wie entfernt man w32.spybot.worm?

#106 sigi73

Vorgehensweise:
scanne mit escan im abgesicherten Modus,

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten

kopiere alle also-->"infected" raus, dann mit der Killbox loeschen

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

und Onlinescanns machen

•Online-Scann (Panda)
http://www.pandasoftware.com/activescan/com/activescan_principal.htm

•Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml

•Trend-Micro (Online)
http://de.trendmicro-europe.com/consumer/products/housecall_launch.php
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php

•BitDefender Scan
http://www.bitdefender.de/scan/licence.html
www.bitdefender.com/scan/Msie/index.php

+ das Log vom HijackThis posten.

HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner -->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->

Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#107

Zitat

Bibi 118 postete
Hallo Sabina, ich habs in der registrie immernoch drin. und zwar in folgenden pfaden:
HKEY_LOCAL_Machine\System\ControllSet003\Enum\Root\LEGACY WinDLL
HKEY_LOCAL_Machine\System\ControllSet002\Enum\Root\LEGACY WinDLL
HKEY_LOCAL_Machine\SystemCurrentControllSet\Enum\Root\LEGACY WinDLL

das Teil scheint an mir zu hängen!!!!! vieleicht hast du ja noch eine gute idee! danke erst nochmal und einen schönen Abend. liebe grüße bibi

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "WinDLL " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"WinDLL " beim nächsten Systemstart erneut ausgeführt.

Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

Gehe in den abgesicherten Modus.

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

kopiere noch mal WinDLL in das Tool (mache es aber im abgesicherten Modus)
Stelle vorher sicher, dass der Dienst WinDLL deaktiviert ist)

-----------------

Dienste anzeigen:
License: Freeware/Getservices
Note: You must run this program as a user with Administrator privaleges.
->klicke auf "getservice.bat und poste, was im Editor erscheint.
http://www.bleepingcomputer.com/files/getservices.php
__________
MfG Sabina

rund um die PC-Sicherheit

#108

Zitat

Cody postete
@Sabina danke für die schnelle antwort!

habe damit heute angefangen aber der scan dauert ja ne ewigkeit 11stunden hatte das gedauert ich habe gedacht ich spinne!*g*

so hier man die infected:

C:\DOKUME~1\Rico\LOKALE~1\Temp\knfsozka.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rico\LOKALE~1\Temp\woxyfeyq.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rico\LOKALE~1\TEMPOR~1\Content.IE5\2ZQ18DW1\IberoDialerHTML[1].cab infected by "not-a-virusornWare.Dialer.IberoDial" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\Rico\LOKALE~1\Temp\woxyfeyq.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rico\LOKALE~1\TEMPOR~1\Content.IE5\2ZQ18DW1\IberoDialerHTML[1].cab infected by "not-a-virusornWare.Dialer.IberoDial" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rico\LOKALE~1\TEMPOR~1\Content.IE5\8HYPU3G1\prompt[1].php infected by "Trojan-Downloader.JS.WinAD.a" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Idle cdrom chin info\Readme part.exe infected by "Trojan-Downloader.Win32.Swizzor.cr" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Idle cdrom chin info\web road.exe infected by "Trojan-Downloader.Win32.Swizzor.cr" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Rico\Anwendungsdaten\error sixth\Phone Program.exe infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Rico\Anwendungsdaten\Grim each\Chin cdrom ace.exe infected by "Trojan-Downloader.Win32.Swizzor.cb" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Rico\Anwendungsdaten\Grim each\Idlejunkmags.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Rico\Anwendungsdaten\Grim each\rtzwzmoh.exe infected by "Trojan-Downloader.Win32.Swizzor.cr" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Rico\Anwendungsdaten\Grim each\uuygugmj.exe infected by "Trojan-Downloader.Win32.Swizzor.cr" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Rico\Desktop\hijack\backups\backup-20050226-235732-181.dll infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Rico\Eigene Dateien\zip's& rar's\Meine empfangenen Dateien.zip infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Rico\Lokale Einstellungen\Temp\ccb70.exe infected by "Trojan-Downloader.Win32.Swizzor.cs" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Rico\Lokale Einstellungen\Temp\knfsozka.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Rico\Lokale Einstellungen\Temp\woxyfeyq.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Rico\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2ZQ18DW1\IberoDialerHTML[1].cab infected by "not-a-virusornWare.Dialer.IberoDial" Virus. Action Taken: No Action Taken
File C:\Dokumente und Einstellungen\Rico\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HYPU3G1\prompt[1].php infected by "Trojan-Downloader.JS.WinAD.a" Virus. Action Taken: No Action Taken.
File C:\Programme\NewDotNet\newdotnet6_38.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\50D00345.exe infected by "not-a-virusorn-Dialer.Win32.Agent.a" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\50E05533.exe infected by "not-a-virusorn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP114\A0016892.pif infected by "IM-Worm.Win32.Bropia.i" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP114\A0016961.exe infected by "not-virus:Joke.DOS.Alarm.a" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017040.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017263.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017264.exe infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017265.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017267.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017270.exe infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017272.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017277.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017281.exe infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017282.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017283.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP115\A0017284.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP117\A0017537.exe infected by "not-a-virus:AdWare.EZula.ak" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP117\A0017607.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP120\A0018846.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP122\A0018888.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP122\A0018946.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP122\A0019177.exe infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP122\A0019178.exe infected by "Trojan-Downloader.Win32.Swizzor.cb" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP122\A0019194.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP122\A0019196.EXE infected by "not-a-virusorn-Dialer.Win32.Agent.a" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP122\A0019200.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{82CCA924-25D6-4136-98AA-FDA62059A652}\RP136\A0023289.dll infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.

Tue Mar 15 21:09:44 2005 => ***** Checking for specific ITW Viruses *****
Tue Mar 15 21:09:44 2005 => Checking for Welchia Virus...
Tue Mar 15 21:09:45 2005 => Checking for LovGate Virus...
Tue Mar 15 21:09:45 2005 => Checking for CodeRed Virus...
Tue Mar 15 21:09:45 2005 => Checking for OpaServ Virus...
Tue Mar 15 21:09:45 2005 => Checking for Sobig.e Virus...
Tue Mar 15 21:09:45 2005 => Checking for Winupie Virus...
Tue Mar 15 21:09:45 2005 => Checking for Swen Virus...
Tue Mar 15 21:09:45 2005 => Checking for JS.Fortnight Virus...
Tue Mar 15 21:09:45 2005 => Checking for Novarg Virus...
Tue Mar 15 21:09:45 2005 => Checking for Pagabot Virus...
Tue Mar 15 21:09:45 2005 => Checking for Parite.b Virus...
Tue Mar 15 21:09:45 2005 => Checking for Parite.a Virus...

Tue Mar 15 21:09:45 2005 => ***** Scanning complete. *****

Tue Mar 15 21:09:45 2005 => Total Files Scanned: 567793
Tue Mar 15 21:09:45 2005 => Total Virus(es) Found: 58
Tue Mar 15 21:09:45 2005 => Total Disinfected Files: 0
Tue Mar 15 21:09:45 2005 => Total Files Renamed: 0
Tue Mar 15 21:09:45 2005 => Total Deleted Files: 0
Tue Mar 15 21:09:45 2005 => Total Errors: 14
Tue Mar 15 21:09:45 2005 => Time Elapsed: 11:08:22
Tue Mar 15 21:09:45 2005 => Virus Database Date: 2005/03/11
Tue Mar 15 21:09:45 2005 => Virus Database Count: 121166

Tue Mar 15 21:09:45 2005 => Scan Completed.

so hoffe dagegen kann man was machen ohne zu formatiren!

mfg
Cody
ps: danke Sabina

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

#Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"


•LSPfix.exe
http://www.spychecker.com/program/lspfix.html
http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm
<"I know what I'm doing" <--anhaken

falls die newdotnet6_38.dll dort auftaucht, bringe sie von der linken auf die rechte Seite und loesche sie (d

Loesche:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Idle cdrom chin info\Readme part.exe

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Idle cdrom chin info\web road.exe

C:\Dokumente und Einstellungen\Rico\Anwendungsdaten\error sixth\Phone Program.exe

C:\Dokumente und Einstellungen\Rico\Anwendungsdaten\Grim each\Chin cdrom ace.exe

C:\Dokumente und Einstellungen\Rico\Anwendungsdaten\Grim each\Idlejunkmags.exe

C:\Dokumente und Einstellungen\Rico\Anwendungsdaten\Grim each\rtzwzmoh.exe

C:\Dokumente und Einstellungen\Rico\Anwendungsdaten\Grim each\uuygugmj.exe

C:\Dokumente und Einstellungen\Rico\Desktop\hijack\backups\backup-20050226-235732-181.dll

C:\Dokumente und Einstellungen\Rico\Eigene Dateien\zip's& rar's\Meine empfangenen Dateien.zip

C:\Dokumente und Einstellungen\Rico\Lokale Einstellungen\Temp\ccb70.exe

C:\Dokumente und Einstellungen\Rico\Lokale Einstellungen\Temp\knfsozka.exe

C:\Dokumente und Einstellungen\Rico\Lokale Einstellungen\Temp\woxyfeyq.exe

C:\Dokumente und Einstellungen\Rico\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2ZQ18DW1\IberoDialerHTML[1].cab

C:\Dokumente und Einstellungen\Rico\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HYPU3G1\prompt[1].php

C:\Programme\NewDotNet\newdotnet6_38.dll

#TuneUp2004 (30 Tage free)
http://www.tuneup.de/products/tuneup-utilities/
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
__________
MfG Sabina

rund um die PC-Sicherheit

#109 dank kann aber ergenwie
C:\Dokumente und Einstellungen\Rico\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2ZQ18DW1\IberoDialerHTML[1].cab

C:\Dokumente und Einstellungen\Rico\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HYPU3G1\prompt[1].php
nicht löschen und die gibs es nicht mehr!:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Idle cdrom chin info\Readme part.exe
C:\Dokumente und Einstellungen\Rico\Anwendungsdaten\error sixth\Phone Program.exe
C:\Dokumente und Einstellungen\Rico\Anwendungsdaten\Grim each\Chin cdrom ace.exe
C:\Dokumente und Einstellungen\Rico\Anwendungsdaten\Grim each\Idlejunkmags.exe
C:\Dokumente und Einstellungen\Rico\Anwendungsdaten\Grim each\rtzwzmoh.exe
C:\Dokumente und Einstellungen\Rico\Anwendungsdaten\Grim each\uuygugmj.exe

naja werde den noch den rest jetzt machen!

mfg
Cody

#110 hallo Sabina, deaktiviert war das teil schon!!! hatte ich doch gleich als erstes gemacht und an dem status hat sich gott sei dank nix geändert!!!! dann bin ich wieder in den abgesicherten modus gegangen und hier der log:; RegSrch.vbs © Bill James

; Registry search results for string "WinDLL LOADER" 16.03.2005 18:19:49

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_USERS\S-1-5-21-1409082233-764733703-1343024091-1003\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="WinDLL Loader"
nach dem log bin ich wieder in die registry und hab unter dem pfad mal geschaut. der loader war noch da aber ließ sich manuel löschen. in den anderen pfaden steht er auch noch und ließ sich nicht löschen!!!
es ist doch eigentlich schon fast unglaublich wie hartnäckig das teilchen ist.
noch eine andere idee oder ein anderes tool?????
ganz liebe grüße und einen schönen abend bibi

#111 Hallo@Bibi 118

Also, wenn die Datein unter Windows schon geloescht sind, dann muesste dieser RegistryCleaner es aus der Registry ausloeschen koennen...versuch es mal, wobei ich nicht weiss, ob die Testversion das macht.(dieses Tool hab ich uebrigens selbst, als Vollversion--> sehr zu empfehlen.....)

Das Tool durchsucht Ihre Registry nach fehlerhaften und unnützen Verknüpfungen und DLLs, nicht verwendeteten Fonts usw. Nachdem von der Software automatisch eine Sicherheitskopie der aktuellen Einstellungen gespeichert wurde, werden alle gefundenen Fehler beseitigt. Anschließend sollte Ihr Windows bedeutend schneller und vor allem stabiler laufen. In der unregistrierten Version werden nur 14 aller gefundenen Fehler beseitigt.



http://download.t-online.de/dl_detailseite3_db.phtml?progid=22259
__________
MfG Sabina

rund um die PC-Sicherheit

#112 Hallo Sabina, ich gebs auf und mach den rechner platt! das tool hat 8 einträge gefunden und keinen löschen können. langsam ist es ja wirklich nicht mehr zu glauben. ich hoffe nur das es nach dem neumachen des rechners endlich verschwunden ist. nochmal vielen dank für deine mühe mir zu helfen.aber ich scheine ein hoffnungsloser fall zu sein ;-). ich werde mich wieder melden ob das platt machen was geholfen hat. hab mir das für die ostertage vorgenommen. mal sehen ob alles so wird wie ich möchte. und das der rechner dann wieder vernünftig läuft. was er im moment auch nicht macht. liebe grüße bibi

#113 Hallo Sabina !

Zu aller erst - viiiiiellen Dank für Diene Mühe hier im Forum. Ich denke mal das du für viele die letzte Hoffung bist. So auch bei mir ! Ich habe mir auch trotz Norton diesen sch.... Wurm eingefangen ! Ich habe echt schon alles probiert und nichts hat genützt. Norton sagt zwar immer das er den Wurm entfernt hat, aber er kommt immer wieder ! Bitte hilf mir - ich will mein System nicht platt machen !

Logfile of HijackThis v1.99.1
Scan saved at 19:46:43, on 17.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\xpjava.exe
E:\WINDOWS\Explorer.EXE
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - E:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - E:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - E:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
O4 - HKLM\..\Run: [ccApp] "E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] D:\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] E:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe
O4 - HKLM\..\Run: [Smapp] E:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [RealTray] d:\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "E:\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] E:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [FastUser] E:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [CoolSwitch] E:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [CloneCDTray] D:\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [ATIPTA] E:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] E:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [etbrun] E:\windows\system32\elitejwj32.exe
O4 - HKLM\..\Run: [Systems Backups] windrives.exe
O4 - HKLM\..\Run: [Win2k] hcogkhxuu.exe
O4 - HKLM\..\Run: [MS HTML Location Class] MSHTML32.exe
O4 - HKLM\..\RunServices: [Systems Backups] windrives.exe
O4 - HKLM\..\RunServices: [Win2k] hcogkhxuu.exe
O4 - HKLM\..\RunServices: [MS HTML Location Class] MSHTML32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = E:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPI Tray.lnk = E:\Programme\U.S. Robotics ISDN Utilities\ccmon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = E:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe
O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe
O12 - Plugin for .spop: E:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (pixaco IE Drop-Upload) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://80.59.89.72/activex/AxisCamControl.ocx
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC09E828-8761-4FB9-A092-AF5B5A35204E}: NameServer = 193.189.244.197 193.189.244.205
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - E:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Systems Backups (Restoreds) - Unknown owner - E:\WINDOWS\System32\windrives.exe" -service (file missing)
O23 - Service: SAVScan - Symantec Corporation - D:\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - E:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - E:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

#114 Sorry Sabina, bin wahrscheinlich der 100.oooste der mometan fragt, aber auch ich habe spybot auf meinem system.
Hier mein logfile von highjack:
Logfile of HijackThis v1.99.1
Scan saved at 00:25:18, on 18.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Dokumente und Einstellungen\Betty\Programme\dc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Java\j2re1.4.2_03\bin\javaw.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\appleJuice\gui\AJCoreGUI.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\Betty\LOKALE~1\Temp\Rar$EX00.703\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://new-search.net/index.php?v=6&aff=918178
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von NetCologne
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Windows Compliant] rdakfm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Dialer Control] C:\Dokumente und Einstellungen\Betty\Programme\dc.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Popup Blocker System326a Monitoring] PopUpBlocker6a.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\RunServices: [Windows Compliant] rdakfm.exe
O4 - HKLM\..\RunServices: [Popup Blocker System326a Monitoring] PopUpBlocker6a.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Popup Blocker System326a Monitoring] PopUpBlocker6a.exe
O4 - HKCU\..\Run: [Windows Compliant] rdakfm.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\office\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.internetcologne.de
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_Crac*hier nicht!*.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{203872E4-DDB4-463D-BEB2-EC5DB7C87940}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{F035A4A1-3AF9-49B9-804C-8C9BD1921E9C}: NameServer = 81.173.194.68 194.8.194.60
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Windows PnP Driver (winpnp) - Unknown owner - C:\WINDOWS\System32\winpnp.exe (file missing)

Danke im Voraus, du bist seeeeehhhhr geduldig. Echt lieben Dank

#115 Hallo@Floty

Es ist mir unverstaendlich, wie jemand Banking macht , dass mit einem voellig ungesicherten PC und zahlreichen backddors drauf, die nun alle deine Passwoerter und Bankzugangsdaten kennen....du solltest wahrlich formatieren und die Windowsupdates machen, also SP2 laden (nach dem Formatieren+ alle wichtigen persoenlichen Daten aendern !!!!!!!!!!!!

W32/Rbot-YD ist ein Windows-Netzwerkwurm, der versucht, sich über Netzwerkfreigaben zu verbreiten. Der Wurm verfügt über Backdoor-Funktionen, die unbefugten Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglichen, während er im Hintergund läuft.

Der Wurm verbreitet sich auf Netzwerkfreigaben mit einfachen Kennwörtern und indem er die LSASS Schwachstelle (MS04-011) und die RPC-DCOM Schwachstelle (MS03-039) ausnutzt.

Sobald W32/Rbot-YD installiert ist, versucht er, an Denial-of-Service (DoS)-Attacken teilzunehmen, einen SOCKS4-Server einzurichten und Dateien aus dem Internet herunterzuladen und zu starten, wenn er dazu von einem remoten Angreifer angewiesen wurde.

W32/Rbot-YC ist ein Netzwerkwurm mit Backdoor-Funktionalität für die Windows-Plattform.

W32/Rbot-YC verbreitet sich über verschiedene Methoden, u. a. nutzt er einfache Kennwörter auf Computern und SQL-Servern sowie Betriebssystem-Schwachstellen (darunter DCOM-RPC, LSASS, WebDAV und UPNP) und Backdoors aus, die von anderen Würmern und Trojanern hinterlassen wurden.

W32/Rbot-YC kann von einem remoten Angreifer über IRC-Kanäle gesteuert werden. Die Backdoor-Komponente von W32/Rbot-YC kann von einem remoten Anwender angewiesen werden, folgende Funktionen zu starten:

Starten eines FTP-Servers
Starten eines Proxyservers
Starten eines Webservers
Teilnehmen an Distributed-Denial-of-Service (DDoS)-Attacken
Speichern von Tastenfolgen
Erstellen von Bildschirm- und Webcam-Aufnahmen
Packet-Sniffing
Portscanning
Herunterladen und Starten beliebiger Dateien
Starten einer Remote-Shell (RLOGIN)

Der Wurm kopiert sich in eine Datei namens "xpjava.exe" im Windows-Systemordner und erzeugt folgende Registrierungseinträge:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
userinit.exe,xpjava.exe
________________________________________________________________________
__________
MfG Sabina

rund um die PC-Sicherheit

#116 Hallo@kannix

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt " Windows PnP Driver (winpnp) " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
" Windows PnP Driver (winpnp) " beim nächsten Systemstart erneut ausgeführt.

Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

Meldung (Symantec)--
warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs

reinkopieren:

Windows PnP Driver

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

{7C559105-9ECF-42B8-B3F7-832E75EDD959}

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://new-search.net/index.php?v=6&aff=918178
O4 - HKLM\..\Run: [Windows Compliant] rdakfm.exe
O4 - HKLM\..\Run: [Popup Blocker System326a Monitoring] PopUpBlocker6a.exe
O4 - HKLM\..\RunServices: [Windows Compliant] rdakfm.exe
O4 - HKLM\..\RunServices: [Popup Blocker System326a Monitoring] PopUpBlocker6a.exe
O4 - HKCU\..\Run: [Popup Blocker System326a Monitoring] PopUpBlocker6a.exe
O4 - HKCU\..\Run: [Windows Compliant] rdakfm.exe
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_Crac*hier nicht!*.cab
O23 - Service: Windows PnP Driver (winpnp) - Unknown owner - C:\WINDOWS\System32\winpnp.exe (file missing)

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\winpnp.exe
C:\WINDOWS\System32\rdakfm.exe
C:\WINDOWS\System32\PopUpBlocker6a.exe

PC neustarten

Loesche:
dcpromo.log im C:\WINDOWS\Debug-Ordner

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->

____________________________________________________________________________


W32/Cuebot-C ist ein Netzwerkwurm mit Backdoor-Funktionalität für die Windows-Plattform.

W32/Cuebot-C kann sich auf remote Computer verbreiten, die für die LSASS-Schwachstelle anfällig sind:

http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

W32/Cuebot-C verschiebt sich mit dem Dateinamen winpnp.exe in den Windows-Systemordner. Auf NT-basierten Windows-Versionen registriert sich W32/Cuebot-C als Dienstprozess mit dem Dienstnamen "winpnp32", dem Anzeigenamen "Windows PnP Driver" und automatischem Starttyp.

Um den Benutzer eines infizierten Computers davon abzuhalten, diesen Dienst zu deaktivieren oder zu entfernen, wird zum Dienst folgende Beschreibung hinzugefügt:

"Enables a computer to recognize and adapt to hardware changes with little or no user input. Stopping or disabling this service will result in system instability."

Der Wurm erstellt ein dcpromo.log im %WINDOWS%\Debug-Ordner. Diese Datei ist nicht schädlich und kann einfach gelöscht werden.
__________
MfG Sabina

rund um die PC-Sicherheit

#117 Gute morgen sabina,

dankeschön für deine schnelle hilfe. Klappt alles toll dank deiner anleitung, bin aber trotzdem anscheinend zu blöd dazu. Finde win pnp einfach nicht in system 32??? Un nu??

Liebe Grüße

Kannix

#118 Hallo@kannix

Dienste anzeigen:
License: Freeware/Getservices
Note: You must run this program as a user with Administrator privaleges.
->klicke auf "getservice.bat und poste, was im Editor erscheint.
http://www.bleepingcomputer.com/files/getservices.php
__________
MfG Sabina

rund um die PC-Sicherheit

#119 Hallo Sabina,

hier msav:

File C:\DOKUME~1\Betty\LOKALE~1\Temp\fkFDddF.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Betty\LOKALE~1\Temp\iinstall.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Betty\LOKALE~1\Temp\Rar$EX00.969\backups\backup-20050318-091437-960.dll infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.



infected
{7C559105-9ECF-42B8-B3F7-832E75EDD959}Fri Mar 18 09:46:44 2005 => **********************************************************
Fri Mar 18 09:46:44 2005 => MicroWorld AntiVirus Toolkit Utility.
Fri Mar 18 09:46:44 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc.
Fri Mar 18 09:46:44 2005 => **********************************************************
Fri Mar 18 09:46:44 2005 => Version 5.1.2 (C:\DOKUME~1\Betty\LOKALE~1\Temp\mwavscan.com)
Fri Mar 18 09:46:44 2005 => Log File: C:\DOKUME~1\Betty\LOKALE~1\Temp\MWAV.LOG
Fri Mar 18 09:46:44 2005 => Latest Date of files inside MWAV: 17 Mar 2005 20:44:52.
Fri Mar 18 09:46:56 2005 => AV Library Loaded...
Fri Mar 18 09:46:56 2005 => Scanning File C:\DOKUME~1\Betty\LOKALE~1\Temp\kavss.exe
Fri Mar 18 09:46:56 2005 => Scanning File C:\DOKUME~1\Betty\LOKALE~1\Temp\Getvlist.exe
Fri Mar 18 09:46:57 2005 => Scanning File C:\DOKUME~1\Betty\LOKALE~1\Temp\kavss.dll
Fri Mar 18 09:46:57 2005 => Scanning File C:\DOKUME~1\Betty\LOKALE~1\Temp\kavssdi.dll
Fri Mar 18 09:46:57 2005 => Scanning File C:\DOKUME~1\Betty\LOKALE~1\Temp\kavssi.dll
Fri Mar 18 09:46:57 2005 => Scanning File C:\DOKUME~1\Betty\LOKALE~1\Temp\kavvlg.dll
Fri Mar 18 09:46:57 2005 => Scanning File C:\DOKUME~1\Betty\LOKALE~1\Temp\msvlclnt.dll
Fri Mar 18 09:46:57 2005 => Scanning File C:\DOKUME~1\Betty\LOKALE~1\Temp\ipc.dll
Fri Mar 18 09:46:57 2005 => Scanning File C:\DOKUME~1\Betty\LOKALE~1\Temp\main.avi
Fri Mar 18 09:46:57 2005 => Scanning File C:\DOKUME~1\Betty\LOKALE~1\Temp\virus.avi
Fri Mar 18 09:46:58 2005 => Virus Database Date: 2005/03/17
Fri Mar 18 09:46:58 2005 => Virus Database Count: 122324

Fri Mar 18 10:18:47 2005 => **********************************************************
Fri Mar 18 10:18:47 2005 => MicroWorld AntiVirus Toolkit Utility.
Fri Mar 18 10:18:47 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc.
Fri Mar 18 10:18:47 2005 =>
Fri Mar 18 10:18:47 2005 => Support: support@mwti.net
Fri Mar 18 10:18:47 2005 => Web: http://www.mwti.net
Fri Mar 18 10:18:47 2005 => **********************************************************
Fri Mar 18 10:18:47 2005 => Version 5.1.2 (C:\DOKUME~1\Betty\LOKALE~1\Temp\mwavscan.com)
Fri Mar 18 10:18:47 2005 => Log File: C:\DOKUME~1\Betty\LOKALE~1\Temp\MWAV.LOG
Fri Mar 18 10:18:48 2005 => User Account: Betty
Fri Mar 18 10:18:48 2005 => Windows Root Folder: C:\WINDOWS
Fri Mar 18 10:18:48 2005 => Windows Sys32 Folder: C:\WINDOWS\System32
Fri Mar 18 10:18:48 2005 => OS: Windows NT
Fri Mar 18 10:21:47 2005 => **********************************************************
Fri Mar 18 10:21:47 2005 => MicroWorld AntiVirus Toolkit Utility.
Fri Mar 18 10:21:47 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc.
Fri Mar 18 10:21:47 2005 => **********************************************************
Fri Mar 18 10:21:47 2005 => Version 5.1.2 (C:\DOKUME~1\Betty\LOKALE~1\Temp\mwavscan.com)
Fri Mar 18 10:21:47 2005 => Log File: C:\DOKUME~1\Betty\LOKALE~1\Temp\MWAV.LOG
Fri Mar 18 10:21:47 2005 => Latest Date of files inside MWAV: 17 Mar 2005 20:44:52.
Fri Mar 18 10:21:51 2005 => AV Library Loaded...
Fri Mar 18 10:21:51 2005 => Scanning File C:\DOKUME~1\Betty\LOKALE~1\Temp\kavss.exe
Fri Mar 18 10:21:51 2005 => Scanning File C:\DOKUME~1\Betty\LOKALE~1\Temp\Getvlist.exe
Fri Mar 18 10:21:51 2005 => Scanning File C:\DOKUME~1\Betty\LOKALE~1\Temp\kavss.dll
Fri Mar 18 10:21:51 2005 => Scanning File C:\DOKUME~1\Betty\LOKALE~1\Temp\kavssdi.dll
Fri Mar 18 10:21:51 2005 => Scanning File C:\DOKUME~1\Betty\LOKALE~1\Temp\kavssi.dll
Fri Mar 18 10:21:52 2005 => Scanning File C:\DOKUME~1\Betty\LOKALE~1\Temp\kavvlg.dll
Fri Mar 18 10:21:52 2005 => Scanning File C:\DOKUME~1\Betty\LOKALE~1\Temp\msvlclnt.dll
Fri Mar 18 10:21:52 2005 => Scanning File C:\DOKUME~1\Betty\LOKALE~1\Temp\ipc.dll
Fri Mar 18 10:21:52 2005 => Scanning File C:\DOKUME~1\Betty\LOKALE~1\Temp\main.avi
Fri Mar 18 10:21:52 2005 => Scanning File C:\DOKUME~1\Betty\LOKALE~1\Temp\virus.avi
Fri Mar 18 10:21:52 2005 => Virus Database Date: 2005/03/17
Fri Mar 18 10:21:52 2005 => Virus Database Count: 122324

Fri Mar 18 10:22:36 2005 => **********************************************************
Fri Mar 18 10:22:36 2005 => MicroWorld AntiVirus Toolkit Utility.
Fri Mar 18 10:22:36 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc.
Fri Mar 18 10:22:36 2005 =>
Fri Mar 18 10:22:36 2005 => Support: support@mwti.net
Fri Mar 18 10:22:37 2005 => Web: http://www.mwti.net
Fri Mar 18 10:22:37 2005 => **********************************************************
Fri Mar 18 10:22:37 2005 => Version 5.1.2 (C:\DOKUME~1\Betty\LOKALE~1\Temp\mwavscan.com)
Fri Mar 18 10:22:37 2005 => Log File: C:\DOKUME~1\Betty\LOKALE~1\Temp\MWAV.LOG
Fri Mar 18 10:22:37 2005 => User Account: Betty
Fri Mar 18 10:22:37 2005 => Windows Root Folder: C:\WINDOWS
Fri Mar 18 10:22:37 2005 => Windows Sys32 Folder: C:\WINDOWS\System32
Fri Mar 18 10:22:37 2005 => OS: Windows NT
Fri Mar 18 10:22:37 2005 => Latest Date of files inside MWAV: 17 Mar 2005 20:44:52.

Fri Mar 18 10:22:37 2005 => Options Selected by User:
Fri Mar 18 10:22:37 2005 => Memory Check: Enabled
Fri Mar 18 10:22:37 2005 => Registry Check: Enabled
Fri Mar 18 10:22:37 2005 => StartUp Folder Check: Enabled
Fri Mar 18 10:22:37 2005 => System Folder Check: Enabled
Fri Mar 18 10:22:37 2005 => System Area Check: Disabled
Fri Mar 18 10:22:37 2005 => Services Check: Enabled
Fri Mar 18 10:22:37 2005 => Drive Check: Disabled
Fri Mar 18 10:22:37 2005 => All Drive Check :Enabled
Fri Mar 18 10:22:37 2005 => Folder Check: Enabled
Fri Mar 18 10:22:37 2005 => Folder Selected = C:\WINDOWS

Fri Mar 18 10:22:38 2005 => ***** Scanning Memory Files *****
Fri Mar 18 10:22:38 2005 => Scanning File C:\WINDOWS\System32\smss.exe
Fri Mar 18 10:22:38 2005 => Scanning File C:\WINDOWS\System32\ntdll.dll
Fri Mar 18 10:22:38 2005 => Scanning File C:\WINDOWS\SYSTEM32\CSRSS.EXE
Fri Mar 18 10:22:38 2005 => Scanning File C:\WINDOWS\system32\CSRSRV.dll
Fri Mar 18 10:22:38 2005 => Scanning File C:\WINDOWS\system32\basesrv.dll
Fri Mar 18 10:22:38 2005 => Scanning File C:\WINDOWS\system32\winsrv.dll
Fri Mar 18 10:22:39 2005 => Scanning File C:\WINDOWS\system32\USER32.dll
Fri Mar 18 10:22:39 2005 => Scanning File C:\WINDOWS\system32\KERNEL32.dll
Fri Mar 18 10:22:41 2005 => Scanning File C:\WINDOWS\system32\GDI32.dll
Fri Mar 18 10:22:42 2005 => Scanning File C:\WINDOWS\system32\ADVAPI32.dll
Fri Mar 18 10:22:43 2005 => Scanning File C:\WINDOWS\system32\RPCRT4.dll
Fri Mar 18 10:22:43 2005 => Scanning File C:\WINDOWS\System32\sxs.dll
Fri Mar 18 10:22:43 2005 => Scanning File C:\WINDOWS\SYSTEM32\WINLOGON.EXE
Fri Mar 18 10:22:43 2005 => Scanning File C:\WINDOWS\system32\AUTHZ.dll
Fri Mar 18 10:22:44 2005 => Scanning File C:\WINDOWS\system32\msvcrt.dll
Fri Mar 18 10:22:44 2005 => Scanning File C:\WINDOWS\system32\CRYPT32.dll
infected

Fri Mar 18 10:26:46 2005 => Scanning HKCR\comfile\shell\open\command

Fri Mar 18 10:26:46 2005 => Scanning HKCR\exefile\shell\open\command

Fri Mar 18 10:26:46 2005 => Scanning HKCR\dllfile\shell\open\command

Fri Mar 18 10:26:46 2005 => Scanning HKCR\batfile\shell\open\command

Fri Mar 18 10:26:46 2005 => Scanning HKCR\piffile\shell\open\command

Fri Mar 18 10:26:46 2005 => Scanning HKCR\scrfile\shell\open\command

Fri Mar 18 10:26:46 2005 => Scanning HKCR\scrfile\shell\config\command

Fri Mar 18 10:26:46 2005 => Scanning HKCR\regfile\shell\open\command

Fri Mar 18 10:26:46 2005 => Scanning HKCR\htmlfile\shell\open\command
Fri Mar 18 10:26:46 2005 => Scanning File C:\PROGRA~1\INTERN~1\iexplore.exe

Fri Mar 18 10:26:47 2005 => Scanning HKCR\htafile\shell\open\command
Fri Mar 18 10:26:47 2005 => Scanning File C:\WINDOWS\System32\mshta.exe

Fri Mar 18 10:26:47 2005 => Scanning HKCR\jsfile\shell\open\command
Fri Mar 18 10:26:47 2005 => Scanning File C:\WINDOWS\System32\WScript.exe

Fri Mar 18 10:26:47 2005 => Scanning HKCR\jsefile\shell\open\command
Fri Mar 18 10:26:47 2005 => Scanning File C:\WINDOWS\System32\WScript.exe

Fri Mar 18 10:26:48 2005 => Scanning HKCR\vbsfile\shell\open\command
Fri Mar 18 10:26:48 2005 => Scanning File C:\WINDOWS\System32\WScript.exe

Fri Mar 18 10:26:48 2005 => Scanning HKCR\vbefile\shell\open\command
Fri Mar 18 10:26:48 2005 => Scanning File C:\WINDOWS\System32\WScript.exe

Fri Mar 18 10:26:48 2005 => Scanning HKCR\wshfile\shell\open\command
Fri Mar 18 10:26:48 2005 => Scanning File C:\WINDOWS\System32\WScript.exe

Fri Mar 18 10:26:48 2005 => Scanning HKCR\wsffile\shell\open\command
Fri Mar 18 10:26:48 2005 => Scanning File C:\WINDOWS\System32\WScript.exe

Fri Mar 18 10:26:48 2005 => ***** Scanning StartUp Folders *****

Fri Mar 18 10:26:48 2005 => ***** Scanning C:\Dokumente und Einstellungen\Betty\Startmenü\Programme\Autostart Folder *****
Fri Mar 18 10:26:48 2005 => Scanning Folder: C:\Dokumente und Einstellungen\Betty\Startmenü\Programme\Autostart\*.*
Fri Mar 18 10:26:48 2005 => Scanning File C:\Dokumente und Einstellungen\Betty\Startmenü\Programme\Autostart\desktop.ini [**]

Fri Mar 18 10:26:48 2005 => ***** Scanning C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Folder *****
Fri Mar 18 10:26:48 2005 => Scanning Folder: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\*.*
Fri Mar 18 10:26:48 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini [**]
Fri Mar 18 10:26:48 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk

Fri Mar 18 10:26:48 2005 => ***** Scanning Service Files *****
Fri Mar 18 10:26:48 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services
Fri Mar 18 10:26:48 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\ACPI.sys
Fri Mar 18 10:26:49 2005 => Scanning File C:\WINDOWS\System32\drivers\aec.sys
Fri Mar 18 10:26:50 2005 => Scanning File C:\WINDOWS\System32\drivers\afd.sys
Fri Mar 18 10:26:50 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\agp440.sys
Fri Mar 18 10:26:51 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Fri Mar 18 10:26:51 2005 => Scanning File C:\WINDOWS\System32\alg.exe
Fri Mar 18 10:26:51 2005 => Scanning File C:\WINDOWS\System32\Drivers\AnyDVD.sys
Fri Mar 18 10:26:51 2005 => Scanning File C:\WINDOWS\system32\svchost.exe
Fri Mar 18 10:26:51 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\arp1394.sys
Fri Mar 18 10:26:51 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\asyncmac.sys
Fri Mar 18 10:26:52 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\atapi.sys
Fri Mar 18 10:26:52 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\atmarpc.sys
Fri Mar 18 10:26:52 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Fri Mar 18 10:26:52 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\audstub.sys
Fri Mar 18 10:26:53 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\avmwan.sys
Fri Mar 18 10:26:53 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Fri Mar 18 10:26:53 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\bridge.sys
Fri Mar 18 10:26:53 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\bridge.sys
Fri Mar 18 10:26:53 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Fri Mar 18 10:26:53 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\CCDECODE.sys
Fri Mar 18 10:26:54 2005 => Scanning File C:\PROGRA~1\GEMEIN~1\SYMANT~1\ccEvtMgr.exe
Fri Mar 18 10:26:54 2005 => Scanning File C:\PROGRA~1\GEMEIN~1\SYMANT~1\ccProxy.exe
Fri Mar 18 10:26:55 2005 => Scanning File C:\PROGRA~1\GEMEIN~1\SYMANT~1\ccPwdSvc.exe
Fri Mar 18 10:26:55 2005 => Scanning File C:\PROGRA~1\GEMEIN~1\SYMANT~1\ccSetMgr.exe
Fri Mar 18 10:26:56 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\cdrom.sys
Fri Mar 18 10:26:57 2005 => Scanning File C:\WINDOWS\System32\cisvc.exe
Fri Mar 18 10:26:57 2005 => Scanning File C:\WINDOWS\system32\clipsrv.exe
Fri Mar 18 10:26:57 2005 => Scanning File C:\WINDOWS\System32\drivers\cmaudio.sys
Fri Mar 18 10:26:58 2005 => Scanning File C:\WINDOWS\System32\dllhost.exe
Fri Mar 18 10:26:58 2005 => Scanning File C:\WINDOWS\system32\svchost.exe
Fri Mar 18 10:26:58 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\d347bus.sys
Fri Mar 18 10:26:59 2005 => Scanning File C:\WINDOWS\System32\Drivers\d347prt.sys
Fri Mar 18 10:26:59 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Fri Mar 18 10:26:59 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\disk.sys
Fri Mar 18 10:27:00 2005 => Scanning File C:\WINDOWS\System32\dmadmin.exe
Fri Mar 18 10:27:02 2005 => Scanning File C:\WINDOWS\System32\drivers\dmboot.sys
Fri Mar 18 10:27:02 2005 => Scanning File C:\WINDOWS\System32\drivers\dmio.sys
Fri Mar 18 10:27:03 2005 => Scanning File C:\WINDOWS\System32\drivers\dmload.sys
Fri Mar 18 10:27:04 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Fri Mar 18 10:27:04 2005 => Scanning File C:\WINDOWS\System32\drivers\DMusic.sys
Fri Mar 18 10:27:04 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Fri Mar 18 10:27:04 2005 => Scanning File C:\WINDOWS\System32\drivers\drmkaud.sys
Fri Mar 18 10:27:04 2005 => Scanning File C:\WINDOWS\System32\Drivers\ElbyCDFL.sys
Fri Mar 18 10:27:04 2005 => Scanning File C:\WINDOWS\System32\Drivers\ElbyCDIO.sys
Fri Mar 18 10:27:05 2005 => Scanning File C:\WINDOWS\System32\Drivers\ElbyDelay.sys
Fri Mar 18 10:27:05 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Fri Mar 18 10:27:05 2005 => Scanning File C:\WINDOWS\system32\services.exe
Fri Mar 18 10:27:05 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Fri Mar 18 10:27:05 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Fri Mar 18 10:27:05 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\fdc.sys
Fri Mar 18 10:27:05 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\flpydisk.sys
Fri Mar 18 10:27:06 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\ftdisk.sys
Fri Mar 18 10:27:06 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\fxusbase.sys
Fri Mar 18 10:27:07 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\gameenum.sys
Fri Mar 18 10:27:07 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\GEARAspiWDM.sys
Fri Mar 18 10:27:08 2005 => Scanning File C:\WINDOWS\System32\GEARSEC.EXE
Fri Mar 18 10:27:08 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\msgpc.sys
Fri Mar 18 10:27:08 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Fri Mar 18 10:27:08 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Fri Mar 18 10:27:08 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\hidusb.sys
Fri Mar 18 10:27:08 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\i8042prt.sys
Fri Mar 18 10:27:08 2005 => Scanning File C:\WINDOWS\System32\imapi.exe
Fri Mar 18 10:27:09 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\intelide.sys
Fri Mar 18 10:27:09 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\ipfltdrv.sys
Fri Mar 18 10:27:09 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\ipinip.sys
Fri Mar 18 10:27:09 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\ipnat.sys
Fri Mar 18 10:27:09 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\ipsec.sys
Fri Mar 18 10:27:10 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\irenum.sys
Fri Mar 18 10:27:10 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\isapnp.sys
Fri Mar 18 10:27:10 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\kbdclass.sys
Fri Mar 18 10:27:11 2005 => Scanning File C:\WINDOWS\System32\drivers\kmixer.sys
Fri Mar 18 10:27:12 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Fri Mar 18 10:27:12 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Fri Mar 18 10:27:12 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Fri Mar 18 10:27:12 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Fri Mar 18 10:27:12 2005 => Scanning File C:\WINDOWS\System32\mnmsrvc.exe
Fri Mar 18 10:27:12 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\mouclass.sys
Fri Mar 18 10:27:12 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\mouhid.sys
Fri Mar 18 10:27:12 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\mrxdav.sys
Fri Mar 18 10:27:13 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\mrxsmb.sys
Fri Mar 18 10:27:15 2005 => Scanning File C:\WINDOWS\System32\msdtc.exe
Fri Mar 18 10:27:15 2005 => Scanning File C:\WINDOWS\System32\msiexec.exe
Fri Mar 18 10:27:15 2005 => Scanning File C:\WINDOWS\System32\drivers\MSKSSRV.sys
Fri Mar 18 10:27:15 2005 => Scanning File C:\WINDOWS\System32\drivers\MSPCLOCK.sys
Fri Mar 18 10:27:16 2005 => Scanning File C:\WINDOWS\System32\drivers\MSPQM.sys
Fri Mar 18 10:27:16 2005 => Scanning File C:\WINDOWS\System32\drivers\MSTEE.sys
Fri Mar 18 10:27:16 2005 => Scanning File C:\WINDOWS\System32\drivers\msmpu401.sys
Fri Mar 18 10:27:16 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\NABTSFEC.sys
Fri Mar 18 10:27:17 2005 => Scanning File C:\PROGRA~1\NORTON~1\NORTON~1\navapsvc.exe
Fri Mar 18 10:27:17 2005 => Scanning File C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20050317.009\NAVENG.SYS
Fri Mar 18 10:27:18 2005 => Scanning File C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20050317.009\NAVEX15.SYS
Fri Mar 18 10:27:19 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\NdisIP.sys
Fri Mar 18 10:27:19 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\ndistapi.sys
Fri Mar 18 10:27:19 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\ndisuio.sys
Fri Mar 18 10:27:20 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\ndiswan.sys
Fri Mar 18 10:27:20 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\netbios.sys
Fri Mar 18 10:27:21 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\netbt.sys
Fri Mar 18 10:27:22 2005 => Scanning File C:\WINDOWS\system32\netdde.exe
Fri Mar 18 10:27:23 2005 => Please Wait Exiting Application...
Fri Mar 18 10:27:23 2005 => Scanning File C:\WINDOWS\system32\netdde.exe
Fri Mar 18 10:27:23 2005 => Scanning File C:\WINDOWS\System32\lsass.exe
Fri Mar 18 10:27:24 2005 => Scanning File C:\WINDOWS\System32\svchost.exe

Fri Mar 18 10:27:24 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD

Fri Mar 18 10:27:25 2005 => Total Files Scanned: 768
Fri Mar 18 10:27:25 2005 => Total Virus(es) Found: 0
Fri Mar 18 10:27:25 2005 => Total Disinfected Files: 0
Fri Mar 18 10:27:25 2005 => Total Files Renamed: 0
Fri Mar 18 10:27:25 2005 => Total Deleted Files: 0
Fri Mar 18 10:27:25 2005 => Total Errors: 2
Fri Mar 18 10:27:25 2005 => Time Elapsed: 00:04:41

Fri Mar 18 10:27:25 2005 => ***** Scanning complete. *****
Fri Mar 18 10:27:25 2005 => Virus Database Date: 2005/03/17
Fri Mar 18 10:27:25 2005 => Virus Database Count: 122324

Fri Mar 18 10:27:25 2005 => Scan Completed.


Fri Mar 18 10:27:31 2005 => Options Selected by User:
Fri Mar 18 10:27:31 2005 => Memory Check: Enabled
Fri Mar 18 10:27:31 2005 => Registry Check: Enabled
Fri Mar 18 10:27:31 2005 => StartUp Folder Check: Enabled
Fri Mar 18 10:27:31 2005 => System Folder Check: Enabled
Fri Mar 18 10:27:31 2005 => System Area Check: Disabled
Fri Mar 18 10:27:31 2005 => Services Check: Enabled
Fri Mar 18 10:27:32 2005 => Drive Check: Disabled
Fri Mar 18 10:27:32 2005 => All Drive Check :Enabled
Fri Mar 18 10:27:32 2005 => Folder Check: Enabled
Fri Mar 18 10:27:32 2005 => Folder Selected = C:\WINDOWS

Fri Mar 18 10:27:33 2005 => ***** Scanning Memory Files *****
Fri Mar 18 10:27:33 2005 => Scanning File C:\WINDOWS\System32\smss.exe
Fri Mar 18 10:27:33 2005 => Scanning File C:\WINDOWS\System32\ntdll.dll
Fri Mar 18 10:27:33 2005 => Scanning File C:\WINDOWS\SYSTEM32\CSRSS.EXE
Fri Mar 18 10:27:34 2005 => Scanning File C:\WINDOWS\system32\CSRSRV.dll
Fri Mar 18 10:27:34 2005 => Scanning File C:\WINDOWS\system32\basesrv.dll
Fri Mar 18 10:27:34 2005 => Scanning File C:\WINDOWS\system32\winsrv.dll
Fri Mar 18 10:27:34 2005 => Scanning File C:\WINDOWS\system32\USER32.dll
Fri Mar 18 10:27:35 2005 => Scanning File C:\WINDOWS\system32\KERNEL32.dll
Fri Mar 18 10:27:37 2005 => Scanning File C:\WINDOWS\system32\GDI32.dll
Fri Mar 18 10:27:38 2005 => Scanning File C:\WINDOWS\system32\ADVAPI32.dll
Fri Mar 18 10:27:39 2005 => Scanning File C:\WINDOWS\system32\RPCRT4.dll
Fri Mar 18 10:27:40 2005 => Please Wait Exiting Application...
Fri Mar 18 10:27:40 2005 => Scanning File C:\WINDOWS\System32\sxs.dll


Fri Mar 18 10:27:42 2005 => Total Files Scanned: 12
Fri Mar 18 10:27:42 2005 => Total Virus(es) Found: 0
Fri Mar 18 10:27:42 2005 => Total Disinfected Files: 0
Fri Mar 18 10:27:42 2005 => Total Files Renamed: 0
Fri Mar 18 10:27:42 2005 => Total Deleted Files: 0
Fri Mar 18 10:27:42 2005 => Total Errors: 0
Fri Mar 18 10:27:42 2005 => Time Elapsed: 00:00:10
Fri Mar 18 10:27:42 2005 => ***** Scanning complete. *****
Fri Mar 18 10:27:42 2005 => Virus Database Date: 2005/03/17
Fri Mar 18 10:27:42 2005 => Virus Database Count: 122324

Fri Mar 18 10:27:42 2005 => Scan Completed.

Fri Mar 18 10:27:50 2005 => Virus Database Date: 2005/03/17
Fri Mar 18 10:27:50 2005 => Virus Database Count: 122324


infected

Fri Mar 18 10:31:51 2005 => Scanning File C:\WINDOWS\System32\cnetcfg.dll
Fri Mar 18 10:31:51 2005 => Scanning File C:\WINDOWS\System32\CNMCP5n.exe
Fri Mar 18 10:31:52 2005 => Scanning File C:\WINDOWS\System32\CNMLM5n.DLL
Fri Mar 18 10:31:52 2005 => Scanning File C:\WINDOWS\System32\CNMVS5n.DLL
Fri Mar 18 10:31:52 2005 => Scanning File C:\WINDOWS\System32\cnvfat.dll
Fri Mar 18 10:31:53 2005 => Scanning File C:\WINDOWS\System32\colbact.dll
Fri Mar 18 10:31:53 2005 => Scanning File C:\WINDOWS\System32\comaddin.dll
Fri Mar 18 10:31:53 2005 => Scanning File C:\WINDOWS\System32\comcat.dll
Fri Mar 18 10:31:53 2005 => Scanning File C:\WINDOWS\System32\comctl32.dll
Fri Mar 18 10:31:54 2005 => Scanning File C:\WINDOWS\System32\comctl32.ocx
Fri Mar 18 10:31:54 2005 => Scanning File C:\WINDOWS\System32\comdlg32.dll
Fri Mar 18 10:31:55 2005 => Scanning File C:\WINDOWS\System32\comm.drv
Fri Mar 18 10:31:55 2005 => Scanning File C:\WINDOWS\System32\command.com
Fri Mar 18 10:31:56 2005 => Scanning File C:\WINDOWS\System32\commdlg.dll
Fri Mar 18 10:31:56 2005 => Scanning File C:\WINDOWS\System32\comp.exe
Fri Mar 18 10:31:56 2005 => Scanning File C:\WINDOWS\System32\compact.exe
Fri Mar 18 10:31:56 2005 => Scanning File C:\WINDOWS\System32\compatUI.dll
Fri Mar 18 10:31:57 2005 => Scanning File C:\WINDOWS\System32\compmgmt.msc [**]
Fri Mar 18 10:31:57 2005 => Scanning File C:\WINDOWS\System32\compobj.dll
Fri Mar 18 10:31:57 2005 => Scanning File C:\WINDOWS\System32\compstui.dll
Fri Mar 18 10:31:58 2005 => Scanning File C:\WINDOWS\System32\comrepl.dll
Fri Mar 18 10:31:58 2005 => Scanning File C:\WINDOWS\System32\comres.dll
Fri Mar 18 10:31:58 2005 => Scanning File C:\WINDOWS\System32\comsnap.dll
Fri Mar 18 10:31:58 2005 => Scanning File C:\WINDOWS\System32\comsvcs.dll
Fri Mar 18 10:31:59 2005 => Scanning File C:\WINDOWS\System32\comuid.dll
Fri Mar 18 10:32:00 2005 => Scanning File C:\WINDOWS\System32\CONFIG.NT [**]
Fri Mar 18 10:32:00 2005 => Scanning File C:\WINDOWS\System32\confmsp.dll
Fri Mar 18 10:32:00 2005 => Scanning File C:\WINDOWS\System32\conime.exe
Fri Mar 18 10:32:00 2005 => Scanning File C:\WINDOWS\System32\console.dll
Fri Mar 18 10:32:01 2005 => Scanning File C:\WINDOWS\System32\control.exe
Fri Mar 18 10:32:01 2005 => Scanning File C:\WINDOWS\System32\convert.exe
Fri Mar 18 10:32:01 2005 => Scanning File C:\WINDOWS\System32\corpol.dll
Fri Mar 18 10:32:01 2005 => Scanning File C:\WINDOWS\System32\country.sys
Fri Mar 18 10:32:01 2005 => Scanning File C:\WINDOWS\System32\credui.dll
Fri Mar 18 10:32:01 2005 => Scanning File C:\WINDOWS\System32\crtdll.dll
Fri Mar 18 10:32:02 2005 => Scanning File C:\WINDOWS\System32\crypt32.dll
Fri Mar 18 10:32:02 2005 => Scanning File C:\WINDOWS\System32\cryptdlg.dll
Fri Mar 18 10:32:03 2005 => Scanning File C:\WINDOWS\System32\cryptdll.dll
Fri Mar 18 10:32:03 2005 => Scanning File C:\WINDOWS\System32\cryptext.dll
Fri Mar 18 10:32:03 2005 => Scanning File C:\WINDOWS\System32\cryptnet.dll
Fri Mar 18 10:32:03 2005 => Scanning File C:\WINDOWS\System32\cryptsvc.dll
Fri Mar 18 10:32:03 2005 => Scanning File C:\WINDOWS\System32\cryptui.dll
Fri Mar 18 10:32:04 2005 => Scanning File C:\WINDOWS\System32\cscdll.dll
Fri Mar 18 10:32:04 2005 => Scanning File C:\WINDOWS\System32\cscript.exe
Fri Mar 18 10:32:05 2005 => Scanning File C:\WINDOWS\System32\cscui.dll
Fri Mar 18 10:32:05 2005 => Scanning File C:\WINDOWS\System32\csrsrv.dll
Fri Mar 18 10:32:05 2005 => Scanning File C:\WINDOWS\System32\csrss.exe
Fri Mar 18 10:32:05 2005 => Scanning File C:\WINDOWS\System32\csseqchk.dll
Fri Mar 18 10:32:06 2005 => Scanning File C:\WINDOWS\System32\ctfmon.exe
Fri Mar 18 10:32:06 2005 => Scanning File C:\WINDOWS\System32\ctl3d32.dll
Fri Mar 18 10:32:06 2005 => Scanning File C:\WINDOWS\System32\ctl3dv2.dll
Fri Mar 18 10:32:06 2005 => Scanning File C:\WINDOWS\System32\ctype.nls [**]
Fri Mar 18 10:32:06 2005 => Scanning File C:\WINDOWS\System32\c_037.nls [**]
Fri Mar 18 10:32:06 2005 => Scanning File C:\WINDOWS\System32\c_10000.nls [**]
Fri Mar 18 10:32:06 2005 => Scanning File C:\WINDOWS\System32\c_10006.nls [**]
Fri Mar 18 10:32:06 2005 => Scanning File C:\WINDOWS\System32\c_10007.nls [**]
Fri Mar 18 10:32:06 2005 => Scanning File C:\WINDOWS\System32\c_10010.nls [**]
Fri Mar 18 10:32:06 2005 => Scanning File C:\WINDOWS\System32\c_10017.nls [**]
Fri Mar 18 10:32:07 2005 => Scanning File C:\WINDOWS\System32\c_10029.nls [**]
Fri Mar 18 10:32:07 2005 => Scanning File C:\WINDOWS\System32\c_10079.nls [**]
Fri Mar 18 10:32:07 2005 => Scanning File C:\WINDOWS\System32\c_10081.nls [**]
Fri Mar 18 10:32:07 2005 => Scanning File C:\WINDOWS\System32\c_10082.nls [**]
Fri Mar 18 10:32:07 2005 => Scanning File C:\WINDOWS\System32\c_1026.nls [**]
Fri Mar 18 10:32:08 2005 => Scanning File C:\WINDOWS\System32\c_1250.nls [**]
Fri Mar 18 10:32:08 2005 => Scanning File C:\WINDOWS\System32\c_1251.nls [**]
Fri Mar 18 10:32:08 2005 => Scanning File C:\WINDOWS\System32\c_1252.nls [**]
Fri Mar 18 10:32:08 2005 => Scanning File C:\WINDOWS\System32\c_1253.nls [**]
Fri Mar 18 10:32:08 2005 => Scanning File C:\WINDOWS\System32\c_1254.nls [**]
Fri Mar 18 10:32:08 2005 => Scanning File C:\WINDOWS\System32\c_1255.nls [**]
Fri Mar 18 10:32:08 2005 => Scanning File C:\WINDOWS\System32\c_1256.nls [**]
Fri Mar 18 10:32:08 2005 => Scanning File C:\WINDOWS\System32\c_1257.nls [**]
Fri Mar 18 10:32:08 2005 => Scanning File C:\WINDOWS\System32\c_1258.nls [**]
Fri Mar 18 10:32:08 2005 => Scanning File C:\WINDOWS\System32\c_20127.nls [**]
Fri Mar 18 10:32:08 2005 => Scanning File C:\WINDOWS\System32\c_20261.nls [**]
Fri Mar 18 10:32:08 2005 => Scanning File C:\WINDOWS\System32\c_20866.nls [**]
Fri Mar 18 10:32:08 2005 => Scanning File C:\WINDOWS\System32\c_20905.nls [**]
Fri Mar 18 10:32:08 2005 => Scanning File C:\WINDOWS\System32\c_21866.nls [**]
Fri Mar 18 10:32:09 2005 => Scanning File C:\WINDOWS\System32\c_28591.nls [**]
Fri Mar 18 10:32:09 2005 => Scanning File C:\WINDOWS\System32\c_28592.nls [**]
Fri Mar 18 10:32:09 2005 => Scanning File C:\WINDOWS\System32\c_28593.nls [**]
Fri Mar 18 10:32:09 2005 => Scanning File C:\WINDOWS\System32\C_28594.NLS [**]
Fri Mar 18 10:32:09 2005 => Scanning File C:\WINDOWS\System32\C_28595.NLS [**]
Fri Mar 18 10:32:09 2005 => Scanning File C:\WINDOWS\System32\C_28597.NLS [**]
Fri Mar 18 10:32:09 2005 => Scanning File C:\WINDOWS\System32\c_28598.nls [**]
Fri Mar 18 10:32:09 2005 => Scanning File C:\WINDOWS\System32\c_28599.nls [**]
Fri Mar 18 10:32:09 2005 => Scanning File C:\WINDOWS\System32\c_28605.nls [**]
Fri Mar 18 10:32:09 2005 => Scanning File C:\WINDOWS\System32\c_437.nls [**]
Fri Mar 18 10:32:09 2005 => Scanning File C:\WINDOWS\System32\c_500.nls [**]
Fri Mar 18 10:32:10 2005 => Scanning File C:\WINDOWS\System32\c_737.nls [**]
Fri Mar 18 10:32:10 2005 => Scanning File C:\WINDOWS\System32\c_775.nls [**]
Fri Mar 18 10:32:10 2005 => Scanning File C:\WINDOWS\System32\c_850.nls [**]
Fri Mar 18 10:32:10 2005 => Scanning File C:\WINDOWS\System32\c_852.nls [**]
Fri Mar 18 10:32:10 2005 => Scanning File C:\WINDOWS\System32\c_855.nls [**]
Fri Mar 18 10:32:10 2005 => Scanning File C:\WINDOWS\System32\c_857.nls [**]
Fri Mar 18 10:32:10 2005 => Scanning File C:\WINDOWS\System32\c_860.nls [**]
Fri Mar 18 10:32:10 2005 => Scanning File C:\WINDOWS\System32\c_861.nls [**]
Fri Mar 18 10:32:10 2005 => Scanning File C:\WINDOWS\System32\c_863.nls [**]
Fri Mar 18 10:32:10 2005 => Scanning File C:\WINDOWS\System32\c_865.nls [**]
Fri Mar 18 10:32:10 2005 => Scanning File C:\WINDOWS\System32\c_866.nls [**]
Fri Mar 18 10:32:10 2005 => Scanning File C:\WINDOWS\System32\c_869.nls [**]
Fri Mar 18 10:32:10 2005 => Scanning File C:\WINDOWS\System32\c_874.nls [**]
Fri Mar 18 10:32:10 2005 => Scanning File C:\WINDOWS\System32\c_875.nls [**]
Fri Mar 18 10:32:10 2005 => Scanning File C:\WINDOWS\System32\c_932.nls [**]
Fri Mar 18 10:32:10 2005 => Scanning File C:\WINDOWS\System32\c_936.nls [**]
Fri Mar 18 10:32:11 2005 => Scanning File C:\WINDOWS\System32\c_949.nls [**]
Fri Mar 18 10:32:11 2005 => Scanning File C:\WINDOWS\System32\c_950.nls [**]
Fri Mar 18 10:32:11 2005 => Scanning File C:\WINDOWS\System32\d3d8.dll
Fri Mar 18 10:32:11 2005 => Scanning File C:\WINDOWS\System32\d3d8thk.dll
Fri Mar 18 10:32:12 2005 => Scanning File C:\WINDOWS\System32\d3d9.dll
Fri Mar 18 10:32:13 2005 => Scanning File C:\WINDOWS\System32\d3dim.dll
Fri Mar 18 10:32:14 2005 => Scanning File C:\WINDOWS\System32\d3dim700.dll
Fri Mar 18 10:32:14 2005 => Scanning File C:\WINDOWS\System32\d3dpmesh.dll
Fri Mar 18 10:32:14 2005 => Scanning File C:\WINDOWS\System32\d3dramp.dll
Fri Mar 18 10:32:15 2005 => Scanning File C:\WINDOWS\System32\d3drm.dll
Fri Mar 18 10:32:15 2005 => Scanning File C:\WINDOWS\System32\d3dxof.dll
Fri Mar 18 10:32:15 2005 => Scanning File C:\WINDOWS\System32\danim.dll
Fri Mar 18 10:32:16 2005 => Scanning File C:\WINDOWS\System32\dataclen.dll
Fri Mar 18 10:32:16 2005 => Scanning File C:\WINDOWS\System32\datime.dll
Fri Mar 18 10:32:16 2005 => Scanning File C:\WINDOWS\System32\davclnt.dll
Fri Mar 18 10:32:16 2005 => Scanning File C:\WINDOWS\System32\daxctle.ocx
Fri Mar 18 10:32:16 2005 => Scanning File C:\WINDOWS\System32\dbgeng.dll
Fri Mar 18 10:32:16 2005 => Scanning File C:\WINDOWS\System32\dbghelp.dll
Fri Mar 18 10:32:17 2005 => Scanning File C:\WINDOWS\System32\dbmsadsn.dll
Fri Mar 18 10:32:17 2005 => Scanning File C:\WINDOWS\System32\dbmsrpcn.dll
Fri Mar 18 10:32:17 2005 => Scanning File C:\WINDOWS\System32\dbmsvinn.dLL
Fri Mar 18 10:32:17 2005 => Scanning File C:\WINDOWS\System32\dbnetlib.dll
Fri Mar 18 10:32:17 2005 => Scanning File C:\WINDOWS\System32\dbnmpntw.dll
Fri Mar 18 10:32:17 2005 => Scanning File C:\WINDOWS\System32\Dcache.bin
Fri Mar 18 10:32:17 2005 => Scanning File C:\WINDOWS\System32\dciman32.dll
Fri Mar 18 10:32:17 2005 => Scanning File C:\WINDOWS\System32\dcomcnfg.exe
Fri Mar 18 10:32:17 2005 => Scanning File C:\WINDOWS\System32\ddeml.dll
Fri Mar 18 10:32:17 2005 => Scanning File C:\WINDOWS\System32\ddeshare.exe
Fri Mar 18 10:32:18 2005 => Scanning File C:\WINDOWS\System32\ddraw.dll
Fri Mar 18 10:32:18 2005 => Scanning File C:\WINDOWS\System32\ddrawex.dll
Fri Mar 18 10:32:18 2005 => Scanning File C:\WINDOWS\System32\debug.exe
Fri Mar 18 10:32:18 2005 => Scanning File C:\WINDOWS\System32\declrds.ax
Fri Mar 18 10:32:18 2005 => Scanning File C:\WINDOWS\System32\defrag.exe
Fri Mar 18 10:32:18 2005 => Scanning File C:\WINDOWS\System32\desk.cpl
Fri Mar 18 10:32:19 2005 => Scanning File C:\WINDOWS\System32\deskadp.dll
Fri Mar 18 10:32:19 2005 => Scanning File C:\WINDOWS\System32\deskmon.dll
Fri Mar 18 10:32:19 2005 => Scanning File C:\WINDOWS\System32\deskperf.dll
Fri Mar 18 10:32:19 2005 => Scanning File C:\WINDOWS\System32\desktop.ini [**]
Fri Mar 18 10:32:19 2005 => Scanning File C:\WINDOWS\System32\devenum.dll
Fri Mar 18 10:32:19 2005 => Scanning File C:\WINDOWS\System32\devmgmt.msc [**]
Fri Mar 18 10:32:19 2005 => Scanning File C:\WINDOWS\System32\devmgr.dll
Fri Mar 18 10:32:19 2005 => Scanning File C:\WINDOWS\System32\dfrg.msc [**]
Fri Mar 18 10:32:19 2005 => Scanning File C:\WINDOWS\System32\dfrgfat.exe
Fri Mar 18 10:32:20 2005 => Scanning File C:\WINDOWS\System32\dfrgntfs.exe
Fri Mar 18 10:32:20 2005 => Scanning File C:\WINDOWS\System32\dfrgres.dll
Fri Mar 18 10:32:20 2005 => Scanning File C:\WINDOWS\System32\dfrgsnap.dll
Fri Mar 18 10:32:20 2005 => Scanning File C:\WINDOWS\System32\dfrgui.dll
Fri Mar 18 10:32:20 2005 => Scanning File C:\WINDOWS\System32\dfsshlex.dll
Fri Mar 18 10:32:20 2005 => Scanning File C:\WINDOWS\System32\dgnet.dll
Fri Mar 18 10:32:20 2005 => Scanning File C:\WINDOWS\System32\dgrpsetu.dll
Fri Mar 18 10:32:21 2005 => Scanning File C:\WINDOWS\System32\dgsetup.dll
Fri Mar 18 10:32:21 2005 => Scanning File C:\WINDOWS\System32\dhcpcsvc.dll
Fri Mar 18 10:32:21 2005 => Scanning File C:\WINDOWS\System32\dhcpmon.dll
Fri Mar 18 10:32:21 2005 => Scanning File C:\WINDOWS\System32\dhcpsapi.dll
Fri Mar 18 10:32:21 2005 => Scanning File C:\WINDOWS\System32\diactfrm.dll
Fri Mar 18 10:32:22 2005 => Scanning File C:\WINDOWS\System32\diantz.exe
Fri Mar 18 10:32:22 2005 => Scanning File C:\WINDOWS\System32\digest.dll
Fri Mar 18 10:32:22 2005 => Scanning File C:\WINDOWS\System32\dimap.dll
Fri Mar 18 10:32:22 2005 => Scanning File C:\WINDOWS\System32\dinput.dll
Fri Mar 18 10:32:22 2005 => Scanning File C:\WINDOWS\System32\dinput8.dll
Fri Mar 18 10:32:23 2005 => Scanning File C:\WINDOWS\System32\diskcomp.com
Fri Mar 18 10:32:23 2005 => Scanning File C:\WINDOWS\System32\diskcopy.com
Fri Mar 18 10:32:23 2005 => Scanning File C:\WINDOWS\System32\diskcopy.dll
Fri Mar 18 10:32:23 2005 => Scanning File C:\WINDOWS\System32\diskmgmt.msc [**]
Fri Mar 18 10:32:23 2005 => Scanning File C:\WINDOWS\System32\diskpart.exe
Fri Mar 18 10:32:23 2005 => Scanning File C:\WINDOWS\System32\diskperf.exe
Fri Mar 18 10:32:23 2005 => Scanning File C:\WINDOWS\System32\dispex.dll
Fri Mar 18 10:32:23 2005 => Scanning File C:\WINDOWS\System32\DivX.dll
Fri Mar 18 10:32:24 2005 => Scanning File C:\WINDOWS\System32\divxa32.acm
Fri Mar 18 10:32:25 2005 => Scanning File C:\WINDOWS\System32\divxc32.dll
Fri Mar 18 10:32:25 2005 => Scanning File C:\WINDOWS\System32\divxc32f.dll
Fri Mar 18 10:32:25 2005 => Scanning File C:\WINDOWS\System32\divxdec.ax
Fri Mar 18 10:32:26 2005 => Scanning File C:\WINDOWS\System32\divxdec_0407.dll
Fri Mar 18 10:32:26 2005 => Scanning File C:\WINDOWS\System32\divxdec_040c.dll
Fri Mar 18 10:32:26 2005 => Scanning File C:\WINDOWS\System32\divxdec_0411.dll
Fri Mar 18 10:32:26 2005 => Scanning File C:\WINDOWS\System32\divx_c32.ax
Fri Mar 18 10:32:26 2005 => Scanning File C:\WINDOWS\System32\divx_xx07.dll
Fri Mar 18 10:32:27 2005 => Scanning File C:\WINDOWS\System32\divx_xx0c.dll
Fri Mar 18 10:32:27 2005 => Scanning File C:\WINDOWS\System32\divx_xx11.dll
Fri Mar 18 10:32:27 2005 => Scanning File C:\WINDOWS\System32\dllhost.exe
Fri Mar 18 10:32:27 2005 => Scanning File C:\WINDOWS\System32\dllhst3g.exe
Fri Mar 18 10:32:28 2005 => Scanning File C:\WINDOWS\System32\dmadmin.exe
Fri Mar 18 10:32:28 2005 => Scanning File C:\WINDOWS\System32\dmband.dll
Fri Mar 18 10:32:28 2005 => Scanning File C:\WINDOWS\System32\dmcompos.dll
Fri Mar 18 10:32:28 2005 => Scanning File C:\WINDOWS\System32\dmconfig.dll
Fri Mar 18 10:32:29 2005 => Scanning File C:\WINDOWS\System32\dmcpl.exe
Fri Mar 18 10:32:30 2005 => Scanning File C:\WINDOWS\System32\dmdlgs.dll
Fri Mar 18 10:32:30 2005 => Scanning File C:\WINDOWS\System32\dmdskmgr.dll
Fri Mar 18 10:32:31 2005 => Scanning File C:\WINDOWS\System32\dmdskres.dll
Fri Mar 18 10:32:31 2005 => Scanning File C:\WINDOWS\System32\dmime.dll
Fri Mar 18 10:32:31 2005 => Scanning File C:\WINDOWS\System32\dmintf.dll
Fri Mar 18 10:32:32 2005 => Scanning File C:\WINDOWS\System32\dmloader.dll
Fri Mar 18 10:32:32 2005 => Scanning File C:\WINDOWS\System32\dmocx.dll
Fri Mar 18 10:32:32 2005 => Scanning File C:\WINDOWS\System32\dmremote.exe
Fri Mar 18 10:32:32 2005 => Scanning File C:\WINDOWS\System32\dmscript.dll
Fri Mar 18 10:32:32 2005 => Scanning File C:\WINDOWS\System32\dmserver.dll
Fri Mar 18 10:32:33 2005 => Scanning File C:\WINDOWS\System32\dmstyle.dll
Fri Mar 18 10:32:33 2005 => Scanning File C:\WINDOWS\System32\dmsynth.dll
Fri Mar 18 10:32:33 2005 => Scanning File C:\WINDOWS\System32\dmusic.dll
Fri Mar 18 10:32:33 2005 => Scanning File C:\WINDOWS\System32\dmutil.dll
Fri Mar 18 10:32:34 2005 => Scanning File C:\WINDOWS\System32\dmview.ocx
Fri Mar 18 10:32:34 2005 => Scanning File C:\WINDOWS\System32\dnsapi.dll
Fri Mar 18 10:32:34 2005 => Scanning File C:\WINDOWS\System32\dnsrslvr.dll
Fri Mar 18 10:32:34 2005 => Scanning File C:\WINDOWS\System32\docprop.dll
Fri Mar 18 10:32:34 2005 => Scanning File C:\WINDOWS\System32\docprop2.dll
Fri Mar 18 10:32:34 2005 => Scanning File C:\WINDOWS\System32\doskey.exe
Fri Mar 18 10:32:34 2005 => Scanning File C:\WINDOWS\System32\dosx.exe
Fri Mar 18 10:32:34 2005 => Scanning File C:\WINDOWS\System32\dpcdll.dll
Fri Mar 18 10:32:35 2005 => Scanning File C:\WINDOWS\System32\dplay.dll
Fri Mar 18 10:32:35 2005 => Scanning File C:\WINDOWS\System32\dplaysvr.exe
Fri Mar 18 10:32:35 2005 => Scanning File C:\WINDOWS\System32\dplayx.dll
Fri Mar 18 10:32:35 2005 => Scanning File C:\WINDOWS\System32\dpmodemx.dll
Fri Mar 18 10:32:35 2005 => Scanning File C:\WINDOWS\System32\dpnaddr.dll
Fri Mar 18 10:32:35 2005 => Scanning File C:\WINDOWS\System32\dpnet.dll
Fri Mar 18 10:32:36 2005 => Scanning File C:\WINDOWS\System32\dpnhpast.dll
Fri Mar 18 10:32:36 2005 => Scanning File C:\WINDOWS\System32\dpnhupnp.dll
Fri Mar 18 10:32:36 2005 => Scanning File C:\WINDOWS\System32\dpnlobby.dll
Fri Mar 18 10:32:36 2005 => Scanning File C:\WINDOWS\System32\dpnmodem.dll
Fri Mar 18 10:32:36 2005 => Scanning File C:\WINDOWS\System32\dpnsvr.exe
Fri Mar 18 10:32:36 2005 => Scanning File C:\WINDOWS\System32\dpnwsock.dll
Fri Mar 18 10:32:36 2005 => Scanning File C:\WINDOWS\System32\Seri*hier nicht!*.dll
Fri Mar 18 10:32:36 2005 => Scanning File C:\WINDOWS\System32\dpu10.dll
Fri Mar 18 10:32:37 2005 => Scanning File C:\WINDOWS\System32\dpude.qm [**]
Fri Mar 18 10:32:37 2005 => Scanning File C:\WINDOWS\System32\dpuGUI10.dll
Fri Mar 18 10:32:37 2005 => Scanning File C:\WINDOWS\System32\dpus10.dll
Fri Mar 18 10:32:38 2005 => Scanning File C:\WINDOWS\System32\dpv10.dll
Fri Mar 18 10:32:38 2005 => Scanning File C:\WINDOWS\System32\dpvacm.dll
Fri Mar 18 10:32:38 2005 => Scanning File C:\WINDOWS\System32\dpvoice.dll
Fri Mar 18 10:32:39 2005 => Scanning File C:\WINDOWS\System32\dpvsetup.exe
Fri Mar 18 10:32:39 2005 => Scanning File C:\WINDOWS\System32\dpvvox.dll
Fri Mar 18 10:32:39 2005 => Scanning File C:\WINDOWS\System32\dpwsock.dll
Fri Mar 18 10:32:39 2005 => Scanning File C:\WINDOWS\System32\dpwsockx.dll
Fri Mar 18 10:32:39 2005 => Scanning File C:\WINDOWS\System32\driverquery.exe
Fri Mar 18 10:32:39 2005 => Scanning File C:\WINDOWS\System32\drmclien.dll
Fri Mar 18 10:32:39 2005 => Scanning File C:\WINDOWS\System32\drmstor.dll
Fri Mar 18 10:32:40 2005 => Scanning File C:\WINDOWS\System32\drmv2clt.dll
Fri Mar 18 10:32:40 2005 => Scanning File C:\WINDOWS\System32\drprov.dll
Fri Mar 18 10:32:40 2005 => Scanning File C:\WINDOWS\System32\drwatson.exe
Fri Mar 18 10:32:40 2005 => Scanning File C:\WINDOWS\System32\drwtsn32.exe
Fri Mar 18 10:32:40 2005 => Scanning File C:\WINDOWS\System32\ds16gt.dLL
Fri Mar 18 10:32:40 2005 => Scanning File C:\WINDOWS\System32\ds32gt.dll
Fri Mar 18 10:32:40 2005 => Scanning File C:\WINDOWS\System32\dsauth.dll
Fri Mar 18 10:32:41 2005 => Scanning File C:\WINDOWS\System32\dsdmo.dll
Fri Mar 18 10:32:41 2005 => Scanning File C:\WINDOWS\System32\dsdmoprp.dll
Fri Mar 18 10:32:41 2005 => Scanning File C:\WINDOWS\System32\dskquota.dll
Fri Mar 18 10:32:42 2005 => Scanning File C:\WINDOWS\System32\dskquoui.dll
Fri Mar 18 10:32:42 2005 => Scanning File C:\WINDOWS\System32\dsound.dll
Fri Mar 18 10:32:42 2005 => Scanning File C:\WINDOWS\System32\dsound.vxd
Fri Mar 18 10:32:42 2005 => Scanning File C:\WINDOWS\System32\dsound3d.dll
Fri Mar 18 10:32:48 2005 => Scanning File C:\WINDOWS\System32\dsprop.dll



hier getservice:



PsService v1.1 - local and remote services viewer/controller
Copyright (C) 2001-2003 Mark Russinovich
Sysinternals - www.sysinternals.com

SERVICE_NAME: Alerter
Benachrichtigt bestimmte Benutzer und Computer bezüglich administrativer Warnungen. Falls der Dienst beendet wird, können Programme, die administrative Warnungen verwenden, diese Warnungen nicht mehr empfangen. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Warndienst
DEPENDENCIES : LanmanWorkstation
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: ALG
Bietet Unterstützung für Protokoll-Plug-Ins von Drittanbietern für die gemeinsame Nutzung der Internetverbindung und den Internetverbindungsdfirewall.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\alg.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Gatewaydienst auf Anwendungsebene
DEPENDENCIES :
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: AppMgmt
Bietet Softwareinstallationsdienste wie Zuweisung, Veröffentlichung, und Deinstallation.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Anwendungsverwaltung
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: AudioSrv
Verwaltet Audiogeräte für Windows-basierte Programme. Wenn dieser Dienst beendet wird, werden Audiogeräte und -effekte nicht korrekt funktionieren. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : AudioGroup
TAG : 0
DISPLAY_NAME : Windows Audio
DEPENDENCIES : PlugPlay
: RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: BITS
Verwendet sich in Leerlauf befindende Netzwerkbandbreite für die Datenübertragung.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Intelligenter Hintergrundübertragungsdienst
DEPENDENCIES : LanmanWorkstation
: RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Browser
Führt eine aktuelle Liste der Computer im Netzwerk und gibt diese an als Browser fungierende Computer weiter. Diese Liste wird nicht aktualisiert oder gewartet, falls der Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem ausschließlich Dienst abhängig sind, nicht mehr gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Computerbrowser
DEPENDENCIES : LanmanWorkstation
: LanmanServer
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ccEvtMgr
Symantec Event Manager
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
LOAD_ORDER_GROUP : Symantec Services
TAG : 0
DISPLAY_NAME : Symantec Event Manager
DEPENDENCIES : RPCSS
: ccSetMgr
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ccProxy
Symantec Network Proxy Service
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe"
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Symantec Network Proxy
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ccPwdSvc
Symantec Password Validation Service
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe"
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Symantec Password Validation
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ccSetMgr
Symantec Settings Manager
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
LOAD_ORDER_GROUP : Symantec Services
TAG : 0
DISPLAY_NAME : Symantec Settings Manager
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: cisvc
Indiziert Dateiinhalt und -eigenschaften auf lokalen und Remotecomputer und bietet schnellen Dateizugriff durch eine flexible Abfragesprache.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\cisvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Indexdienst
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ClipSrv
Ermöglicht der Ablagemappe, Informationen zu speichern und mit Remotecomputern auszutauschen. Wenn dieser Dienst beendet wird, wird die Ablagemappe keine Informationen mehr mit Remotecomputern austauschen können. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\clipsrv.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Ablagemappe
DEPENDENCIES : NetDDE
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: COMSysApp
Verwaltet die Komponentenkonfiguration und -überwachung von COM+-basierten Komponenten. Nach dem Beenden des Dienstes sind die meisten COM+-basierten Komponenten nicht ordnungsgemäß funktionsfähig. Nach dem Deaktivieren dieses Dienstes werden alle Dienste nicht gestartet, die explizit auf diesem Dienst basieren.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : COM+-Systemanwendung
DEPENDENCIES : rpcss
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 30 seconds
FAILURE_ACTIONS : Restart DELAY: 1000 seconds
: Restart DELAY: 5000 seconds
: None DELAY: 1000 seconds

SERVICE_NAME: CryptSvc
Stellt drei Verwaltungsdienste bereit: den Katalogdatenbankdienst, der die Signaturen von Windows-Dateien bestätigt; den Dienst für geschützten Stammspeicher, der Zertifikate vertrauenswürdiger Stammzertifizierungsstellen zu diesem Computer hinzufügt und entfernt und den Schlüsseldienst, der diesen Computer bei Einschreibungen in Zertifikate unterstützt. Wenn dieser Dienst beendet wird, werden diese Verwaltungsdienste nicht korrekt funktionieren. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Kryptografiedienste
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Dhcp
Verwaltet die Netzwerkkonfiguration, indem IP-Adressen und DNS-Namen registriert und aktualisiert werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : DHCP-Client
DEPENDENCIES : Tcpip
: Afd
: NetBT
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: dmadmin
Konfiguriert Festplattenlaufwerke und -volumes. Dieser Dienst wird nur zu Konfigurationszwecken ausgeführt und anschließend beendet.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\dmadmin.exe /com
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Verwaltungsdienst für die Verwaltung logischer Datenträger
DEPENDENCIES : RpcSs
: PlugPlay
: DmServer
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: dmserver
Erkennt und überwacht neue Festplattenlaufwerke und sendet Festplatteninformationen zur Konfiguration an den Verwaltungsdienst für die Verwaltung logischer Datenträger. Wenn dieser Dienst beendet wird, können Statusinformationen für dynamische Festplatten und Konfigurationsinformationen veraltet oder ungültig werden. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Verwaltung logischer Datenträger
DEPENDENCIES : RpcSs
: PlugPlay
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Dnscache
Wertet DNS-Namen (Domain Name System) für diesen Computer aus und speichert sie zwischen. Falls dieser Dienst beendet wird, kann der Computer keine DNS-Namen auflösen und Active Directory-Domänencontroller ermitteln. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k NetworkService
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : DNS-Client
DEPENDENCIES : Tcpip
SERVICE_START_NAME: NT AUTHORITY\NetworkService

SERVICE_NAME: ERSvc
Ermöglicht die Fehlerberichterstattung für Dienste und Anwendungen, die in nicht standardgemäßen Umgebungen ausgeführt werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Fehlerberichterstattungsdienst
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Eventlog
Ermöglicht die Ansicht von Ereignisprotokollmeldungen von Windows-basierten Programmen und Komponenten in der Ereignisanzeige. Dieser Dienst kann nicht beendet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\services.exe
LOAD_ORDER_GROUP : Event log
TAG : 0
DISPLAY_NAME : Ereignisprotokoll
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: EventSystem
Unterstützt den Systemereignis-Benachrichtigungsdienst (SENS, System Event Notification Service), der die automatische Verteilung von Ereignissen an abonnierende COM-Komponenten zur Verfügung stellt. Wenn der Dienst beendet ist, wird SENS beendet und ist nicht in der Lage Anmelde- und Abmeldebenachrichtigungen zur Verfügung zu stellen. Wenn der Dienst deaktiviert ist, können abhängige Dienste nicht gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : Network
TAG : 0
DISPLAY_NAME : COM+-Ereignissystem
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: FastUserSwitchingCompatibility
Bietet Verwaltung für Anwendungen, die Unterstützung in einer Mehrbenutzerumgebung erfordern.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Kompatibilität für schnelle Benutzerumschaltung
DEPENDENCIES : TermService
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: GEARSecurity
(null)
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : SYSTEM32\GEARSEC.EXE
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : GEARSecurity
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: helpsvc
Aktiviert das Hilfe- und Supportcenter auf diesem Computer. Das Hilfe- und Supportcenter ist nicht verfügbar, wenn dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Hilfe und Support
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 86400 seconds
FAILURE_ACTIONS : Restart DELAY: 100 seconds
: Restart DELAY: 100 seconds
: None DELAY: 100 seconds

SERVICE_NAME: HidServ
Ermöglicht einen Standardeingabezugang für Eingabegeräte (HID-Geräte), welcher die Verwendung von vordefinierten Schnelltasten auf Tastaturen, Fernbedienungen und anderen Multimediageräten aktiviert und unterstützt. Wenn dieser Dienst beendet wird, werden die von diesem Dienst gesteuerten Schnelltasten nicht mehr funktionieren. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Eingabegerätezugang
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ImapiService
Verwaltet das Aufnehmen von CDs mit IMAPI (Image Mastering Applications Programming Interface). Auf diesem Computer können keine CDs aufgenommen werden, wenn dieser Dienst angehalten wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\imapi.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : IMAPI-CD-Brenn-COM-Dienste
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: lanmanserver
Unterstützt Datei-, Drucker- und Named-Piped-Freigabe für diesen Computer über das Netzwerk. Diese Funktionen sind nicht mehr verfügbar, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Server
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: lanmanworkstation
Erstellt und wartet Clientnetzwerkverbindungen mit Remoteservern. Diese Verbindungen sind nicht mehr verfügbar, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : NetworkProvider
TAG : 0
DISPLAY_NAME : Arbeitsstationsdienst
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: LmHosts
Ermöglicht die Unterstützung vom NetBIOS-über-TCP/IP-Dienst (NetBT) und die NetBIOS-Namensauflösung.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : TCP/IP-NetBIOS-Hilfsprogramm
DEPENDENCIES : NetBT
: Afd
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: Messenger
Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern. Dieser Dienst ist nicht mit Windows Messenger verwandt. Der Warndienst überträgt keine Nachrichten, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Nachrichtendienst
DEPENDENCIES : LanmanWorkstation
: NetBIOS
: PlugPlay
: RpcSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: mnmsrvc
Ermöglicht einem autorisierten Benutzer an einem anderen Computer auf diesen Computer mit NetMeeting über ein Firmenintranet zuzugreifen. Wenn dieser Dienst beendet wird, ist die Remotedesktopfreigabe nicht mehr verfügbar. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\mnmsrvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : NetMeeting-Remotedesktop-Freigabe
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: MSDTC
Koordiniert Transaktionen, die sich über mindestens zwei Ressourcenverwaltungen wie Datenbanken, Nachrichtenwarteschlangen oder Dateisysteme erstrecken. Wenn der Dienst beendet ist, treten diese Transaktionen nicht auf. Wenn der Dienst deaktiviert ist, können abhängige Dienste nicht gestartet werden.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\msdtc.exe
LOAD_ORDER_GROUP : MS Transactions
TAG : 0
DISPLAY_NAME : Distributed Transaction Coordinator
DEPENDENCIES : RPCSS
: SamSS
SERVICE_START_NAME: NT AUTHORITY\NetworkService

SERVICE_NAME: MSIServer
Installiert, repariert oder entfernt Software gemäß der in MSI-Dateien enthaltenen Anweisungen.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\msiexec.exe /V
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Windows Installer
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: navapsvc
Verarbeitet Norton AntiVirus Auto-Protect-Ereignisse.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : "C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe"
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Norton AntiVirus Auto-Protect-Dienst
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NetDDE
Ermöglicht Netzwerktransport und Sicherheit für den dynamischen Datenaustausch (DDE) von Programmen, die auf dem gleichen Computer oder auf verschiedenen Computern ausgeführt werden. Wenn dieser Dienst beendet wird, wird der DDE-Transport und die DDE-Sicherheit nicht mehr zur Verfügung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\netdde.exe
LOAD_ORDER_GROUP : NetDDEGroup
TAG : 0
DISPLAY_NAME : Netzwerk-DDE-Dienst
DEPENDENCIES : NetDDEDSDM
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NetDDEdsdm
Verwaltet DDE-Netzwerkfreigaben (Dynamic Data Exchange=Dynamischer Datenaustausch). Wenn dieser Dienst beendet wird, werden keine DDE-Netzwerkfreigaben mehr zur Verfügung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\netdde.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Netzwerk-DDE-Serverdienst
DEPENDENCIES :
: EGrLocalSystem
: Netzwerk-DDE-Serverdienst
: DE-Dienst
: lSystem
: Norton AntiVirus Auto-Protect-Dienst
: 
: ¨
: er
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Netlogon
Unterstützt Durchsatzauthentifizierung von Kontoanmeldungsereignissen für Computer in einer Domäne.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\lsass.exe
LOAD_ORDER_GROUP : RemoteValidation
TAG : 0
DISPLAY_NAME : Anmeldedienst
DEPENDENCIES : LanmanWorkstation
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Netman
Verwaltet Objekte im Ordner 'Netzwerk- und DFÜ-Verbindungen' , in dem sowohl LAN-, als auch WAN-Verbindungen angezeigt werden.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Netzwerkverbindungen
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Nla
Sammelt und speichert Netzwerkkonfigurations- und Standortinformationen und benachrichtigt Anwendungen, wenn diese Informationen sich ändern.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : NLA (Network Location Awareness)
DEPENDENCIES : Tcpip
: Afd
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NtLmSsp
Bietet Sicherheit für Remoteprozeduraufrufe (RPC), die andere Transportwege als Named Pipes verwenden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\lsass.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : NT-LM-Sicherheitsdienst
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NtmsSvc
(null)
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Wechselmedien
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NVSvc
(null)
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
E

#120 SERVICE_NAME: NtmsSvc
(null)
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Wechselmedien
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NVSvc
(null)
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
E

......??????????? Bitte den letzten Teil komplett
__________
MfG Sabina

rund um die PC-Sicherheit