winlogon.exe infiziert von Trojan.Win32.Agent.ha (KAV) |
||
---|---|---|
#0
| ||
22.09.2005, 17:18
Ehrenmitglied
Beiträge: 29434 |
||
|
||
22.09.2005, 20:36
Member
Themenstarter Beiträge: 45 |
#32
Frage: die Signaturverifikationen erfolgten im Offline-Modus, indem ich sigverif in das betreffende Verzeichnis geleitet habe(im heutigen Fall aus einem W2k-OS). Macht das nen Unterschied- bin nicht davon ausgegangen!??
Mache jetzt gerade den Komplettscan aus der sdat(offline). Er ist prompt fündig geworden(noch nicht beendet): C:\c.vbs = VBS-Psyme Trojan @raman Hätte ich eigentlich den Parameter /an dazunehmen sollen? Was macht der? @both UND: wie weiter? Sabina fände ja nochmal nen smitrem-Durchlauf hilfreich, soll ich vor hochfahren des Systems noch was machen? Poste auf alle Fälle mal das Ergebnis des jetzigen Suchlaufs. And here it is: McAfee VirusScan for Win32 v4.40.0 Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved. (408) 988-3832 LICENSED COPY - Sep 23 2004 Scan engine v4.4.00 for Win32. Virus data file v4587 created Sep 21 2005 Scanning for 149626 viruses, trojans and variants. 09/22/2005 20:10:38 Options: I:\ /ALL /ANALYZE /MANALYZE /MIME /PANALYZE /PROGRAM /RPTCOR /RPTERR /STREAMS /SUB /SECURE /UNZIP /REPORT WINDOWS.REP /TIMEOUT 300 Scanning I: [SYSTEM] Scanning I:\*.* I:\c.vbs ... Found the VBS/Psyme trojan !!! I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp ... file could not be opened. I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip\SBRECOVERY.REG ... is password-protected. I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip\SBRECOVERY.INI ... is password-protected. I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit1.zip\SBRECOVERY.REG ... is password-protected. I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit1.zip\SBRECOVERY.INI ... is password-protected. I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit2.zip\SBRECOVERY.REG ... is password-protected. I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit2.zip\SBRECOVERY.INI ... is password-protected. I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit3.zip\SBRECOVERY.REG ... is password-protected. I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit3.zip\SBRECOVERY.INI ... is password-protected. I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit4.zip\SBRECOVERY.REG ... is password-protected. I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit4.zip\SBRECOVERY.INI ... is password-protected. I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MainPean.zip\SBRECOVERY.REG ... is password-protected. I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MainPean.zip\SBRECOVERY.INI ... is password-protected. I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WurldMedia.zip\SBRECOVERY.REG ... is password-protected. I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WurldMedia.zip\SBRECOVERY.INI ... is password-protected. I:\WINDOWS\system32\WINLOGON.EXE.VIR ... Found the Spy-Agent.n trojan !!! I:\WINDOWS\system32\WINLOGON.EXE.zip\WINLOGON.EXE.VIR ... Found the Spy-Agent.n trojan !!! Summary report on I:\*.* File(s) Total files: ........... 88241 Clean: ................. 88223 Possibly Infected: ..... 3 Non-critical Error(s): 2 die winlogons sind klar, war Vorbereitung für Versendung an raman hat die abweichende Bezeichnung eine Bedeutung oder ist das nur der NAI-Name für den gleichen Bösewicht? jetzt die gefundenen Sachen raus, booten und smitrem? __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? Dieser Beitrag wurde am 22.09.2005 um 22:34 Uhr von Sunny-pc editiert.
|
|
|
||
22.09.2005, 23:07
Ehrenmitglied
Beiträge: 29434 |
#33
C:\c.vbs loesche das (hat nichts mit der winlogon.exe zu tun)
dann scanne noch mal mit smitrem Zitat findest du diese dll auf dem System ?•Lade: diese zip.pv http://downloads.subratam.org/pv.zip Oeffne--> pv folder -->Doppelklick: runme.bat dos window oeffnet sich waehle: option 1 fuer explorer dll's -->enter Notepad oeffnet sich -->poste den Text __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.09.2005, 23:50
Member
Themenstarter Beiträge: 45 |
#34
System ist hochgefahren, smitrem läuft und bemängelt nur eine fehlende wininet.dll (kpl. Post folgt). Nach Beenden von Smitrem ist das Antivir-Symbol verschwunden, die 3 Prozesse laufen aber noch. Ist das ok?
Zitat C:windows/tgbcde/library32.dllkein solches Verzeichnis und auf ganz C: keine "library32" bzw. "module32", kein "tgbcde" in der ganzen registry UND: bisher noch kein einziges aufpoppendes Fenster mit winlogon !!! smitfiles: smitRem log file version 2.4 by noahdfear ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pre-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ logfiles ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Post-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ logfiles ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Wininet.dll ~~~ wininet.dll is missing!! +++Ende smitfiles ich starte jetzt neu und lade derweil die pv.zip auf nen USB-Stick es bleibt dabei: keine Beschwerden mehr seitens AntiVir, werde es mal updaten und Komplettscan machen. Trotzdem pv.zip laufen lassen? Antivir hat sich nach Installation beim anschließenden Komplettscan bei der Datei mswds_ge.lex gehängt. Nach dem Kaltstart sind jetzt auch die verloren geglaubten Trojanerfenster wieder da. Warum war solange Ruhe? Bei der Installation von Antivir habe ich das Häkchen bei "nur neuere Dateien installieren" rausgemacht. mache mich jetzt an die pv.zip PV.zip > Explorer DLLs Module information for 'Explorer.EXE' MODULE BASE SIZE PATH Explorer.EXE 1000000 1044480 C:\WINDOWS\Explorer.EXE 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Windows Explorer ntdll.dll 7c910000 749568 C:\WINDOWS\system32\ntdll.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) DLL für NT-Layer kernel32.dll 7c800000 1073152 C:\WINDOWS\system32\kernel32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Client-DLL für Windows NT-Basis-API msvcrt.dll 77be0000 360448 C:\WINDOWS\system32\msvcrt.dll 7.0.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows NT CRT DLL ADVAPI32.dll 77da0000 696320 C:\WINDOWS\system32\ADVAPI32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Erweitertes Windows 32 Base-API RPCRT4.dll 77e50000 593920 C:\WINDOWS\system32\RPCRT4.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Remote Procedure Call Runtime GDI32.dll 77ef0000 286720 C:\WINDOWS\system32\GDI32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) GDI Client DLL USER32.dll 77d10000 589824 C:\WINDOWS\system32\USER32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Client-DLL für Windows XP USER-API SHLWAPI.dll 77f40000 483328 C:\WINDOWS\system32\SHLWAPI.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Shell Light-weight Utility Library SHELL32.dll 7c9d0000 8511488 C:\WINDOWS\system32\SHELL32.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Allgemeine Windows-Shell-DLL ole32.dll 774b0000 1294336 C:\WINDOWS\system32\ole32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft OLE für Windows OLEAUT32.dll 770f0000 573440 C:\WINDOWS\system32\OLEAUT32.dll 5.1.2600.2180 BROWSEUI.dll 75f20000 1032192 C:\WINDOWS\system32\BROWSEUI.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Shell Browser UI-Bibliothek SHDOCVW.dll 77730000 1490944 C:\WINDOWS\system32\SHDOCVW.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Bibliothek für Shell-Dokumente und -Steuerelemente CRYPT32.dll 77a50000 610304 C:\WINDOWS\system32\CRYPT32.dll 5.131.2600.2180 (xpsp_sp2_rtm.040803-2158) Krypto-API32 MSASN1.dll 77af0000 73728 C:\WINDOWS\system32\MSASN1.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ASN.1 Runtime APIs CRYPTUI.dll 76880000 544768 C:\WINDOWS\system32\CRYPTUI.dll 5.131.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Vertrauens-UI-Anbieter WINTRUST.dll 76bf0000 188416 C:\WINDOWS\system32\WINTRUST.dll 5.131.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Vertrauensverifizierungs-APIs IMAGEHLP.dll 76c50000 163840 C:\WINDOWS\system32\IMAGEHLP.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows NT Image Helper NETAPI32.dll 597d0000 344064 C:\WINDOWS\system32\NETAPI32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Net Win32 API DLL WININET.dll 77180000 684032 C:\WINDOWS\system32\WININET.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Interneterweiterungen für Win32 WLDAP32.dll 76f20000 184320 C:\WINDOWS\system32\WLDAP32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Win32 LDAP-API-DLL VERSION.dll 77bd0000 32768 C:\WINDOWS\system32\VERSION.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Version Checking and File Installation Libraries UxTheme.dll 5b0f0000 229376 C:\WINDOWS\system32\UxTheme.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Microsoft UxTheme-Bibliothek ShimEng.dll 5cf00000 155648 C:\WINDOWS\system32\ShimEng.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Shim Engine DLL AcGenral.DLL 6fd90000 1875968 C:\WINDOWS\AppPatch\AcGenral.DLL 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows Compatibility DLL WINMM.dll 76af0000 188416 C:\WINDOWS\system32\WINMM.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) MCI API-DLL MSACM32.dll 77bb0000 86016 C:\WINDOWS\system32\MSACM32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft ACM-Audiofilter USERENV.dll 76620000 741376 C:\WINDOWS\system32\USERENV.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Userenv comctl32.dll 773a0000 1056768 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll 6.0 (xpsp_sp2_rtm.040803-2158) User Experience Controls Library comctl32.dll 5d450000 618496 C:\WINDOWS\system32\comctl32.dll 5.82 (xpsp_sp2_rtm.040803-2158) Common Controls Library appHelp.dll 77b10000 139264 C:\WINDOWS\system32\appHelp.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Application Compatibility Client Library CLBCATQ.DLL 76f90000 520192 C:\WINDOWS\system32\CLBCATQ.DLL 2001.12.4414.258 COMRes.dll 77010000 864256 C:\WINDOWS\system32\COMRes.dll 2001.12.4414.258 cscui.dll 779f0000 352256 C:\WINDOWS\System32\cscui.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Clientseitige Cachebenutzeroberfläche CSCDLL.dll 765a0000 118784 C:\WINDOWS\System32\CSCDLL.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Offlinenetzwerk-Agent themeui.dll 5b9b0000 466944 C:\WINDOWS\System32\themeui.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Windows-Design-API Secur32.dll 77fc0000 69632 C:\WINDOWS\System32\Secur32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Security Support Provider Interface MSIMG32.dll 76320000 20480 C:\WINDOWS\System32\MSIMG32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) GDIEXT Client DLL xpsp2res.dll 20000000 2985984 C:\WINDOWS\system32\xpsp2res.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Service Pack 2-Meldungen ACTXPRXY.DLL 71cc0000 114688 C:\WINDOWS\system32\ACTXPRXY.DLL 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) ActiveX Interface Marshaling Library msutb.dll 60010000 208896 C:\WINDOWS\System32\msutb.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) MSUTB-Server-DLL MSCTF.dll 746a0000 307200 C:\WINDOWS\System32\MSCTF.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) MSCTF-Server-DLL urlmon.dll 77230000 643072 C:\WINDOWS\system32\urlmon.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) OLE32-Erweiterung für Win32 LINKINFO.dll 76930000 32768 C:\WINDOWS\system32\LINKINFO.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows Volume Tracking ntshrui.dll 76940000 155648 C:\WINDOWS\system32\ntshrui.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Shellerweiterungen für Freigaben ATL.DLL 76ad0000 69632 C:\WINDOWS\system32\ATL.DLL 3.05.2284 ATL Module for Windows XP (Unicode) msi.dll 7d1f0000 2826240 C:\WINDOWS\system32\msi.dll 3.0.3790.2180 Windows Installer MPR.dll 71a80000 73728 C:\WINDOWS\system32\MPR.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Router-DLL für Mehrfachanbieter drprov.dll 75f00000 28672 C:\WINDOWS\System32\drprov.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Terminal Server Network Provider ntlanman.dll 71b90000 57344 C:\WINDOWS\System32\ntlanman.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft(R) LAN-Manager NETUI0.dll 71c50000 94208 C:\WINDOWS\System32\NETUI0.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) NT-LM-Benutzerschnittstellen-Standardcode - GUI-Klassen NETUI1.dll 71c10000 262144 C:\WINDOWS\System32\NETUI1.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) NT LM UI Common Code - Networking classes NETRAP.dll 71c00000 28672 C:\WINDOWS\System32\NETRAP.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Net Remote Admin Protocol DLL SAMLIB.dll 71b70000 77824 C:\WINDOWS\System32\SAMLIB.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) SAM Library DLL davclnt.dll 75f10000 36864 C:\WINDOWS\System32\davclnt.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Client-DLL für Web DAV WINSTA.dll 76300000 65536 C:\WINDOWS\system32\WINSTA.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Winstation Library webcheck.dll 74ab0000 294912 C:\WINDOWS\System32\webcheck.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Websiteüberwachung WSOCK32.dll 71a30000 40960 C:\WINDOWS\System32\WSOCK32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows Socket-32-Bit-DLL WS2_32.dll 71a10000 94208 C:\WINDOWS\System32\WS2_32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows Socket 2.0 32-Bit DLL WS2HELP.dll 71a00000 32768 C:\WINDOWS\System32\WS2HELP.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows Socket 2.0 Helper für Windows NT stobject.dll 765c0000 135168 C:\WINDOWS\System32\stobject.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Systray-Shell-Serviceobjekt BatMeter.dll 74a70000 40960 C:\WINDOWS\System32\BatMeter.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Batteriemesshilfs-DLL POWRPROF.dll 74a50000 32768 C:\WINDOWS\System32\POWRPROF.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Power Profile Helper DLL SETUPAPI.dll 778f0000 999424 C:\WINDOWS\System32\SETUPAPI.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows Setup-API WTSAPI32.dll 76f10000 32768 C:\WINDOWS\System32\WTSAPI32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows Terminal Server SDK APIs NETSHELL.dll 763a0000 1748992 C:\WINDOWS\system32\NETSHELL.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Shell für Netzwerkverbindungen rtutils.dll 76e40000 57344 C:\WINDOWS\system32\rtutils.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Routing Utilities credui.dll 76bc0000 192512 C:\WINDOWS\system32\credui.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Benutzerschnittstelle für Anmeldeinformationsverwaltung iphlpapi.dll 76d20000 102400 C:\WINDOWS\system32\iphlpapi.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) IP-Hilfs-API fxsst.dll 692a0000 577536 C:\WINDOWS\system32\fxsst.dll 5.2.2600.2180 (xpsp_sp2_rtm.040803-2158) Faxdienst WINSPOOL.DRV 72f70000 155648 C:\WINDOWS\system32\WINSPOOL.DRV 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows-Spoolertreiber FXSAPI.dll 60220000 466944 C:\WINDOWS\system32\FXSAPI.dll 5.2.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Fax API Support DLL NTMARTA.DLL 77660000 135168 C:\WINDOWS\system32\NTMARTA.DLL 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows NT MARTA-Anbieter rsaenh.dll ffd0000 163840 C:\WINDOWS\system32\rsaenh.dll 5.1.2600.2161 (xpsp.040706-1629) Microsoft Enhanced Cryptographic Provider rarext.dll ad0000 176128 C:\Programme\WinRAR\rarext.dll CVersion.dll 3a400000 110592 C:\COREL\Versions\CVersion.dll 8.429 Corel Versions VERS232.dll 10000000 147456 C:\COREL\Versions\VERS232.dll IMPLODE.DLL b00000 40960 C:\COREL\Versions\IMPLODE.DLL comdlg32.dll 76350000 303104 C:\WINDOWS\system32\comdlg32.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) DLL für gemeinsame Dialoge AVShlExt.DLL e70000 40960 C:\Programme\AVPersonal\AVShlExt.DLL 6.30.00.01 Avshlext browselc.dll 11e0000 77824 C:\WINDOWS\system32\browselc.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Shell Browser UI-Bbibliothek SDHelper.dll 20d0000 765952 C:\Programme\Spybot - Search & Destroy\SDHelper.dll 1, 3, 0, 12 Bad download blocker olepro32.dll 5f1a0000 94208 C:\WINDOWS\system32\olepro32.dll 5.1.2600.2180 MLANG.dll 75dc0000 593920 C:\WINDOWS\system32\MLANG.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Multi Language Support DLL MSGINA.dll 75910000 1019904 C:\WINDOWS\system32\MSGINA.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows-Anmeldungs-GINA-DLL ODBC32.dll 745d0000 249856 C:\WINDOWS\system32\ODBC32.dll 3.525.1117.0 (xpsp_sp2_rtm.040803-2158) Microsoft Data Access - ODBC Driver Manager odbcint.dll 13c0000 102400 C:\WINDOWS\system32\odbcint.dll 3.525.1117.0 built by: (_sqlbld) Microsoft Data Access - ODBC Ressourcen shdoclc.dll 23b0000 581632 C:\WINDOWS\system32\shdoclc.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Bibliothek für Shell-Dokumente und -Steuerelemente sti.dll 73b10000 81920 C:\WINDOWS\System32\sti.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Digitalbildgeräte-Client-DLL CFGMGR32.dll 74a60000 28672 C:\WINDOWS\System32\CFGMGR32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Configuration Manager Forwarder DLL CTJBNS.DLL 2640000 622592 C:\Programme\Creative\Creative Zen Touch\NOMAD Explorer\CTJBNS.DLL 3.1.4.0 Creative Jukebox Explorer Plugin JBNSHK.dll 2440000 57344 C:\Programme\Creative\Creative Zen Touch\NOMAD Explorer\JBNSHK.dll 1.0.3.0 Creative Jukebox Explorer Plugin Helper CTIntrfc.dll 26e0000 69632 C:\Programme\Creative\Creative Zen Touch\NOMAD Explorer\CTIntrfc.dll 1.2.0.0 CTIntrfc JBNSRES.DLL 2710000 274432 C:\Programme\Creative\Creative Zen Touch\NOMAD Explorer\JBNSRES.DLL 3.1.1.0 Creative Jukebox Explorer Plugin Resource 2710000 274432 2710000 274432 2710000 274432 2710000 274432 2710000 274432 2710000 274432 +++Ende PV.zip und nu? verwende momentan Taskinfo(iarsn.com) um zusätzliche Infos bei laufendem System zu erhalten(etwa Pfad laufender Prozesse). Da sind auch sehr tiefgreifende Infos abrufbar. Hilft das? Oder eins der Zugrifftools von z.B. sysinternals? __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? Dieser Beitrag wurde am 23.09.2005 um 00:34 Uhr von Sunny-pc editiert.
|
|
|
||
23.09.2005, 00:57
Ehrenmitglied
Beiträge: 29434 |
#35
schau mal, wohin die winlogon.exe eine Verbindung herstellt und welche Dateien damit in Verbindung stehen.(also ueberpruefen, ob es die winlogon allein ist oder ob noch andere Prozesse damit in Verbindung stehen...dll oder anderes.
Zitat Pfad laufender Prozesseund poste noch mal die 4 Logs von der datfindbat, bitte und:WinPfind http://virus-protect.org/winpfind.html und: C:\WINDOWS\SYSTEM32\DRIVERS\ETC ist die Hostdatei, poste uns, was du dort findest -------------------------------------------------------- schau, ob du die alle findest, dann rechtsklick--> Groesse und Erstellungsdatum posten Zitat C:\I386\WINLOGON.EXEC:\WINDOWS\system32\dllcache\winlogon.exe 21.09.2005 18:23 495.50 KB Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\system32\winlogon.exe:KAVICHS 21.09.2005 18:46 36 bytes Hidden from Windows API. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.09.2005, 10:02
Member
Themenstarter Beiträge: 45 |
#36
erstmal datfind.bat offline:
Datentr„ger in Laufwerk H: ist SYSTEM Datentr„gernummer: 249F-069A Verzeichnis von H:\WINDOWS\system32 23.09.2005 00:15 313.082 perfh009.dat 23.09.2005 00:15 40.800 perfc009.dat 23.09.2005 00:15 318.436 perfh007.dat 23.09.2005 00:15 49.226 perfc007.dat 23.09.2005 00:15 728.442 PerfStringBackup.INI 23.09.2005 00:10 507.392 winlogon.exe 21.09.2005 16:11 173.703 strings.zip 18.09.2005 22:13 2.206 wpa.dbl 17.09.2005 17:58 662.016 wininet_alt.dll 17.09.2005 03:42 23.977 ffastlog.txt 08.08.2005 18:42 392.776 FNTCACHE.DAT 26.01.2005 21:29 121.080 MSForms.TWD 20.01.2005 13:47 175.616 strings.exe 13.01.2005 21:41 126.976 zip.exe 13.01.2005 21:41 39.184 Ntrights.exe 13.01.2005 21:41 11.254 locate.com 13.01.2005 21:41 90.112 RegDACL.exe 13.01.2005 21:41 24.576 Reboot.exe 12.01.2005 00:45 3.243 jupdate-1.4.2_06-b03.log 12.11.2004 12:49 1.035 vsconfig.xml ...... 2097 Datei(en) 353.458.006 Bytes 0 Verzeichnis(se), 4.931.223.552 Bytes frei Datentr„ger in Laufwerk H: ist SYSTEM Datentr„gernummer: 249F-069A Verzeichnis von H:\DOKUME~1\SENSOL~1\LOKALE~1\Temp 23.09.2005 00:02 22.465 AVTMP$$$.LOG 22.09.2005 16:26 4.225.024 ANTIVIR.VDF 22.09.2005 16:00 1.372.200 AVREP.DLL 21.09.2005 10:35 109 BUILD.DAT 20.09.2005 14:16 110.632 AVSCHED32.EXE 20.09.2005 12:50 832.000 AVEWIN32.DLL 20.09.2005 12:50 151.552 AVNT.EXE 16.09.2005 12:55 618.603 AVWIN.EXE 16.09.2005 12:55 45.096 _VWUPSRV.EXE 16.09.2005 12:55 45.096 AVWUPSRV.EXE 07.09.2005 16:34 207.912 AVGUARD.EXE 07.09.2005 16:34 41.000 AVREG.DLL 07.09.2005 09:08 327.720 AVPACK32.DLL 29.08.2005 09:24 77.864 AVNOTIFY.EXE 16.08.2005 16:45 254.011 INETUPD.EXE 16.08.2005 16:45 159.744 INETUPD.DLL 16.08.2005 10:22 528.424 AVWIN.DLL 03.08.2005 17:04 537.459 AVWIN.HLP 29.07.2005 10:19 1.713.784 VIRINFO.HLP 29.07.2005 10:19 4.630 README.TXT 29.07.2005 10:19 1.024 HBEDV.KEY 29.07.2005 10:19 51.930 FAQPE_DE.HTM 29.07.2005 10:19 258.165 AVGCMSG.DLL 29.07.2005 10:19 168.039 AVGNT.EXE 29.07.2005 10:19 34.565 AVSCHED32.HLP 29.07.2005 10:19 996.518 AVGNT.HLP 29.07.2005 10:19 41.000 AVPREF.DLL 12.07.2005 14:52 36.904 SMTPLIB.DLL 29.04.2005 08:06 32.896 AVGNTDW.SYS 29.04.2005 08:06 98.344 GUARDMSG.DLL 15.02.2005 10:08 2.424 AVWIN.CNT 14.02.2005 09:34 9.826 EULA.TXT 14.02.2005 09:34 9.736 LIZENZ.WRI 01.02.2005 11:23 69.632 GUARDGUI.EXE 01.02.2005 11:23 122.880 AVSCHED32.DLL 28.01.2005 18:10 73.848 DELUS.EXE 28.01.2005 18:10 24.576 REBOOT.DLL 28.01.2005 18:10 20.480 REBOOT.EXE 28.01.2005 18:10 172.072 AVUNINST.EXE 28.01.2005 18:10 61.440 AVUNINST.DLL 28.01.2005 18:10 40.960 AVSHLEXT.DLL 28.01.2005 18:10 24.576 AVNTDLL.DLL 28.01.2005 18:10 24.576 AVGETVER.DLL 30.09.2004 09:10 31 DISPLAY.WIN 30.09.2004 09:10 30.720 FFJMPWEB.DLL 30.09.2004 09:10 31 DISPLAY.SPW 30.09.2004 09:10 24.616 GUARDEVT.DLL 06.07.2004 08:36 76.288 UNACEV2.DLL 48 Datei(en) 13.783.422 Bytes 0 Verzeichnis(se), 4.931.244.032 Bytes frei das meiste ist von der Antivir-Installation Datentr„ger in Laufwerk H: ist SYSTEM Datentr„gernummer: 249F-069A Verzeichnis von H:\ 23.09.2005 09:44 0 sys.txt 23.09.2005 09:44 5.057 system.txt 23.09.2005 09:44 2.723 systemtemp.txt 23.09.2005 09:43 108.655 system32.txt 23.09.2005 09:43 363 datFind_absolut_h.bat 23.09.2005 00:10 267.964.416 hiberfil.sys 23.09.2005 00:10 402.653.184 pagefile.sys 22.09.2005 23:32 710 smitfiles_v2.txt 21.09.2005 11:39 363 datFind_absolut_i.bat 21.09.2005 09:45 429 datFind.bat 13.09.2005 12:37 519 hpfr3420.xml 20.08.2005 23:51 149.614 sensowater h2o blubber.eps 09.11.2004 17:36 3.721 Benutzersensolifechef.JPG 09.11.2004 17:34 211 boot.ini 09.11.2004 17:20 47.564 NTDETECT.COM 09.11.2004 17:20 251.184 ntldr 08.11.2004 23:05 0 MSDOS.SYS 08.11.2004 23:05 0 CONFIG.SYS 08.11.2004 23:05 0 AUTOEXEC.BAT 08.11.2004 23:05 0 IO.SYS 18.08.2001 14:00 4.952 bootfont.bin 21 Datei(en) 671.193.665 Bytes 0 Verzeichnis(se), 4.931.231.744 Bytes frei Datentr„ger in Laufwerk H: ist SYSTEM Datentr„gernummer: 249F-069A Verzeichnis von H:\WINDOWS 23.09.2005 00:54 2.048 bootstat.dat 23.09.2005 00:54 3.044 SchedLgU.Txt 23.09.2005 00:54 50 wiaservc.log 23.09.2005 00:54 216 wiadebug.log 23.09.2005 00:54 2.176 WindowsUpdate.log 23.09.2005 00:11 0 0.log 22.09.2005 23:32 240 setupact.log 22.09.2005 00:55 1.998 SIGVERIF_kurz.TXT 22.09.2005 00:46 743.900 SIGVERIF.TXT 22.09.2005 00:40 35.838 setupapi.log 21.09.2005 18:53 0 setuperr.log 20.09.2005 16:49 356.352 eSellerateEngine.dll 20.09.2005 13:24 231 system.ini 20.09.2005 11:51 0 Sti_Trace.log 17.09.2005 04:07 192 winamp.ini 11.09.2005 21:52 606 WISO.INI 26.08.2005 00:58 49 NeroDigital.ini 23.08.2005 11:12 30 TDF.DII 23.08.2005 11:12 3.067 tm.ini 09.08.2005 00:37 827 win.ini 24.07.2005 12:10 8.192 sensolife.pcb 17.07.2005 12:16 1.917 imsins.BAK 01.07.2005 21:30 487 Capictrl.INI 01.07.2005 18:03 20.454 hpoins01.dat.temp 01.07.2005 18:03 20.454 hpoins01.dat 29.03.2005 09:31 26 HNetCtrl.INI 19.03.2005 16:15 1.793 P2kRotate.ini 09.03.2005 00:40 139 asym.ini 10.01.2005 22:04 15.348 sensolife.acl 29.12.2004 23:03 250 BUHL.INI ..... 92 Datei(en) 6.126.341 Bytes 0 Verzeichnis(se), 4.931.174.400 Bytes frei +++Ende datfind.bat Zitat und: C:\WINDOWS\SYSTEM32\DRIVERS\ETC# Copyright (c) 1993-1999 Microsoft Corp. # # Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP # für Windows 2000 verwendet wird. # # Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen. # Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP- # Adresse sollte in der ersten Spalte gefolgt vom zugehörigen # Hostnamen stehen. # Die IP-Adresse und der Hostname müssen durch mindestens ein # Leerzeichen getrennt sein. # # Zusätzliche Kommentare (so wie in dieser Datei) können in # einzelnen Zeilen oder hinter dem Computernamen eingefügt werden, # aber müssen mit dem Zeichen '#' eingegeben werden. # # Zum Beispiel: # # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost 127.0.0.1 localhost +++Ende hosts also auch nichts jetzt schicke ich erst raman die aus dem Image extrahierte c.vbs, dann mach ich mit winpfind weiter @Sabina Zitat schau, ob du die alle findest, dann rechtsklick--> Groesse und Erstellungsdatum postenvon welchen Dateien brauchst du diese Angaben? offline, online oder egal? __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? Dieser Beitrag wurde am 23.09.2005 um 10:37 Uhr von Sunny-pc editiert.
|
|
|
||
23.09.2005, 10:54
Ehrenmitglied
Beiträge: 29434 |
#37
Zitat von welchen Dateien brauchst du diese Angaben? offline, online oder egal?von diesen Daten (schau, ob es eine Differenz zwischen Off-und Online gibt, aber ich denke nein. C:\I386\WINLOGON.EXE C:\Windows\$NTServicePackUninstall$\winlogon.exe C:\Windows\ServicePackFiles\I386\winlogon.exe C:\Windows\Sytem32\winlogon.exe -->36 bytes??? 507.392??? C:\Windows\System32\DLLCACHE\winlogon.exe --> 495.50 KB ??? 507.392 ??? ---------------------------------------------------------------------------- ADS Spy: A small tool to list, view or delete Alternate Data Streams (ADS) on Windows 2000/XP with NTFS file systems. ADS is a way of storing meta-information for files without actually storing the information in the file it belongs to, carried over from early MacOS compatibility from Windows NT4. Recently browser hijackers began using this technique to store hidden information on the system, and even store trojan executable files in ADS streams of random files on the system. Use with caution. Currently at version: 1.09 http://www.spywareinfo.com/~merijn/downloads.html http://bilder.informationsarchiv.net/Nikitas_Tools/ADSSpy.exe ---------------------------------------------------------------------------- oeffne die system.ini win.ini tm.ini und poste, was du dort findest ................... Info, (hat nichts mit der winlogon zu tun....) 20.09.2005 16:49 356.352 eSellerateEngine.dll http://securityresponse.symantec.com/avcenter/venc/data/spyware.ultrakeyboard.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.09.2005, 11:20
Member
Themenstarter Beiträge: 45 |
#38
erstmal WinPFind:
WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding. If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly. »»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600 Internet Explorer Version: 6.0.2900.2180 »»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»» Checking %SystemDrive% folder... Checking %ProgramFilesDir% folder... Checking %WinDir% folder... Checking %System% folder... PEC2 18.08.2001 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc UPX! 13.01.2005 21:41:48 11254 C:\WINDOWS\SYSTEM32\locate.com aspack 04.08.2004 01:57:10 733696 C:\WINDOWS\SYSTEM32\ntdll.dll Umonitor 04.08.2004 01:57:34 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll UPX! 20.01.2005 13:47:50 175616 C:\WINDOWS\SYSTEM32\strings.exe winsync 18.08.2001 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu Checking %System%\Drivers folder and sub-folders... PTech 03.08.2004 23:41:38 1309184 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts Checking the Windows folder and sub-folders for system and hidden files within the last 60 days... 23.09.2005 10:44:12 S 2048 C:\WINDOWS\bootstat.dat 17.09.2005 03:42:54 H 23977 C:\WINDOWS\system32\ffastlog.txt 23.09.2005 10:44:56 H 1024 C:\WINDOWS\system32\config\default.LOG 23.09.2005 10:44:16 H 1024 C:\WINDOWS\system32\config\SAM.LOG 23.09.2005 10:54:26 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG 23.09.2005 10:56:18 H 1024 C:\WINDOWS\system32\config\software.LOG 23.09.2005 10:49:02 H 1024 C:\WINDOWS\system32\config\system.LOG 08.08.2005 10:14:26 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\bcaf7a0b-9a55-4cb4-bacb-2d9d1621a64f 08.08.2005 10:14:26 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred 23.09.2005 10:44:18 H 6 C:\WINDOWS\Tasks\SA.DAT Checking for CPL files... Microsoft Corporation 04.08.2004 01:58:24 70656 C:\WINDOWS\SYSTEM32\access.cpl Microsoft Corporation 04.08.2004 01:58:24 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl Microsoft Corporation 04.08.2004 01:58:24 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl Microsoft Corporation 04.08.2004 01:58:24 138240 C:\WINDOWS\SYSTEM32\desk.cpl Microsoft Corporation 14.12.1996 01:00:00 22528 C:\WINDOWS\SYSTEM32\FINDFAST.CPL Microsoft Corporation 04.08.2004 01:58:24 80384 C:\WINDOWS\SYSTEM32\firewall.cpl Microsoft Corporation 04.08.2004 01:58:24 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl Ahead Software AG 23.12.2003 16:40:52 57344 C:\WINDOWS\SYSTEM32\ImageDrive.cpl Microsoft Corporation 04.08.2004 01:58:24 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl Microsoft Corporation 04.08.2004 01:58:24 133120 C:\WINDOWS\SYSTEM32\intl.cpl Microsoft Corporation 04.08.2004 01:58:24 381440 C:\WINDOWS\SYSTEM32\irprops.cpl Microsoft Corporation 04.08.2004 01:58:24 69632 C:\WINDOWS\SYSTEM32\joy.cpl Microsoft Corporation 18.08.2001 14:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl Microsoft Corporation 14.12.1996 01:00:00 47520 C:\WINDOWS\SYSTEM32\MLCFG32.CPL Microsoft Corporation 04.08.2004 01:58:24 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl Microsoft Corporation 18.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl Microsoft Corporation 04.08.2004 01:58:24 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl Microsoft Corporation 04.08.2004 01:58:24 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl Microsoft Corporation 18.08.2001 14:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl Microsoft Corporation 04.08.2004 01:58:24 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl Microsoft Corporation 04.08.2004 01:58:24 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl Microsoft Corporation 04.08.2004 01:58:24 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl Microsoft Corporation 18.08.2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl Microsoft Corporation 04.08.2004 01:58:24 94208 C:\WINDOWS\SYSTEM32\timedate.cpl Corel Corporation 18.05.1998 19:08:00 19456 C:\WINDOWS\SYSTEM32\verscpl.cpl Microsoft Corporation 04.08.2004 01:58:24 148480 C:\WINDOWS\SYSTEM32\wscui.cpl Microsoft Corporation 04.08.2004 01:58:24 162816 C:\WINDOWS\SYSTEM32\wuaucpl.cpl Microsoft Corporation 18.08.2001 14:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl Microsoft Corporation 18.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl Microsoft Corporation 18.08.2001 14:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl Microsoft Corporation 18.08.2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl »»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»» Checking files in %ALLUSERSPROFILE%\Startup folder... 08.11.2004 23:05:28 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini Checking files in %ALLUSERSPROFILE%\Application Data folder... 08.11.2004 22:32:42 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini 01.07.2005 18:07:18 1337 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log Checking files in %USERPROFILE%\Startup folder... 08.11.2004 23:05:28 HS 84 C:\Dokumente und Einstellungen\sensolife\Startmenü\Programme\Autostart\desktop.ini Checking files in %USERPROFILE%\Application Data folder... 20.07.2005 14:03:56 1552 C:\Dokumente und Einstellungen\sensolife\Anwendungsdaten\AdobeDLM.log 08.11.2004 22:32:42 HS 62 C:\Dokumente und Einstellungen\sensolife\Anwendungsdaten\desktop.ini 20.07.2005 14:03:56 0 C:\Dokumente und Einstellungen\sensolife\Anwendungsdaten\dm.ini »»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»» [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] SV1 = Arcor 5.004 = IEAK [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] {B63FCD5A-2396-11D1-B762-00A0C90646A4} = C:\Corel\Graphics8\programs\CMFFnd80.dll [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers] HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiVir/Win {a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With {09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\VersionsMenu {03170921-4754-11cf-AB9A-00C0F00683EB} = C:\COREL\Versions\CVersion.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} Start Menu Pin = %SystemRoot%\system32\SHELL32.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AntiVir/Win {a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\VersionsMenu {03170921-4754-11cf-AB9A-00C0F00683EB} = C:\COREL\Versions\CVersion.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\FolderToCorelMediaFolder {0FBF99C1-4127-11D1-B1E6-C17E96D9180A} = C:\Corel\Graphics8\programs\CMFFld80.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE} = %SystemRoot%\system32\SHELL32.dll [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F} = C:\Programme\Spybot - Search & Destroy\SDHelper.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376} &Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{30D02401-6A81-11D0-8274-00C04FD5AE38} Search Band = %SystemRoot%\System32\browseui.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478} = HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1} File Search Explorer Band = %SystemRoot%\system32\SHELL32.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E} Favorites Band = %SystemRoot%\System32\shdocvw.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E} History Band = %SystemRoot%\System32\shdocvw.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E} Explorer-Band = %SystemRoot%\System32\shdocvw.dll [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll {0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll {0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe HPDJ Taskbar Utility C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe AVGCtrl "C:\Programme\AVPersonal\AVGNT.EXE" /min Arcor Online [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] IMAIL Installed = 1 MAPI Installed = 1 MSFS Installed = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] CTFMON.EXE C:\WINDOWS\system32\ctfmon.exe Arcor Online [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum {BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} = {0DF44EAA-FF21-4412-828E-260A8728E7F1} = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system dontdisplaylastusername 0 legalnoticecaption legalnoticetext shutdownwithoutlogon 1 undockwithoutlogon 1 DisableTaskMgr 0 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop NoChangingWallPaper 0 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer NoDriveTypeAutoRun 145 NoActiveDesktop 0 NoSaveSettings 0 ClassicShell 0 NoThemesTab 0 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System DisableTaskMgr 0 NoColorChoice 0 NoSizeChoice 0 NoDispScrSavPage 0 NoDispCPL 0 NoVisualStyleChoice 0 NoDispSettingsPage 0 NoDispAppearancePage 0 NoDispBackgroundPage 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, Shell = explorer.exe System = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain = crypt32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet = cryptnet.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll = cscdll.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy = sclgntfy.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn = WlNotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon = wlnotify.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path Debugger = ntsd -d [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] AppInit_DLLs »»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder. Scan completed on 23.09.2005 10:56:58 +++Ende WinPFind dann win.ini: ; for 16-bit app support [fonts] [extensions] [mci extensions] [files] [Mail] MAPI=1 MAPIX=1 OLEMessaging=1 CMC=1 CMCDLLNAME=mapi.dll CMCDLLNAME32=mapi32.dll MAPIXVER=1.0.0.1 [MCI Extensions.BAK] aif=MPEGVideo aifc=MPEGVideo aiff=MPEGVideo asf=MPEGVideo2 asx=MPEGVideo2 au=MPEGVideo ivf=MPEGVideo2 m1v=MPEGVideo m3u=MPEGVideo2 mp2=MPEGVideo mp2v=MPEGVideo mp3=MPEGVideo2 mpa=MPEGVideo mpe=MPEGVideo mpeg=MPEGVideo mpg=MPEGVideo mpv2=MPEGVideo snd=MPEGVideo wax=MPEGVideo2 wm=MPEGVideo2 wma=MPEGVideo2 wmp=MPEGVideo2 wmv=MPEGVideo2 wmx=MPEGVideo2 wvx=MPEGVideo2 wpl=MPEGVideo [EMusicClient] dateInstalled=1100016453 datePitchPageLastShown=1099498053 [TfD] AutoStart=1 [Readiris] Scanner32=Twaino38,22 [IRIS_IPE] menu=2 [DPE] Toolbar=1 SN75=43011702 [spooler] rd_cd=D5DBD730 +++Ende win.ini jetzt system.ini ; for 16-bit app support [drivers] wave=mmdrv.dll timer=timer.drv [mci] [driver32] [386enh] woafont=app850.FON EGA80WOA.FON=EGA80850.FON EGA40WOA.FON=EGA40850.FON CGA80WOA.FON=CGA80850.FON CGA40WOA.FON=CGA40850.FON +++Ende system.ini zuletzt tm.ini [NET] UserName= [TMINTERN] SAVETESTMERKER=000000000 HASHANMST=915Z1YBLSKUTRTNLFDAZBH46JA4V49QW SAVEERKLAERUNGFILENAME=STADUEV.TMP.cry SAVEEDSV=V000492 UVEDS-V 1 els 00233xxxxxxxxxxx yyyyyyyyyy zzzzzzzzzzzzz WISO Sparbuch 2004/2005, R&S, Hannover 12.06.5247000000000 jo SAVELANDNUMMER=92 SAVESTADUEVFILENAME=C:\PROGRAMME\WISO\SPARBUCH 2005\STADUEV.TMP Ordnungsbegriff=9244HTBK33BXS [PRINT] PrintDialog=0 Copies=1 PRINTERNAME= [LAST-PRINTERSETTINGS] PRINTER-NAME=HP LaserJet 4 PRINTER-SORT=1 PRINTER-COPIES=1 +++Ende tm.ini Achtung: da war Name und Adresse drin, habs durch xx,yy und zz ersetzt Jetzt die Erstelldaten der Dateien, dann ADSspy (ich muß mich selbst ein wenig sortieren, sonst komme ich mit den Anfragen durcheinander) diese Dateiangaben erstmal aus offline-Modus Zitat C:\I386\WINLOGON.EXEdieses Verzeichnis existiert nicht!?! Zitat C:\Windows\$NTServicePackUninstall$\winlogon.exedieses ebenfalls nicht, hab ich glaub ich selbst gelöscht. Wenn wichtig - bitte Bescheid, dann mounte ich im anderen OS nochmal das Image und schau dort nach Zitat C:\Windows\ServicePackFiles\I386\winlogon.exeGröße: 507.392 Bytes Größe auf Datenträger: 507.904 Bytes Erstellt: 9.Nov.2004 17:28 Geändert: 4.Aug.2004 00:58 Letzter Zugriff: 23.Sep.2005 11:51 Zitat C:\Windows\Sytem32\winlogon.exe -->36 bytes??? 507.392???ist grad wieder infiziert, kein Logo hinterlegt, es gibt auch keine Registerkarten wie "Version" in den Eigenschaften! Größe: 507.392 Bytes Größe auf Datenträger: 507.904 Bytes Erstellt: 22. September 2005, 23:19:52 Geändert: 23. September 2005, 00:10:37 Letzter Zugriff: 23. September 2005, 12:06:27 Zitat C:\Windows\System32\DLLCACHE\winlogon.exe --> 495.50 KB ??? 507.392 ???Größe: 507.392 Bytes Größe auf Datenträger: 372.736 Bytes Erstellt: 22. September 2005, 23:20:23 Geändert: 22. September 2005, 23:29:25 Letzter Zugriff: 23. September 2005, 12:12:07 +++Ende Dateiangaben jetzt n Butterbrot, dann ADspy __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? Dieser Beitrag wurde am 23.09.2005 um 12:19 Uhr von Sunny-pc editiert.
|
|
|
||
23.09.2005, 12:55
Ehrenmitglied
Beiträge: 29434 |
#39
kopiere diese winlogon
C:\Windows\ServicePackFiles\I386\winlogon.exe Größe: 507.392 Bytes Größe auf Datenträger: 507.904 Bytes Erstellt: 9.Nov.2004 17:28 Geändert: 4.Aug.2004 00:58 Letzter Zugriff: 23.Sep.2005 11:51 in: C:\Windows\Sytem32\winlogon.exe C:\Windows\System32\DLLCACHE\winlogon.exe benenne die alten um in old , starte das System neu und berichte, ob sie wieder infiziert werden __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.09.2005, 13:23
Member
Themenstarter Beiträge: 45 |
#40
habe die winlogon schon mehrfach mal gegen die aus den servicepackfiles ausgetauscht.
Auch offline gegen die vom sauberen Rechner(identisches Betriebssystem, allerdings auch mit allen Updates nach SP2) wurden alle 3 schon getauscht, zuletzt gestern. Mir fällt da spontan wieder der lange Zeitraum ein, wo gar keine Fenster mehr aufpoppten(s. weiter oben im thread), muß mal sehen, was ich da davor außer c.vbs löschen gemacht hab... trotzdem mach ich das mal jetzt, Platte hängt eh grad extern dran. __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? |
|
|
||
23.09.2005, 13:46
Ehrenmitglied
Beiträge: 29434 |
#41
noch was:
wenn du im Windows Explorer in den Windows-Ordner schaust, dann findest du darin die Ordner Downloaded Program Files und Downloaded Installations. Programmdatei: Status: Gesamtgröße: Erstellungsdatum: Zitat Beispiel:.... poste, falls du was findest, was du nicht zuordnen kannst ADS Spy: A small tool to list, view or delete Alternate Data Streams (ADS) on Windows 2000/XP with NTFS file systems. ADS is a way of storing meta-information for files without actually storing the information in the file it belongs to, carried over from early MacOS compatibility from Windows NT4. Recently browser hijackers began using this technique to store hidden information on the system, and even store trojan executable files in ADS streams of random files on the system. Use with caution. Currently at version: 1.09 http://www.spywareinfo.com/~merijn/downloads.html http://bilder.informationsarchiv.net/Nikitas_Tools/ADSSpy.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.09.2005, 15:06
Member
Themenstarter Beiträge: 45 |
#42
Zitat Der Rechner muss hammermaessig infiziert gewesen sein, und das schon um einiges laenger. Ich hoffe du setzt den Rechner neu auf, trotz unserer "Spielchen" und egal, ob wir die infizierungsquelle finden koennen, oder niht.tja, Raman, da gebe ich dir zähneknirschend recht, obwohl diese Aktion dazu gedacht war, mir genau dies zu ersparen. Werde wohl am WE irgend ne andere Platte dranhängen und neu installieren. Mist. Falls wir noch bisschen rumspielen wollen an dem Ding, können wir das tun(ein Ergebnis von Bemühungen ist immer wünschenswert). Ich erhalte ja dann noch für nen Moment die Platte mit der jetzigen Installation. @Sabina habe das pv-Ding grad am laufen, welche Kästchen soll man da anhaken und wie krieg ich die Info ins board? __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? |
|
|
||
23.09.2005, 16:31
Ehrenmitglied
Beiträge: 29434 |
#43
kein pv...das hab ich schon:
ich will das: ADS Spy: A small tool to list, view or delete Alternate Data Streams (ADS) on Windows 2000/XP with NTFS file systems. ADS is a way of storing meta-information for files without actually storing the information in the file it belongs to, carried over from early MacOS compatibility from Windows NT4. Recently browser hijackers began using this technique to store hidden information on the system, and even store trojan executable files in ADS streams of random files on the system. Use with caution. Currently at version: 1.09 http://www.spywareinfo.com/~merijn/downloads.html http://bilder.informationsarchiv.net/Nikitas_Tools/ADSSpy.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.09.2005, 20:05
Member
Themenstarter Beiträge: 45 |
#44
ja, sorry hab mich vertan. Ich meinte auch den ADS spy.
Da gibts die Möglichkeit mit Optionen zu spielen, wollte nur wissen, ob Standardeinstellungen passen. Außerdem war mir auf den ersten Blick unklar, wo der ne eventuelle Logdatei hinschreibt. Werde das Tool gleich nochmal starten, vielleicht hab ich ja was übersehen ...tja, das sieht alles schön aus, aber: wie krieg ich jetzt das Angezeigte(im ADSspy Fenster) ins Board? Downloaded... I:\WINDOWS\Downloaded Installations\{574598EF-8D3C-45D3-85AE-E15F91F27985}Adobe Photoshop Album 2.0 Starter Edition.msi Sieht in Ordnung aus, ebenso: I:\WINDOWS\Downloaded Program Files\Java Runtime Environment 1.5.0 letzteres steht 3mal da, stimmt mit sauberen Systemen überein __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? Dieser Beitrag wurde am 23.09.2005 um 23:16 Uhr von Sunny-pc editiert.
|
|
|
||
24.09.2005, 00:21
Ehrenmitglied
Beiträge: 29434 |
#45
ADS spy.
da gibt es eine Moeglichkeit, den Scanreport abzukopieren, denn ich habe schon welche von anderen Usern erhalten..... So kann ich die Streams sehen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
__________
MfG Sabina
rund um die PC-Sicherheit