Schon wieder W32.sober.I@mm!enc |
||
---|---|---|
#0
| ||
20.12.2004, 15:51
...neu hier
Beiträge: 10 |
||
|
||
21.12.2004, 14:03
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@Suff
http://www.f-secure.com/v-descs/raleka.shtml A service named 'svchost' is created with the description 'Remote_Procedure_Call'. -------------------------------------------------------------------------------------- Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. So wird der Dienst deaktiviert: Start-> Einstellungen-> Systemsteuerung-> Verwaltung-> Computerverwaltung und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "svchost'--Remote_Procedure_Call" AUFPASSEN, DASS DU DEN DIENST AUSWAEHLST, DER VOM Worm.Win32.Raleka, ERSTELLT WURDE UND NICHT DEN REGULAEREN VOM WINDOWS !!!!!!! aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der svchost'--Remote_Procedure_Call beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der.svchost'--Remote_Procedure_Call läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt. gehe in die Registry Start<Ausfuehren<regedit klicke dich durch zum Schluessel: [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers] loesche: "^%SystemRoot^%\SYSTEM32\NTROOTKIT.exe"="WIN2000" "C:\WINDOWS\SYSTEM32\NTROOTKIT.exe"="WIN2000" lade die Killbox und : http://www.bleepingcomputer.com/files/killbox.php geh auf <Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\SYSTEM32\NTROOTKIT.exe C:\WINDOWS\SYSTEM32\svchost32.exe C:\WINDOWS\SYSTEM32\svchost.cmd C:\WINDOWS\SYSTEM32\ntrootkit.reg C:\WINDOWS\SYSTEM32\0001.TMP oder: C:\WINDOWS\SYSTEM32\In_0001.tmp PC neustarten ------------------------------------------------------------------------------------ mache einen Onlinescann #Trend-Micro (Online) http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php arbeite das ab. #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 <Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte man nach infected suchen und die Einträge hier posten, bzw die Dateien im abgesicherten Modus loeschen Dienste anzeigen: #Scrolle bis zu Mitte dieser Seite und lade: get_active_services_179.zip --> entpacken --> http://computercops.biz/postp237756.html gehe in den abgesicherten Modus (du must als Administrator angemeldet sein) http://www.tu-berlin.de/www/software/virus/savemode.shtml öffnen --> Active.txt-->es öffnet sich der [Texteditor]--> -->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" dann poste das neue Log noch mal und berichte. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.12.2004 um 14:29 Uhr von Sabina editiert.
|
|
|
||
21.12.2004, 14:27
...neu hier
Themenstarter Beiträge: 10 |
#3
Hi Sabina,
das ist hard Stuff für mich, ich werde schauen was ich machen kann. Erstmal Danke für deine Hilfe. Ich melde mich wieder wenn ich das da oben abgearbeitet habe. Gruss Suffi |
|
|
||
21.12.2004, 14:55
...neu hier
Themenstarter Beiträge: 10 |
#4
Hallo Sabina,
der von dier gannte Dienst svchost ist nicht vorhanden. Lediglich läuft der Prozess (Taskmanager) 2 mal. In der Registry fehlt der Eintrag App....usw. Nicht vorhanden. Dadurch können die Einträge auch nicht gelöscht werden. Ich bin mir jetzt unsicher ob ich mit der killbox jetzt weiter machen soll. Gruß Suffi |
|
|
||
21.12.2004, 15:03
Ehrenmitglied
Beiträge: 29434 |
#5
mach mal weiter mit der Killbox...falls die Malware nicht da ist...wird die Killbox das melden
---------------------------------------------------------------------------------------- mache einen Onlinescann #Trend-Micro (Online) http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php arbeite das ab. #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 <Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte man nach infected suchen und die Einträge hier posten, bzw die Dateien im abgesicherten Modus loeschen Dienste anzeigen: #Scrolle bis zu Mitte dieser Seite und lade: get_active_services_179.zip --> entpacken --> http://computercops.biz/postp237756.html gehe in den abgesicherten Modus (du must als Administrator angemeldet sein) http://www.tu-berlin.de/www/software/virus/savemode.shtml öffnen --> Active.txt-->es öffnet sich der [Texteditor]--> -->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" dann poste das neue Log noch mal und berichte. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.12.2004 um 15:04 Uhr von Sabina editiert.
|
|
|
||
21.12.2004, 16:47
...neu hier
Themenstarter Beiträge: 10 |
#6
Hallo Sabina,
das war ein hartesstück Arbeit. Die Pfade die ich in die killbox eingeben sollte exsistiernen bei mir nicht, auf C: heist es C:\WinNT und nicht C:\Windows usw. Onlinescan ausgeführt (trendmicro), keine Viren vorhanden. escan aufgeführt, keine Viren vorhanden. Hier Auszug aus Protokoll escan: Tue Dec 21 16:23:34 2004 => ***** Checking for specific ITW Viruses ***** Tue Dec 21 16:23:34 2004 => Checking for Welchia Virus... Tue Dec 21 16:23:34 2004 => Checking for LovGate Virus... Tue Dec 21 16:23:34 2004 => Checking for CodeRed Virus... Tue Dec 21 16:23:34 2004 => Checking for OpaServ Virus... Tue Dec 21 16:23:34 2004 => Checking for Sobig.e Virus... Tue Dec 21 16:23:34 2004 => Checking for Winupie Virus... Tue Dec 21 16:23:34 2004 => Checking for Swen Virus... Tue Dec 21 16:23:34 2004 => Checking for JS.Fortnight Virus... Tue Dec 21 16:23:34 2004 => Checking for Novarg Virus... Tue Dec 21 16:23:34 2004 => Checking for Pagabot Virus... Tue Dec 21 16:23:34 2004 => Checking for Parite.b Virus... Tue Dec 21 16:23:34 2004 => Checking for Parite.a Virus... Tue Dec 21 16:23:34 2004 => ***** Scanning complete. ***** Tue Dec 21 16:23:34 2004 => Total Files Scanned: 18632 Tue Dec 21 16:23:34 2004 => Total Virus(es) Found: 0 Tue Dec 21 16:23:34 2004 => Total Disinfected Files: 0 Tue Dec 21 16:23:34 2004 => Total Files Renamed: 0 Tue Dec 21 16:23:34 2004 => Total Deleted Files: 0 Tue Dec 21 16:23:34 2004 => Total Errors: 69 Tue Dec 21 16:23:34 2004 => Time Elapsed: 00:20:59 Tue Dec 21 16:23:34 2004 => Virus Database Date: 2004/12/20 Tue Dec 21 16:23:34 2004 => Virus Database Count: 112939 Tue Dec 21 16:23:34 2004 => Scan Completed. Hier Auszug aus Hijack: Logfile of HijackThis v1.99.0 Scan saved at 16:34:37, on 21.12.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE D:\Programme\TuneUp Utilities 2004\Integrator.exe C:\Programme\Hijack\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot\SDHelper.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINNT\Downloaded Program Files\googlenav.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "d:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "d:\Programme\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [DUControl] d:\Programme\DirectUpdate\DUControl.exe O4 - HKLM\..\Run: [FTP Server] D:\PROGRA~1\TYPSOF~1\ftpserv.exe O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O8 - Extra context menu item: &Google Search - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O15 - Trusted Zone: http://*.windowsupdate.com O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/de/deleon/1.1.62-deleon/GoogleNav.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7ACC9714-5A24-482E-ADE9-1C1EF55D3482}: NameServer = 192.168.0.1 O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe O23 - Service: DirectUpdate engine - http://www.directupdate.net/ - d:\PROGRA~1\DIRECT~1\DUService.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Jana Server - Thomas Hauck (T.Hauck@t-online.de) - D:\PROGRA~1\Jana\Jana.exe O23 - Service: Norton AntiVirus Client - Symantec Corporation - C:\Programme\NavNT\rtvscan.exe O23 - Service: Sygate Personal Firewall Pro - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe Und hier Auszug von Norton Antivierus nach dem Start von Windows: Prüfungstyp: Echtzeitschutz Prüfung Ereignis: Virus festgestellt! Virusname: W32.Sober.I@mm!enc Datei: D:\PROGRA~1\Jana\MAILOUT\In_0001.tmp Ablageort: D:\PROGRA~1\Jana\MAILOUT Computer: PC-05-NT-KOM Benutzer: E-Mail Durchgeführte Aktion: Löschen erfolgreich : Zugriff verweigert Gefundenes Datum: Tue Dec 21 16:49:59 2004 Ich bin kurz davor um aus dem Kellerfenster zu springen. Wo hat sich der Sack versteckt??? Gruß Suffi |
|
|
||
21.12.2004, 17:19
Ehrenmitglied
Beiträge: 29434 |
#7
Meine Schuld: (bin von XP ausgegangen)
kopiere in die Killbox: C:\WINNT\system32\NTROOTKIT.exe C:\WINNT\system32\svchost32.exe C:\WINNT\system32\svchost.cmd C:\WINNT\system32\ntrootkit.reg D:\PROGRA~1\Jana\MAILOUT\In_0001.tmp ------------------------------------------------------------------------------------ was ist das fuer ein Dienst ? (Programm ??) O23 - Service: Jana Server - Thomas Hauck (T.Hauck@t-online.de) - D:\PROGRA~1\Jana\Jana.exe W32.Sober Removal Tool http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.removal.tool.html -------------------------------------------------------------------------------------------------- W32/Sober-I spürt in Systemdateien E-Mail-Adressen auf und kann in einer E-Mail mit verschiedenen Betreffzeilen und Texten auf den Computer gelangen. Wenn er ausgeführt wird, zeigt W32/Sober-I eine gefälschte Fehlermeldung mit dem Titel "WinZip Self-Extractor" und der Meldung "WinZip_Data_Module is missing ~Error:..." an. Gleichzeigt erstellt er folgende Dateien im Windows-Systemordner, von denen einige zum Speichern der aufgespürten Daten verwendet werden und andere verschlüsselte und/oder gepackte Wurmkopien sind: Odin-Anon.Ger clonzips.ssc text-ascii clsobern.isc text-ascii cvqaikxt.apk dgssxy.yoi diagdatacrypt.exe win-pack-hackupx expolerlog.exe win-pack-hackupx nonzipsr.noz sysmms32.lla winroot64.dal winsend32.dal zippedsr.piz text-ascii W32/Sober-I kopiert sich als EXE-Datei in den Windows-Systemordner, wobei er einen Namen benutzt, der aus folgenden Zeichenfolgen zusammgesetzt ist: sys, host, dir, expolrer, win, run, log, 32, disc, crypt, data, diag, spool,service,smss32 http://www.sophos.de/virusinfo/analyses/w32soberi.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.12.2004 um 17:30 Uhr von Sabina editiert.
|
|
|
||
21.12.2004, 17:29
...neu hier
Themenstarter Beiträge: 10 |
#8
Jana ist ein Kostenloser Proxyserver, mit dem ich unser Mails abhole und verteile (Mailserver) läuft schon seit ca. 3 Jahren bei uns ohne Probleme.
Oben hast du etwas geschrieben was ich nicht verstehe. Zitat: Dienste anzeigen: #Scrolle bis zu Mitte dieser Seite und lade: get_active_services_179.zip --> entpacken --> http://computercops.biz/postp237756.html gehe in den abgesicherten Modus (du must als Administrator angemeldet sein) http://www.tu-berlin.de/www/software/virus/savemode.shtml öffnen --> Active.txt-->es öffnet sich der [Texteditor]--> -->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" Die zip Datei habe ich bereits auf dem Rechner und entpackt aber dann?????? Gruß Suffi |
|
|
||
21.12.2004, 17:32
Ehrenmitglied
Beiträge: 29434 |
#9
Zitat Suff postetekopiere in die Killbox: C:\WINNT\system32\NTROOTKIT.exe C:\WINNT\system32\svchost32.exe C:\WINNT\system32\svchost.cmd C:\WINNT\system32\ntrootkit.reg D:\PROGRA~1\Jana\MAILOUT\In_0001.tmp 1.Jana --->war nur ein Frage 2.öffnen --> Active.txt-->es öffnet sich der [Texteditor]--> -->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" 3.W32.Sober Removal Tool http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.removal.tool.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.12.2004 um 17:33 Uhr von Sabina editiert.
|
|
|
||
21.12.2004, 17:51
...neu hier
Themenstarter Beiträge: 10 |
#10
Noch mal,
ich habe die Zip-datei entpackt darus entsteht eine *.vbs Datei wenn ich die ausführe bekomme ich eine Fehlermeldung "Der Zugriff ....Script Host...deaktiviert..." wie änder ich das?? |
|
|
||
22.12.2004, 00:30
Ehrenmitglied
Beiträge: 29434 |
#11
dann lass es...keine Ahnung
mache folgendes: 2.Log: (komplett) HijackThis-->Config <List also minor sections (full) -->Häkchen setzen <List empty sections (complete) -->Häkchen setzen HijackThis-->Config-->MiscTools-->Generate StartupListlog -->es öffnet sich der [Texteditor]--> -->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" und was meint das Removaltool vom Symantec ??? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.12.2004, 12:32
...neu hier
Themenstarter Beiträge: 10 |
#12
Hi Sabina,
du arbeitest ja bis spät in die Nacht hinein. Also folgenden Stand habe ich jetzt. Den Soberfix habe ich schon auf dem Rechner und auf allen anderen Rechner in unserem Netzwerk laufenlassen, mit dem Ergebnis, das kein Virusvorhanden ist. Im Netzwerk wurden alle Maschinen mit Norton geprüft, ohne Befund. Den Fix habe ich jetzt nochmal durchlaufen lassen, nichts gefunden. Hier das Protokoll von Hijack: StartupList report, 22.12.2004, 12:37:56 StartupList version: 1.52.2 Started from : C:\Programme\Hijack\HijackThis.EXE Detected: Windows 2000 SP4 (WinNT 5.00.2195) Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106) * Using default options * Including empty and uninteresting sections * Showing rarely important sections ================================================== Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe D:\Programme\Sygate\SPF\smc.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\NavNT\defwatch.exe d:\PROGRA~1\DIRECT~1\DUService.exe C:\WINNT\System32\svchost.exe C:\Programme\NavNT\rtvscan.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\tlntsvr.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe D:\PROGRA~1\Jana\Jana.exe C:\WINNT\Explorer.EXE C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\NavNT\vptray.exe D:\Programme\CloneCD\CloneCDTray.exe D:\Programme\DirectUpdate\DUControl.exe C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe D:\PROGRA~1\TYPSOF~1\ftpserv.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Hijack\HijackThis.exe C:\WINNT\system32\NOTEPAD.EXE -------------------------------------------------- Listing of startup folders: Shell folders Startup: [C:\Dokumente und Einstellungen\E-Mail\Startmenü\Programme\Autostart] *No files* Shell folders AltStartup: *Folder not found* User shell folders Startup: *Folder not found* User shell folders AltStartup: *Folder not found* Shell folders Common Startup: [C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart] Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe Shell folders Common AltStartup: *Folder not found* User shell folders Common Startup: *Folder not found* User shell folders Alternate Common Startup: *Folder not found* -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINNT\system32\userinit.exe, [HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon] *Registry key not found* [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] *Registry value not found* [HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon] *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Share-to-Web Namespace Daemon = C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe vptray = C:\Programme\NavNT\vptray.exe NeroCheck = C:\WINNT\system32\NeroCheck.exe CloneCDElbyCDFL = "d:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL CloneCDTray = "d:\Programme\CloneCD\CloneCDTray.exe" DUControl = d:\Programme\DirectUpdate\DUControl.exe FTP Server = D:\PROGRA~1\TYPSOF~1\ftpserv.exe SmcService = D:\PROGRA~1\Sygate\SPF\smc.exe -startgui SunJavaUpdateSched = C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce *No values found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *No values found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run *No values found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce *No values found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\Run *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\Run *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- File association entry for .EXE: HKEY_CLASSES_ROOT\exefile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .COM: HKEY_CLASSES_ROOT\comfile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .BAT: HKEY_CLASSES_ROOT\batfile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .PIF: HKEY_CLASSES_ROOT\piffile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .SCR: HKEY_CLASSES_ROOT\scrfile\shell\open\command (Default) = "%1" /S -------------------------------------------------- File association entry for .HTA: HKEY_CLASSES_ROOT\htafile\shell\open\command (Default) = C:\WINNT\System32\mshta.exe "%1" %* -------------------------------------------------- File association entry for .TXT: HKEY_CLASSES_ROOT\txtfile\shell\open\command (Default) = %SystemRoot%\system32\NOTEPAD.EXE %1 -------------------------------------------------- Enumerating Active Setup stub paths: HKLM\Software\Microsoft\Active Setup\Installed Components (* = disabled by HKCU twin) [>{26923b43-4d38-484f-9b9e-de460746276c}] * StubPath = "C:\WINNT\System32\shmgrate.exe" OCInstallUserConfigIE [>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS] * StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP [>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] * StubPath = "C:\WINNT\System32\shmgrate.exe" OCInstallUserConfigOE [{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] * StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\mplayer2.inf,PerUserStub.NT [{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] * StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install [{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] * StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT [{6A5110B5-E14B-4268-A065-EF89FF33C325}] * StubPath = regsvr32.exe /s /n /i:"S 2 true 3 true 4 true 5 true 6 true 7 true" initpki.dll [{6BF52A52-394A-11d3-B153-00C04F79FAA6}] * StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\wmp.inf,PerUserStub [{7790769C-0471-11d2-AF11-00C04FA35D02}] * StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install [{89820200-ECBD-11cf-8B85-00AA005B4340}] * StubPath = regsvr32.exe /s /n /i:U shell32.dll [{89820200-ECBD-11cf-8B85-00AA005B4383}] * StubPath = %SystemRoot%\System32\ie4uinit.exe [{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}] * StubPath = %SystemRoot%\System32\updcrl.exe -e -u %SystemRoot%\System32\verisignpub1.crl -------------------------------------------------- Enumerating ICQ Agent Autostart apps: HKCU\Software\Mirabilis\ICQ\Agent\Apps *Registry key not found* -------------------------------------------------- Load/Run keys from C:\WINNT\WIN.INI: load=*INI section not found* run=*INI section not found* Load/Run keys from Registry: HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found* HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found* HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found* HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found* HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found* HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found* HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found* HKCU\..\Windows NT\CurrentVersion\Windows: load= HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs= -------------------------------------------------- Shell & screensaver key from C:\WINNT\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=C:\WINNT\system32\logon.scr drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry key not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Checking for EXPLORER.EXE instances: C:\WINNT\Explorer.exe: PRESENT! C:\Explorer.exe: not present C:\WINNT\Explorer\Explorer.exe: not present C:\WINNT\System\Explorer.exe: not present C:\WINNT\System32\Explorer.exe: not present C:\WINNT\Command\Explorer.exe: not present C:\WINNT\Fonts\Explorer.exe: not present -------------------------------------------------- Checking for superhidden extensions: .lnk: HIDDEN! (arrow overlay: yes) .pif: HIDDEN! (arrow overlay: yes) .exe: not hidden .com: not hidden .bat: not hidden .hta: not hidden .scr: not hidden .shs: HIDDEN! .shb: HIDDEN! .vbs: not hidden .vbe: not hidden .wsh: not hidden .scf: HIDDEN! (arrow overlay: NO!) .url: HIDDEN! (arrow overlay: yes) .js: not hidden .jse: not hidden -------------------------------------------------- Verifying REGEDIT.EXE integrity: - Regedit.exe found in C:\WINNT - .reg open command is normal (regedit.exe %1) - Company name OK: 'Microsoft Corporation' - Original filename OK: 'REGEDIT.EXE' - File description: 'Registrierungs-Editor' Registry check passed -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - d:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (no name) - D:\Programme\Spybot\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F} -------------------------------------------------- Enumerating Task Scheduler jobs: 1-Klick-Wartung.job -------------------------------------------------- Enumerating Download Program Files: [DirectAnimation Java Classes] CODEBASE = file://C:\WINNT\Java\classes\dajava.cab OSD = C:\WINNT\Downloaded Program Files\DirectAnimation Java Classes.osd [Microsoft XML Parser for Java] OSD = C:\WINNT\Downloaded Program Files\Microsoft XML Parser for Java.osd [Google Activate] InProcServer32 = C:\WINNT\Downloaded Program Files\googlenav.dll CODEBASE = http://toolbar.google.com/data/de/deleon/1.1.62-deleon/GoogleNav.cab [Java Plug-in 1.4.2_06] InProcServer32 = C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll CODEBASE = http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab [Update Class] InProcServer32 = C:\WINNT\System32\iuctl.dll CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37869.0166666667 [Java Plug-in 1.4.2_06] InProcServer32 = C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll CODEBASE = http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab [Shockwave Flash Object] InProcServer32 = C:\WINNT\System32\macromed\flash\Flash.ocx CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab -------------------------------------------------- Enumerating Winsock LSP files: NameSpace #1: C:\WINNT\System32\rnr20.dll NameSpace #2: C:\WINNT\System32\winrnr.dll Protocol #1: C:\WINNT\system32\msafd.dll Protocol #2: C:\WINNT\system32\msafd.dll Protocol #3: C:\WINNT\system32\msafd.dll Protocol #4: C:\WINNT\system32\rsvpsp.dll Protocol #5: C:\WINNT\system32\rsvpsp.dll Protocol #6: C:\WINNT\system32\msafd.dll Protocol #7: C:\WINNT\system32\msafd.dll Protocol #8: C:\WINNT\system32\msafd.dll Protocol #9: C:\WINNT\system32\msafd.dll Protocol #10: C:\WINNT\system32\msafd.dll Protocol #11: C:\WINNT\system32\msafd.dll Protocol #12: C:\WINNT\system32\msafd.dll Protocol #13: C:\WINNT\system32\msafd.dll Protocol #14: C:\WINNT\system32\msafd.dll Protocol #15: C:\WINNT\system32\msafd.dll Protocol #16: C:\WINNT\system32\msafd.dll Protocol #17: C:\WINNT\system32\msafd.dll -------------------------------------------------- Enumerating Windows NT/2000/XP services Microsoft ACPI-Treiber: System32\DRIVERS\ACPI.sys (system) Umgebung für die AFD-Netzwerkunterstützung: \SystemRoot\System32\drivers\afd.sys (autostart) Service for Avance AC97 Audio (WDM): system32\drivers\ALCXWDM.SYS (manual start) Warndienst: %SystemRoot%\System32\services.exe (manual start) Anwendungsverwaltung: %SystemRoot%\system32\services.exe (manual start) Asynchroner RAS -Medientreiber: System32\DRIVERS\asyncmac.sys (manual start) Standard-IDE/ESDI-Festplattencontroller: System32\DRIVERS\atapi.sys (system) Protokoll für ATM ARP-Client: System32\DRIVERS\atmarpc.sys (manual start) Audiostubtreiber: System32\DRIVERS\audstub.sys (manual start) Intelligenter Hintergrundübertragungsdienst: %SystemRoot%\System32\svchost.exe -k BITSgroup (manual start) Computerbrowser: %SystemRoot%\System32\services.exe (autostart) CD-ROM-Laufwerktreiber: System32\DRIVERS\cdrom.sys (system) Indexdienst: C:\WINNT\System32\cisvc.exe (manual start) Ablagemappe: %SystemRoot%\system32\clipsrv.exe (manual start) DefWatch: C:\Programme\NavNT\defwatch.exe (autostart) DHCP-Client: %SystemRoot%\System32\services.exe (autostart) DirectUpdate engine: "d:\PROGRA~1\DIRECT~1\DUService.exe" (autostart) Datenträgertreiber: System32\DRIVERS\disk.sys (system) Verwaltungsdienst für die Verwaltung logischer Datenträger: %SystemRoot%\System32\dmadmin.exe /com (manual start) dmboot: System32\drivers\dmboot.sys (disabled) Treiber für die Verwaltung logischer Datenträger: System32\drivers\dmio.sys (system) dmload: System32\drivers\dmload.sys (system) Verwaltung logischer Datenträger: %SystemRoot%\System32\services.exe (autostart) Microsoft DirectMusic SW-Synthesizer (WDM): system32\drivers\DMusic.sys (manual start) DNS-Client: %SystemRoot%\System32\services.exe (autostart) ElbyCDFL: System32\Drivers\ElbyCDFL.sys (manual start) ElbyCDIO Driver: System32\Drivers\ElbyCDIO.sys (autostart) Kingston PC Card Reader Driver: System32\DRIVERS\epcfw2k.sys (manual start) Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart) COM+-Ereignissystem: C:\WINNT\System32\svchost.exe -k netsvcs (manual start) Faxdienst: %systemroot%\system32\faxsvc.exe (manual start) Diskettencontrollertreiber: System32\DRIVERS\fdc.sys (manual start) Diskettentreiber: System32\DRIVERS\flpydisk.sys (manual start) Treiber für Datenträger-Manager: System32\DRIVERS\ftdisk.sys (system) Gameport-Enumerator: System32\DRIVERS\gameenum.sys (manual start) Standardpaketklassifizierung: System32\DRIVERS\msgpc.sys (manual start) i8042-Tastatur- und PS/2-Mausanschluss-Treiber: System32\DRIVERS\i8042prt.sys (system) Filtertreiber für IP-Verkehr: System32\DRIVERS\ipfltdrv.sys (manual start) IP/IP-Tunneltreiber: System32\DRIVERS\ipinip.sys (manual start) IP-Netzwerkadressenübersetzer: System32\DRIVERS\ipnat.sys (manual start) IPSEC-Treiber: System32\DRIVERS\ipsec.sys (manual start) IR Enumerator Service: System32\DRIVERS\irenum.sys (manual start) PnP-ISA/EISA-Bus-Treiber: System32\DRIVERS\isapnp.sys (system) Jana Server: D:\PROGRA~1\Jana\Jana.exe (autostart) Tastaturklassentreiber: System32\DRIVERS\kbdclass.sys (system) Microsoft Kernel-Waveaudiomixer: system32\drivers\kmixer.sys (manual start) Logitech PS/2 Mouse Filter Driver: System32\DRIVERS\L8042pr2.sys (manual start) Server: %SystemRoot%\System32\services.exe (autostart) Arbeitsstationsdienst: %SystemRoot%\System32\services.exe (autostart) Logitech Keyboard Class Filter Driver: System32\DRIVERS\lkbdflt2.sys (manual start) TCP/IP-NetBIOS-Hilfsprogramm: %SystemRoot%\System32\services.exe (autostart) Logitech Mouse Class Filter Driver: System32\DRIVERS\lmouflt2.sys (manual start) Nachrichtendienst: %SystemRoot%\System32\services.exe (disabled) NetMeeting-Remotedesktop-Freigabe: C:\WINNT\System32\mnmsrvc.exe (disabled) Mausklassentreiber: System32\DRIVERS\mouclass.sys (system) MRXSMB: System32\DRIVERS\mrxsmb.sys (system) Distributed Transaction Coordinator: C:\WINNT\System32\msdtc.exe (manual start) Windows Installer: C:\WINNT\System32\MsiExec.exe /V (manual start) Microsoft Streaming Service Proxy: system32\drivers\MSKSSRV.sys (manual start) Microsoft Proxy für Streaming Clock: system32\drivers\MSPCLOCK.sys (manual start) Microsoft Proxy für Streaming Quality Manager: system32\drivers\MSPQM.sys (manual start) NAVAP: \??\C:\Programme\NavNT\NAVAP.sys (manual start) NAVAPEL: \??\C:\Programme\NavNT\NAVAPEL.SYS (autostart) NAVENG: \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20041221.033\NAVENG.sys (manual start) NAVEX15: \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20041221.033\NAVEX15.sys (manual start) RAS-NDIS-TAPI-Treiber: System32\DRIVERS\ndistapi.sys (manual start) NDIS-Benutzermodus-E/A-Protokoll: System32\DRIVERS\ndisuio.sys (manual start) RAS-NDIS-WAN-Treiber: System32\DRIVERS\ndiswan.sys (manual start) NetBIOS-Schnittstelle: System32\DRIVERS\netbios.sys (system) NetBios über TCP/IP: System32\DRIVERS\netbt.sys (system) Netzwerk-DDE-Dienst: %SystemRoot%\system32\netdde.exe (manual start) Netzwerk-DDE-Serverdienst: %SystemRoot%\system32\netdde.exe (manual start) NetDetect: \SystemRoot\system32\drivers\netdtect.sys (manual start) Anmeldedienst: %SystemRoot%\System32\lsass.exe (autostart) Netzwerkverbindungen: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Norton AntiVirus Client: C:\Programme\NavNT\rtvscan.exe (autostart) NT-LM-Sicherheitsdienst: %SystemRoot%\System32\lsass.exe (manual start) Wechselmedien: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Filtertreiber für IPX-Verkehr: System32\DRIVERS\nwlnkflt.sys (manual start) Treiber für IPX-Verkehrsweiterleitung: System32\DRIVERS\nwlnkfwd.sys (manual start) Parallelklassentreiber: System32\DRIVERS\parallel.sys (manual start) Treiber für parallelen Anschluss: System32\DRIVERS\parport.sys (system) PCANDIS5 Protocol Driver: \??\D:\PROGRA~1\T-ONLINE\BSW4\T-DSLT~1\PCANDIS5.SYS (manual start) PCI Bus Driver: System32\DRIVERS\pci.sys (system) PCIIde: System32\DRIVERS\pciide.sys (system) Plug & Play: %SystemRoot%\system32\services.exe (autostart) IPSEC-Richtlinienagent: %SystemRoot%\System32\lsass.exe (autostart) WAN-Miniport (PPTP): System32\DRIVERS\raspptp.sys (manual start) Geschützter Speicher: %SystemRoot%\system32\services.exe (autostart) Treiber für direkte Parallelverbindung: System32\DRIVERS\ptilink.sys (manual start) Treiber für automatische RAS-Verbindung: System32\DRIVERS\rasacd.sys (system) Verwaltung für automatische RAS-Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) WAN-Miniport (L2TP): System32\DRIVERS\rasl2tp.sys (manual start) RAS-Verbindungsverwaltung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Parallelanschluss (direkt): System32\DRIVERS\raspti.sys (manual start) Microsoft Streaming Network-RCA (Raw Channel Access): system32\drivers\RCA.sys (manual start) Rdbss: System32\DRIVERS\rdbss.sys (system) Filtertreiber für digitale CD-Audiowiedergabe: System32\DRIVERS\redbook.sys (system) Routing und RAS: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Remote-Registrierungsdienst: %SystemRoot%\system32\regsvc.exe (autostart) RPC-Locator: %SystemRoot%\System32\locator.exe (manual start) Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart) QoS RSVP: %SystemRoot%\System32\rsvp.exe -s (manual start) NT-Treiber für Realtek RTL8139-basierten PCI-Fast Ethernet-Adapter: System32\DRIVERS\RTL8139.SYS (manual start) Sicherheitskontenverwaltung: %SystemRoot%\system32\lsass.exe (autostart) Smartcard-Hilfsprogramm: %SystemRoot%\System32\SCardSvr.exe (manual start) Smartcard: %SystemRoot%\System32\SCardSvr.exe (manual start) Taskplaner: %SystemRoot%\system32\MSTask.exe (autostart) Dienst "Ausführen als": %SystemRoot%\system32\services.exe (autostart) Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Serenum-Filtertreiber: System32\DRIVERS\serenum.sys (manual start) Treiber für seriellen Anschluss: System32\DRIVERS\Ser*hier nicht!*.sys (system) SetupNT: \SystemRoot\system32\SetupNT.sys (autostart) Gemeinsame Nutzung der Internetverbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Sygate Personal Firewall Pro: D:\Programme\Sygate\SPF\smc.exe (autostart) Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart) Srv: System32\DRIVERS\srv.sys (manual start) Still Image Service: %systemroot%\system32\stisvc.exe (autostart) Remote_Procedure_Call: %windir%\system32\svchost.cmd (disabled) Software-Bus-Treiber: System32\DRIVERS\swenum.sys (manual start) Microsoft Kernel GS Wavetablesynthesizer: system32\drivers\swmidi.sys (manual start) SymEvent: \??\C:\Programme\Symantec\SYMEVENT.SYS (manual start) Microsoft System-Audiogerät: system32\drivers\sysaudio.sys (manual start) Leistungsdatenprotokolle und Warnungen: %SystemRoot%\system32\smlogsvc.exe (manual start) Telefonie: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) TCP/IP-Protokolltreiber: System32\DRIVERS\tcpip.sys (system) T-DSL-Adapter (T-Online): System32\DRIVERS\TDSLAdap.sys (manual start) T-DSL-Protocol (T-Online): System32\DRIVERS\TDSLProt.sys (manual start) Teefer for NT: SYSTEM32\Drivers\Teefer.sys (system) Telnet: %SystemRoot%\system32\tlntsvr.exe (autostart) trid3d: System32\DRIVERS\trid3dm.sys (manual start) Überwachung verteilter Verknüpfungen (Client): %SystemRoot%\system32\services.exe (autostart) Universeller Microsoft USB-Hostcontrollertreiber: System32\DRIVERS\uhcd.sys (manual start) Microcode Aktualisierungstreiber: System32\DRIVERS\update.sys (manual start) Unterbrechungsfreie Spannungsversorgung: %SystemRoot%\System32\ups.exe (manual start) Microsoft USB-Standardhubtreiber: System32\DRIVERS\usbhub.sys (manual start) USB-Scannertreiber: System32\DRIVERS\usbscan.sys (manual start) Hilfsprogramm-Manager: %SystemRoot%\System32\UtilMan.exe (manual start) VgaSave: \SystemRoot\System32\drivers\vga.sys (system) VIA AGP-Bus-Filter: System32\DRIVERS\viaagp1.sys (system) VIA AGP Bus Filter : System32\DRIVERS\viaagp1.sys (system) VIA USB Filter: \SystemRoot\System32\Drivers\viausb.sys (manual start) viaide: System32\DRIVERS\viaide.sys (system) VIAPFD: \SystemRoot\System32\Drivers\VIAPFD.SYS (system) vsdatant: \??\C:\WINNT\System32\vsdatant.sys (manual start) Windows-Zeitgeber: %SystemRoot%\System32\services.exe (disabled) RAS-IP-ARP-Treiber: System32\DRIVERS\wanarp.sys (manual start) Treiber für Microsoft WINMM-WDM-Audiokompatibilität: system32\drivers\wdmaud.sys (manual start) SyGate for NT, wg3n: \SystemRoot\SYSTEM32\Drivers\wg3n.sys (autostart) Windows-Verwaltungsinstrumentation: %SystemRoot%\System32\WBEM\WinMgmt.exe (autostart) WMDM PMSP Service: C:\WINNT\System32\mspmspsv.exe (autostart) Windows-Verwaltungsinstrumentations-Treibererweiterungen: %SystemRoot%\system32\Services.exe (manual start) wpsdrvnt: \??\C:\WINNT\system32\drivers\wpsdrvnt.sys (system) Automatische Updates: %systemroot%\system32\svchost.exe -k wugroup (disabled) Drahtloskonfiguration: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) -------------------------------------------------- Enumerating Windows NT logon/logoff scripts: *No scripts set to run* Windows NT checkdisk command: BootExecute = autocheck autochk * Windows NT 'Wininit.ini': PendingFileRenameOperations: *Registry value not found* -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll WebCheck: C:\WINNT\System32\webcheck.dll SysTray: stobject.dll -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run *Registry key not found* -------------------------------------------------- End of report, 29.026 bytes Report generated in 0,094 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only Ich hoffe es hilft Gruß Suffi Dieser Beitrag wurde am 22.12.2004 um 12:33 Uhr von Suff editiert.
|
|
|
||
22.12.2004, 12:52
Ehrenmitglied
Beiträge: 29434 |
#13
alles sauber
was passiert, wenn du das hier in die Killbox kopierst ? D:\PROGRA~1\Jana\MAILOUT\In_0001.tmp __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.12.2004, 14:56
...neu hier
Themenstarter Beiträge: 10 |
#14
Da mein Norton so eingestellt ist das er die Datei gleich löscht, sagt mir die killbox das das File nicht exsitiert.
Ich habe langsam den Verdacht das der Virus nicht hier auf dem Rechner des Proxyservers ist sondern auf irgendeinem Rechner im Netz. Warum: Das Verzeichnis in dem die Datei *.tmp ist das Verzeichnis in dem die ausgehenden E-Mails gespeichert werden und zum Zeitpunkt x vom Janaserver erschickt werden. Auf grund der Weihnachtsfeier die z. Z. im gang ist waren 90% der Rechner abgeschaltet und der Virus ist nicht aufgetaucht. Ich werde mal die anderen Rechner mit den tools untersuchen und werde berichten. Erstmal Danke |
|
|
||
22.12.2004, 15:00
Ehrenmitglied
Beiträge: 29434 |
#15
nun, der Virus ist in :
D:\PROGRA~1\Jana\MAILOUT\ dort muesstest du im Prinzip alles loeschen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ich habe den o. g. Virus auf dem Rechner und bekomme Ihn niicht weg.
Habe es mit dem Virusfix von Norton versucht, der findet aber nichts zum entfernen.
Es wird ständig versucht eine E-Mail weg zu schicken ( In_0001.tmp) die der der Norton aber löscht bzw. isoliert.
Des weiteren befindet sich ein Verzeichnis uaf C:\Programme\microsoft frontpage das ich nicht löschen kann.
Ich habe es dann im abgesicherten Modus gelöscht. Nach dem Start im normalen Modus war es wieder da.
Jetzt habe ich andere Treeds gelesen und schonmal einen Hijack scan gemacht.
Nun weiß ich nicht mehr weiter was zu tun ist, hier der scan:
Logfile of HijackThis v1.99.0
Scan saved at 15:14:52, on 20.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
D:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\NavNT\defwatch.exe
d:\PROGRA~1\DIRECT~1\DUService.exe
C:\WINNT\System32\svchost.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\tlntsvr.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
D:\PROGRA~1\Jana\Jana.exe
C:\WINNT\Explorer.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\NavNT\vptray.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
D:\Programme\CloneCD\CloneCDTray.exe
D:\Programme\DirectUpdate\DUControl.exe
D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\E-Mail\Lokale Einstellungen\Temp\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot\SDHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINNT\Downloaded Program Files\googlenav.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "d:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "d:\Programme\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [DUControl] d:\Programme\DirectUpdate\DUControl.exe
O4 - HKLM\..\Run: [FTP Server] D:\PROGRA~1\TYPSOF~1\ftpserv.exe
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: &Google Search - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmsimilar.html
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/de/deleon/1.1.62-deleon/GoogleNav.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7ACC9714-5A24-482E-ADE9-1C1EF55D3482}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE6D347D-62F7-4604-B458-B14DD236C566}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe
O23 - Service: DirectUpdate engine - http://www.directupdate.net/ - d:\PROGRA~1\DIRECT~1\DUService.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Jana Server - Thomas Hauck (T.Hauck@t-online.de) - D:\PROGRA~1\Jana\Jana.exe
O23 - Service: Norton AntiVirus Client - Symantec Corporation - C:\Programme\NavNT\rtvscan.exe
O23 - Service: Sygate Personal Firewall Pro - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe
O23 - Service: Remote_Procedure_Call - Unknown - %windir%\system32\svchost.cmd (file missing)
Gruß
Suffi