O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\i8i3318.dll |
||
---|---|---|
#0
| ||
22.05.2005, 14:01
Ehrenmitglied
Beiträge: 29434 |
||
|
||
22.05.2005, 14:02
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#2
Hallo@Capone076
1. Laden Sie L2mfix von hier : 2. http://bilder.informationsarchiv.net/Nikitas_Tools/l2mfix.exe 3. Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe. 4. Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation. 5. Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix 6. Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1 und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen. 7. Kopieren Sie den Inhalt durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V...oder einfach mit der Maus abkopieren. WICHTIG:Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden! 8. Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> [Enter]. 9. Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten. 10. Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL. 11. L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread/ins Forum (Strg+C & Strg+V). Posten Sie ausserdem einen aktuellen HijackThis Log. WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden! 12. Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter]. 13. Dies stellt die Winlogon Standardeinstellungen wieder her. 14. Posten Sie einen aktuellen HijackThis Log __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.05.2005, 16:13
...neu hier
Beiträge: 7 |
#3
Hallo,
Danke schonmal für deine Mühe.... hier die daten die brauchst..... L2MFIX find log 1.02b These are the registry keys present ********************************************************************************** Winlogon/notify: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SharedDLLs] "Asynchronous"=dword:00000000 "DllName"="C:\\WINDOWS\\system32\\q0rq0a95ed.dll" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Logoff"="WinLogoff" "Shutdown"="WinShutdown" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 ********************************************************************************** useragent: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "{80C7FAEB-BC23-0860-21CB-6D55311EA55E}"="" ********************************************************************************** Shell Extension key: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] "{00022613-0000-0000-C000-000000000046}"="Eigenschaften fr Multimediadatei" "{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung" "{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit" "{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite fr Dokumente" "{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shellerweiterungen fr Freigaben" "{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension" "{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Grafikkarten" "{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Bildschirme" "{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Anzeigeverschiebung" "{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit" "{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Kompatibilit„tsseite" "{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler" "{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung fr Datentr„gerkopien" "{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shellerweiterungen fr Microsoft Windows-Netzwerkobjekte" "{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung" "{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung" "{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shellerweiterungen fr die Dateikomprimierung" "{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung fr Webdrucker" "{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI" "{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen fr die Verschlsselung" "{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer" "{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung fr HyperTerminal-Icons" "{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten" "{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil" "{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit" "{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shellerweiterungen fr Freigaben" "{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension" "{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung" "{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung" "{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerkverbindungen" "{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Netzwerkverbindungen" "{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanner und Kameras" "{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanner und Kameras" "{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanner und Kameras" "{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanner und Kameras" "{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanner und Kameras" "{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension" "{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension" "{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shellerweiterungen fr Windows Script Host" "{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Datenverknpfung" "{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler" "{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension" "{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks" "{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Taskleiste und Startmen" "{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Suchen" "{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support" "{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support" "{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ausfhren..." "{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet" "{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-Mail" "{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Schriftarten" "{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Verwaltung" "{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler" "{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler" "{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler" "{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler" "{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler" "{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor" "{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar" "{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status" "{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder" "{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Shell Folder 2" "{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy" "{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand" "{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Search Band" "{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band" "{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search" "{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search" "{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility" "{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse" "{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox" "{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete" "{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor" "{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List" "{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Custom MRU AutoCompleted List" "{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible" "{acf35015-526e-4230-9596-becbe19f0ac9}"="Track Popup Bar" "{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Syntaxanalyse der Adressleiste" "{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List" "{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List" "{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container" "{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu" "{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp" "{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar" "{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite" "{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist" "{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings" "{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band" "{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service" "{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer" "{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture" "{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut" "{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst" "{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf" "{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files" "{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files" "{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff" "{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begráungsbildschirm" "{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook" "{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC" "{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC" "{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet" "{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space" "{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer-Band" "{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service" "{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service" "{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Cacheordner" "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck" "{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr" "{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder" "{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler" "{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent" "{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent" "{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent" "{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent" "{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent" "{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler" "{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager" "{0B124F8F-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator" "{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher" "{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs" "{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory" "{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ Dateiminiaturansicht-Extrahierungsprogramm" "{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Zusammenfassungs-Miniaturansichthandler (DOCFILES)" "{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML-Extrahierungsprogramm" "{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler" "{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Webpublishing-Assistent" "{add36aa8-751a-4579-a266-d66f5202ccbb}"="Bestellung von Abzgen ber das Internet" "{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Shellobjekt des Webpublishing-Assistenten" "{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Passport-Assistent" "{7A9D77BD-5403-11d2-8785-2E0420524153}"="Benutzerkonten" "{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei" "{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channelverknpfung" "{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channelhandlerobjekt" "{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu" "{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties" "{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview" "{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext" "{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control" "{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control" "{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control" "{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control" "{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control" "{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI" "{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object" "{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find" "{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find" "{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI" "{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs" "{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook" "{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target" "{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties" "{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu" "{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options" "{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Ordner 'Offlinedateien'" "{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler" "{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell" "{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%" "{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler" "{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer" "{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Nach Personen..." "{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler" "{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler" "{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler" "{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Webordner" "{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler" "{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler" "{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler" "{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target" "{A70C977A-BF00-412C-90B7-034C51DA2439}"="NvCpl DesktopContext Class" "{FFB699E0-306A-11d3-8BD1-00104B6F7516}"="Play on my TV helper" "{1CDB2949-8F65-4355-8456-263E7C208A5D}"="Desktop Explorer" "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}"="Desktop Explorer Menu" "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}"="nView Desktop Context Menu" "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}"="Shell Extensions for RealOne Player" "{E0D79304-84BE-11CE-9641-444553540000}"="WinZip" "{E0D79305-84BE-11CE-9641-444553540000}"="WinZip" "{E0D79306-84BE-11CE-9641-444553540000}"="WinZip" "{E0D79307-84BE-11CE-9641-444553540000}"="WinZip" "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension" "{7BDC39BB-ECE2-4431-8F44-CA65C9BDE2A2}"="" ********************************************************************************** HKEY ROOT CLASSIDS: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{7BDC39BB-ECE2-4431-8F44-CA65C9BDE2A2}] @="" [HKEY_CLASSES_ROOT\CLSID\{7BDC39BB-ECE2-4431-8F44-CA65C9BDE2A2}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{7BDC39BB-ECE2-4431-8F44-CA65C9BDE2A2}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{7BDC39BB-ECE2-4431-8F44-CA65C9BDE2A2}\InprocServer32] @="C:\\WINDOWS\\system32\\mkxmlr.dll" "ThreadingModel"="Apartment" ********************************************************************************** Files Found are not all bad files: Locate .tmp files: ********************************************************************************** Directory Listing of system files: Datentr„ger in Laufwerk C: ist FESTPLATTE Volumeseriennummer: 3051-07DD Verzeichnis von C:\WINDOWS\System32 22.05.2005 15:35 236.292 mkxmlr.dll 22.05.2005 15:33 235.702 l02s0af7ed2.dll 22.05.2005 15:31 235.702 csntfilt.dll 22.05.2005 15:31 236.292 q0rq0a95ed.dll 22.05.2005 14:01 234.987 dznaddr.dll 21.05.2005 16:20 234.987 wzhcon.dll 21.05.2005 14:52 233.646 vamdbg.dll 12.10.2004 01:00 <DIR> Microsoft 12.10.2004 00:21 <DIR> dllcache 7 Datei(en) 1.647.608 Bytes 2 Verzeichnis(se), 10.969.186.304 Bytes frei L2Mfix 1.02b Running From: C:\Dokumente und Einstellungen\Antonio\Desktop\l2mfix RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify: (NI) ALLOW Full access NT-AUTORITŽT\SYSTEM (IO) ALLOW Full access NT-AUTORITŽT\SYSTEM (NI) ALLOW Full access NT-AUTORITŽT\SYSTEM (IO) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-NI) ALLOW Read VORDEFINIERT\Benutzer (ID-IO) ALLOW Read VORDEFINIERT\Benutzer (ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer (ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer (ID-NI) ALLOW Full access VORDEFINIERT\Administratoren (ID-IO) ALLOW Full access VORDEFINIERT\Administratoren (ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-IO) ALLOW Full access ERSTELLER-BESITZER Setting registry permissions: RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Denying C access for really "Everyone" - adding new ACCESS DENY entry Registry Permissions set too: RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify: (CI) DENY --C------- Jeder (NI) ALLOW Full access NT-AUTORITŽT\SYSTEM (IO) ALLOW Full access NT-AUTORITŽT\SYSTEM (NI) ALLOW Full access NT-AUTORITŽT\SYSTEM (IO) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-NI) ALLOW Read VORDEFINIERT\Benutzer (ID-IO) ALLOW Read VORDEFINIERT\Benutzer (ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer (ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer (ID-NI) ALLOW Full access VORDEFINIERT\Administratoren (ID-IO) ALLOW Full access VORDEFINIERT\Administratoren (ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-IO) ALLOW Full access ERSTELLER-BESITZER Setting up for Reboot Starting Reboot! C:\Dokumente und Einstellungen\Antonio\Desktop\l2mfix System Rebooted! Running From: C:\Dokumente und Einstellungen\Antonio\Desktop\l2mfix killing explorer and rundll32.exe Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 1200 'explorer.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Error, Cannot find a process with an image name of rundll32.exe Scanning First Pass. Please Wait! First Pass Completed Second Pass Scanning Second pass Completed! Desktop.ini sucessfully removed Zipping up files for submission: adding: echo.reg (deflated 10%) adding: clear.reg (deflated 22%) adding: desktop.ini (stored 0%) adding: readme.txt (deflated 49%) adding: direct.txt (stored 0%) adding: report.txt (deflated 63%) adding: report1.txt (deflated 63%) adding: lo2.txt (deflated 74%) adding: test2.txt (stored 0%) adding: test3.txt (stored 0%) adding: test5.txt (stored 0%) adding: test.txt (deflated 67%) adding: backregs/shell.reg (deflated 73%) adding: backregs/7BDC39BB-ECE2-4431-8F44-CA65C9BDE2A2.reg (deflated 70%) Restoring Registry Permissions: RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Revoking access for really "Everyone" Registry permissions set too: RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify: (NI) ALLOW Full access NT-AUTORITŽT\SYSTEM (IO) ALLOW Full access NT-AUTORITŽT\SYSTEM (NI) ALLOW Full access NT-AUTORITŽT\SYSTEM (IO) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-NI) ALLOW Read VORDEFINIERT\Benutzer (ID-IO) ALLOW Read VORDEFINIERT\Benutzer (ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer (ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer (ID-NI) ALLOW Full access VORDEFINIERT\Administratoren (ID-IO) ALLOW Full access VORDEFINIERT\Administratoren (ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-IO) ALLOW Full access ERSTELLER-BESITZER Restoring Sedebugprivilege: Granting SeDebugPrivilege to Administrators ... failed (GetAccountSid(Administrators)=1332 The following Is the Current Export of the Winlogon notify key: **************************************************************************** Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 The following are the files found: **************************************************************************** Registry Entries that were Deleted: Please verify that the listing looks ok. If there was something deleted wrongly there are backups in the backreg folder. **************************************************************************** REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] "{7BDC39BB-ECE2-4431-8F44-CA65C9BDE2A2}"=- [-HKEY_CLASSES_ROOT\CLSID\{7BDC39BB-ECE2-4431-8F44-CA65C9BDE2A2}] REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "{}"=- "SV1"="" **************************************************************************** Desktop.ini Contents: **************************************************************************** [.ShellClassInfo] CLSID={645FF040-5081-101B-9F08-00AA002F954E} **************************************************************************** Logfile of HijackThis v1.99.1 Scan saved at 16:01:49, on 22.05.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\Mixer.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\PROGRA~1\Logitech\iTouch\iTouch.exe C:\PROGRA~1\eScan\TRAYICOS.EXE C:\PROGRA~1\eScan\AVPMWrap.EXE C:\PROGRA~1\eScan\MAILDISP.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\PROGRA~1\Logitech\iTouch\kbdtray.exe C:\PROGRA~1\eScan\SPOOLER.EXE C:\PROGRA~1\eScan\MAILSCAN.EXE C:\PROGRA~1\eScan\kavss.exe C:\PROGRA~1\eScan\AvpM.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\eScan\TRAYSSER.EXE C:\PROGRA~1\eScan\avpm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\imapi.exe C:\Program Files\IrfanView\i_view32.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Antonio\Desktop\spybot\Neuer Ordner\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE" O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Startup: Deer Hunter 2005 Registration.lnk = C:\Programme\Atari\Deer Hunter 2005\ATR1.EXE O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Exif Launcher.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/23efad0f4a45b31e8906/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097616219928 O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - C:\PROGRA~1\eScan\TRAYSSER.EXE O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe ich hoffe ich habe alles richtig gemacht.... |
|
|
||
22.05.2005, 17:47
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#4
Hallo@Capone076
•KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\System32\mkxmlr.dll C:\WINDOWS\system32\i8i3318.dll C:\WINDOWS\System32\l02s0af7ed2.dll C:\WINDOWS\System32\csntfilt.dll C:\WINDOWS\System32\q0rq0a95ed.dll C:\WINDOWS\System32\dznaddr.dll C:\WINDOWS\System32\wzhcon.dll C:\WINDOWS\System32\vamdbg.dll PC neustarten Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt Scanne noch mal mit escan und poste, was als "infected" angezeigt wurde. dann mache noch einen Onlinescan mit panda+ berichte http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.05.2005, 21:52
...neu hier
Beiträge: 7 |
#5
Hallo nochmal,
hat alles ganz schön lange gedauert.... aber hier die ergebnisse. log.txt : C:\Dokumente und Einstellungen\Antonio\Desktop\spybot PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Files Found in system Folder............ ------------------------ C:\WINDOWS\system32\locate.com: WAUPX! C:\WINDOWS\system32\cygz.dll: UPX! C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 Files Found in all users startup Folder............ ------------------------ C:\WINDOWS\system32\locate.com: WAUPX! C:\WINDOWS\system32\cygz.dll: UPX! Files Found in all users windows Folder............ ------------------------ C:\WINDOWS\inst_tsp.exe: UPX! C:\WINDOWS\icont.exe: UPX! C:\WINDOWS\sporder.exe: UPX! C:\WINDOWS\killproc.exe: UPX! C:\WINDOWS\cygz.dll: UPX! Finished bye ESCAN hat nichts gefunden. Panda hat folgendes gemeldet : Incident Status Location Adware:Adware/SBSoft No disinfected C:\Dokumente und Einstellungen\Antonio\Anwendungsdaten\SBSoft Adware:Adware/Transponder No disinfected C:\DOKUME~1\Antonio\LOKALE~1\Temp\dummy.htm Virus:Trj/Downloader.TC Disinfected C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81YF4LQB\index[1].html Virus:Trj/Qhost.Y Disinfected C:\WINDOWS\system32\drivers\etc\hosts Adware:Adware/Look2Me No disinfected C:\WINDOWS\system32\dcmap.dll was ist jetzt noch zu tun ??? ob das Problem jetzt gelöst ist,weiß ich noch nicht aber ich werde mich melden sobald ich mehr weiß |
|
|
||
23.05.2005, 00:38
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#6
Hallo@Capone076
loesche mit der Killbox: C:\WINDOWS\system32\dcmap.dll C:\WINDOWS\system32\locate.com C:\WINDOWS\system32\cygz.dll C:\Dokumente und Einstellungen\Antonio\Lokale Einstellungen\Temp\dummy.htm C:\WINDOWS\iconu.exe C:\WINDOWS\icont.exe PC neustarten C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81YF4LQB\index[1].html <---loeschen C:\Dokumente und Einstellungen\Antonio\Lokale Einstellungen\Temp\dummy.htm <---loeschen C:\Dokumente und Einstellungen\Antonio\Anwendungsdaten\SBSoft <--loeschen /deinstallieren CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html ------------------------------------------------------------------------------------------- einzelne "exe" ueberpruefen http://www.virustotal.com/flash/index_en.html • Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen http://virusscan.jotti.org/de/ Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten C:\WINDOWS\inst_tsp.exe C:\WINDOWS\killproc.exe C:\WINDOWS\sporder.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.05.2005, 23:27
...neu hier
Beiträge: 7 |
#7
Hallo Sabina,
die folgende dateien die ich löschen sollte,habe ich nicht gefunden .... C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81YF4LQB\index[1].html <---loeschen C:\Dokumente und Einstellungen\Antonio\Lokale Einstellungen\Temp\dummy.htm <---loeschen C:\Dokumente und Einstellungen\Antonio\Anwendungsdaten\SBSoft <--loeschen /deinstallieren den rest habe ich gemacht... hier die ergebnisse Datei: inst_tsp.exe Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.) Entdeckte Packprogramme: UPX AntiVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden mks_vir Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden VBA32 Keine Viren gefunden Datei: killproc.exe Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.) Entdeckte Packprogramme: UPX AntiVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden mks_vir Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden VBA32 Keine Viren gefunden Datei: sporder.exe Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.) Entdeckte Packprogramme: UPX AntiVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden mks_vir Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden VBA32 Keine Viren gefunden naja was ich noch sagen wollte,nach den aktionen von gestern,sind die loadingseiten nicht mehr aufgegangen,sieht gut aus...ich hoffe mal das das so bleibt... |
|
|
||
23.05.2005, 23:43
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#8
•HOSTFILE:
#öffne das HijackThis http://www.downloads.subratam.org/hijackthis.zip "Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s) -->/Click the "Open In Notepad" button poste mir, was du vorfindest. und mache einen Onlinescan ,mit panda oder anderen + berichte http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.05.2005, 11:59
...neu hier
Beiträge: 7 |
#9
Hallo,
also mit highjackthis habe ich zwar das gemacht was du mir gesagt hast,aber ich weiß nicht ob das wirklich das ist was du sehen wolltest. ... hier.. # Copyright (c) 1993-1999 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host 127.0.0.1 localhost vom panda kam folgendes .... Incident Status Location Adware:Adware/SBSoft No disinfected C:\Dokumente und Einstellungen\Antonio\Anwendungsdaten\SBSoft und wieder die datei die ich nicht finden kann,ich habe auch mein platte durchsucht aber nicht gefunden... ich finde einfach die datei "sbsoft" nicht !!! |
|
|
||
24.05.2005, 13:05
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#10
Hallo@Capone076
Die HOSTS file ist in Ordnung. --------------------------------------------------------------- Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren + Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren dann suche noch mal C:\Dokumente und Einstellungen\Antonio\Anwendungsdaten\SBSoft --------------------------------------------------------------- •Ad-aware SE Personal 1.05 Updated http://virus-protect.org/antispywaretools.html Laden--> Updaten-->Konfigurieren http://virus-protect.org/adaware.html #VOR jedem Scanvorgang das Programm Updaten! waehrend des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein! scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.05.2005, 00:27
...neu hier
Beiträge: 7 |
#11
Hallo Sabina,
also ich habe dann endlich den SBsoft ordner gefunden und gelöscht !!! :-) dann habe ich adaware zweimal durchlaufen lassen und hier das ergebnis : Ad-Aware SE Build 1.05 Protokolldatei erstellt am:Mittwoch, 25. Mai 2005 00:01:23 Verwendete Definitionsdatei:SE1R47 24.05.2005 »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Während des Scannings identifizierte Referenzen: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» MRU List(TAC-Index:0):27 Referenzen insgesamt »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Definition File: ========================= Geladene Definitionsdatei: Reference Number : SE1R47 24.05.2005 Internal build : 55 File location : C:\Programme\Lavasoft\Ad-Aware SE Professional\defs.ref File size : 476246 Bytes Total size : 1439523 Bytes Signature data size : 1408291 Bytes Reference data size : 30720 Bytes Signatures total : 40174 Fingerprints total : 886 Fingerprints size : 30371 Bytes Target categories : 15 Target families : 679 Memory + processor status: ========================== Number of processors : 1 Processor architecture : Intel Pentium III Memory available:68 % Total physical memory:785904 kb Available physical memory:531932 kb Total page file size:1137636 kb Available on page file:890792 kb Total virtual memory:2097024 kb Available virtual memory:2044284 kb OS:Microsoft Windows XP Professional Service Pack 1 (Build 2600) Ad-Aware SE Settings =========================== Festlegen : Nach unbedeutenden Risikoeinträgen suchen Festlegen : Gelöschte Dateien in den Papierkorb verschieben Festlegen : Sicherer Modus (stets Bestätigung abfragen) Festlegen : Aktive Prozesse scannen Festlegen : Registrierung scannen Festlegen : Registrierung gründlich scannen Festlegen : IE-Favoriten nach gesperrten URLs durchsuchen Festlegen : In Archiven scannen Festlegen : Hosts-Datei scannen Extended Ad-Aware SE Settings =========================== Festlegen : Ident. Proz./Mod. beim Scanning aus Speicher entf. Festlegen : Befehlszeile der gescannten Prozesse ermitteln Festlegen : Übergreifende Dateien beim Scanning von CAP-Archiven ignorieren Festlegen : Reg. f. für alle Benutzer (nicht nur f. akt. Ben.) scannen Festlegen : Vor dem Löschen stets versuchen, Module aus dem Speicher zu entfernen Festlegen : Explorer/IE b. Löschen ggf. beenden und aus Speicher entf. Festlegen : Geöffnete Dateien beim nächsten Neustart von Windows löschen lassen Festlegen : Nach der Wiederherstellung Objekte unter Quarantäne löschen Festlegen : Popups aggressiv blocken Festlegen : Problematische Objekte in der Ergebnisliste automatisch auswählen Festlegen : Systemdat. n. Repar. (Hosts-Dat. usw.) m. Schreibschutz vers. Festlegen : Grundlegende Ad-Aware-Einstellungen protokollieren Festlegen : Erweiterte Ad-Aware-Einstellungen protokollieren Festlegen : Referenz-Zusammenfassung protokollieren Festlegen : Details zu alternativen Datenströmen protokollieren Festlegen : Begrüßungsseite anzeigen Festlegen : Aktuelle Definitionsdatei vor der Aktualisierung sichern Festlegen : Wenn kritische Obj. Identif. wurden, Scanlauf durch akustisches Signal sperren 25.05.2005 00:01:23 - Scanning wurde gestartet. (Benutzerdefinierter Modus) Liste der laufenden Prozesse »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» #:1 [smss.exe] ModuleName : \SystemRoot\System32\smss.exe Command Line : n/a ProcessID : 440 ThreadCreationTime : 24.05.2005 21:55:44 BasePriority : Normal #:2 [winlogon.exe] ModuleName : \??\C:\WINDOWS\system32\winlogon.exe Command Line : n/a ProcessID : 524 ThreadCreationTime : 24.05.2005 21:55:50 BasePriority : High #:3 [services.exe] ModuleName : C:\WINDOWS\system32\services.exe Command Line : n/a ProcessID : 568 ThreadCreationTime : 24.05.2005 21:55:53 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Anwendung für Dienste und Controller InternalName : services.exe LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : services.exe #:4 [lsass.exe] ModuleName : C:\WINDOWS\system32\lsass.exe Command Line : n/a ProcessID : 580 ThreadCreationTime : 24.05.2005 21:55:53 BasePriority : Normal FileVersion : 5.1.2600.1106 (xpsp1.020828-1920) ProductVersion : 5.1.2600.1106 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : LSA Shell (Export Version) InternalName : lsass.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : lsass.exe #:5 [svchost.exe] ModuleName : C:\WINDOWS\system32\svchost.exe Command Line : n/a ProcessID : 740 ThreadCreationTime : 24.05.2005 21:55:55 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:6 [svchost.exe] ModuleName : C:\WINDOWS\System32\svchost.exe Command Line : n/a ProcessID : 804 ThreadCreationTime : 24.05.2005 21:55:56 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:7 [ccproxy.exe] ModuleName : C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe Command Line : n/a ProcessID : 908 ThreadCreationTime : 24.05.2005 21:55:58 BasePriority : Normal FileVersion : 103.0.4.3 ProductVersion : 103.0.4.3 ProductName : Client and Host Security Platform CompanyName : Symantec Corporation FileDescription : Symantec Network Proxy Service InternalName : ccProxy LegalCopyright : Copyright (c) 2000-2004 Symantec Corporation. All rights reserved. OriginalFilename : ccProxy.exe #:8 [ccsetmgr.exe] ModuleName : C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe Command Line : n/a ProcessID : 968 ThreadCreationTime : 24.05.2005 21:56:00 BasePriority : Normal FileVersion : 103.0.4.3 ProductVersion : 103.0.4.3 ProductName : Client and Host Security Platform CompanyName : Symantec Corporation FileDescription : Symantec Settings Manager Service InternalName : ccSetMgr LegalCopyright : Copyright (c) 2000-2004 Symantec Corporation. All rights reserved. OriginalFilename : ccSetMgr.exe #:9 [issvc.exe] ModuleName : C:\Programme\Norton Internet Security\ISSVC.exe Command Line : n/a ProcessID : 984 ThreadCreationTime : 24.05.2005 21:56:00 BasePriority : Normal FileVersion : 8.0.2.5 ProductVersion : 8.0 ProductName : Norton Internet Security CompanyName : Symantec Corporation FileDescription : IS Service InternalName : ISSVC.exe LegalCopyright : Copyright (c) 2004 Symantec Corporation OriginalFilename : ISSVC.exe #:10 [sndsrvc.exe] ModuleName : C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe Command Line : n/a ProcessID : 1008 ThreadCreationTime : 24.05.2005 21:56:01 BasePriority : Normal FileVersion : 5.5.1.6 ProductVersion : 5.5 ProductName : Symantec Security Drivers CompanyName : Symantec Corporation FileDescription : Network Driver Service InternalName : SndSrvc LegalCopyright : Copyright 2002, 2003, 2004 Symantec Corporation OriginalFilename : SndSrvc.exe #:11 [spbbcsvc.exe] ModuleName : C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe Command Line : n/a ProcessID : 1044 ThreadCreationTime : 24.05.2005 21:56:03 BasePriority : Normal FileVersion : 1,0,1,47 ProductVersion : 1,0,1,47 ProductName : SPBBC CompanyName : Symantec Corporation FileDescription : SPBBC Service InternalName : SPBBCSvc LegalCopyright : Copyright (c) 2004 Symantec Corporation. All rights reserved. OriginalFilename : SPBBCSvc.exe #:12 [explorer.exe] ModuleName : C:\WINDOWS\Explorer.EXE Command Line : C:\WINDOWS\Explorer.EXE ProcessID : 1224 ThreadCreationTime : 24.05.2005 21:56:07 BasePriority : Normal FileVersion : 6.00.2800.1106 (xpsp1.020828-1920) ProductVersion : 6.00.2800.1106 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Windows Explorer InternalName : explorer LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : EXPLORER.EXE #:13 [ccevtmgr.exe] ModuleName : C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe Command Line : n/a ProcessID : 1296 ThreadCreationTime : 24.05.2005 21:56:12 BasePriority : Normal FileVersion : 103.0.4.3 ProductVersion : 103.0.4.3 ProductName : Client and Host Security Platform CompanyName : Symantec Corporation FileDescription : Symantec Event Manager Service InternalName : ccEvtMgr LegalCopyright : Copyright (c) 2000-2004 Symantec Corporation. All rights reserved. OriginalFilename : ccEvtMgr.exe #:14 [mixer.exe] ModuleName : C:\WINDOWS\Mixer.exe Command Line : "C:\WINDOWS\Mixer.exe" /startup ProcessID : 1564 ThreadCreationTime : 24.05.2005 21:56:21 BasePriority : Normal FileVersion : 1.55 ProductVersion : 1.55 ProductName : Mixer CompanyName : C-Media Electronic Inc. (www.cmedia.com.tw) FileDescription : Mixer InternalName : Mixer LegalCopyright : Copyright (C) 1997-2002 LegalTrademarks : NONE OriginalFilename : Mixer.EXE Comments : Feng Min-Chih (min_chih@cmedia.com.tw) #:15 [em_exec.exe] ModuleName : C:\Programme\Logitech\MouseWare\system\em_exec.exe Command Line : "C:\Programme\Logitech\MouseWare\system\em_exec.exe" ProcessID : 1688 ThreadCreationTime : 24.05.2005 21:56:24 BasePriority : Normal FileVersion : 9.80.019 ProductVersion : 9.80.019 ProductName : MouseWare CompanyName : Logitech Inc. FileDescription : Logitech Events Handler Application InternalName : Em_Exec LegalCopyright : (C) 1987-2004 Logitech. All rights reserved. LegalTrademarks : Logitech® and MouseWare® are registered trademarks of Logitech Inc. OriginalFilename : Em_Exec.exe Comments : Created by the MouseWare team #:16 [realsched.exe] ModuleName : C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe Command Line : "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot ProcessID : 1700 ThreadCreationTime : 24.05.2005 21:56:25 BasePriority : Normal FileVersion : 0.1.0.3208 ProductVersion : 0.1.0.3208 ProductName : RealPlayer (32-bit) CompanyName : RealNetworks, Inc. FileDescription : RealNetworks Scheduler InternalName : schedapp LegalCopyright : Copyright © RealNetworks, Inc. 1995-2004 LegalTrademarks : RealAudio(tm) is a trademark of RealNetworks, Inc. OriginalFilename : realsched.exe #:17 [itouch.exe] ModuleName : C:\PROGRA~1\Logitech\iTouch\iTouch.exe Command Line : "C:\PROGRA~1\Logitech\iTouch\iTouch.exe" ProcessID : 1716 ThreadCreationTime : 24.05.2005 21:56:25 BasePriority : Normal FileVersion : 1.50.28 ProductVersion : 1.50 ProductName : iTouch CompanyName : Logitech Inc. FileDescription : iTouch Application InternalName : iTouch LegalCopyright : Copyright © Logitech Inc. 1998-2000. LegalTrademarks : Logitech® and iTouch® are registered trademarks of Logitech Inc. OriginalFilename : iTouch.exe Comments : #:18 [ccapp.exe] ModuleName : C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe Command Line : n/a ProcessID : 1752 ThreadCreationTime : 24.05.2005 21:56:26 BasePriority : Normal FileVersion : 103.0.4.3 ProductVersion : 103.0.4.3 ProductName : Client and Host Security Platform CompanyName : Symantec Corporation FileDescription : Symantec User Session InternalName : ccApp LegalCopyright : Copyright (c) 2000-2004 Symantec Corporation. All rights reserved. OriginalFilename : ccApp.exe #:19 [ctfmon.exe] ModuleName : C:\WINDOWS\System32\ctfmon.exe Command Line : "C:\WINDOWS\System32\ctfmon.exe" ProcessID : 1780 ThreadCreationTime : 24.05.2005 21:56:26 BasePriority : Normal FileVersion : 5.1.2600.1106 (xpsp1.020828-1920) ProductVersion : 5.1.2600.1106 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : CTF Loader InternalName : CTFMON LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : CTFMON.EXE #:20 [wcescomm.exe] ModuleName : C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE Command Line : "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" ProcessID : 1816 ThreadCreationTime : 24.05.2005 21:56:28 BasePriority : Normal FileVersion : 3.7.1.3244 ProductVersion : 3.7.3244 ProductName : Microsoft ActiveSync CompanyName : Microsoft Corporation FileDescription : Connection Manager InternalName : wcescomm LegalCopyright : Copyright © 1995-2003 Microsoft Corp. Alle Rechte vorbehalten. LegalTrademarks : Microsoft® and Windows® are registered trademarks of Microsoft Corporation. OriginalFilename : WCESCOMM.EXE #:21 [spoolsv.exe] ModuleName : C:\WINDOWS\system32\spoolsv.exe Command Line : n/a ProcessID : 1876 ThreadCreationTime : 24.05.2005 21:56:31 BasePriority : Normal FileVersion : 5.1.2600.0 (XPClient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Spooler SubSystem App InternalName : spoolsv.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : spoolsv.exe #:22 [kbdtray.exe] ModuleName : C:\PROGRA~1\Logitech\iTouch\kbdtray.exe Command Line : "C:\PROGRA~1\Logitech\iTouch\kbdtray.exe" ProcessID : 1924 ThreadCreationTime : 24.05.2005 21:56:32 BasePriority : Normal FileVersion : 1.50.28 ProductVersion : 1.50 ProductName : iTouch CompanyName : Logitech Inc. FileDescription : Control Center Language Specific Resource Module InternalName : CCRESRCE LegalCopyright : Copyright © Logitech Inc. 1998-2000. LegalTrademarks : Logitech® and iTouch® are registered trademarks of Logitech Inc. OriginalFilename : CCRESRCE.RC Comments : Created by the MouseWare Team #:23 [quickdcf.exe] ModuleName : C:\Programme\FinePixViewer\QuickDCF.exe Command Line : "C:\Programme\FinePixViewer\QuickDCF.exe" ProcessID : 1944 ThreadCreationTime : 24.05.2005 21:56:32 BasePriority : Normal FileVersion : 4, 0, 0, 0 ProductVersion : 4, 0, 0, 0 ProductName : FinePixViewer CompanyName : FUJI PHOTO FILM CO., LTD. FileDescription : Exif Launcher InternalName : QuickDCF LegalCopyright : Copyright 2000-2003 FUJI PHOTO FILM CO.,LTD. OriginalFilename : QuickDCF.exe #:24 [cisvc.exe] ModuleName : C:\WINDOWS\system32\cisvc.exe Command Line : n/a ProcessID : 292 ThreadCreationTime : 24.05.2005 21:57:05 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Content Index service InternalName : cisvc.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : cisvc.exe #:25 [navapsvc.exe] ModuleName : C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe Command Line : n/a ProcessID : 704 ThreadCreationTime : 24.05.2005 21:57:06 BasePriority : Normal FileVersion : 11.0.9.16 ProductVersion : 11.0.9 ProductName : Norton AntiVirus CompanyName : Symantec Corporation FileDescription : Norton AntiVirus Auto-Protect Service InternalName : NAVAPSVC LegalCopyright : Norton AntiVirus 2005 for Windows 98/ME/2000/XP Copyright © 2004 Symantec Corporation. All rights reserved. OriginalFilename : NAVAPSVC.EXE #:26 [nvsvc32.exe] ModuleName : C:\WINDOWS\System32\nvsvc32.exe Command Line : n/a ProcessID : 244 ThreadCreationTime : 24.05.2005 21:57:06 BasePriority : Normal FileVersion : 6.14.10.6631 ProductVersion : 6.14.10.6631 ProductName : NVIDIA Driver Helper Service, Version 66.31 CompanyName : NVIDIA Corporation FileDescription : NVIDIA Driver Helper Service, Version 66.31 InternalName : NVSVC LegalCopyright : (C) NVIDIA Corporation. All rights reserved. OriginalFilename : nvsvc32.exe #:27 [svchost.exe] ModuleName : C:\WINDOWS\System32\svchost.exe Command Line : n/a ProcessID : 1428 ThreadCreationTime : 24.05.2005 21:57:08 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:28 [symlcsvc.exe] ModuleName : C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe Command Line : n/a ProcessID : 1696 ThreadCreationTime : 24.05.2005 21:57:08 BasePriority : Normal FileVersion : 1, 8, 54, 478 ProductVersion : 1, 8, 54, 478 ProductName : Symantec Core Component CompanyName : Symantec Corporation FileDescription : Symantec Core Component InternalName : symlcsvc LegalCopyright : Copyright (C) 2003 OriginalFilename : symlcsvc.exe #:29 [wuauclt.exe] ModuleName : C:\WINDOWS\System32\wuauclt.exe Command Line : n/a ProcessID : 2216 ThreadCreationTime : 24.05.2005 21:57:16 BasePriority : Normal FileVersion : 5.4.3790.2182 built by: srv03_rtm(ntvbl04) ProductVersion : 5.4.3790.2182 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Automatische Updates InternalName : wuauclt.exe LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : wuauclt.exe #:30 [msmsgs.exe] ModuleName : C:\Programme\Messenger\msmsgs.exe Command Line : "C:\Programme\Messenger\msmsgs.exe" -Embedding ProcessID : 3324 ThreadCreationTime : 24.05.2005 21:59:04 BasePriority : Normal FileVersion : 4.7.2010 ProductVersion : Version 4.7 ProductName : Messenger CompanyName : Microsoft Corporation FileDescription : Messenger InternalName : msmsgs LegalCopyright : Copyright (c) Microsoft Corporation 1997-2003 LegalTrademarks : Microsoft(R) is a registered trademark of Microsoft Corporation in the U.S. and/or other countries. OriginalFilename : msmsgs.exe #:31 [ad-aware.exe] ModuleName : C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Aware.exe Command Line : "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Aware.exe" ProcessID : 376 ThreadCreationTime : 24.05.2005 22:01:08 BasePriority : Normal FileVersion : 6.2.0.208 ProductVersion : VI.Second Edition ProductName : Lavasoft Ad-Aware SE CompanyName : Lavasoft Sweden FileDescription : Ad-Aware SE Core application InternalName : Ad-Aware.exe LegalCopyright : Copyright © Lavasoft Sweden OriginalFilename : Ad-Aware.exe Comments : All Rights Reserved Ergebnis des Arbeitsspeicherscans: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 0 Registrierungsscan gestartet »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ergebnis des Registrierungsscans: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 0 Gründlicher Registrierungsscan gestartet »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ergebnis des gründlichen Registrierungsscans: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 0 MRU List Objekt erkannt! Pfad: : C:\Dokumente und Einstellungen\Antonio\recent Beschreibung : list of recently opened documents MRU List Objekt erkannt! Pfad: : S-1-5-21-73586283-1563985344-854245398-1003\software\ahead\nero wave editor\recent file list Beschreibung : list of recently used files in nero wave editor MRU List Objekt erkannt! Pfad: : S-1-5-21-73586283-1563985344-854245398-1003\software\microsoft\direct3d\mostrecentapplication Beschreibung : most recent application to use microsoft direct3d MRU List Objekt erkannt! Pfad: : software\microsoft\direct3d\mostrecentapplication Beschreibung : most recent application to use microsoft direct3d MRU List Objekt erkannt! Pfad: : S-1-5-21-73586283-1563985344-854245398-1003\software\microsoft\direct3d\mostrecentapplication Beschreibung : most recent application to use microsoft direct X MRU List Objekt erkannt! Pfad: : software\microsoft\direct3d\mostrecentapplication Beschreibung : most recent application to use microsoft direct X MRU List Objekt erkannt! Pfad: : software\microsoft\directdraw\mostrecentapplication Beschreibung : most recent application to use microsoft directdraw MRU List Objekt erkannt! Pfad: : S-1-5-21-73586283-1563985344-854245398-1003\software\microsoft\directinput\mostrecentapplication Beschreibung : most recent application to use microsoft directinput MRU List Objekt erkannt! Pfad: : S-1-5-21-73586283-1563985344-854245398-1003\software\microsoft\directinput\mostrecentapplication Beschreibung : most recent application to use microsoft directinput MRU List Objekt erkannt! Pfad: : S-1-5-21-73586283-1563985344-854245398-1003\software\microsoft\internet explorer Beschreibung : last download directory used in microsoft internet explorer MRU List Objekt erkannt! Pfad: : S-1-5-21-73586283-1563985344-854245398-1003\software\microsoft\internet explorer\main Beschreibung : last save directory used in microsoft internet explorer MRU List Objekt erkannt! Pfad: : S-1-5-21-73586283-1563985344-854245398-1003\software\microsoft\internet explorer\typedurls Beschreibung : list of recently entered addresses in microsoft internet explorer MRU List Objekt erkannt! Pfad: : S-1-5-21-73586283-1563985344-854245398-1003\software\microsoft\office\9.0\excel\recent files Beschreibung : list of recent files used by microsoft excel MRU List Objekt erkannt! Pfad: : S-1-5-21-73586283-1563985344-854245398-1003\software\microsoft\search assistant\acmru Beschreibung : list of recent search terms used with the search assistant MRU List Objekt erkannt! Pfad: : S-1-5-21-73586283-1563985344-854245398-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru Beschreibung : list of recent programs opened MRU List Objekt erkannt! Pfad: : S-1-5-21-73586283-1563985344-854245398-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru Beschreibung : list of recently saved files, stored according to file extension MRU List Objekt erkannt! Pfad: : S-1-5-21-73586283-1563985344-854245398-1003\software\microsoft\windows\currentversion\explorer\recentdocs Beschreibung : list of recent documents opened MRU List Objekt erkannt! Pfad: : S-1-5-21-73586283-1563985344-854245398-1003\software\microsoft\windows\currentversion\explorer\runmru Beschreibung : mru list for items opened in start | run MRU List Objekt erkannt! Pfad: : software\musicmatch\musicmatch jukebox\4.0\fileconv Beschreibung : file conversion location settings in musicmatch jukebox MRU List Objekt erkannt! Pfad: : software\musicmatch\musicmatch jukebox\4.0\mmradio Beschreibung : information on the last station listened to using musicmatch radio MRU List Objekt erkannt! Pfad: : S-1-5-21-73586283-1563985344-854245398-1003\software\nico mak computing\winzip\filemenu Beschreibung : winzip recently used archives MRU List Objekt erkannt! Pfad: : S-1-5-21-73586283-1563985344-854245398-1003\software\realnetworks\realplayer\6.0\preferences Beschreibung : list of recent skins in realplayer MRU List Objekt erkannt! Pfad: : S-1-5-21-73586283-1563985344-854245398-1003\software\realnetworks\realplayer\6.0\preferences Beschreibung : list of recent clips in realplayer MRU List Objekt erkannt! Pfad: : S-1-5-21-73586283-1563985344-854245398-1003\software\realnetworks\realplayer\6.0\preferences Beschreibung : last login time in realplayer MRU List Objekt erkannt! Pfad: : .DEFAULT\software\microsoft\windows media\wmsdk\general Beschreibung : windows media sdk MRU List Objekt erkannt! Pfad: : S-1-5-18\software\microsoft\windows media\wmsdk\general Beschreibung : windows media sdk MRU List Objekt erkannt! Pfad: : S-1-5-21-73586283-1563985344-854245398-1003\software\microsoft\windows media\wmsdk\general Beschreibung : windows media sdk Tracking Cookie-Scan wurde gestartet »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ergebnis des Tracking Cookie-Scans: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 27 Dateien werden gründlich gescannt und überprüft (C »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ergebnis d. Datenträgerscans für C:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 27 Dateien werden gründlich gescannt und überprüft (D »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ergebnis d. Datenträgerscans für D:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 27 Hosts-Datei wird gescannt...... Pfad der Hosts-Datei:"C:\WINDOWS\system32\drivers\etc\hosts". »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Scanergebnis für Hosts-Datei: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» 1 Einträge gescannt. Neue kritische Objekte:0 Bisher gefundene Objekte: 27 Bedingte Scans werden durchgeführt... »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ergebnis des bedingten Scans: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 27 00:14:03 Scan abgeschlossen Scanzusammenfassung »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Scandauer insges.:00:12:40.73 Gescannte Objekte:118197 Identifizierte Objekte:0 Ignorierte Objekte:0 Neue kritische Objekte:0 soll ich das mit den versteckten ordnern jetzt dann wieder rückgängig machen ?? Gruß |
|
|
||
25.05.2005, 09:59
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#12
Hallo@Capone076
#TuneUp2004 (30 Tage free) Cleanup repair -->TuneUp Diskcleaner Cleanup repair -->Registry Cleaner http://virus-protect.org/reinigungstoolsregistry.html Eingeschränktes Benutzerkonto/Administratorrechte unter Windows http://virus-protect.org/administrator.html + mache unbedingt die WindowsUpdates (lade SP2) wenn das alles erledigt ist: bye und alles gute fuer dich + PC und bleibe aufmerksam, denn die exe, die wir nicht zuordnen konnten, koennen sehr gut auch Malware sein. Wenn also was ist--> komme wieder ins Forum (in diesen Thread) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.05.2005, 23:14
...neu hier
Beiträge: 7 |
#13
Hallo nochmal, Sabina !!!
ok hab ich alles gemacht bis auf das mit dem benutzerkonto,is mir zu umständlich mit dem andauernden benutzer wechseln... das mit dem SP2 hab ich auch gemacht ich hoffe das macht keine probs,denn das hatte ich bisher nicht drauf gemacht weils immer geheissen hat das es probs macht.... ok, was soll ich sagen,ohne dich wäre ich aufgeschmissen gewesen ,hast es echt drauf ,hut ab!!! ich bedanke mich nochmal für all deine hilfe und werde euch echt weiter empfehlen.... so ne coole seite gibts nicht so oft im netz... Sabina machs gut und wenn ich wieder probleme haben sollte,dann wirst wieder was von mir hören....... Tschööö |
|
|
||
05.06.2005, 19:02
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#14
his is a report processed by VirusTotal on 06/05/2005 at 18:25:15 (CET) after scanning the file "inst_tsp.exe" file.
Antivirus Version Update Result AntiVir 6.30.0.15 06.05.2005 no virus found AVG 718 06.04.2005 no virus found Avira 6.30.0.15 06.05.2005 no virus found BitDefender 7.0 06.05.2005 no virus found ClamAV devel-20050501 06.05.2005 no virus found DrWeb 4.32b 06.05.2005 no virus found eTrust-Iris 7.1.194.0 06.05.2005 no virus found eTrust-Vet 11.9.1.0 06.03.2005 no virus found Fortinet 2.27.0.0 06.04.2005 suspicious Ikarus 2.32 06.03.2005 Net-Worm.Win32.Shelp.A Kaspersky 4.0.2.24 06.05.2005 no virus found McAfee 4506 06.03.2005 no virus found NOD32v2 1.1129 06.05.2005 no virus found Norman 5.70.10 06.04.2005 no virus found Panda 8.02.00 06.03.2005 no virus found Sybari 7.5.1314 06.05.2005 no virus found Symantec 8.0 06.04.2005 no virus found TheHacker 5.8-3.0 06.04.2005 no virus found VBA32 3.10.3 06.05.2005 no virus found __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Zitat
__________
MfG Sabina
rund um die PC-Sicherheit