerke: A: Diskettenlaufwerk C: Festplatte D: Festplatte E: Festplatte F: CDRom Start des Suchlaufs: Mittwoch, 5. Januar 2005 21:59 Speichertest OK Master-Bootsektor von Festplatte HD0 OK Bootsektor von Laufwerk C: OK Bootsektor von Laufwerk D: OK Bootsektor von Laufwerk E: OK C:\ pagefile.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Microsoft NTUSER.DAT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ntuser.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Microsoft\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows UsrClass.dat Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! UsrClass.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! Fehler beim Wechsel in das Verzeichnis System Volume Information C:\WINDOWS\$NtUninstallKB824141$ user32.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! win32k.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\$NtUninstallKB826939$ accwiz.exe Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! crypt32.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! cryptsvc.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! hh.exe Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! hhctrl.ocx Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! hhsetup.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! html32.cnv Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! itss.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! locator.exe Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! magnify.exe Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! migwiz.exe Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! mrxsmb.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msconv97.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! narrator.exe Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! newdev.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ntdll.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ntkrnlpa.exe Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ntoskrnl.exe Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! osk.exe Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! pchshell.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! raspptp.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! shell32.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! shmedia.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! srrstr.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! srv.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! sysmain.sdb Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! user32.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! win32k.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! winsrv.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! zipfldr.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\$NtUninstallKB826942$ dhcpcsvc.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ndis.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ndisuio.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! netshell.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! wzcdlg.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! wzcsapi.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! wzcsvc.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\$NtUninstallKB828035$ msgsvc.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! wkssvc.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\$NtUninstallKB829558$ dao360.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! expsrv.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msexch40.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msexcl40.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msjet40.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msjetol1.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msjetoledb40.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msjint40.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msjter40.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msjtes40.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msltus40.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! mspbde40.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msrd2x40.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msrd3x40.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msrepl40.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! mstext40.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! mswdat10.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! mswstr10.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msxbde40.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! vbajet32.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\$NtUninstallQ828026$ msdxm.ocx Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! wmp.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\system32\config default Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! default.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! software Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! software.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! system Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! system.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! Fehler beim Wechsel in das Verzeichnis System Volume Information Ende des Suchlaufs: Mittwoch, 5. Januar 2005 22:40 Benötigte Zeit: 40:37 min 2090 Verzeichnisse wurden durchsucht 67517 Dateien wurden geprüft 78 Warnungen wurden ausgegeben 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Viren bzw. unerwünschte Programme wurden gefunden ____________________________________________________________- hijackthis: Logfile of HijackThis v1.99.0 (BETA) Scan saved at 22:52:51, on 05.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\Microsoft\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis199_beta.zip\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe" O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: CA-Lizenz-Client - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe ________________________________- Gruesse schülergerd |
|
|
|
|
|
|
06.01.2005, 15:01
Ehrenmitglied
Beiträge: 29434 |
#25
Hallo@
loesche alles, was du vom escan (mwav.exe) geladen hattest. erstelle den Ordner c:\bases gehe auf meine Site und: http://bilder.informationsarchiv.net/Nikitas_Tools/ mwav.exe runterladen, die Datei in c:\bases entpacken und danach kavupd.exe (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. dann poste das Log vom SCan -------------------------------------------------------------------------------------------- Download GetService.zip Extract it to a new folder on the desktop. http://www.windowsbbs.com/showthread.php?p=205681#post205681 Open the folder and double click on the Getservice.bat file to run it. This will create and open a text file named getservice.txt in the same folder. Copy and paste the contents here. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.01.2005 um 15:06 Uhr von Sabina editiert.
|
|
|
|
|
|
|
08.01.2005, 12:42
Member
Themenstarter Beiträge: 17 |
#26
Hallo Sabina,
konnte nun die Seite "Abgesicherter Modus" runterladen: Systemwiederherstellung aus, angemeldet als Administrator, und dort beide logs erstellt. Soll ich escan-log wirklich hier ins Forum posten, da sehr gross: 3MB ? Kann ich private Dateinamen im log aus "Eigene Dateien" (sind nicht viele) umbenennen? (Privatsphäre) Gruesse schülerg |
|
|
|
|
|
|
08.01.2005, 15:07
Ehrenmitglied
Beiträge: 29434 |
#27
Hallo@
Kopiere nur raus, was infiziert ist + Kommentare (deleted ...usw.) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
08.01.2005, 16:57
Member
Themenstarter Beiträge: 17 |
#28
Hallo Sabina,
habe paar Ausschnitte und hoffentlich das Nötige rauskopiert aus escan-log. ___________ mwav.log: Sat Jan 08 10:46:02 2005 => ********************************************************** Sat Jan 08 10:46:02 2005 => eScan AntiVirus Toolkit Utility. Sat Jan 08 10:46:02 2005 => Copyright © 2003-2004, MicroWorld Technologies Inc. Sat Jan 08 10:46:02 2005 => ********************************************************** Sat Jan 08 10:46:02 2005 => Version 4.1.9 Sat Jan 08 10:46:02 2005 => Log File: C:\DOKUME~1\MICROS~1\LOKALE~1\Temp\mwav.log Sat Jan 08 10:46:02 2005 => Latest Date of files inside MWAV: 19 Feb 2004 00:03:36. Sat Jan 08 10:46:03 2005 => AV Library Loaded... Sat Jan 08 10:46:03 2005 => Scanning File C:\DOKUME~1\MICROS~1\LOKALE~1\Temp\kavss.exe Sat Jan 08 10:46:03 2005 => Scanning File C:\DOKUME~1\MICROS~1\LOKALE~1\Temp\Getvlist.exe Sat Jan 08 10:46:04 2005 => Scanning File C:\DOKUME~1\MICROS~1\LOKALE~1\Temp\kavss.dll Sat Jan 08 10:46:04 2005 => Scanning File C:\DOKUME~1\MICROS~1\LOKALE~1\Temp\kavssdi.dll Sat Jan 08 10:46:04 2005 => Scanning File C:\DOKUME~1\MICROS~1\LOKALE~1\Temp\kavssi.dll Sat Jan 08 10:46:04 2005 => Scanning File C:\DOKUME~1\MICROS~1\LOKALE~1\Temp\kavvlg.dll Sat Jan 08 10:46:04 2005 => Scanning File C:\DOKUME~1\MICROS~1\LOKALE~1\Temp\msvlclnt.dll Sat Jan 08 10:46:04 2005 => Scanning File C:\DOKUME~1\MICROS~1\LOKALE~1\Temp\ipc.dll Sat Jan 08 10:46:04 2005 => Scanning File C:\DOKUME~1\MICROS~1\LOKALE~1\Temp\main.avi Sat Jan 08 10:46:04 2005 => Scanning File C:\DOKUME~1\MICROS~1\LOKALE~1\Temp\virus.avi Sat Jan 08 10:46:04 2005 => Virus Database Date: 2004/02/19 Sat Jan 08 10:46:04 2005 => Virus Database Count: 84965 Sat Jan 08 11:05:13 2005 => ********************************************************** Sat Jan 08 11:05:13 2005 => eScan AntiVirus Toolkit Utility. Sat Jan 08 11:05:13 2005 => Copyright © 2003-2004, MicroWorld Technologies Inc. Sat Jan 08 11:05:13 2005 => ********************************************************** Sat Jan 08 11:05:13 2005 => Version 4.1.9 Sat Jan 08 11:05:13 2005 => Log File: C:\bases\mwav.log Sat Jan 08 11:05:13 2005 => Latest Date of files inside MWAV: 08 Jan 2005 11:00:53. Sat Jan 08 11:05:18 2005 => AV Library Loaded... Sat Jan 08 11:05:18 2005 => Scanning File C:\bases\kavss.exe Sat Jan 08 11:05:18 2005 => Scanning File C:\bases\Getvlist.exe Sat Jan 08 11:05:18 2005 => Scanning File C:\bases\kavss.dll Sat Jan 08 11:05:18 2005 => Scanning File C:\bases\kavssdi.dll Sat Jan 08 11:05:18 2005 => Scanning File C:\bases\kavssi.dll Sat Jan 08 11:05:18 2005 => Scanning File C:\bases\kavvlg.dll Sat Jan 08 11:05:18 2005 => Scanning File C:\bases\msvlclnt.dll Sat Jan 08 11:05:19 2005 => Scanning File C:\bases\ipc.dll Sat Jan 08 11:05:19 2005 => Scanning File C:\bases\main.avi Sat Jan 08 11:05:19 2005 => Scanning File C:\bases\virus.avi Sat Jan 08 11:05:19 2005 => Virus Database Date: 2005/01/08 Sat Jan 08 11:05:19 2005 => Virus Database Count: 115052 Sat Jan 08 11:07:54 2005 => ********************************************************** Sat Jan 08 11:07:54 2005 => eScan AntiVirus Toolkit Utility. Sat Jan 08 11:07:54 2005 => Copyright © 2003-2004, MicroWorld Technologies Inc. Sat Jan 08 11:07:54 2005 => Sat Jan 08 11:07:54 2005 => Support: support@mwti.net Sat Jan 08 11:07:54 2005 => Web: http://www.mwti.net Sat Jan 08 11:07:54 2005 => ********************************************************** Sat Jan 08 11:07:54 2005 => Version 4.1.9 Sat Jan 08 11:07:54 2005 => Log File: C:\bases\mwav.log Sat Jan 08 11:07:54 2005 => Latest Date of files inside MWAV: 08 Jan 2005 11:00:53. Sat Jan 08 11:07:54 2005 => Options Selected by User: Sat Jan 08 11:07:54 2005 => Memory Check: Enabled Sat Jan 08 11:07:54 2005 => Registry Check: Enabled Sat Jan 08 11:07:54 2005 => StartUp Folder Check: Enabled Sat Jan 08 11:07:54 2005 => System Folder Check: Enabled Sat Jan 08 11:07:54 2005 => System Area Check: Disabled Sat Jan 08 11:07:54 2005 => Services Check: Enabled Sat Jan 08 11:07:54 2005 => Drive Check: Disabled Sat Jan 08 11:07:54 2005 => All Drive Check :Enabled Sat Jan 08 11:07:54 2005 => Scanning Type: Scan And Clean Sat Jan 08 11:07:54 2005 => Folder Check: Enabled Sat Jan 08 11:07:54 2005 => Folder Selected = C:\WINDOWS Sat Jan 08 11:07:54 2005 => ***** Scanning Memory Files ***** Sat Jan 08 11:07:54 2005 => Scanning File C:\WINDOWS\system32\services.exe Sat Jan 08 11:07:55 2005 => Scanning File C:\WINDOWS\system32\lsass.exe Sat Jan 08 11:07:55 2005 => Scanning File C:\WINDOWS\system32\svchost.exe Sat Jan 08 11:07:55 2005 => Scanning File C:\WINDOWS\system32\svchost.exe Sat Jan 08 11:07:55 2005 => Scanning File C:\WINDOWS\Explorer.EXE Sat Jan 08 11:07:55 2005 => Scanning File C:\bases\mwavscan.com Sat Jan 08 11:07:55 2005 => Scanning File C:\bases\kavss.exe Sat Jan 08 11:07:55 2005 => ***** Scanning Registry Files ***** Sat Jan 08 11:07:55 2005 => Scanning HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Sat Jan 08 11:07:55 2005 => Scanning File C:\WINDOWS\Explorer.exe Sat Jan 08 11:07:55 2005 => Scanning File C:\WINDOWS\system32\userinit.exe Sat Jan 08 11:07:55 2005 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Sat Jan 08 11:07:55 2005 => Scanning File C:\WINDOWS\SOUNDMAN.EXE Sat Jan 08 11:07:56 2005 => Scanning File C:\WINDOWS\System32\igfxtray.exe Sat Jan 08 11:07:56 2005 => Scanning File C:\WINDOWS\System32\hkcmd.exe Sat Jan 08 11:07:56 2005 => Scanning File C:\WINDOWS\system32\NeroCheck.exe Sat Jan 08 11:07:56 2005 => Scanning File C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe Sat Jan 08 11:07:56 2005 => Scanning File C:\PROGRA~1\Jetico\JETICO~1\fwsrv.exe Sat Jan 08 11:07:56 2005 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Sat Jan 08 11:07:56 2005 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx Sat Jan 08 11:07:56 2005 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Sat Jan 08 11:07:57 2005 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Sat Jan 08 11:07:57 2005 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Sat Jan 08 11:07:57 2005 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx Sat Jan 08 11:07:57 2005 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Sat Jan 08 11:07:57 2005 => Scanning HKCR\txtfile\shell\open\command Sat Jan 08 11:07:57 2005 => Scanning HKCR\comfile\shell\open\command Sat Jan 08 11:07:57 2005 => Scanning HKCR\exefile\shell\open\command Sat Jan 08 11:07:57 2005 => Scanning HKCR\dllfile\shell\open\command Sat Jan 08 11:07:57 2005 => Scanning HKCR\batfile\shell\open\command Sat Jan 08 11:07:57 2005 => Scanning HKCR\piffile\shell\open\command Sat Jan 08 11:07:57 2005 => Scanning HKCR\scrfile\shell\open\command Sat Jan 08 11:07:57 2005 => Scanning HKCR\scrfile\shell\config\command Sat Jan 08 11:07:57 2005 => Scanning HKCR\regfile\shell\open\command Sat Jan 08 11:07:57 2005 => ***** Scanning StartUp Folders ***** Sat Jan 08 11:07:57 2005 => ***** Scanning C:\Dokumente und ......... ....... ..... Sat Jan 08 11:08:14 2005 => Scanning File C:\WINDOWS\$NtUninstallKB826939$\shmedia.dll Sat Jan 08 11:08:14 2005 => ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\shmedia.dll Sat Jan 08 11:08:14 2005 => Scanning Folder: C:\WINDOWS\$NtUninstallKB826939$\spuninst\*.* Sat Jan 08 11:08:14 2005 => Scanning File C:\WINDOWS\$NtUninstallKB826939$\spuninst\spuninst.exe Sat Jan 08 11:08:15 2005 => Scanning File C:\WINDOWS\$NtUninstallKB826939$\spuninst\spuninst.inf Sat Jan 08 11:08:15 2005 => Scanning File C:\WINDOWS\$NtUninstallKB826939$\spuninst\spuninst.txt Sat Jan 08 11:08:15 2005 => Scanning File C:\WINDOWS\$NtUninstallKB826939$\srrstr.dll Sat Jan 08 11:08:15 2005 => ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\srrstr.dll Sat Jan 08 11:08:15 2005 => Scanning File C:\WINDOWS\$NtUninstallKB826939$\srv.sys Sat Jan 08 11:08:15 2005 => ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\srv.sys Sat Jan 08 11:08:15 2005 => Scanning File C:\WINDOWS\$NtUninstallKB826939$\sysmain.sdb Sat Jan 08 11:08:15 2005 => ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\sysmain.sdb Sat Jan 08 11:08:15 2005 => Scanning File C:\WINDOWS\$NtUninstallKB826939$\user32.dll Sat Jan 08 11:08:15 2005 => ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\user32.dll Sat Jan 08 11:08:15 2005 => Scanning File C:\WINDOWS\$NtUninstallKB826939$\win32k.sys Sat Jan 08 11:08:15 2005 => ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\win32k.sys Sat Jan 08 11:08:15 2005 => Scanning File C:\WINDOWS\$NtUninstallKB826939$\winsrv.dll Sat Jan 08 11:08:15 2005 => ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\winsrv.dll Sat Jan 08 11:08:15 2005 => Scanning File C:\WINDOWS\$NtUninstallKB826939$\zipfldr.dll Sat Jan 08 11:08:15 2005 => ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\zipfldr.dll Sat Jan 08 11:08:15 2005 => Scanning Folder: C:\WINDOWS\$NtUninstallKB826942$\*.* Sat Jan 08 11:08:15 2005 => Scanning File C:\WINDOWS\$NtUninstallKB826942$\dhcpcsvc.dll Sat Jan 08 11:08:15 2005 => ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826942$\dhcpcsvc.dll Sat Jan 08 11:08:15 2005 => Scanning File C:\WINDOWS\$NtUninstallKB826942$\ndis.sys Sat Jan 08 11:08:15 2005 => ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826942$\ndis.sys Sat Jan 08 11:08:15 2005 => Scanning File C:\WINDOWS\$NtUninstallKB826942$\ndisuio.sys Sat Jan 08 11:08:15 2005 => ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826942$\ndisuio.sys Sat Jan 08 11:08:15 2005 => Scanning File C:\WINDOWS\$NtUninstallKB826942$\netshell.dll Sat Jan 08 11:08:15 2005 => ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826942$\netshell.dll Sat Jan 08 11:08:15 2005 => Scanning File C:\WINDOWS\$NtUninstallKB826942$\reg00003 Sat Jan 08 11:08:15 2005 => Scanning File C:\WINDOWS\$NtUninstallKB826942$\reg00004 Sat Jan 08 11:08:15 2005 => Scanning Folder: C:\WINDOWS\$NtUninstallKB826942$\spuninst\*.* Sat Jan 08 11:08:15 2005 => Scanning File C:\WINDOWS\$NtUninstallKB826942$\spuninst\spuninst.exe Sat Jan 08 11:08:15 2005 => Scanning File C:\WINDOWS\$NtUninstallKB826942$\spuninst\spuninst.inf Sat Jan 08 11:08:15 2005 => Scanning File C:\WINDOWS\$NtUninstallKB826942$\spuninst\spuninst.txt Sat Jan 08 11:08:15 2005 => Scanning File C:\WINDOWS\$NtUninstallKB826942$\wzcdlg.dll Sat Jan 08 11:08:15 2005 => ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826942$\wzcdlg.dll ........... ....... ..... Sat Jan 08 11:13:09 2005 => Scanning File C:\WINDOWS\I386\DRIP.BM_ Sat Jan 08 11:13:09 2005 => *** File C:\WINDOWS\I386\DRIVER.CAB having Size Restriction *** Sat Jan 08 11:13:09 2005 => Scanning File C:\WINDOWS\I386\DRIVER.CAB [**] Sat Jan 08 11:13:09 2005 => Scanning File C:\WINDOWS\I386\DRMCLIEN.DL_ .............. ....... .... Sat Jan 08 11:22:24 2005 => Scanning File C:\WINDOWS\system32\comuid.dll Sat Jan 08 11:22:24 2005 => Scanning Folder: C:\WINDOWS\system32\config\*.* Sat Jan 08 11:22:24 2005 => Scanning File C:\WINDOWS\system32\config\AppEvent.Evt Sat Jan 08 11:22:24 2005 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\AppEvent.Evt Sat Jan 08 11:22:24 2005 => Scanning File C:\WINDOWS\system32\config\default Sat Jan 08 11:22:24 2005 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default Sat Jan 08 11:22:24 2005 => Scanning File C:\WINDOWS\system32\config\default.LOG Sat Jan 08 11:22:24 2005 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG Sat Jan 08 11:22:24 2005 => Scanning File C:\WINDOWS\system32\config\default.sav Sat Jan 08 11:22:24 2005 => Scanning File C:\WINDOWS\system32\config\SAM Sat Jan 08 11:22:24 2005 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM Sat Jan 08 11:22:24 2005 => Scanning File C:\WINDOWS\system32\config\SAM.LOG Sat Jan 08 11:22:24 2005 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LO ............... .......... ...... Sat Jan 08 11:30:09 2005 => Scanning Folder: C:\WINDOWS\system32\wbem\Repository\FS\*.* Sat Jan 08 11:30:10 2005 => Scanning File C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Sat Jan 08 11:30:10 2005 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Sat Jan 08 11:30:10 2005 => Scanning File C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Sat Jan 08 11:30:10 2005 => Scanning File C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Sat Jan 08 11:30:10 2005 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Sat Jan 08 11:30:10 2005 => Scanning File C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Sat Jan 08 11:30:10 2005 => Scanning File C:\WINDOWS\system32\wbem\scm.mof Sat Jan 08 11:30:10 2005 => Scanning File C:\WINDOWS\system32\wbem\scrcons.exe ................ .......... ..... Sat Jan 08 11:50:13 2005 => ***** Scanning C:\WINDOWS Folder ***** Sat Jan 08 11:50:13 2005 => ***** Checking for specific ITW Viruses ***** Sat Jan 08 11:50:13 2005 => Checking for Welchia Virus... Sat Jan 08 11:50:13 2005 => Checking for LovGate Virus... Sat Jan 08 11:50:13 2005 => Checking for CodeRed Virus... Sat Jan 08 11:50:14 2005 => Checking for OpaServ Virus... Sat Jan 08 11:50:14 2005 => Checking for Sobig.e Virus... Sat Jan 08 11:50:14 2005 => Checking for Winupie Virus... Sat Jan 08 11:50:14 2005 => Checking for Swen Virus... Sat Jan 08 11:50:14 2005 => Checking for JS.Fortnight Virus... Sat Jan 08 11:50:14 2005 => Checking for Novarg Virus... Sat Jan 08 11:50:14 2005 => ***** Scanning complete. ***** Sat Jan 08 11:50:14 2005 => Total Number of Files Scanned: 30563 Sat Jan 08 11:50:14 2005 => Total Number of Virus(es) Found: 0 Sat Jan 08 11:50:14 2005 => Total Number of Disinfected Files: 0 Sat Jan 08 11:50:14 2005 => Total Number of Files Renamed: 0 Sat Jan 08 11:50:14 2005 => Total Number of Deleted Files: 0 Sat Jan 08 11:50:14 2005 => Total Number of Errors: 3 Sat Jan 08 11:50:14 2005 => Time Elapsed: 00:42:08 Sat Jan 08 11:50:14 2005 => Virus Database Date: 2005/01/08 Sat Jan 08 11:50:14 2005 => Virus Database Count: 115052 Sat Jan 08 11:50:14 2005 => Scan Completed. ___________________________________________________________ Hier das getservices.txt: PsService v1.1 - local and remote services viewer/controller Copyright (C) 2001-2003 Mark Russinovich Sysinternals - www.sysinternals.com SERVICE_NAME: Alerter Benachrichtigt bestimmte Benutzer und Computer bezüglich administrativer Warnungen. Falls der Dienst beendet wird, können Programme, die administrative Warnungen verwenden, diese Warnungen nicht mehr empfangen. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Warndienst DEPENDENCIES : LanmanWorkstation SERVICE_START_NAME: NT AUTHORITY\LocalService SERVICE_NAME: ALG Bietet Unterstützung für Protokoll-Plug-Ins von Drittanbietern für die gemeinsame Nutzung der Internetverbindung und den Internetverbindungsdfirewall. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\alg.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Gatewaydienst auf Anwendungsebene DEPENDENCIES : SERVICE_START_NAME: NT AUTHORITY\LocalService SERVICE_NAME: AntiVirService Permanenter Virenschutz mit der H+BEDV AntiVir Suchengine. TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : "C:\Programme\AVPersonal\AVGUARD.EXE" LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : AntiVir Service DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: AppMgmt Bietet Softwareinstallationsdienste wie Zuweisung, Veröffentlichung, und Deinstallation. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Anwendungsverwaltung DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: aspnet_state Provides support for out-of-process session states for ASP.NET. If this service is stopped, out-of-process requests will not be processed. If this service is disabled, any services that explicitly depend on it will fail to start. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : ASP.NET State Service DEPENDENCIES : SERVICE_START_NAME: NT AUTHORITY\NetworkService SERVICE_NAME: AudioSrv Verwaltet Audiogeräte für Windows-basierte Programme. Wenn dieser Dienst beendet wird, werden Audiogeräte und -effekte nicht korrekt funktionieren. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : AudioGroup TAG : 0 DISPLAY_NAME : Windows Audio DEPENDENCIES : PlugPlay : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: AVWUpSrv Hilfsdienst fuer AntiVir Personal Edition. TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : "C:\Programme\AVPersonal\AVWUPSRV.EXE" LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : AntiVir Update DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: BITS Verwendet sich in Leerlauf befindende Netzwerkbandbreite für die Datenübertragung. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Intelligenter Hintergrundübertragungsdienst DEPENDENCIES : LanmanWorkstation : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: Browser Führt eine aktuelle Liste der Computer im Netzwerk und gibt diese an als Browser fungierende Computer weiter. Diese Liste wird nicht aktualisiert oder gewartet, falls der Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem ausschließlich Dienst abhängig sind, nicht mehr gestartet werden. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Computerbrowser DEPENDENCIES : LanmanWorkstation : LanmanServer SERVICE_START_NAME: LocalSystem SERVICE_NAME: CA_LIC_CLNT CA-Lizenz-Client TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : CA-Lizenz-Client DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: CA_LIC_SRVR CA-Lizenzserver TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : CA-Lizenzserver DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: CiSvc Indiziert Dateiinhalt und -eigenschaften auf lokalen und Remotecomputer und bietet schnellen Dateizugriff durch eine flexible Abfragesprache. TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\cisvc.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Indexdienst DEPENDENCIES : RPCSS SERVICE_START_NAME: LocalSystem SERVICE_NAME: ClipSrv Ermöglicht der Ablagemappe, Informationen zu speichern und mit Remotecomputern auszutauschen. Wenn dieser Dienst beendet wird, wird die Ablagemappe keine Informationen mehr mit Remotecomputern austauschen können. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\clipsrv.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Ablagemappe DEPENDENCIES : NetDDE SERVICE_START_NAME: LocalSystem SERVICE_NAME: COMSysApp Verwaltet die Komponentenkonfiguration und -überwachung von COM+-basierten Komponenten. Nach dem Beenden des Dienstes sind die meisten COM+-basierten Komponenten nicht ordnungsgemäß funktionsfähig. Nach dem Deaktivieren dieses Dienstes werden alle Dienste nicht gestartet, die explizit auf diesem Dienst basieren. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : COM+-Systemanwendung DEPENDENCIES : rpcss SERVICE_START_NAME: LocalSystem FAIL_RESET_PERIOD : 30 seconds FAILURE_ACTIONS : Restart DELAY: 1000 seconds : Restart DELAY: 5000 seconds : None DELAY: 1000 seconds SERVICE_NAME: CryptSvc Stellt drei Verwaltungsdienste bereit: den Katalogdatenbankdienst, der die Signaturen von Windows-Dateien bestätigt; den Dienst für geschützten Stammspeicher, der Zertifikate vertrauenswürdiger Stammzertifizierungsstellen zu diesem Computer hinzufügt und entfernt und den Schlüsseldienst, der diesen Computer bei Einschreibungen in Zertifikate unterstützt. Wenn dieser Dienst beendet wird, werden diese Verwaltungsdienste nicht korrekt funktionieren. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Kryptografiedienste DEPENDENCIES : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: Dhcp Verwaltet die Netzwerkkonfiguration, indem IP-Adressen und DNS-Namen registriert und aktualisiert werden. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TDI TAG : 0 DISPLAY_NAME : DHCP-Client DEPENDENCIES : Tcpip : Afd : NetBT SERVICE_START_NAME: LocalSystem SERVICE_NAME: dmadmin Konfiguriert Festplattenlaufwerke und -volumes. Dieser Dienst wird nur zu Konfigurationszwecken ausgeführt und anschließend beendet. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\dmadmin.exe /com LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Verwaltungsdienst für die Verwaltung logischer Datenträger DEPENDENCIES : RpcSs : PlugPlay : DmServer SERVICE_START_NAME: LocalSystem SERVICE_NAME: dmserver Erkennt und überwacht neue Festplattenlaufwerke und sendet Festplatteninformationen zur Konfiguration an den Verwaltungsdienst für die Verwaltung logischer Datenträger. Wenn dieser Dienst beendet wird, können Statusinformationen für dynamische Festplatten und Konfigurationsinformationen veraltet oder ungültig werden. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Verwaltung logischer Datenträger DEPENDENCIES : RpcSs : PlugPlay SERVICE_START_NAME: LocalSystem SERVICE_NAME: Dnscache Wertet DNS-Namen (Domain Name System) für diesen Computer aus und speichert sie zwischen. Falls dieser Dienst beendet wird, kann der Computer keine DNS-Namen auflösen und Active Directory-Domänencontroller ermitteln. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k NetworkService LOAD_ORDER_GROUP : TDI TAG : 0 DISPLAY_NAME : DNS-Client DEPENDENCIES : Tcpip SERVICE_START_NAME: NT AUTHORITY\NetworkService SERVICE_NAME: ERSvc Ermöglicht die Fehlerberichterstattung für Dienste und Anwendungen, die in nicht standardgemäßen Umgebungen ausgeführt werden. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 0 IGNORE BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Fehlerberichterstattungsdienst DEPENDENCIES : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: Eventlog Ermöglicht die Ansicht von Ereignisprotokollmeldungen von Windows-basierten Programmen und Komponenten in der Ereignisanzeige. Dieser Dienst kann nicht beendet werden. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\services.exe LOAD_ORDER_GROUP : Event log TAG : 0 DISPLAY_NAME : Ereignisprotokoll DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: EventSystem Unterstützt den Systemereignis-Benachrichtigungsdienst (SENS, System Event Notification Service), der die automatische Verteilung von Ereignissen an abonnierende COM-Komponenten zur Verfügung stellt. Wenn der Dienst beendet ist, wird SENS beendet und ist nicht in der Lage Anmelde- und Abmeldebenachrichtigungen zur Verfügung zu stellen. Wenn der Dienst deaktiviert ist, können abhängige Dienste nicht gestartet werden. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : Network TAG : 0 DISPLAY_NAME : COM+-Ereignissystem DEPENDENCIES : RPCSS SERVICE_START_NAME: LocalSystem SERVICE_NAME: FastUserSwitchingCompatibility Bietet Verwaltung für Anwendungen, die Unterstützung in einer Mehrbenutzerumgebung erfordern. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Kompatibilität für schnelle Benutzerumschaltung DEPENDENCIES : TermService SERVICE_START_NAME: LocalSystem SERVICE_NAME: Fax Ermöglicht das Senden und Empfangen von Faxen mithilfe der Faxressourcen, die auf dem Computer oder im Netzwerk verfügbar sind. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\fxssvc.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Fax DEPENDENCIES : TapiSrv : RpcSs : PlugPlay : Spooler SERVICE_START_NAME: LocalSystem SERVICE_NAME: helpsvc Aktiviert das Hilfe- und Supportcenter auf diesem Computer. Das Hilfe- und Supportcenter ist nicht verfügbar, wenn dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Hilfe und Support DEPENDENCIES : RPCSS SERVICE_START_NAME: LocalSystem FAIL_RESET_PERIOD : 86400 seconds FAILURE_ACTIONS : Restart DELAY: 100 seconds : Restart DELAY: 100 seconds : None DELAY: 100 seconds SERVICE_NAME: HidServ Ermöglicht einen Standardeingabezugang für Eingabegeräte (HID-Geräte), welcher die Verwendung von vordefinierten Schnelltasten auf Tastaturen, Fernbedienungen und anderen Multimediageräten aktiviert und unterstützt. Wenn dieser Dienst beendet wird, werden die von diesem Dienst gesteuerten Schnelltasten nicht mehr funktionieren. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 4 DISABLED ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Eingabegerätezugang DEPENDENCIES : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: ImapiService Verwaltet das Aufnehmen von CDs mit IMAPI (Image Mastering Applications Programming Interface). Auf diesem Computer können keine CDs aufgenommen werden, wenn dieser Dienst angehalten wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\imapi.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : IMAPI-CD-Brenn-COM-Dienste DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: lanmanserver Unterstützt Datei-, Drucker- und Named-Piped-Freigabe für diesen Computer über das Netzwerk. Diese Funktionen sind nicht mehr verfügbar, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Server DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: lanmanworkstation Erstellt und wartet Clientnetzwerkverbindungen mit Remoteservern. Diese Verbindungen sind nicht mehr verfügbar, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : NetworkProvider TAG : 0 DISPLAY_NAME : Arbeitsstationsdienst DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: LmHosts Ermöglicht die Unterstützung vom NetBIOS-über-TCP/IP-Dienst (NetBT) und die NetBIOS-Namensauflösung. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService LOAD_ORDER_GROUP : TDI TAG : 0 DISPLAY_NAME : TCP/IP-NetBIOS-Hilfsprogramm DEPENDENCIES : NetBT : Afd SERVICE_START_NAME: NT AUTHORITY\LocalService SERVICE_NAME: LogWatch Ereignisprotokoll-Überwachung TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Ereignisprotokoll-Überwachung DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: Messenger Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern. Dieser Dienst ist nicht mit Windows Messenger verwandt. Der Warndienst überträgt keine Nachrichten, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Nachrichtendienst DEPENDENCIES : LanmanWorkstation : NetBIOS : PlugPlay : RpcSS SERVICE_START_NAME: LocalSystem SERVICE_NAME: mnmsrvc Ermöglicht einem autorisierten Benutzer an einem anderen Computer auf diesen Computer mit NetMeeting über ein Firmenintranet zuzugreifen. Wenn dieser Dienst beendet wird, ist die Remotedesktopfreigabe nicht mehr verfügbar. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden. TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\mnmsrvc.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : NetMeeting-Remotedesktop-Freigabe DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: MSDTC Koordiniert Transaktionen, die sich über mindestens zwei Ressourcenverwaltungen wie Datenbanken, Nachrichtenwarteschlangen oder Dateisysteme erstrecken. Wenn der Dienst beendet ist, treten diese Transaktionen nicht auf. Wenn der Dienst deaktiviert ist, können abhängige Dienste nicht gestartet werden. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\msdtc.exe LOAD_ORDER_GROUP : MS Transactions TAG : 0 DISPLAY_NAME : Distributed Transaction Coordinator DEPENDENCIES : RPCSS : SamSS SERVICE_START_NAME: LocalSystem SERVICE_NAME: MSIServer Installiert, repariert oder entfernt Software gemäß der in MSI-Dateien enthaltenen Anweisungen. TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\msiexec.exe /V LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Windows Installer DEPENDENCIES : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: NetDDE Ermöglicht Netzwerktransport und Sicherheit für den dynamischen Datenaustausch (DDE) von Programmen, die auf dem gleichen Computer oder auf verschiedenen Computern ausgeführt werden. Wenn dieser Dienst beendet wird, wird der DDE-Transport und die DDE-Sicherheit nicht mehr zur Verfügung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\netdde.exe LOAD_ORDER_GROUP : NetDDEGroup TAG : 0 DISPLAY_NAME : Netzwerk-DDE-Dienst DEPENDENCIES : NetDDEDSDM SERVICE_START_NAME: LocalSystem SERVICE_NAME: NetDDEdsdm Verwaltet DDE-Netzwerkfreigaben (Dynamic Data Exchange=Dynamischer Datenaustausch). Wenn dieser Dienst beendet wird, werden keine DDE-Netzwerkfreigaben mehr zur Verfügung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\netdde.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Netzwerk-DDE-Serverdienst DEPENDENCIES : : EGrLocalSystem : Netzwerk-DDE-Serverdienst : DE-Dienst : Transaction Coordinator : tendienst : g : ischer Datenträger SERVICE_START_NAME: LocalSystem SERVICE_NAME: Netlogon Unterstützt Durchsatzauthentifizierung von Kontoanmeldungsereignissen für Computer in einer Domäne. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\lsass.exe LOAD_ORDER_GROUP : RemoteValidation TAG : 0 DISPLAY_NAME : Anmeldedienst DEPENDENCIES : LanmanWorkstation SERVICE_START_NAME: LocalSystem SERVICE_NAME: Netman Verwaltet Objekte im Ordner 'Netzwerk- und DFÜ-Verbindungen' , in dem sowohl LAN-, als auch WAN-Verbindungen angezeigt werden. TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Netzwerkverbindungen DEPENDENCIES : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: Nla Sammelt und speichert Netzwerkkonfigurations- und Standortinformationen und benachrichtigt Anwendungen, wenn diese Informationen sich ändern. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : NLA (Network Location Awareness) DEPENDENCIES : Tcpip : Afd SERVICE_START_NAME: LocalSystem SERVICE_NAME: NtLmSsp Bietet Sicherheit für Remoteprozeduraufrufe (RPC), die andere Transportwege als Named Pipes verwenden. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\lsass.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : NT-LM-Sicherheitsdienst DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: NtmsSvc (null) TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Wechselmedien DEPENDENCIES : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: PlugPlay Ermöglicht dem Computer, Hardwareänderungen zu erkennen und sich ohne oder mit geringer Benutzerinteraktion darauf einzustellen. Beenden oder Deaktivieren dieses Dienstes wird die Systemstabilität beeinträchtigen. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\services.exe LOAD_ORDER_GROUP : PlugPlay TAG : 0 DISPLAY_NAME : Plug & Play DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: PolicyAgent Verwaltet IP-Sicherheitsrichtlinien und startet den IKE-Treiber (ISAKMP/Oakley) und den IP-Sicherheitstreiber. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\lsass.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : IPSEC-Dienste DEPENDENCIES : RPCSS : Tcpip : IPSec SERVICE_START_NAME: LocalSystem SERVICE_NAME: ProtectedStorage Bietet geschützten Speicherplatz für private Daten, wie z. B. private Schlüssel, um Zugriff durch nicht autorisierte Dienste, Prozesse oder Benutzer zu unterbinden. TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\lsass.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Geschützter Speicher DEPENDENCIES : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: RasAuto Erstellt eine Verbindung zu einem Remotenetzwerk, wenn ein Programm eine Remote-DNS- oder -NetBIOS-Adresse referenziert. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Verwaltung für automatische RAS-Verbindung DEPENDENCIES : RasMan : Tapisrv SERVICE_START_NAME: LocalSystem SERVICE_NAME: RasMan Stellt eine Netzwerkverbindung her. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : RAS-Verbindungsverwaltung DEPENDENCIES : Tapisrv SERVICE_START_NAME: LocalSystem SERVICE_NAME: RDSessMgr Verwaltet und überwacht die Remoteunterstützung. Die Remoteunterstützung wird beim Beenden dieses Dienstes nicht verfügbar sein. Bevor Sie diesen Dienst beenden, schauen Sie sich die Registerkarte "Abhängigkeiten" im Dialog "Eigenschaften" an. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\sessmgr.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Sitzungs-Manager für Remotedesktophilfe DEPENDENCIES : RPCSS SERVICE_START_NAME: LocalSystem SERVICE_NAME: RemoteAccess Bietet Routingdienste in LAN- und WAN-Netzwerkumgebungen. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 4 DISABLED ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Routing und RAS DEPENDENCIES : RpcSS : +NetBIOSGroup SERVICE_START_NAME: LocalSystem SERVICE_NAME: RpcLocator Verwaltet die Datenbank für den RPC-Namensdienst. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\locator.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : RPC-Locator DEPENDENCIES : LanmanWorkstation SERVICE_START_NAME: NT AUTHORITY\NetworkService SERVICE_NAME: RpcSs Endpunktzuordnung und andere verschiedene RPC-Dienste. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\svchost -k rpcss LOAD_ORDER_GROUP : COM Infrastructure TAG : 0 DISPLAY_NAME : Remoteprozeduraufruf (RPC) DEPENDENCIES : SERVICE_START_NAME: LocalSystem FAIL_RESET_PERIOD : 0 seconds FAILURE_ACTIONS : Reboot DELAY: 60000 seconds SERVICE_NAME: RSVP Bietet Programmen und Systemsteuerungssymbolen, die QoS unterstützen, Installationsfunktionen zur Steuerung von Netzwerksignalen und lokalem Netzwerkverkehr. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\rsvp.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : QoS-RSVP DEPENDENCIES : TcpIp : Afd : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: SamSs Speichert Sicherheitsinformationen für lokale Benutzerkonten. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\lsass.exe LOAD_ORDER_GROUP : LocalValidation TAG : 0 DISPLAY_NAME : Sicherheitskontenverwaltung DEPENDENCIES : RPCSS SERVICE_START_NAME: LocalSystem SERVICE_NAME: SCardDrv Ermöglicht die Verwendung herkömmlicher (nicht-Plug&Play-fähiger) Smartcard-Leser an diesem Computer. Wenn dieser Dienst beendet wird, wird dieser Computer keine herkömmlichen Smartcard-Leser unterstützen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 0 IGNORE BINARY_PATH_NAME : C:\WINDOWS\System32\SCardSvr.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Smartcard-Hilfsprogramm DEPENDENCIES : +Smart Card Reader SERVICE_START_NAME: NT AUTHORITY\LocalService SERVICE_NAME: SCardSvr Verwaltet den Zugriff auf Smartcards, die von diesem Computer gelesen werden. Wenn dieser Dienst beendet wird, wird dieser Computer keine Smartcards mehr lesen können. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 0 IGNORE BINARY_PATH_NAME : C:\WINDOWS\System32\SCardSvr.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Smartcard DEPENDENCIES : PlugPlay SERVICE_START_NAME: NT AUTHORITY\LocalService SERVICE_NAME: Schedule Ermöglicht einem Benutzer, automatische Vorgänge auf diesem Computer zu konfigurieren und zu planen. Wenn dieser Dienst beendet wird, werden diese Vorgänge nicht zu den geplanten Zeiten ausgeführt werden. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können. TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : SchedulerGroup TAG : 0 DISPLAY_NAME : Taskplaner DEPENDENCIES : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: seclogon Ermöglicht das Starten von Prozessen unter Verwendung alternativer Anmeldeinformationen. Wenn dieser Dienst beendet wird, wird diese Art der Anmeldung nicht mehr zur Verfügung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können. TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 0 IGNORE BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Sekundäre Anmeldung DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: SENS Verfolgt Systemereignisse wie Windows-Anmeldungen sowie Netzwerk- und Stromversorgungsereignisse. Benachrichtigt außerdem COM+ Ereignissystembezieher von diesen Ereignissen. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : Network TAG : 0 DISPLAY_NAME : Systemereignisbenachrichtigung DEPENDENCIES : EventSystem SERVICE_START_NAME: LocalSystem SERVICE_NAME: SharedAccess Bietet allen Computern in Privat- und Kleinunternehmensnetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Internetverbindungsfirewall/Gemeinsame Nutzung der Internetverbindung DEPENDENCIES : Netman : NLA : RasMan : ALG SERVICE_START_NAME: LocalSystem SERVICE_NAME: ShellHWDetection (null) TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 0 IGNORE BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : ShellSvcGroup TAG : 0 DISPLAY_NAME : Shellhardwareerkennung DEPENDENCIES : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: Spooler Lädt die Dateien in den Arbeitsspeicher, um sie später zu drucken. TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\spoolsv.exe LOAD_ORDER_GROUP : SpoolerGroup TAG : 0 DISPLAY_NAME : Druckwarteschlange DEPENDENCIES : RPCSS SERVICE_START_NAME: LocalSystem FAIL_RESET_PERIOD : 86400 seconds FAILURE_ACTIONS : Restart DELAY: 60000 seconds : Restart DELAY: 60000 seconds : None DELAY: 0 seconds SERVICE_NAME: srservice Führt Systemwiederherstellungsfunktionen durch. Deaktivieren Sie "Systemwiederherstellung" auf der Systemwiederherstellungsregisterkarte in Arbeitsplatz->Eigenschaften, um den Dienst zu beenden. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Systemwiederherstellungsdienst DEPENDENCIES : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: SSDPSRV Aktiviert die Ermittlung von UPnP-Geräten auf Heimnetzwerken. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : SSDP-Suchdienst DEPENDENCIES : SERVICE_START_NAME: NT AUTHORITY\LocalService SERVICE_NAME: stisvc Bietet Bilderfassungsdienste für Scanner und Kameras. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k imgsvc LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Windows-Bilderfassung (WIA) DEPENDENCIES : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: SwPrv Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte Schattenkopien können nicht verwaltet werden, wenn dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 0 IGNORE BINARY_PATH_NAME : C:\WINDOWS\System32\dllhost.exe /Processid:{6248DD10-3DF6-4C5E-9904-1F5CA3E2B770} LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : MS Software Shadow Copy Provider DEPENDENCIES : rpcss SERVICE_START_NAME: LocalSystem SERVICE_NAME: SysmonLog Sammelt basierend auf einem vorkonfigurierten Zeitplan Systemleistungsdaten vom lokalen oder von Remotecomputern und schreibt die Daten in ein Protokoll oder löst eine Warnung aus. Wenn dieser Dienst beendet wird, werden keine Leistungsinformationen mehr gesammelt. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\smlogsvc.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Leistungsdatenprotokolle und Warnungen DEPENDENCIES : SERVICE_START_NAME: NT Authority\NetworkService SERVICE_NAME: TapiSrv Bietet Telefonie-API-Unterstützung (TAPI) für Programme, die Telefoniegeräte steuern, sowie IP-basierte Sprachverbindungen am lokalen Computer und über das LAN, auf Servern, die diesen Dienst ebenfalls ausführen. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Telefonie DEPENDENCIES : PlugPlay : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: TermService Ermöglicht mehreren Benutzern das Herstellen interaktiver Verbindungen mit anderen Computern, sowie das Anzeigen von Desktop und Anwendungen auf Remotecomputern. Terminaldienste bilden die Grundlage für Remotedesktops (einschließlich RD für Administratoren), schnelle Benutzerumschaltung, Remoteunterstützung und Terminalserver. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Terminaldienste DEPENDENCIES : RPCSS SERVICE_START_NAME: LocalSystem SERVICE_NAME: Themes Stellt die Designverwaltung zur Verfügung. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : UIGroup TAG : 0 DISPLAY_NAME : Designs DEPENDENCIES : SERVICE_START_NAME: LocalSystem FAIL_RESET_PERIOD : 86400 seconds FAILURE_ACTIONS : Restart DELAY: 60000 seconds : Restart DELAY: 60000 seconds : None DELAY: 0 seconds SERVICE_NAME: TrkWks Hält Verknüpfungen für NTFS-Dateien auf einem Computer oder zwischen Computern in einer Netzwerkdomäne aufrecht. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Überwachung verteilter Verknüpfungen (Client) DEPENDENCIES : RpcSs SERVICE_START_NAME: LocalSystem SERVICE_NAME: uploadmgr Verwaltet synchrone und asynchrone Dateiübertragungen zwischen Clients und Servern im Netzwerk. Synchrone und asynchrone Dateiübertragungen zwischen Clients und Servern werden nicht ausgeführt, wenn dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Upload-Manager DEPENDENCIES : RPCSS SERVICE_START_NAME: LocalSystem FAIL_RESET_PERIOD : 86400 seconds FAILURE_ACTIONS : Restart DELAY: 100 seconds : Restart DELAY: 100 seconds : None DELAY: 100 seconds SERVICE_NAME: upnphost Ermöglicht es, den Computer als Host für universelle Plug & Play-Geräte einzurichten. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Universeller Plug & Play-Gerätehost DEPENDENCIES : SSDPSRV SERVICE_START_NAME: NT AUTHORITY\LocalService FAIL_RESET_PERIOD : -1 seconds FAILURE_ACTIONS : Restart DELAY: 0 seconds SERVICE_NAME: UPS Verwaltet eine an den Computer angeschlossene unterbrechungsfreie Stromversorgung (USV). TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\ups.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Unterbrechungsfreie Stromversorgung DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: VSS Verwaltet und implementiert Volumeschattenkopien, die zu Sicherungs- und anderen Zwecken verwendet werden. Wenn dieser Dienst beendet wird, werden keine Schattenkopien für Sicherungen verfügbar sein und die Sicherung kann eventuell fehlschlagen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\vssvc.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Volumeschattenkopie DEPENDENCIES : RPCSS SERVICE_START_NAME: LocalSystem SERVICE_NAME: W32Time Verwaltet die Datum- und Uhrzeitsynchronisierung auf allen Clients und Servern im Netzwerk. Wenn dieser Dienst beendet wird, ist die Datum- und Uhrzeitsynchronisierung nicht verfügbar. Wenn der Dienst deaktiviert wird, können alle anderen Dienste, die explizit davon abhängen, nicht gestartet werden. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Windows-Zeitgeber DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: WebClient Ermöglicht Windows-basierten Programmen, Internet-basierte Dateien zu erstellen, darauf zuzugreifen und sie zu verändern. Wenn dieser Dienst beendet wird, werden diese Funktionen nicht mehr zur Verfügung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService LOAD_ORDER_GROUP : NetworkProvider TAG : 0 DISPLAY_NAME : Webclient DEPENDENCIES : MRxDAV SERVICE_START_NAME: NT AUTHORITY\LocalService SERVICE_NAME: winmgmt Bietet eine standardmäßige Schnittstelle und Objektmodell zum Zugreifen auf Verwaltungsinformationen über das Betriebssystem, Geräte, Anwendungen und Dienste. Die meiste Windows-basierte Software kann nicht ordnungsgemäß ausgeführt werden, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 0 IGNORE BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Windows-Verwaltungsinstrumentation DEPENDENCIES : RPCSS : Eventlog SERVICE_START_NAME: LocalSystem FAIL_RESET_PERIOD : 86400 seconds FAILURE_ACTIONS : Restart DELAY: 60000 seconds : Restart DELAY: 60000 seconds SERVICE_NAME: WmdmPmSN Ruft die Seriennummer aller tragbaren Player für Medien ab, die mit diesem Computer verbunden sind. Wenn der Dienst beendet wird, werden geschützte Inhalte möglicherweise nicht auf das Gerät gedownloadet. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Dienst für Seriennummern der tragbaren Medien DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: WmiApSrv Bietet Leistungsbibliotheksinformationen der WMI-HiPerf-Anbieter. TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\wbem\wmiapsrv.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : WMI-Leistungsadapter DEPENDENCIES : RPCSS SERVICE_START_NAME: LocalSystem SERVICE_NAME: wuauserv Aktiviert den Download und die Installation für wichtige Updates von Windows Update. Das Betriebssystem kann manuell über die Windows Update-Website aktualisiert werden, falls der Dienst deaktiviert wird. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Automatische Updates DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: WZCSVC Bietet automatische Konfiguration für 802.11-Adapter. TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs LOAD_ORDER_GROUP : TDI TAG : 0 DISPLAY_NAME : Konfigurationsfreie drahtlose Verbindung DEPENDENCIES : RpcSs : Ndisuio SERVICE_START_NAME: LocalSystem _______________________________________________________________________________ Gruesse Schülergerd |
|
|
|
|
|
|
08.01.2005, 21:33
Ehrenmitglied
Beiträge: 29434 |
#29
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur  #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k #C:\Windows\Downloaded Programm Files\ -->löschen (alle) Lade: diese zip.pv http://downloads.subratam.org/pv.zip Oeffne--> pv folder -->Doppelklick: runme.bat dos window oeffnet sich waehle: option 1 fuer explorer dll's -->enter Notepad oeffnet sich -->poste den Text http://forums.subratam.org/index.php?showtopic=569 FINDnFIX her: http://downloads.subratam.org/FINDnFIX.exe -->!LOG!.bat -->Log.txt ---------------------------------------------------------------- dann poste das neue Log vom HijackThis--> stelle bitte vorher unter Internetoptionen (und auch im Firefox) eine Startseite ein __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.01.2005 um 21:44 Uhr von Sabina editiert.
|
|
|
|
|
|
|
09.01.2005, 12:14
Member
Themenstarter Beiträge: 17 |
#30
HAllo Sabina,
habe bei cleanmgr.exe auch "Web/ClientPublisher Temporary Files" geklickt. FindnFix.exe kann nicht heruntergeladen werden. Startseite bei IE eingeben hat erst Probleme gemacht, da "Extras" nicht anklickbar war. Jetico meldete: "09.01.2005 11:51:23.062 ask Suspicious process activity attacker installs system-wide windows hook C:\Programme\Internet Explorer\IEXPLORE.EXE". Hat dann aber doch funktioniert: eingetragen bei beiden: "www.protecus .de". ______________________ pv: log.txt: Module information for 'Explorer.EXE' MODULE BASE SIZE PATH Explorer.EXE 1000000 1011712 C:\WINDOWS\Explorer.EXE 6.00.2800.1221 (xpsp2.030511-1403) Windows Explorer ntdll.dll 77f40000 712704 C:\WINDOWS\System32\ntdll.dll 5.1.2600.1217 (xpsp2.030429-2131) DLL für NT-Layer kernel32.dll 77e40000 1015808 C:\WINDOWS\system32\kernel32.dll 5.1.2600.1106 (xpsp1.020828-1920) Client-DLL für Windows NT-Basis-API msvcrt.dll 77be0000 339968 C:\WINDOWS\system32\msvcrt.dll 7.0.2600.1106 (xpsp1.020828-1920) Windows NT CRT DLL ADVAPI32.dll 77da0000 638976 C:\WINDOWS\system32\ADVAPI32.dll 5.1.2600.1106 (xpsp1.020828-1920) Erweitertes Windows 32 Base-API RPCRT4.dll 78000000 548864 C:\WINDOWS\system32\RPCRT4.dll 5.1.2600.1254 (xpsp2.030801-1834) Remote Procedure Call Runtime GDI32.dll 77c40000 262144 C:\WINDOWS\system32\GDI32.dll 5.1.2600.1106 (xpsp1.020828-1920) GDI Client DLL USER32.dll 77d10000 573440 C:\WINDOWS\system32\USER32.dll 5.1.2600.1255 (xpsp2.030804-1745) Client-DLL für Windows XP USER-API SHLWAPI.dll 70a70000 413696 C:\WINDOWS\system32\SHLWAPI.dll 6.00.2800.1400 Shell Light-weight Utility Library SHELL32.dll 773a0000 8372224 C:\WINDOWS\system32\SHELL32.dll 6.00.2800.1233 (xpsp2.030604-1804) Allgemeine Windows-Shell-DLL ole32.dll 7ccc0000 1183744 C:\WINDOWS\system32\ole32.dll 5.1.2600.1263 (xpsp2.030819-2129) Microsoft OLE für Windows OLEAUT32.dll 770f0000 569344 C:\WINDOWS\system32\OLEAUT32.dll 3.50.5016.0 Microsoft OLE 3.50 for Windows NT(TM) and Windows 95(TM) Operating Systems BROWSEUI.dll 71500000 1036288 C:\WINDOWS\System32\BROWSEUI.dll 6.00.2800.1400 Shell Browser UI-Bibliothek SHDOCVW.dll 71700000 1347584 C:\WINDOWS\System32\SHDOCVW.dll 6.00.2800.1400 Bibliothek für Shell-Dokumente und -Steuerelemente UxTheme.dll 5b0f0000 212992 C:\WINDOWS\System32\UxTheme.dll 6.00.2800.1106 (xpsp1.020828-1920) Microsoft UxTheme-Bibliothek comctl32.dll 78090000 933888 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb 5805\comctl32.dll 6.0 (xpsp1.020828-1920) User Experience Controls Library comctl32.dll 77310000 569344 C:\WINDOWS\system32\comctl32.dll 5.82 (xpsp1.020828-1920) Common Controls Library appHelp.dll 75ee0000 126976 C:\WINDOWS\system32\appHelp.dll 5.1.2600.1106 (xpsp1.020828-1920) Application Compatibility Client Library CLBCATQ.DLL 76f90000 491520 C:\WINDOWS\System32\CLBCATQ.DLL 2001.12.4414.42 COMRes.dll 77010000 864256 C:\WINDOWS\System32\COMRes.dll 2001.12.4414.42 VERSION.dll 77bd0000 28672 C:\WINDOWS\system32\VERSION.dll 5.1.2600.0 (xpclient.010817-1148) Version Checking and File Installation Libraries cscui.dll 765c0000 327680 C:\WINDOWS\System32\cscui.dll 5.1.2600.1106 (xpsp1.020828-1920) Clientseitige Cachebenutzeroberfläche CSCDLL.dll 765a0000 110592 C:\WINDOWS\System32\CSCDLL.dll 5.1.2600.0 (xpclient.010817-1148) Offlinenetzwerk-Agent themeui.dll 5b9b0000 466944 C:\WINDOWS\System32\themeui.dll 6.00.2800.1106 (xpsp1.020828-1920) Windows-Design-API Secur32.dll 76f50000 65536 C:\WINDOWS\System32\Secur32.dll 5.1.2600.1106 (xpsp1.020828-1920) Security Support Provider Interface MSIMG32.dll 76320000 20480 C:\WINDOWS\System32\MSIMG32.dll 5.1.2600.1106 (xpsp1.020828-1920) GDIEXT Client DLL USERENV.dll 75a10000 684032 C:\WINDOWS\system32\USERENV.dll 5.1.2600.1106 (xpsp1.020828-1920) Userenv netapi32.dll 71ba0000 319488 C:\WINDOWS\System32\netapi32.dll 5.1.2600.1106 (xpsp1.020828-1920) Net Win32 API DLL SAMLIB.dll 71b70000 69632 C:\WINDOWS\System32\SAMLIB.dll 5.1.2600.1106 (xpsp1.020828-1920) SAM Library DLL ntshrui.dll 76940000 151552 C:\WINDOWS\System32\ntshrui.dll 5.1.2600.1106 (xpsp1.020828-1920) Shellerweiterungen für Freigaben ATL.DLL 76ad0000 86016 C:\WINDOWS\System32\ATL.DLL 3.00.9435 ATL Module for Windows NT (Unicode) msi.dll 1280000 2101248 C:\WINDOWS\System32\msi.dll 2.0.2600.1106 Windows Installer SETUPAPI.dll 76620000 950272 C:\WINDOWS\System32\SETUPAPI.dll 5.1.2600.1106 (xpsp1.020828-1920) Windows Setup-API urlmon.dll 1a400000 499712 C:\WINDOWS\system32\urlmon.dll 6.00.2800.1400 OLE32-Erweiterung für Win32 LINKINFO.dll 76930000 28672 C:\WINDOWS\System32\LINKINFO.dll 5.1.2600.0 (xpclient.010817-1148) Windows Volume Tracking NETSHELL.dll 75c90000 1662976 C:\WINDOWS\system32\NETSHELL.dll 5.1.2600.1254 (xpsp2.030801-1834) Shell für Netzwerkverbindungen credui.dll 76bc0000 188416 C:\WINDOWS\system32\credui.dll 5.1.2600.1106 (xpsp1.020828-1920) Benutzerschnittstelle für Anmeldeinformationsverwaltung WS2_32.dll 71a10000 86016 C:\WINDOWS\system32\WS2_32.dll 5.1.2600.0 (xpclient.010817-1148) Windows Socket 2.0 32-Bit DLL WS2HELP.dll 71a00000 32768 C:\WINDOWS\system32\WS2HELP.dll 5.1.2600.0 (xpclient.010817-1148) Windows Socket 2.0 Helper für Windows NT iphlpapi.dll 76d20000 94208 C:\WINDOWS\system32\iphlpapi.dll 5.1.2600.2 (xpsp1.020828-1920) IP-Hilfs-API WINSTA.dll 76300000 61440 C:\WINDOWS\System32\WINSTA.dll 5.1.2600.1106 (xpsp1.020828-1920) Winstation Library webcheck.dll 74ab0000 274432 C:\WINDOWS\System32\webcheck.dll 6.00.2800.1106 (xpsp1.020828-1920) Websiteüberwachung stobject.dll 74a80000 131072 C:\WINDOWS\System32\stobject.dll 5.1.2600.1106 (xpsp1.020828-1920) Systray-Shell-Serviceobjekt BatMeter.dll 74a70000 36864 C:\WINDOWS\System32\BatMeter.dll 6.00.2600.0000 (xpclient.010817-1148) Batteriemesshilfs-DLL POWRPROF.dll 74a50000 28672 C:\WINDOWS\System32\POWRPROF.dll 6.00.2600.0000 (xpclient.010817-1148) Power Profile Helper DLL WTSAPI32.dll 76f10000 32768 C:\WINDOWS\System32\WTSAPI32.dll 5.1.2600.1106 (xpsp1.020828-1920) Windows Terminal Server SDK APIs WINMM.dll 76af0000 184320 C:\WINDOWS\System32\WINMM.dll 5.1.2600.1106 (xpsp1.020828-1920) MCI API-DLL wdmaud.drv 72c90000 36864 C:\WINDOWS\System32\wdmaud.drv 5.1.2600.0 (XPClient.010817-1148) WDM Audio driver mapper msacm32.drv 72c80000 32768 C:\WINDOWS\System32\msacm32.drv 5.1.2600.0 (xpclient.010817-1148) Microsoft Soundmapper MSACM32.dll 77bb0000 81920 C:\WINDOWS\System32\MSACM32.dll 5.1.2600.0 (xpclient.010817-1148) Microsoft ACM-Audiofilter midimap.dll 77ba0000 28672 C:\WINDOWS\System32\midimap.dll 5.1.2600.0 (xpclient.010817-1148) Microsoft MIDI-Mapper printui.dll 74b00000 544768 C:\WINDOWS\System32\printui.dll 5.1.2600.1106 (xpsp1.020828-1920) DLL für die Druckerbenutzeroberfläche WINSPOOL.DRV 72f70000 143360 C:\WINDOWS\System32\WINSPOOL.DRV 5.1.2600.1106 (xpsp1.020828-1920) Windows-Spoolertreiber ACTIVEDS.dll 76e00000 192512 C:\WINDOWS\System32\ACTIVEDS.dll 5.1.2600.0 (xpclient.010817-1148) ADs Router-Ebene-DLL adsldpc.dll 76dd0000 151552 C:\WINDOWS\System32\adsldpc.dll 5.1.2600.1106 (xpsp1.020828-1920) DLL für ADs LDAP Provider C WLDAP32.dll 76f20000 184320 C:\WINDOWS\system32\WLDAP32.dll 5.1.2600.1106 (xpsp1.020828-1920) Win32 LDAP-API-DLL CFGMGR32.dll 74a60000 28672 C:\WINDOWS\System32\CFGMGR32.dll 5.1.2600.0 (xpclient.010817-1148) Configuration Manager Forwarder DLL MPR.dll 71a80000 69632 C:\WINDOWS\system32\MPR.dll 5.1.2600.0 (xpclient.010817-1148) Router-DLL für Mehrfachanbieter fxsst.dll 692a0000 573440 C:\WINDOWS\System32\fxsst.dll 5.2.1776.1023 Faxdienst FXSAPI.dll 694c0000 458752 C:\WINDOWS\System32\FXSAPI.dll 5.2.1776.1023 Microsoft Fax API Support DLL NTMARTA.DLL 76ca0000 126976 C:\WINDOWS\System32\NTMARTA.DLL 5.1.2600.1106 (xpsp1.020828-1920) Windows NT MARTA-Anbieter SXS.DLL 75e30000 688128 C:\WINDOWS\System32\SXS.DLL 5.1.2600.1106 (xpsp1.020828-1920) Fusion 2.5 WININET.dll 63000000 618496 C:\WINDOWS\system32\WININET.dll 6.00.2800.1400 Interneterweiterungen für Win32 CRYPT32.dll 76260000 561152 C:\WINDOWS\system32\CRYPT32.dll 5.131.2600.1123 (xpsp2.020921-0842) Krypto-API32 MSASN1.dll 76240000 65536 C:\WINDOWS\system32\MSASN1.dll 5.1.2600.1274 (xpsp2.030825-2117) ASN.1 Runtime APIs drprov.dll 75f00000 24576 C:\WINDOWS\System32\drprov.dll 5.1.2600.0 (xpclient.010817-1148) Microsoft Terminal Server Network Provider ntlanman.dll 71b90000 53248 C:\WINDOWS\System32\ntlanman.dll 5.1.2600.1106 (xpsp1.020828-1920) Microsoft(R) LAN-Manager NETUI0.dll 71c50000 90112 C:\WINDOWS\System32\NETUI0.dll 5.1.2600.0 (xpclient.010817-1148) NT-LM-Benutzerschnittstellen-Standardcode - GUI-Klassen NETUI1.dll 71c10000 245760 C:\WINDOWS\System32\NETUI1.dll 5.1.2600.0 (xpclient.010817-1148) NT LM UI Common Code - Networking classes NETRAP.dll 71c00000 24576 C:\WINDOWS\System32\NETRAP.dll 5.1.2600.0 (xpclient.010817-1148) Net Remote Admin Protocol DLL davclnt.dll 75f10000 36864 C:\WINDOWS\System32\davclnt.dll 5.1.2600.0 (xpclient.010817-1148) Client-DLL für Web DAV browselc.dll 723c0000 77824 C:\WINDOWS\System32\browselc.dll 6.00.2800.1106 (xpsp1.020828-1920) Shell Browser UI-Bbibliothek jscript.dll 6b700000 589824 C:\WINDOWS\System32\jscript.dll 5.6.0.8513 Microsoft (r) JScript DUSER.dll 6c670000 278528 C:\WINDOWS\System32\DUSER.dll 5.1.2600.1106 (xpsp1.020828-1920) Windows DirectUser Engine comdlg32.dll 76350000 286720 C:\WINDOWS\system32\comdlg32.dll 6.00.2800.1106 (xpsp1.020828-1920) DLL für gemeinsame Dialoge MSGINA.dll 75910000 995328 C:\WINDOWS\System32\MSGINA.dll 5.1.2600.1106 (xpsp1.020828-1920) Windows-Anmeldungs-GINA-DLL ODBC32.dll 1c80000 204800 C:\WINDOWS\System32\ODBC32.dll 3.520.9041.40 Microsoft Data Access - ODBC Driver Manager odbcint.dll 1f850000 98304 C:\WINDOWS\System32\odbcint.dll 3.520.7713.0 Microsoft Data Access - ODBC Ressourcen shdoclc.dll 76110000 581632 C:\WINDOWS\System32\shdoclc.dll 6.00.2600.0000 (xpclient.010817-1148) Bibliothek für Shell-Dokumente und -Steuerelemente mscoree.dll 79170000 155648 C:\WINDOWS\system32\mscoree.dll 1.1.4322.573 Microsoft .NET Runtime Execution Engine Shfusion.dll 796e0000 253952 C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Shfusion.dll 1.1.4322.573 Microsoft COM Runtime Fusion Assembly Viewer MSVCR71.dll 7c340000 352256 C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MSVCR71.dll 7.10.3052.4 Microsoft® C Runtime Library RASAPI32.DLL 76ea0000 225280 C:\WINDOWS\System32\RASAPI32.DLL 5.1.2600.1106 (xpsp1.020828-1920) RAS-API rasman.dll 76e50000 69632 C:\WINDOWS\System32\rasman.dll 5.1.2600.1106 (xpsp1.020828-1920) Remote Access Connection Manager TAPI32.dll 76e70000 176128 C:\WINDOWS\System32\TAPI32.dll 5.1.2600.1106 (xpsp1.020828-1920) Microsoft® Windows(TM) Telefonie-API-Client-DLL rtutils.dll 76e40000 53248 C:\WINDOWS\System32\rtutils.dll 5.1.2600.0 (xpclient.010817-1148) Routing Utilities sensapi.dll 72240000 20480 C:\WINDOWS\System32\sensapi.dll 5.1.2600.1106 (xpsp1.020828-1920) SENS Connectivity API DLL occache.dll 5f420000 102400 C:\WINDOWS\System32\occache.dll 6.00.2600.0000 (xpclient.010817-1148) Object Control Viewer WINTRUST.dll 76bf0000 176128 C:\WINDOWS\System32\WINTRUST.dll 5.131.2600.0 (xpclient.010817-1148) Microsoft Vertrauensverifizierungs-APIs IMAGEHLP.dll 76c50000 139264 C:\WINDOWS\system32\IMAGEHLP.dll 5.1.2600.1106 (xpsp1.020828-1920) Windows NT Image Helper rsaenh.dll ffd0000 143360 C:\WINDOWS\System32\rsaenh.dll 5.1.2600.1029 (xpsp1.020426-1800) Microsoft Base Cryptographic Provider AVShlExt.DLL 10000000 61440 C:\Programme\AVPersonal\AVShlExt.DLL 6.22.00.00 Avshlext Cabinet.dll 750d0000 77824 C:\WINDOWS\System32\Cabinet.dll 5.1.2600.1106 (xpsp1.020828-1920) Microsoft® Cabinet File API SCECLI.dll 74380000 192512 C:\WINDOWS\System32\SCECLI.dll 5.1.2600.1106 (xpsp1.020828-1920) Clientmodul für Windows-Sicherheitskonfigurations-Editor RASDLG.dll 754d0000 675840 C:\WINDOWS\System32\RASDLG.dll 5.1.2600.1106 (xpsp1.020828-1920) API für allgemeine RAS-Dialoge MPRAPI.dll 76d00000 90112 C:\WINDOWS\System32\MPRAPI.dll 5.1.2600.0 (xpclient.010817-1148) Windows NT MP Router Administration DLL mobsync.dll 61aa0000 217088 C:\WINDOWS\System32\mobsync.dll 5.1.2600.1106 (xpsp1.020828-1920) Microsoft Synchronisationsverwaltung AcroIEHelper.dll a10000 45056 C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll 6.0.0.2003051500 Adobe Acrobat IE Helper Version 6.0 for ActivieX igfxpph.dll cb0000 225280 C:\WINDOWS\System32\igfxpph.dll 3,0,0,2104 igfxpph Module hccutils.DLL cf0000 122880 C:\WINDOWS\System32\hccutils.DLL 3,0,0,2104 hccutils Module zipfldr.dll 732f0000 339968 C:\WINDOWS\System32\zipfldr.dll 6.00.2800.1126 (xpsp2.020921-0842) ZIP-komprimierte Ordner actxprxy.dll 71cc0000 110592 C:\WINDOWS\System32\actxprxy.dll 6.00.2600.0000 (XPClient.010817-1148) ActiveX Interface Marshaling Library mydocs.dll 723a0000 102400 C:\WINDOWS\System32\mydocs.dll 6.00.2600.0000 (xpclient.010817-1148) Benutzeroberfläche des Verzeichnisses "Eigene Dateien" asfsipc.dll 70f00000 28672 C:\WINDOWS\System32\asfsipc.dll 1.1.00.3917 ASFSipc Object MSISIP.DLL 609f0000 53248 C:\WINDOWS\System32\MSISIP.DLL 2.0.2600.0 MSI Signature SIP Provider wshext.dll 74e20000 65536 C:\WINDOWS\System32\wshext.dll 5.6.0.6626 Microsoft (r) Shell Extension for Windows Script Host wshDE.DLL 590c0000 57344 C:\WINDOWS\System32\wshDE.DLL 5.6.0.6626 Internationale Ressourcen für Microsoft (r) Windows Script Host __________________________________________________________________ hijackthislog: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe C:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe C:\Dokumente und Einstellungen\Microsoft\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis199_beta.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.protecus.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe" O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: CA-Lizenz-Client - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe ______________________________________________________ Gruesse Schülergerd |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Zitat
Ich denke inzwischen, dass du dir einen schlechten Scherz in diesem Forum erlaubst.= http://216.65.3.72/search.php ist kein Startseitentrojaner, sondern eine Site, die sofort Verbindung mit dem Net aufnimmt, sobald du den IE oder den Firefox aufrufst. Die Registry ist dahingehend veraendert worden, dass dieser Kontakt aufgenommen wird.
Geladen hast du das durch aktivierte ActiveX von verseuchten Seite:
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB
Ergebnis:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://216.65.3.72/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://216.65.3.72/search.php
IP:
195.219.49.201,
145.253.66.17,
209.170.79.215,
193.108.89.70,
194.97.51.214,
209.247.88.180,
81.52.250.104
Du kannst ja mal ein HijackThis mit dem Firefox posten .Dann koennen wir sehen, ob "alles sauber ist
_________________________________________________________________________________________
TEST MS-IE 6, SP1
zeigt das Resultat eines einzigen Seiten-Aufrufs im
Die Situation wurde in diesem Fall bewusst herbeigeführt. Die Seite aber ist nicht speziell für Testzwecke
konstruiert, sondern ist nur ein unter vielen, die Schwachstellen des IE ausnutzen.
Als Browser wurde ein
• IE 5.0 (1. Test)
• IE 6, SP1, gepatcht (2. Test)
unter Win98 verwendet.
• Das Bemerkenswerte ist, dass sich die Ergebnisse (Test1, Test2) im Grunde nicht unterscheiden !
Die Sicherheitsstufe war in beiden Versuchen auf "Mittel", also "Auslieferungszustand".
Das Protokoll besteht aus 3 Teilen:
• Modifikationen im System bei/durch den Seitenaufruf
• HijackThis-Log (ausgewertet)
• Virenscan (KAV)
Ein erster Scan mit Ad-Aware nach einem Seitenaufruf lässt schon Böses erahnen:
• 98 (!!) Objekte gefunden 1 Process
• 32 Registry-Schlüssel
• 53 Registry Werte
• 11 Dateien
• 1 Ordne
Resumée:
Der wunde Punkt ist die ActiveX-Technologie und Microsofts "JV Virtual Machine" für Java. Fast alle Malware, Parasiten, Backdoors, etc wurden hier mittels ActiveX auf das System geschleust, ein anderer Teil eben dadurch , dass "JV Virtual Machine" im Browser aktiviert ist. Ersetzt man sie durch Java von "SUN", findet zwar ebenfalls ein Download der Malware statt, jedoch keine Infektion. Generell Java deaktivieren und nur wenn benötigt zuschalten, ist auf jeden Fall ratsam; gänzlich unabhängig vom verwendeten Browser.
In Anlehnung auf einen Browsertest in BILD, möchte ich bemerken, dass ist es eben nicht nur entscheidend ist, wieviele Klicks man benötigt um sein "Lieblings-Bookmark" abzuspeichern oder dergleichen völlig sekundären Dinge. Die Funktionalität der "Browserkonkurrenten" ist ohnehin bestechend gut. Der für mich aber erschreckenste Punkt ist, dass der Anzahl der schadhaftem Elemente, die durch einen Seitenaufruf mit dem IE auf den Rechner gelangen können, keine Grenzen gesetzt sind. Im Grunde reicht ein (falscher) Klick, um das komplette System zu ruinieren und sogar persönliche Daten in Gefahr zu bringen. Ein weiteres Problem ist, dass viele der installierten Elemente im Hindergrund arbeiten und weitere Malware auf den Rechner laden, bzw. Tür und Tor für Angreifer öffnen.
------------------------------------------------------------------------------------
Solche Downloader stecken in aktiven Skripten von Warez oder Pornoseiten-->>IE wenn ActiveX-Control aktiviert ist
Das Skript versucht zunächst ein ActiveX-Control automatisch zu installieren, indem es eine CODEBASE angibt, die auf eine externe CAB-Datei verweist. Klappt das nicht (onerror), erscheint eine Meldung, dass man zur Installation des Spieles "Yes" klicken müsse, und das Skript versucht es erneut
__________
MfG Sabina
rund um die PC-Sicherheit