Home » Viren, Trojaner & Malware Forum » winlogon.exe infiziert von Trojan.Win32.Agent.ha (KAV) » Themenansicht

winlogon.exe infiziert von Trojan.Win32.Agent.ha (KAV)
#0
22.09.2005, 17:18
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#31 du koenntest noch einmal scannen mit smitrem-Tool
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.09.2005, 20:36
Sunny-pc
Member

Themenstarter

Beiträge: 45
#32 Frage: die Signaturverifikationen erfolgten im Offline-Modus, indem ich sigverif in das betreffende Verzeichnis geleitet habe(im heutigen Fall aus einem W2k-OS). Macht das nen Unterschied- bin nicht davon ausgegangen!??

Mache jetzt gerade den Komplettscan aus der sdat(offline). Er ist prompt fündig geworden(noch nicht beendet):

C:\c.vbs = VBS-Psyme Trojan

@raman
Hätte ich eigentlich den Parameter /an dazunehmen sollen? Was macht der?

@both
UND: wie weiter? Sabina fände ja nochmal nen smitrem-Durchlauf hilfreich, soll ich vor hochfahren des Systems noch was machen? Poste auf alle Fälle mal das Ergebnis des jetzigen Suchlaufs.

And here it is:

McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.
Virus data file v4587 created Sep 21 2005
Scanning for 149626 viruses, trojans and variants.


09/22/2005 20:10:38

Options:
I:\ /ALL /ANALYZE /MANALYZE /MIME /PANALYZE /PROGRAM /RPTCOR /RPTERR /STREAMS /SUB /SECURE /UNZIP /REPORT WINDOWS.REP /TIMEOUT 300

Scanning I: [SYSTEM]
Scanning I:\*.*
I:\c.vbs ... Found the VBS/Psyme trojan !!!
I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp ... file could not be opened.
I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip\SBRECOVERY.REG ... is password-protected.
I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip\SBRECOVERY.INI ... is password-protected.
I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit1.zip\SBRECOVERY.REG ... is password-protected.
I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit1.zip\SBRECOVERY.INI ... is password-protected.
I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit2.zip\SBRECOVERY.REG ... is password-protected.
I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit2.zip\SBRECOVERY.INI ... is password-protected.
I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit3.zip\SBRECOVERY.REG ... is password-protected.
I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit3.zip\SBRECOVERY.INI ... is password-protected.
I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit4.zip\SBRECOVERY.REG ... is password-protected.
I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit4.zip\SBRECOVERY.INI ... is password-protected.
I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MainPean.zip\SBRECOVERY.REG ... is password-protected.
I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MainPean.zip\SBRECOVERY.INI ... is password-protected.
I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WurldMedia.zip\SBRECOVERY.REG ... is password-protected.
I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WurldMedia.zip\SBRECOVERY.INI ... is password-protected.
I:\WINDOWS\system32\WINLOGON.EXE.VIR ... Found the Spy-Agent.n trojan !!!
I:\WINDOWS\system32\WINLOGON.EXE.zip\WINLOGON.EXE.VIR ... Found the Spy-Agent.n trojan !!!

Summary report on I:\*.*
File(s)
Total files: ........... 88241
Clean: ................. 88223
Possibly Infected: ..... 3
Non-critical Error(s): 2

die winlogons sind klar, war Vorbereitung für Versendung an raman
hat die abweichende Bezeichnung eine Bedeutung oder ist das nur der NAI-Name für den gleichen Bösewicht?

jetzt die gefundenen Sachen raus, booten und smitrem?
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Dieser Beitrag wurde am 22.09.2005 um 22:34 Uhr von Sunny-pc editiert.
Seitenanfang Seitenende
22.09.2005, 23:07
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#33 C:\c.vbs loesche das (hat nichts mit der winlogon.exe zu tun)

dann scanne noch mal mit smitrem

Zitat

findest du diese dll auf dem System ?
C:windows/tgbcde/library32.dll

Gehe in die Registry
Start<Ausfuehren <regedit
<suche tgbcde mit der Suchfunktion der Registry

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run<tgbcde

C:\WINDOWS\tgbcde\module32.exe arg1
C:\WINDOWS\tgbcde
C:\windows\tgbcde\library32.dll

•Lade: diese zip.pv
http://downloads.subratam.org/pv.zip
Oeffne--> pv folder -->Doppelklick: runme.bat
dos window oeffnet sich
waehle: option 1 fuer explorer dll's -->enter
Notepad oeffnet sich -->poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.09.2005, 23:50
Sunny-pc
Member

Themenstarter

Beiträge: 45
#34 System ist hochgefahren, smitrem läuft und bemängelt nur eine fehlende wininet.dll (kpl. Post folgt). Nach Beenden von Smitrem ist das Antivir-Symbol verschwunden, die 3 Prozesse laufen aber noch. Ist das ok?

Zitat

C:windows/tgbcde/library32.dll
kein solches Verzeichnis und auf ganz C: keine "library32" bzw. "module32", kein "tgbcde" in der ganzen registry

UND: bisher noch kein einziges aufpoppendes Fenster mit winlogon !!!

smitfiles:

smitRem log file
version 2.4

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Post-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Wininet.dll ~~~

wininet.dll is missing!!

+++Ende smitfiles


ich starte jetzt neu und lade derweil die pv.zip auf nen USB-Stick

es bleibt dabei: keine Beschwerden mehr seitens AntiVir, werde es mal updaten und Komplettscan machen. Trotzdem pv.zip laufen lassen?

Antivir hat sich nach Installation beim anschließenden Komplettscan bei der Datei mswds_ge.lex gehängt.
Nach dem Kaltstart sind jetzt auch die verloren geglaubten Trojanerfenster wieder da. Warum war solange Ruhe? Bei der Installation von Antivir habe ich das Häkchen bei "nur neuere Dateien installieren" rausgemacht.

mache mich jetzt an die pv.zip
;)

PV.zip > Explorer DLLs

Module information for 'Explorer.EXE'
MODULE BASE SIZE PATH
Explorer.EXE 1000000 1044480 C:\WINDOWS\Explorer.EXE 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Windows Explorer
ntdll.dll 7c910000 749568 C:\WINDOWS\system32\ntdll.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) DLL für NT-Layer
kernel32.dll 7c800000 1073152 C:\WINDOWS\system32\kernel32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Client-DLL für Windows NT-Basis-API
msvcrt.dll 77be0000 360448 C:\WINDOWS\system32\msvcrt.dll 7.0.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows NT CRT DLL
ADVAPI32.dll 77da0000 696320 C:\WINDOWS\system32\ADVAPI32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Erweitertes Windows 32 Base-API
RPCRT4.dll 77e50000 593920 C:\WINDOWS\system32\RPCRT4.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Remote Procedure Call Runtime
GDI32.dll 77ef0000 286720 C:\WINDOWS\system32\GDI32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) GDI Client DLL
USER32.dll 77d10000 589824 C:\WINDOWS\system32\USER32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Client-DLL für Windows XP USER-API
SHLWAPI.dll 77f40000 483328 C:\WINDOWS\system32\SHLWAPI.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Shell Light-weight Utility Library
SHELL32.dll 7c9d0000 8511488 C:\WINDOWS\system32\SHELL32.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Allgemeine Windows-Shell-DLL
ole32.dll 774b0000 1294336 C:\WINDOWS\system32\ole32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft OLE für Windows
OLEAUT32.dll 770f0000 573440 C:\WINDOWS\system32\OLEAUT32.dll 5.1.2600.2180
BROWSEUI.dll 75f20000 1032192 C:\WINDOWS\system32\BROWSEUI.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Shell Browser UI-Bibliothek
SHDOCVW.dll 77730000 1490944 C:\WINDOWS\system32\SHDOCVW.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Bibliothek für Shell-Dokumente und -Steuerelemente
CRYPT32.dll 77a50000 610304 C:\WINDOWS\system32\CRYPT32.dll 5.131.2600.2180 (xpsp_sp2_rtm.040803-2158) Krypto-API32
MSASN1.dll 77af0000 73728 C:\WINDOWS\system32\MSASN1.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ASN.1 Runtime APIs
CRYPTUI.dll 76880000 544768 C:\WINDOWS\system32\CRYPTUI.dll 5.131.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Vertrauens-UI-Anbieter
WINTRUST.dll 76bf0000 188416 C:\WINDOWS\system32\WINTRUST.dll 5.131.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Vertrauensverifizierungs-APIs
IMAGEHLP.dll 76c50000 163840 C:\WINDOWS\system32\IMAGEHLP.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows NT Image Helper
NETAPI32.dll 597d0000 344064 C:\WINDOWS\system32\NETAPI32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Net Win32 API DLL
WININET.dll 77180000 684032 C:\WINDOWS\system32\WININET.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Interneterweiterungen für Win32
WLDAP32.dll 76f20000 184320 C:\WINDOWS\system32\WLDAP32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Win32 LDAP-API-DLL
VERSION.dll 77bd0000 32768 C:\WINDOWS\system32\VERSION.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Version Checking and File Installation Libraries
UxTheme.dll 5b0f0000 229376 C:\WINDOWS\system32\UxTheme.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Microsoft UxTheme-Bibliothek
ShimEng.dll 5cf00000 155648 C:\WINDOWS\system32\ShimEng.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Shim Engine DLL
AcGenral.DLL 6fd90000 1875968 C:\WINDOWS\AppPatch\AcGenral.DLL 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows Compatibility DLL
WINMM.dll 76af0000 188416 C:\WINDOWS\system32\WINMM.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) MCI API-DLL
MSACM32.dll 77bb0000 86016 C:\WINDOWS\system32\MSACM32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft ACM-Audiofilter
USERENV.dll 76620000 741376 C:\WINDOWS\system32\USERENV.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Userenv
comctl32.dll 773a0000 1056768 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll 6.0 (xpsp_sp2_rtm.040803-2158) User Experience Controls Library
comctl32.dll 5d450000 618496 C:\WINDOWS\system32\comctl32.dll 5.82 (xpsp_sp2_rtm.040803-2158) Common Controls Library
appHelp.dll 77b10000 139264 C:\WINDOWS\system32\appHelp.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Application Compatibility Client Library
CLBCATQ.DLL 76f90000 520192 C:\WINDOWS\system32\CLBCATQ.DLL 2001.12.4414.258
COMRes.dll 77010000 864256 C:\WINDOWS\system32\COMRes.dll 2001.12.4414.258
cscui.dll 779f0000 352256 C:\WINDOWS\System32\cscui.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Clientseitige Cachebenutzeroberfläche
CSCDLL.dll 765a0000 118784 C:\WINDOWS\System32\CSCDLL.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Offlinenetzwerk-Agent
themeui.dll 5b9b0000 466944 C:\WINDOWS\System32\themeui.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Windows-Design-API
Secur32.dll 77fc0000 69632 C:\WINDOWS\System32\Secur32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Security Support Provider Interface
MSIMG32.dll 76320000 20480 C:\WINDOWS\System32\MSIMG32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) GDIEXT Client DLL
xpsp2res.dll 20000000 2985984 C:\WINDOWS\system32\xpsp2res.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Service Pack 2-Meldungen
ACTXPRXY.DLL 71cc0000 114688 C:\WINDOWS\system32\ACTXPRXY.DLL 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) ActiveX Interface Marshaling Library
msutb.dll 60010000 208896 C:\WINDOWS\System32\msutb.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) MSUTB-Server-DLL
MSCTF.dll 746a0000 307200 C:\WINDOWS\System32\MSCTF.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) MSCTF-Server-DLL
urlmon.dll 77230000 643072 C:\WINDOWS\system32\urlmon.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) OLE32-Erweiterung für Win32
LINKINFO.dll 76930000 32768 C:\WINDOWS\system32\LINKINFO.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows Volume Tracking
ntshrui.dll 76940000 155648 C:\WINDOWS\system32\ntshrui.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Shellerweiterungen für Freigaben
ATL.DLL 76ad0000 69632 C:\WINDOWS\system32\ATL.DLL 3.05.2284 ATL Module for Windows XP (Unicode)
msi.dll 7d1f0000 2826240 C:\WINDOWS\system32\msi.dll 3.0.3790.2180 Windows Installer
MPR.dll 71a80000 73728 C:\WINDOWS\system32\MPR.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Router-DLL für Mehrfachanbieter
drprov.dll 75f00000 28672 C:\WINDOWS\System32\drprov.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Terminal Server Network Provider
ntlanman.dll 71b90000 57344 C:\WINDOWS\System32\ntlanman.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft(R) LAN-Manager
NETUI0.dll 71c50000 94208 C:\WINDOWS\System32\NETUI0.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) NT-LM-Benutzerschnittstellen-Standardcode - GUI-Klassen
NETUI1.dll 71c10000 262144 C:\WINDOWS\System32\NETUI1.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) NT LM UI Common Code - Networking classes
NETRAP.dll 71c00000 28672 C:\WINDOWS\System32\NETRAP.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Net Remote Admin Protocol DLL
SAMLIB.dll 71b70000 77824 C:\WINDOWS\System32\SAMLIB.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) SAM Library DLL
davclnt.dll 75f10000 36864 C:\WINDOWS\System32\davclnt.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Client-DLL für Web DAV
WINSTA.dll 76300000 65536 C:\WINDOWS\system32\WINSTA.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Winstation Library
webcheck.dll 74ab0000 294912 C:\WINDOWS\System32\webcheck.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Websiteüberwachung
WSOCK32.dll 71a30000 40960 C:\WINDOWS\System32\WSOCK32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows Socket-32-Bit-DLL
WS2_32.dll 71a10000 94208 C:\WINDOWS\System32\WS2_32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows Socket 2.0 32-Bit DLL
WS2HELP.dll 71a00000 32768 C:\WINDOWS\System32\WS2HELP.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows Socket 2.0 Helper für Windows NT
stobject.dll 765c0000 135168 C:\WINDOWS\System32\stobject.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Systray-Shell-Serviceobjekt
BatMeter.dll 74a70000 40960 C:\WINDOWS\System32\BatMeter.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Batteriemesshilfs-DLL
POWRPROF.dll 74a50000 32768 C:\WINDOWS\System32\POWRPROF.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Power Profile Helper DLL
SETUPAPI.dll 778f0000 999424 C:\WINDOWS\System32\SETUPAPI.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows Setup-API
WTSAPI32.dll 76f10000 32768 C:\WINDOWS\System32\WTSAPI32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows Terminal Server SDK APIs
NETSHELL.dll 763a0000 1748992 C:\WINDOWS\system32\NETSHELL.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Shell für Netzwerkverbindungen
rtutils.dll 76e40000 57344 C:\WINDOWS\system32\rtutils.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Routing Utilities
credui.dll 76bc0000 192512 C:\WINDOWS\system32\credui.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Benutzerschnittstelle für Anmeldeinformationsverwaltung
iphlpapi.dll 76d20000 102400 C:\WINDOWS\system32\iphlpapi.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) IP-Hilfs-API
fxsst.dll 692a0000 577536 C:\WINDOWS\system32\fxsst.dll 5.2.2600.2180 (xpsp_sp2_rtm.040803-2158) Faxdienst
WINSPOOL.DRV 72f70000 155648 C:\WINDOWS\system32\WINSPOOL.DRV 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows-Spoolertreiber
FXSAPI.dll 60220000 466944 C:\WINDOWS\system32\FXSAPI.dll 5.2.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Fax API Support DLL
NTMARTA.DLL 77660000 135168 C:\WINDOWS\system32\NTMARTA.DLL 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows NT MARTA-Anbieter
rsaenh.dll ffd0000 163840 C:\WINDOWS\system32\rsaenh.dll 5.1.2600.2161 (xpsp.040706-1629) Microsoft Enhanced Cryptographic Provider
rarext.dll ad0000 176128 C:\Programme\WinRAR\rarext.dll
CVersion.dll 3a400000 110592 C:\COREL\Versions\CVersion.dll 8.429 Corel Versions
VERS232.dll 10000000 147456 C:\COREL\Versions\VERS232.dll
IMPLODE.DLL b00000 40960 C:\COREL\Versions\IMPLODE.DLL
comdlg32.dll 76350000 303104 C:\WINDOWS\system32\comdlg32.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) DLL für gemeinsame Dialoge
AVShlExt.DLL e70000 40960 C:\Programme\AVPersonal\AVShlExt.DLL 6.30.00.01 Avshlext
browselc.dll 11e0000 77824 C:\WINDOWS\system32\browselc.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Shell Browser UI-Bbibliothek
SDHelper.dll 20d0000 765952 C:\Programme\Spybot - Search & Destroy\SDHelper.dll 1, 3, 0, 12 Bad download blocker
olepro32.dll 5f1a0000 94208 C:\WINDOWS\system32\olepro32.dll 5.1.2600.2180
MLANG.dll 75dc0000 593920 C:\WINDOWS\system32\MLANG.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Multi Language Support DLL
MSGINA.dll 75910000 1019904 C:\WINDOWS\system32\MSGINA.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows-Anmeldungs-GINA-DLL
ODBC32.dll 745d0000 249856 C:\WINDOWS\system32\ODBC32.dll 3.525.1117.0 (xpsp_sp2_rtm.040803-2158) Microsoft Data Access - ODBC Driver Manager
odbcint.dll 13c0000 102400 C:\WINDOWS\system32\odbcint.dll 3.525.1117.0 built by: (_sqlbld) Microsoft Data Access - ODBC Ressourcen
shdoclc.dll 23b0000 581632 C:\WINDOWS\system32\shdoclc.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Bibliothek für Shell-Dokumente und -Steuerelemente
sti.dll 73b10000 81920 C:\WINDOWS\System32\sti.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Digitalbildgeräte-Client-DLL
CFGMGR32.dll 74a60000 28672 C:\WINDOWS\System32\CFGMGR32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Configuration Manager Forwarder DLL
CTJBNS.DLL 2640000 622592 C:\Programme\Creative\Creative Zen Touch\NOMAD Explorer\CTJBNS.DLL 3.1.4.0 Creative Jukebox Explorer Plugin
JBNSHK.dll 2440000 57344 C:\Programme\Creative\Creative Zen Touch\NOMAD Explorer\JBNSHK.dll 1.0.3.0 Creative Jukebox Explorer Plugin Helper
CTIntrfc.dll 26e0000 69632 C:\Programme\Creative\Creative Zen Touch\NOMAD Explorer\CTIntrfc.dll 1.2.0.0 CTIntrfc
JBNSRES.DLL 2710000 274432 C:\Programme\Creative\Creative Zen Touch\NOMAD Explorer\JBNSRES.DLL 3.1.1.0 Creative Jukebox Explorer Plugin Resource
2710000 274432
2710000 274432
2710000 274432
2710000 274432
2710000 274432
2710000 274432
+++Ende PV.zip


und nu? verwende momentan Taskinfo(iarsn.com) um zusätzliche Infos bei laufendem System zu erhalten(etwa Pfad laufender Prozesse). Da sind auch sehr tiefgreifende Infos abrufbar. Hilft das? Oder eins der Zugrifftools von z.B. sysinternals?
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Dieser Beitrag wurde am 23.09.2005 um 00:34 Uhr von Sunny-pc editiert.
Seitenanfang Seitenende
23.09.2005, 00:57
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#35 schau mal, wohin die winlogon.exe eine Verbindung herstellt und welche Dateien damit in Verbindung stehen.(also ueberpruefen, ob es die winlogon allein ist oder ob noch andere Prozesse damit in Verbindung stehen...dll oder anderes.

Zitat

Pfad laufender Prozesse
und poste noch mal die 4 Logs von der datfindbat, bitte

und:WinPfind
http://virus-protect.org/winpfind.html

und: C:\WINDOWS\SYSTEM32\DRIVERS\ETC
ist die Hostdatei, poste uns, was du dort findest ;)

--------------------------------------------------------
schau, ob du die alle findest, dann rechtsklick--> Groesse und Erstellungsdatum posten

Zitat

C:\I386\WINLOGON.EXE
C:\Windows\$NTServicePackUninstall$\winlogon.exe
C:\Windows\ServicePackFiles\I386\winlogon.exe
C:\Windows\Sytem32\winlogon.exe -->36 bytes
C:\Windows\System32\DLLCACHE\winlogon.exe --> 495.50 KB
C:\WINDOWS\system32\dllcache\winlogon.exe 21.09.2005 18:23 495.50 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\system32\winlogon.exe:KAVICHS 21.09.2005 18:46 36 bytes Hidden from Windows API.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.09.2005, 10:02
Sunny-pc
Member

Themenstarter

Beiträge: 45
#36 erstmal datfind.bat offline:

Datentr„ger in Laufwerk H: ist SYSTEM
Datentr„gernummer: 249F-069A

Verzeichnis von H:\WINDOWS\system32

23.09.2005 00:15 313.082 perfh009.dat
23.09.2005 00:15 40.800 perfc009.dat
23.09.2005 00:15 318.436 perfh007.dat
23.09.2005 00:15 49.226 perfc007.dat
23.09.2005 00:15 728.442 PerfStringBackup.INI
23.09.2005 00:10 507.392 winlogon.exe
21.09.2005 16:11 173.703 strings.zip
18.09.2005 22:13 2.206 wpa.dbl
17.09.2005 17:58 662.016 wininet_alt.dll
17.09.2005 03:42 23.977 ffastlog.txt
08.08.2005 18:42 392.776 FNTCACHE.DAT
26.01.2005 21:29 121.080 MSForms.TWD
20.01.2005 13:47 175.616 strings.exe
13.01.2005 21:41 126.976 zip.exe
13.01.2005 21:41 39.184 Ntrights.exe
13.01.2005 21:41 11.254 locate.com
13.01.2005 21:41 90.112 RegDACL.exe
13.01.2005 21:41 24.576 Reboot.exe
12.01.2005 00:45 3.243 jupdate-1.4.2_06-b03.log
12.11.2004 12:49 1.035 vsconfig.xml
......
2097 Datei(en) 353.458.006 Bytes
0 Verzeichnis(se), 4.931.223.552 Bytes frei

Datentr„ger in Laufwerk H: ist SYSTEM
Datentr„gernummer: 249F-069A

Verzeichnis von H:\DOKUME~1\SENSOL~1\LOKALE~1\Temp

23.09.2005 00:02 22.465 AVTMP$$$.LOG
22.09.2005 16:26 4.225.024 ANTIVIR.VDF
22.09.2005 16:00 1.372.200 AVREP.DLL
21.09.2005 10:35 109 BUILD.DAT
20.09.2005 14:16 110.632 AVSCHED32.EXE
20.09.2005 12:50 832.000 AVEWIN32.DLL
20.09.2005 12:50 151.552 AVNT.EXE
16.09.2005 12:55 618.603 AVWIN.EXE
16.09.2005 12:55 45.096 _VWUPSRV.EXE
16.09.2005 12:55 45.096 AVWUPSRV.EXE
07.09.2005 16:34 207.912 AVGUARD.EXE
07.09.2005 16:34 41.000 AVREG.DLL
07.09.2005 09:08 327.720 AVPACK32.DLL
29.08.2005 09:24 77.864 AVNOTIFY.EXE
16.08.2005 16:45 254.011 INETUPD.EXE
16.08.2005 16:45 159.744 INETUPD.DLL
16.08.2005 10:22 528.424 AVWIN.DLL
03.08.2005 17:04 537.459 AVWIN.HLP
29.07.2005 10:19 1.713.784 VIRINFO.HLP
29.07.2005 10:19 4.630 README.TXT
29.07.2005 10:19 1.024 HBEDV.KEY
29.07.2005 10:19 51.930 FAQPE_DE.HTM
29.07.2005 10:19 258.165 AVGCMSG.DLL
29.07.2005 10:19 168.039 AVGNT.EXE
29.07.2005 10:19 34.565 AVSCHED32.HLP
29.07.2005 10:19 996.518 AVGNT.HLP
29.07.2005 10:19 41.000 AVPREF.DLL
12.07.2005 14:52 36.904 SMTPLIB.DLL
29.04.2005 08:06 32.896 AVGNTDW.SYS
29.04.2005 08:06 98.344 GUARDMSG.DLL
15.02.2005 10:08 2.424 AVWIN.CNT
14.02.2005 09:34 9.826 EULA.TXT
14.02.2005 09:34 9.736 LIZENZ.WRI
01.02.2005 11:23 69.632 GUARDGUI.EXE
01.02.2005 11:23 122.880 AVSCHED32.DLL
28.01.2005 18:10 73.848 DELUS.EXE
28.01.2005 18:10 24.576 REBOOT.DLL
28.01.2005 18:10 20.480 REBOOT.EXE
28.01.2005 18:10 172.072 AVUNINST.EXE
28.01.2005 18:10 61.440 AVUNINST.DLL
28.01.2005 18:10 40.960 AVSHLEXT.DLL
28.01.2005 18:10 24.576 AVNTDLL.DLL
28.01.2005 18:10 24.576 AVGETVER.DLL
30.09.2004 09:10 31 DISPLAY.WIN
30.09.2004 09:10 30.720 FFJMPWEB.DLL
30.09.2004 09:10 31 DISPLAY.SPW
30.09.2004 09:10 24.616 GUARDEVT.DLL
06.07.2004 08:36 76.288 UNACEV2.DLL
48 Datei(en) 13.783.422 Bytes
0 Verzeichnis(se), 4.931.244.032 Bytes frei
das meiste ist von der Antivir-Installation

Datentr„ger in Laufwerk H: ist SYSTEM
Datentr„gernummer: 249F-069A

Verzeichnis von H:\

23.09.2005 09:44 0 sys.txt
23.09.2005 09:44 5.057 system.txt
23.09.2005 09:44 2.723 systemtemp.txt
23.09.2005 09:43 108.655 system32.txt
23.09.2005 09:43 363 datFind_absolut_h.bat
23.09.2005 00:10 267.964.416 hiberfil.sys
23.09.2005 00:10 402.653.184 pagefile.sys
22.09.2005 23:32 710 smitfiles_v2.txt
21.09.2005 11:39 363 datFind_absolut_i.bat
21.09.2005 09:45 429 datFind.bat
13.09.2005 12:37 519 hpfr3420.xml
20.08.2005 23:51 149.614 sensowater h2o blubber.eps
09.11.2004 17:36 3.721 Benutzersensolifechef.JPG
09.11.2004 17:34 211 boot.ini
09.11.2004 17:20 47.564 NTDETECT.COM
09.11.2004 17:20 251.184 ntldr
08.11.2004 23:05 0 MSDOS.SYS
08.11.2004 23:05 0 CONFIG.SYS
08.11.2004 23:05 0 AUTOEXEC.BAT
08.11.2004 23:05 0 IO.SYS
18.08.2001 14:00 4.952 bootfont.bin
21 Datei(en) 671.193.665 Bytes
0 Verzeichnis(se), 4.931.231.744 Bytes frei

Datentr„ger in Laufwerk H: ist SYSTEM
Datentr„gernummer: 249F-069A

Verzeichnis von H:\WINDOWS

23.09.2005 00:54 2.048 bootstat.dat
23.09.2005 00:54 3.044 SchedLgU.Txt
23.09.2005 00:54 50 wiaservc.log
23.09.2005 00:54 216 wiadebug.log
23.09.2005 00:54 2.176 WindowsUpdate.log
23.09.2005 00:11 0 0.log
22.09.2005 23:32 240 setupact.log
22.09.2005 00:55 1.998 SIGVERIF_kurz.TXT
22.09.2005 00:46 743.900 SIGVERIF.TXT
22.09.2005 00:40 35.838 setupapi.log
21.09.2005 18:53 0 setuperr.log
20.09.2005 16:49 356.352 eSellerateEngine.dll
20.09.2005 13:24 231 system.ini
20.09.2005 11:51 0 Sti_Trace.log
17.09.2005 04:07 192 winamp.ini
11.09.2005 21:52 606 WISO.INI
26.08.2005 00:58 49 NeroDigital.ini
23.08.2005 11:12 30 TDF.DII
23.08.2005 11:12 3.067 tm.ini
09.08.2005 00:37 827 win.ini
24.07.2005 12:10 8.192 sensolife.pcb
17.07.2005 12:16 1.917 imsins.BAK
01.07.2005 21:30 487 Capictrl.INI
01.07.2005 18:03 20.454 hpoins01.dat.temp
01.07.2005 18:03 20.454 hpoins01.dat
29.03.2005 09:31 26 HNetCtrl.INI
19.03.2005 16:15 1.793 P2kRotate.ini
09.03.2005 00:40 139 asym.ini
10.01.2005 22:04 15.348 sensolife.acl
29.12.2004 23:03 250 BUHL.INI
.....
92 Datei(en) 6.126.341 Bytes
0 Verzeichnis(se), 4.931.174.400 Bytes frei

+++Ende datfind.bat


Zitat

und: C:\WINDOWS\SYSTEM32\DRIVERS\ETC
ist die Hostdatei, poste uns, was du dort findest
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
127.0.0.1 localhost
+++Ende hosts
also auch nichts

jetzt schicke ich erst raman die aus dem Image extrahierte c.vbs, dann mach ich mit winpfind weiter

@Sabina

Zitat

schau, ob du die alle findest, dann rechtsklick--> Groesse und Erstellungsdatum posten
von welchen Dateien brauchst du diese Angaben? offline, online oder egal?
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Dieser Beitrag wurde am 23.09.2005 um 10:37 Uhr von Sunny-pc editiert.
Seitenanfang Seitenende
23.09.2005, 10:54
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#37

Zitat

von welchen Dateien brauchst du diese Angaben? offline, online oder egal?
von diesen Daten (schau, ob es eine Differenz zwischen Off-und Online gibt, aber ich denke nein.

C:\I386\WINLOGON.EXE
C:\Windows\$NTServicePackUninstall$\winlogon.exe
C:\Windows\ServicePackFiles\I386\winlogon.exe
C:\Windows\Sytem32\winlogon.exe -->36 bytes??? 507.392???
C:\Windows\System32\DLLCACHE\winlogon.exe --> 495.50 KB ??? 507.392 ???

----------------------------------------------------------------------------

ADS Spy:
A small tool to list, view or delete Alternate Data Streams (ADS) on Windows 2000/XP with NTFS file systems. ADS is a way of storing meta-information for files without actually storing the information in the file it belongs to, carried over from early MacOS compatibility from Windows NT4. Recently browser hijackers began using this technique to store hidden information on the system, and even store trojan executable files in ADS streams of random files on the system. Use with caution. Currently at version: 1.09

http://www.spywareinfo.com/~merijn/downloads.html
http://bilder.informationsarchiv.net/Nikitas_Tools/ADSSpy.exe

----------------------------------------------------------------------------
oeffne die
system.ini
win.ini
tm.ini

und poste, was du dort findest

...................
Info, (hat nichts mit der winlogon zu tun....)
20.09.2005 16:49 356.352 eSellerateEngine.dll
http://securityresponse.symantec.com/avcenter/venc/data/spyware.ultrakeyboard.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.09.2005, 11:20
Sunny-pc
Member

Themenstarter

Beiträge: 45
#38 erstmal WinPFind:

WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
PEC2 18.08.2001 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
UPX! 13.01.2005 21:41:48 11254 C:\WINDOWS\SYSTEM32\locate.com
aspack 04.08.2004 01:57:10 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
Umonitor 04.08.2004 01:57:34 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
UPX! 20.01.2005 13:47:50 175616 C:\WINDOWS\SYSTEM32\strings.exe
winsync 18.08.2001 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...
PTech 03.08.2004 23:41:38 1309184 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
23.09.2005 10:44:12 S 2048 C:\WINDOWS\bootstat.dat
17.09.2005 03:42:54 H 23977 C:\WINDOWS\system32\ffastlog.txt
23.09.2005 10:44:56 H 1024 C:\WINDOWS\system32\config\default.LOG
23.09.2005 10:44:16 H 1024 C:\WINDOWS\system32\config\SAM.LOG
23.09.2005 10:54:26 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
23.09.2005 10:56:18 H 1024 C:\WINDOWS\system32\config\software.LOG
23.09.2005 10:49:02 H 1024 C:\WINDOWS\system32\config\system.LOG
08.08.2005 10:14:26 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\bcaf7a0b-9a55-4cb4-bacb-2d9d1621a64f
08.08.2005 10:14:26 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred
23.09.2005 10:44:18 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 04.08.2004 01:58:24 70656 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 04.08.2004 01:58:24 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 04.08.2004 01:58:24 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl
Microsoft Corporation 04.08.2004 01:58:24 138240 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 14.12.1996 01:00:00 22528 C:\WINDOWS\SYSTEM32\FINDFAST.CPL
Microsoft Corporation 04.08.2004 01:58:24 80384 C:\WINDOWS\SYSTEM32\firewall.cpl
Microsoft Corporation 04.08.2004 01:58:24 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Ahead Software AG 23.12.2003 16:40:52 57344 C:\WINDOWS\SYSTEM32\ImageDrive.cpl
Microsoft Corporation 04.08.2004 01:58:24 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 04.08.2004 01:58:24 133120 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 04.08.2004 01:58:24 381440 C:\WINDOWS\SYSTEM32\irprops.cpl
Microsoft Corporation 04.08.2004 01:58:24 69632 C:\WINDOWS\SYSTEM32\joy.cpl
Microsoft Corporation 18.08.2001 14:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 14.12.1996 01:00:00 47520 C:\WINDOWS\SYSTEM32\MLCFG32.CPL
Microsoft Corporation 04.08.2004 01:58:24 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 18.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 04.08.2004 01:58:24 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl
Microsoft Corporation 04.08.2004 01:58:24 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 18.08.2001 14:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl
Microsoft Corporation 04.08.2004 01:58:24 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 04.08.2004 01:58:24 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl
Microsoft Corporation 04.08.2004 01:58:24 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 18.08.2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 04.08.2004 01:58:24 94208 C:\WINDOWS\SYSTEM32\timedate.cpl
Corel Corporation 18.05.1998 19:08:00 19456 C:\WINDOWS\SYSTEM32\verscpl.cpl
Microsoft Corporation 04.08.2004 01:58:24 148480 C:\WINDOWS\SYSTEM32\wscui.cpl
Microsoft Corporation 04.08.2004 01:58:24 162816 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 18.08.2001 14:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 18.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 18.08.2001 14:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 18.08.2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
08.11.2004 23:05:28 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

Checking files in %ALLUSERSPROFILE%\Application Data folder...
08.11.2004 22:32:42 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini
01.07.2005 18:07:18 1337 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log

Checking files in %USERPROFILE%\Startup folder...
08.11.2004 23:05:28 HS 84 C:\Dokumente und Einstellungen\sensolife\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
20.07.2005 14:03:56 1552 C:\Dokumente und Einstellungen\sensolife\Anwendungsdaten\AdobeDLM.log
08.11.2004 22:32:42 HS 62 C:\Dokumente und Einstellungen\sensolife\Anwendungsdaten\desktop.ini
20.07.2005 14:03:56 0 C:\Dokumente und Einstellungen\sensolife\Anwendungsdaten\dm.ini

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
SV1 =
Arcor 5.004 = IEAK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
{B63FCD5A-2396-11D1-B762-00A0C90646A4} = C:\Corel\Graphics8\programs\CMFFnd80.dll

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\VersionsMenu
{03170921-4754-11cf-AB9A-00C0F00683EB} = C:\COREL\Versions\CVersion.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\VersionsMenu
{03170921-4754-11cf-AB9A-00C0F00683EB} = C:\COREL\Versions\CVersion.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\FolderToCorelMediaFolder
{0FBF99C1-4127-11D1-B1E6-C17E96D9180A} = C:\Corel\Graphics8\programs\CMFFld80.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}
= C:\Programme\Spybot - Search & Destroy\SDHelper.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{30D02401-6A81-11D0-8274-00C04FD5AE38}
Search Band = %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
File Search Explorer Band = %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}
History Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe
HPDJ Taskbar Utility C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
AVGCtrl "C:\Programme\AVPersonal\AVGNT.EXE" /min
Arcor Online

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE C:\WINDOWS\system32\ctfmon.exe
Arcor Online

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1
DisableTaskMgr 0


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop
NoChangingWallPaper 0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145
NoActiveDesktop 0
NoSaveSettings 0
ClassicShell 0
NoThemesTab 0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
DisableTaskMgr 0
NoColorChoice 0
NoSizeChoice 0
NoDispScrSavPage 0
NoDispCPL 0
NoVisualStyleChoice 0
NoDispSettingsPage 0
NoDispAppearancePage 0
NoDispBackgroundPage 0


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 23.09.2005 10:56:58
+++Ende WinPFind


dann win.ini:

; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
MAPIX=1
OLEMessaging=1
CMC=1
CMCDLLNAME=mapi.dll
CMCDLLNAME32=mapi32.dll
MAPIXVER=1.0.0.1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo2
asx=MPEGVideo2
au=MPEGVideo
ivf=MPEGVideo2
m1v=MPEGVideo
m3u=MPEGVideo2
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo2
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo2
wm=MPEGVideo2
wma=MPEGVideo2
wmp=MPEGVideo2
wmv=MPEGVideo2
wmx=MPEGVideo2
wvx=MPEGVideo2
wpl=MPEGVideo
[EMusicClient]
dateInstalled=1100016453
datePitchPageLastShown=1099498053
[TfD]
AutoStart=1
[Readiris]
Scanner32=Twaino38,22
[IRIS_IPE]
menu=2
[DPE]
Toolbar=1
SN75=43011702
[spooler]
rd_cd=D5DBD730
+++Ende win.ini


jetzt system.ini

; for 16-bit app support

[drivers]
wave=mmdrv.dll
timer=timer.drv

[mci]
[driver32]
[386enh]
woafont=app850.FON
EGA80WOA.FON=EGA80850.FON
EGA40WOA.FON=EGA40850.FON
CGA80WOA.FON=CGA80850.FON
CGA40WOA.FON=CGA40850.FON

+++Ende system.ini


zuletzt tm.ini

[NET]
UserName=
[TMINTERN]
SAVETESTMERKER=000000000
HASHANMST=915Z1YBLSKUTRTNLFDAZBH46JA4V49QW
SAVEERKLAERUNGFILENAME=STADUEV.TMP.cry
SAVEEDSV=V000492 UVEDS-V 1 els 00233xxxxxxxxxxx yyyyyyyyyy zzzzzzzzzzzzz WISO Sparbuch 2004/2005, R&S, Hannover 12.06.5247000000000 jo
SAVELANDNUMMER=92
SAVESTADUEVFILENAME=C:\PROGRAMME\WISO\SPARBUCH 2005\STADUEV.TMP
Ordnungsbegriff=9244HTBK33BXS
[PRINT]
PrintDialog=0
Copies=1
PRINTERNAME=
[LAST-PRINTERSETTINGS]
PRINTER-NAME=HP LaserJet 4
PRINTER-SORT=1
PRINTER-COPIES=1
+++Ende tm.ini

Achtung: da war Name und Adresse drin, habs durch xx,yy und zz ersetzt

Jetzt die Erstelldaten der Dateien, dann ADSspy
(ich muß mich selbst ein wenig sortieren, sonst komme ich mit den Anfragen durcheinander) ;)

diese Dateiangaben erstmal aus offline-Modus

Zitat

C:\I386\WINLOGON.EXE
dieses Verzeichnis existiert nicht!?!

Zitat

C:\Windows\$NTServicePackUninstall$\winlogon.exe
dieses ebenfalls nicht, hab ich glaub ich selbst gelöscht. Wenn wichtig - bitte Bescheid, dann mounte ich im anderen OS nochmal das Image und schau dort nach

Zitat

C:\Windows\ServicePackFiles\I386\winlogon.exe
Größe: 507.392 Bytes
Größe auf Datenträger: 507.904 Bytes
Erstellt: 9.Nov.2004 17:28
Geändert: 4.Aug.2004 00:58
Letzter Zugriff: 23.Sep.2005 11:51

Zitat

C:\Windows\Sytem32\winlogon.exe -->36 bytes??? 507.392???
ist grad wieder infiziert, kein Logo hinterlegt, es gibt auch keine Registerkarten wie "Version" in den Eigenschaften!
Größe: 507.392 Bytes
Größe auf Datenträger: 507.904 Bytes
Erstellt: 22. September 2005, 23:19:52
Geändert: 23. September 2005, 00:10:37
Letzter Zugriff: 23. September 2005, 12:06:27

Zitat

C:\Windows\System32\DLLCACHE\winlogon.exe --> 495.50 KB ??? 507.392 ???
Größe: 507.392 Bytes
Größe auf Datenträger: 372.736 Bytes
Erstellt: 22. September 2005, 23:20:23
Geändert: 22. September 2005, 23:29:25
Letzter Zugriff: 23. September 2005, 12:12:07
+++Ende Dateiangaben

jetzt n Butterbrot, dann ADspy ;)
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Dieser Beitrag wurde am 23.09.2005 um 12:19 Uhr von Sunny-pc editiert.
Seitenanfang Seitenende
23.09.2005, 12:55
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#39 kopiere diese winlogon

C:\Windows\ServicePackFiles\I386\winlogon.exe
Größe: 507.392 Bytes
Größe auf Datenträger: 507.904 Bytes
Erstellt: 9.Nov.2004 17:28
Geändert: 4.Aug.2004 00:58
Letzter Zugriff: 23.Sep.2005 11:51

in:
C:\Windows\Sytem32\winlogon.exe
C:\Windows\System32\DLLCACHE\winlogon.exe

benenne die alten um in old , starte das System neu und berichte, ob sie wieder infiziert werden
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.09.2005, 13:23
Sunny-pc
Member

Themenstarter

Beiträge: 45
#40 habe die winlogon schon mehrfach mal gegen die aus den servicepackfiles ausgetauscht.
Auch offline gegen die vom sauberen Rechner(identisches Betriebssystem, allerdings auch mit allen Updates nach SP2) wurden alle 3 schon getauscht, zuletzt gestern.
Mir fällt da spontan wieder der lange Zeitraum ein, wo gar keine Fenster mehr aufpoppten(s. weiter oben im thread), muß mal sehen, was ich da davor außer c.vbs löschen gemacht hab...

trotzdem mach ich das mal jetzt, Platte hängt eh grad extern dran.
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Seitenanfang Seitenende
23.09.2005, 13:46
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#41 noch was:

wenn du im Windows Explorer in den Windows-Ordner schaust, dann findest du darin die Ordner Downloaded Program Files und Downloaded Installations.
Programmdatei: Status: Gesamtgröße: Erstellungsdatum:

Zitat

Beispiel:
{33564D57-9980... Unbekannt 4KB Keine
ActiveScan Instal... Installiert 132KB Uhrzeit
....

poste, falls du was findest, was du nicht zuordnen kannst

ADS Spy:
A small tool to list, view or delete Alternate Data Streams (ADS) on Windows 2000/XP with NTFS file systems. ADS is a way of storing meta-information for files without actually storing the information in the file it belongs to, carried over from early MacOS compatibility from Windows NT4. Recently browser hijackers began using this technique to store hidden information on the system, and even store trojan executable files in ADS streams of random files on the system. Use with caution. Currently at version: 1.09

http://www.spywareinfo.com/~merijn/downloads.html
http://bilder.informationsarchiv.net/Nikitas_Tools/ADSSpy.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.09.2005, 15:06
Sunny-pc
Member

Themenstarter

Beiträge: 45
#42

Zitat

Der Rechner muss hammermaessig infiziert gewesen sein, und das schon um einiges laenger. Ich hoffe du setzt den Rechner neu auf, trotz unserer "Spielchen" und egal, ob wir die infizierungsquelle finden koennen, oder niht.
tja, Raman, da gebe ich dir zähneknirschend recht, obwohl diese Aktion dazu gedacht war, mir genau dies zu ersparen. ;)

Werde wohl am WE irgend ne andere Platte dranhängen und neu installieren. Mist.
Falls wir noch bisschen rumspielen wollen an dem Ding, können wir das tun(ein Ergebnis von Bemühungen ist immer wünschenswert). Ich erhalte ja dann noch für nen Moment die Platte mit der jetzigen Installation.

@Sabina
habe das pv-Ding grad am laufen, welche Kästchen soll man da anhaken und wie krieg ich die Info ins board?
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Seitenanfang Seitenende
23.09.2005, 16:31
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#43 kein pv...das hab ich schon:

ich will das:

ADS Spy:
A small tool to list, view or delete Alternate Data Streams (ADS) on Windows 2000/XP with NTFS file systems. ADS is a way of storing meta-information for files without actually storing the information in the file it belongs to, carried over from early MacOS compatibility from Windows NT4. Recently browser hijackers began using this technique to store hidden information on the system, and even store trojan executable files in ADS streams of random files on the system. Use with caution. Currently at version: 1.09

http://www.spywareinfo.com/~merijn/downloads.html
http://bilder.informationsarchiv.net/Nikitas_Tools/ADSSpy.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.09.2005, 20:05
Sunny-pc
Member

Themenstarter

Beiträge: 45
#44 ja, sorry hab mich vertan. Ich meinte auch den ADS spy.
Da gibts die Möglichkeit mit Optionen zu spielen, wollte nur wissen, ob Standardeinstellungen passen.
Außerdem war mir auf den ersten Blick unklar, wo der ne eventuelle Logdatei hinschreibt. Werde das Tool gleich nochmal starten, vielleicht hab ich ja was übersehen ;)

...tja, das sieht alles schön aus, aber: wie krieg ich jetzt das Angezeigte(im ADSspy Fenster) ins Board?


Downloaded...

I:\WINDOWS\Downloaded Installations\{574598EF-8D3C-45D3-85AE-E15F91F27985}Adobe Photoshop Album 2.0 Starter Edition.msi
Sieht in Ordnung aus, ebenso:
I:\WINDOWS\Downloaded Program Files\Java Runtime Environment 1.5.0
letzteres steht 3mal da, stimmt mit sauberen Systemen überein
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Dieser Beitrag wurde am 23.09.2005 um 23:16 Uhr von Sunny-pc editiert.
Seitenanfang Seitenende
24.09.2005, 00:21
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#45 ADS spy.

da gibt es eine Moeglichkeit, den Scanreport abzukopieren, denn ich habe schon welche von anderen Usern erhalten.....
So kann ich die Streams sehen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: