winlogon.exe infiziert von Trojan.Win32.Agent.ha (KAV) |
||
---|---|---|
#0
| ||
26.09.2005, 01:31
Member
Themenstarter Beiträge: 45 |
||
|
||
26.09.2005, 10:27
Ehrenmitglied
Beiträge: 29434 |
#62
mache bitte folgendes:
1. Lade clrav http://www.kaspersky.com/de/removaltools?vtopen=146410248#open scanne, starte den PC neu und scanne noch mal. 2.es kann sein, dass der PC sehr langsam wird, wenn du den Avast zusammen mit Antivirus auf der platte hast...versuch es mal, wenn nicht, dann deaktiviere Antivirus. Beim laden von Avast wirst du gefragt, ob du einen Scan nach Neustart akzeptierst--> Ja dann wird Windows gescannt, bevor es geladen wird.( Boot-Scan ) das kannst du dann wahrscheinlich, wenn du wieder in windows bist als Textdatei abkopieren. Poste es. avast! 4 Home Edition (free) Lade von der Originalseite: http://www.avast.com/eng/avast_4_home.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.09.2005, 21:26
Member
Beiträge: 13 |
#63
Also das scheint kein unbekannter zusein. Sollte clrav oder avast nicht fündig weden, versuche mal bitte folgendes.
Boote in den abgesicherten Modus scanne mit Antivir, mitfolgenden Einstellungen, alle Dateien, Alle schadprogramme (ausser spiele), Win32 heuristik hoch. Zur Beseitigung wenn Antivir/Clrav/avast was findet, bitte in quarantäne nehmen und an Raman schicken. Mit Regsearch bitte mal nach folgendes suchen zuerst nach :tgbcde dann nach module32.exe |
|
|
||
26.09.2005, 22:33
Member
Themenstarter Beiträge: 45 |
#64
nAbend!
Habe meine Tastatur auf dem Schreibtisch endlich aus dem Papierkram ausgegraben... Zitat Lade clrav...leider kein feststellbares Ergebnis avast bei reboot läuft gerade. OK-pc ist hochgefahren. Bin während Scan paar Minuten weggewesen, habe also live nichts mitgekriegt. Avast kommt hoch, Antivir(laut Icon) allerdings nicht(jedoch laut Rechtsklick auf Symbol schon), auch keine Fenster poppen auf. Lasse gerade von AVast VRDB generieren(habe Text überflogen, schien Sinn zu geben). Protokolldatei(aus GUI) ist leer. VRDB still in process... __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? Dieser Beitrag wurde am 26.09.2005 um 23:06 Uhr von Sunny-pc editiert.
|
|
|
||
26.09.2005, 23:12
Ehrenmitglied
Beiträge: 29434 |
#65
die Protokolldatei von Avast,,,ich habe dich nicht richtig verstanden...ist leer ?
Zitat VRDB still in process. ??Und Winlogon ? Kommt noch die virusmeldung? scanne bitte uber die konsole mit diesen drei Scannern http://virus-protect.org/multiavtool.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.09.2005, 23:33
Member
Themenstarter Beiträge: 45 |
#66
exactly as I said:
Zitat Avast kommt hoch, Antivir(laut Icon) allerdings nicht(jedoch laut Rechtsklick auf Symbol schon), auch keine Fenster("winlogon..") poppen auf.Habe nach *.txt und *.log im avast gesucht: aswBoot.log: CreateKbThread new CKbBuffer CKbBuffer::Init CKbBuffer::Init end ZwCreateEvent(g_hStopEvent) ZwAllocateVirtualMemory - stack ZwGetContextThread - NtCurrentThread ZwCreateThread - KbThread CreateKbThread end ZwInitializeRegistry KbThread start Unschedule 61,00,75,00,74,00,6F,00,63,00,68,00,65,00,63,00, 6B,00,20,00,61,00,75,00,74,00,6F,00,63,00,68,00, 6B,00,20,00,2A,00,00,00,61,00,73,00,77,00,42,00, 6F,00,6F,00,74,00,2E,00,65,00,78,00,65,00,20,00, 2F,00,41,00,3A,00,22,00,2A,00,22,00,20,00,2F,00, 4C,00,3A,00,22,00,47,00,65,00,72,00,6D,00,61,00, 6E,00,22,00,00,00,00,00, Unschedule end ZwSetEvent(g_hInitEvent) InitKeyboard s_dwKbdClassCnt: 2 InitKeyboard end GetKey ReadRegistry DATA=C:\Programme\Alwil Software\Avast4\DATA PROG=C:\Programme\Alwil Software\Avast4 SystemRoot=C:\WINDOWS TEMP=C:\WINDOWS\TEMP TMP=C:\WINDOWS\TEMP ReadRegistry end CreateTemp CreateTemp end cmnbInit SetFolders SetFolders end aswEnginDllMain(DLL_PROCESS_ATTACH) InitLog InitLog end InitReport InitReport end CmdLine aswBoot.exe /A:"*" /L:"German" CmdLine end LoadResources LoadFile LoadFile end LoadResources end CKbBuffer::Wait CKbBuffer::Get CKbBuffer::Get end CKbBuffer::Wait end FreeMemory: 471433216 aswintegInitialize avworkInitialize ProcessArea avfilesScanReal(MBR0) avfilesScanReal C:\ avfilesScanReal D:\ avfilesScanReal E:\ avworkClose aswintegClose TerminateKbThread GetKey end CloseKeyboard CloseKeyboard end KbThread stop CKbBuffer::~CKbBuffer CKbBuffer::~CKbBuffer end aswEnginDllMain(DLL_PROCESS_DETACH) cmnbFree FreeResources CloseReport CloseLog +++Ende aswboot.log aswBoot.txt: 09/26/2005 22:35 Scan aller lokalen Laufwerke Anzahl durchsuchter Ordner: 2183 Anzahl getestete Dateien: 32097 Anzahl infizierte Dateien: 0 +++Ende aswboot.txt VRDB-Generator ist fertig Regenschirm ist zu Antivir laut Rechtsklick aktiviert Fenster bleiben aus habe 2mal den ein-aus-Schalter für Antivir betätigt, jetzt steht alles auf go Fenster bleiben immer noch aus mache grad regsearch :tgbcde - negativ tgbcde - negativ module32.exe - negativ starte pc mal normal durch - mal sehen was Sache ist Dem Anschein nach als wäre nie was gewesen. Beide Virenscanner scheinen aktiv zu sein, keine aufpoppenden Fenster(habe vor Neustart bei Antivir Einstellungen aus #63 eingestellt) und nu? __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? Dieser Beitrag wurde am 26.09.2005 um 23:47 Uhr von Sunny-pc editiert.
|
|
|
||
27.09.2005, 01:03
Ehrenmitglied
Beiträge: 29434 |
#67
scanne bitte uber die konsole mit diesen drei Scannern
http://virus-protect.org/multiavtool.html danach berichte (Logs) dann scanne die winlogon noch mal mit jottis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.09.2005, 01:40
Member
Themenstarter Beiträge: 45 |
#68
@sabina
Da brauch ich ja www! Habe mal den Rest während der updates vom Hausnetz abgenabelt, nur so mal. ...in Arbeit...dauert __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? |
|
|
||
27.09.2005, 02:06
Ehrenmitglied
Beiträge: 29434 |
#69
ja ich weiss, du hast alle Kabel durchgeschnitten ...na, dann klebe sie wieder ...
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.09.2005, 12:23
Member
Themenstarter Beiträge: 45 |
#70
Mal zwischendurch:
Kabel wieder zusammengeklebt. Gut, dass ich leitenden Sekundenkleber habe, sonst hätte das ewig gedauert. MultiAVtool Der pc ist mit Scannen noch nicht mit allen 3 Progs durch. Hatte mit NAI angefangen, allerdings hat beim Scannen an sich der AVast bei Zugriff zugeschlagen, der ja zusammen mit Antivir immer noch im Hintergrund läuft. Also, der Reihe nach: NAI McAfee VirusScan for Win32 v4.40.0 Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved. (408) 988-3832 LICENSED COPY - Sep 23 2004 Scan engine v4.4.00 for Win32. Virus data file v4590 created Sep 26 2005 Scanning for 150764 viruses, trojans and variants. Virus Scan Results 09/27/2005 01:34:56 Options: "C:" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /PROGRAM /MIME /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML" Scanning C: [SYSTEM] Scanning C:\*.* C:\WINDOWS\Temp\trz7.tmp ... Found the Spy-Agent.n trojan !!! Summary report on C:\*.* File(s) Total files: ........... 88061 Clean: ................. 88014 Possibly Infected: ..... 1 Cleaned: ............... 0 Non-critical Error(s): 2 Master Boot Record(s): ......... 1 Possibly Infected: ..... 0 Boot Sector(s): ................ 1 Possibly Infected: ..... 0 Time: 06:26.57 +++Ende NAI AVast: * * avast! Report * Diese Datei wird automatisch generiert * * Aufgabe 'Residenter Schutz' verwendet * Start: Montag, 26. September 2005 22:51:50 * VPS: 0536-5, 09.09.2005 * * avast! Report * Diese Datei wird automatisch generiert * * Aufgabe 'Residenter Schutz' verwendet * Start: Montag, 26. September 2005 23:39:33 * VPS: 0536-5, 09.09.2005 * * * Aufgabe beendet: Montag, 26. September 2005 23:49:16 * Laufzeit war 9 Minute(n), 43 Sekunde(n) * * * avast! Report * Diese Datei wird automatisch generiert * * Aufgabe 'Residenter Schutz' verwendet * Start: Dienstag, 27. September 2005 01:19:44 * VPS: 0536-5, 09.09.2005 * C:\AV-CLS\Trend\sysclean.exezz [L] VBS:Redlof (0) C:\AV-CLS\Trend\sysclean.exezz [L] VBS:Redlof (0) C:\System Volume Information\_restore{A938CE86-7A86-465E-9C67-E918AA393070}\RP5\A0004258.exe [L] Win32:Trojano-2423 [Trj] (0) Datei erfolgreich in Container verschoben... C:\WINDOWS\SYSTEM32\WINLOGON.EXE [L] Win32:Trojano-2423 [Trj] (0) Datei erfolgreich in Container verschoben... C:\System Volume Information\_restore{A938CE86-7A86-465E-9C67-E918AA393070}\RP5\A0004259.exe [L] Win32:Trojano-2423 [Trj] (0) Datei erfolgreich in Container verschoben... C:\System Volume Information\_restore{A938CE86-7A86-465E-9C67-E918AA393070}\RP5\A0004260.exe [L] Win32:Trojano-2423 [Trj] (0) Datei erfolgreich in Container verschoben... C:\WINDOWS\system32\dllcache\winlogon.exe [L] Win32:Trojano-2423 [Trj] (0) Datei erfolgreich in Container verschoben... * * avast! Report * Diese Datei wird automatisch generiert * * Aufgabe 'Residenter Schutz' verwendet * Start: Dienstag, 27. September 2005 09:59:01 * VPS: 0539-0, 26.09.2005 * C:\WINDOWS\SYSTEM32\WINLOGON.EXE [L] Win32:Trojano-2423 [Trj] (0) Datei erfolgreich in Container verschoben... C:\WINDOWS\system32\dllcache\winlogon.exe [L] Win32:Trojano-2423 [Trj] (0) Datei erfolgreich in Container verschoben... +++Ende AVast bei Sophos ist pc abgestürzt(bis dahin ohne Virenfund) -Datei udma_csc.pnf Wo die sysvolinfo-Inhalte herkommen, kann ich nur vermuten: möglicherweise als ich die Platte offline an den PC gehängt habe(auch WXP). Habe in der Regel zwar daran gedacht, die Systemwiederherstellung für diese PArtitionen abzuschalten, habs aber vielleicht mal vergessen. Beim pc ist ja die Sys-wiederh. nach wie vor ganz aus. Habe mal vorsichtshalber die Situation zu meinen Gunsten geklärt: Besitz von sysvolinfo auf beiden Partitionen übernommen und an System nur noch Leserechte vergeben. mir ist noch was auf gefallen, muß aber checken, ob von Bedeutung: die Postausgangsdatei von OLE ist 52MB groß. Kann aber nicht ausschließen, dass das "normale" Gründe hat. Mal sehen. lasse ihn nachher gleich nochmal loslaufen __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? |
|
|
||
27.09.2005, 14:57
Ehrenmitglied
Beiträge: 29434 |
#71
schicke das bitte unbedingt an raman, dann loesche es.
C:\WINDOWS\Temp\trz7.tmp (am besten schicke ihm alle ...tmp aus dem Ordner, denn sie generieren sich , denke ich mal...) und scanne noch mal __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.09.2005, 15:45
Member
Themenstarter Beiträge: 45 |
#72
Zitat schicke das bitte unbedingt an raman, dann loesche es.done Zitat ..., denn sie generieren sich , denke ich mal...)gäb Sinn Zitat und scanne noch malabends __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? |
|
|
||
27.09.2005, 20:16
Member
Beiträge: 13 |
#73
Zitat Gnmpf posteteHUHU? Eine weitere möglichkeit ist diese: Donwload in ein eigenes Verzeichnis: http://de.trendmicro-europe.com/file_downloads/common/tsc/sysclean.com In das selbe Verzeichnis downloaden und entpacken: http://de.trendmicro-europe.com/global/file_downloads/common/pattern/opr/lpt859.zip In den abgesicherten Modus booten und laufen lassen. Das log bitte posten. |
|
|
||
27.09.2005, 22:41
Ehrenmitglied
Beiträge: 29434 |
#74
Zitat mache grad regsearch __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.09.2005, 01:08
Member
Themenstarter Beiträge: 45 |
#75
McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved. (408) 988-3832 LICENSED COPY - Sep 23 2004 Scan engine v4.4.00 for Win32. Virus data file v4591 created Sep 27 2005 Scanning for 150974 viruses, trojans and variants. Virus Scan Results 09/27/2005 23:47:02 Options: /ADL /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /PROGRAM /MIME /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML" Scanning C: [SYSTEM] Scanning C:\*.* C:\WINDOWS\Temp\trz1.tmp ... Found the Spy-Agent.n trojan !!! Summary report on C:\*.* File(s) Total files: ........... 88136 Clean: ................. 88094 Possibly Infected: ..... 1 Cleaned: ............... 0 Non-critical Error(s): 2 Master Boot Record(s): ......... 1 Possibly Infected: ..... 0 Boot Sector(s): ................ 1 Possibly Infected: ..... 0 Scanning D: [DATEN] Scanning D:\*.* D:\HDD2_4GB_part2\Freestyle_Vol_22_for_www.goldesel.to\Alles was danach da war\Eigene Dateien\maus.zip\MAUS.EXE ... Found potentially unwanted program Joke-MouseShoot. Summary report on D:\*.* File(s) Total files: ........... 2165 Clean: ................. 2108 Possibly Infected: ..... 0 Cleaned: ............... 0 Non-critical Error(s): 2 Master Boot Record(s): ......... 1 Possibly Infected: ..... 0 Boot Sector(s): ................ 1 Possibly Infected: ..... 0 Time: 00:46.17 +++Ende McAfee Sophos Anti-Virus Version 3.98.0 [Win32/Intel] Virus data version 3.98, October 2005 Includes detection for 110457 viruses, trojans and worms Copyright (c) 1989-2005 Sophos Plc, www.sophos.com System time 18:55:54, System date 27 September 2005 Command line qualifiers are: -f -di -all -remove -mime -mbr -noc -archive -opt=ISCabinet Full Scanning Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip\sbRecovery.reg Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip\sbRecovery.ini Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip\comment Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit1.zip\sbRecovery.reg Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit1.zip\sbRecovery.ini Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit1.zip\comment Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit2.zip\sbRecovery.reg Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit2.zip\sbRecovery.ini Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit2.zip\comment Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit3.zip\sbRecovery.reg Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit3.zip\sbRecovery.ini Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit3.zip\comment Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit4.zip\sbRecovery.reg Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit4.zip\sbRecovery.ini Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit4.zip\comment Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MainPean.zip\sbRecovery.reg Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MainPean.zip\sbRecovery.ini Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MainPean.zip\comment Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WurldMedia.zip\sbRecovery.reg Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WurldMedia.zip\sbRecovery.ini Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WurldMedia.zip\comment Could not open c:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Could not open c:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Could not open c:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Could not open c:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Could not open c:\Dokumente und Einstellungen\sensolife\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Could not open c:\Dokumente und Einstellungen\sensolife\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Could not open c:\WINDOWS\system32\CatRoot2\edb.log Could not open c:\WINDOWS\system32\CatRoot2\tmp.edb Could not open c:\WINDOWS\system32\config\system.LOG Could not open c:\WINDOWS\Temp\JETB8E0.tmp Could not open c:\WINDOWS\Temp\Perflib_Perfdata_100.dat Could not open c:\WINDOWS\Temp\_avast4_\Webshlock.txt 1 master boot record swept. 27195 files swept in 1 hour, 23 minutes and 5 seconds. 33 errors were encountered. No viruses were discovered. 21 encrypted files were not checked. Ending Sophos Anti-Virus. +++ /--------------------------------------------------------------\ | Trend Micro Sysclean Package | | Copyright 2002, Trend Micro, Inc. | | http://www.trendmicro.com | \--------------------------------------------------------------/ 2005-09-27, 23:11:26, Running scanner "c:\AV-CLS\Trend\TSC.BIN"... 2005-09-27, 23:11:46, Scanner "c:\AV-CLS\Trend\TSC.BIN" has finished running. 2005-09-27, 23:11:46, TSC Log: Damage Cleanup Engine (DCE) 3.9(Build 1020) Windows XP(Build 2600: Service Pack 2) Start time : Di Sep 27 2005 23:11:26 Load Damage Cleanup Template (DCT) "c:\AV-CLS\Trend\tsc.ptn" (version 652) [success] Complete time : Di Sep 27 2005 23:11:46 Execute pattern count(4349), Virus found count(0), Virus clean count(0), Clean failed count(0) 2005-09-27, 23:12:01, An error occurred while scanning file "C:\Dokumente und Einstellungen\LocalService\ntuser.dat": Zugriff verweigert 2005-09-27, 23:12:01, An error occurred while scanning file "C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG": Zugriff verweigert 2005-09-27, 23:12:01, An error occurred while scanning file "C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat": Zugriff verweigert 2005-09-27, 23:12:01, An error occurred while scanning file "C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG": Zugriff verweigert 2005-09-27, 23:12:01, An error occurred while scanning file "C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT": Zugriff verweigert 2005-09-27, 23:12:01, An error occurred while scanning file "C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG": Zugriff verweigert 2005-09-27, 23:12:02, An error occurred while scanning file "C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat": Zugriff verweigert 2005-09-27, 23:12:02, An error occurred while scanning file "C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG": Zugriff verweigert 2005-09-27, 23:12:02, An error occurred while scanning file "C:\Dokumente und Einstellungen\sensolife\ntuser.dat": Zugriff verweigert 2005-09-27, 23:12:02, An error occurred while scanning file "C:\Dokumente und Einstellungen\sensolife\ntuser.dat.LOG": Zugriff verweigert 2005-09-27, 23:13:53, An error occurred while scanning file "C:\Dokumente und Einstellungen\sensolife\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat": Zugriff verweigert 2005-09-27, 23:13:53, An error occurred while scanning file "C:\Dokumente und Einstellungen\sensolife\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\ALG.EXE-0F138680.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\ASHDISP.EXE-0B874892.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\ASHQUICK.EXE-13F2975D.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\ASHWEBSV.EXE-091EF0CF.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\AVAST.SETUP-2B043760.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\AVGNT.EXE-11DE492C.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\AVGUARD.EXE-0137649A.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\AVNOTIFY.EXE-0488930C.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\AVWIN.EXE-1CCB3880.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\AVWUPSRV.EXE-16AD196E.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\CTFMON.EXE-0E17969B.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\CTSVCCDA.EXE-39508B82.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\DEFRAG.EXE-273F131E.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\DFRGNTFS.EXE-269967DF.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\EXPLORER.EXE-082F38A9.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\FIND.EXE-0EC32F1E.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\GUARDGUI.EXE-0251A515.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\HPZTSB07.EXE-02862AA0.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\IMAPI.EXE-0BF740A4.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\INETUPD.EXE-118424B4.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\IPCONFIG.EXE-2395F30B.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\KIX32.EXE-0D30371A.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\Layout.ini": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\LOGONUI.EXE-0AF22957.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\NEROCHECK.EXE-092C6DFA.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\NTVDM.EXE-1A10A423.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\REGEDIT.EXE-1B606482.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\RUNDLL32.EXE-147710F4.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\SCHED.EXE-020AE3ED.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\SDAT4591.EXE-3656DACB.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\SERVICES.EXE-2F433351.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\SETUP.OVR-10EB9DE2.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\SVCHOST.EXE-3530F672.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\SYSCLEAN.COM-1EF28012.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\SYSCLEAN.EXE-31AEB4DC.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\T.EXE-2C5E72A5.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\TASKMGR.EXE-20256C55.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\TSC.BIN-25A3BE24.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\USERINIT.EXE-30B18140.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\WGET.EXE-106A43C1.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\WINRAR.EXE-3588DFE8.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\WMIADAP.EXE-2DF425B2.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf": Zugriff verweigert 2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\WSCRIPT.EXE-32960AB9.pf": Zugriff verweigert 2005-09-27, 23:19:05, An error occurred while scanning file "C:\WINDOWS\system32\CatRoot2\edb.log": Zugriff verweigert 2005-09-27, 23:19:06, An error occurred while scanning file "C:\WINDOWS\system32\CatRoot2\tmp.edb": Zugriff verweigert 2005-09-27, 23:19:06, An error occurred while scanning file "C:\WINDOWS\system32\config\default": Zugriff verweigert 2005-09-27, 23:19:06, An error occurred while scanning file "C:\WINDOWS\system32\config\default.LOG": Zugriff verweigert 2005-09-27, 23:19:06, An error occurred while scanning file "C:\WINDOWS\system32\config\SAM": Zugriff verweigert 2005-09-27, 23:19:06, An error occurred while scanning file "C:\WINDOWS\system32\config\SAM.LOG": Zugriff verweigert 2005-09-27, 23:19:06, An error occurred while scanning file "C:\WINDOWS\system32\config\SECURITY": Zugriff verweigert 2005-09-27, 23:19:06, An error occurred while scanning file "C:\WINDOWS\system32\config\SECURITY.LOG": Zugriff verweigert 2005-09-27, 23:19:06, An error occurred while scanning file "C:\WINDOWS\system32\config\software": Zugriff verweigert 2005-09-27, 23:19:06, An error occurred while scanning file "C:\WINDOWS\system32\config\software.LOG": Zugriff verweigert 2005-09-27, 23:19:06, An error occurred while scanning file "C:\WINDOWS\system32\config\system": Zugriff verweigert 2005-09-27, 23:19:06, An error occurred while scanning file "C:\WINDOWS\system32\config\system.LOG": Zugriff verweigert 2005-09-27, 23:19:47, An error occurred while scanning file "C:\WINDOWS\Temp\Perflib_Perfdata_100.dat": Zugriff verweigert 2005-09-27, 23:19:49, Running scanner "c:\AV-CLS\Trend\VSCANTM.BIN"... 2005-09-27, 23:32:14, Files Detected: Copyright (c) 1990 - 2004 Trend Micro Inc. Report Date : 9/27/2005 23:19:50 VSAPI Engine Version : 7.510-1002 VSCANTM Version : 1.1-1001 Virus Pattern Version : 861 (108977 Patterns) (2005/09/27) (286100) Command Line: c:\AV-CLS\Trend\VSCANTM.BIN /NBPM /S /CLEANALL /LAPPEND /LD /LC /LCF /NM /NB C:\*.* /P=c:\AV-CLS\Trend 27336 files have been read. 27336 files have been checked. 22103 files have been scanned. 23805 files have been scanned. (including files in archived) 0 files containing viruses. Found 0 viruses totally. Maybe 0 viruses totally. Stop At : 9/27/2005 23:32:14 ---------*---------*---------*---------*---------*---------*---------*---------* 2005-09-27, 23:32:14, Files Clean: Copyright (c) 1990 - 2004 Trend Micro Inc. Report Date : 9/27/2005 23:19:50 VSAPI Engine Version : 7.510-1002 VSCANTM Version : 1.1-1001 Virus Pattern Version : 861 (108977 Patterns) (2005/09/27) (286100) Command Line: c:\AV-CLS\Trend\VSCANTM.BIN /NBPM /S /CLEANALL /LAPPEND /LD /LC /LCF /NM /NB C:\*.* /P=c:\AV-CLS\Trend 27336 files have been read. 27336 files have been checked. 22103 files have been scanned. 23805 files have been scanned. (including files in archived) 0 files containing viruses. Found 0 viruses totally. Maybe 0 viruses totally. Stop At : 9/27/2005 23:32:14 12 minutes 22 seconds (742.05 seconds) has elapsed. ---------*---------*---------*---------*---------*---------*---------*---------* 2005-09-27, 23:32:14, Clean Fail: Copyright (c) 1990 - 2004 Trend Micro Inc. Report Date : 9/27/2005 23:19:50 VSAPI Engine Version : 7.510-1002 VSCANTM Version : 1.1-1001 Virus Pattern Version : 861 (108977 Patterns) (2005/09/27) (286100) Command Line: c:\AV-CLS\Trend\VSCANTM.BIN /NBPM /S /CLEANALL /LAPPEND /LD /LC /LCF /NM /NB C:\*.* /P=c:\AV-CLS\Trend 27336 files have been read. 27336 files have been checked. 22103 files have been scanned. 23805 files have been scanned. (including files in archived) 0 files containing viruses. Found 0 viruses totally. Maybe 0 viruses totally. Stop At : 9/27/2005 23:32:14 12 minutes 22 seconds (742.05 seconds) has elapsed. ---------*---------*---------*---------*---------*---------*---------*---------* 2005-09-27, 23:32:14, Scanner "c:\AV-CLS\Trend\VSCANTM.BIN" has finished running. 2005-09-27, 23:34:22, Running scanner "c:\AV-CLS\Trend\VSCANTM.BIN"... 2005-09-27, 23:35:02, Files Detected: Copyright (c) 1990 - 2004 Trend Micro Inc. Report Date : 9/27/2005 23:34:24 VSAPI Engine Version : 7.510-1002 VSCANTM Version : 1.1-1001 Virus Pattern Version : 861 (108977 Patterns) (2005/09/27) (286100) Command Line: c:\AV-CLS\Trend\VSCANTM.BIN /NBPM /S /CLEANALL /LAPPEND /LD /LC /LCF /NM /NB D:\*.* /P=c:\AV-CLS\Trend 1158 files have been read. 1158 files have been checked. 1016 files have been scanned. 1755 files have been scanned. (including files in archived) 0 files containing viruses. Found 0 viruses totally. Maybe 0 viruses totally. Stop At : 9/27/2005 23:35:02 ---------*---------*---------*---------*---------*---------*---------*---------* 2005-09-27, 23:35:02, Files Clean: Copyright (c) 1990 - 2004 Trend Micro Inc. Report Date : 9/27/2005 23:34:24 VSAPI Engine Version : 7.510-1002 VSCANTM Version : 1.1-1001 Virus Pattern Version : 861 (108977 Patterns) (2005/09/27) (286100) Command Line: c:\AV-CLS\Trend\VSCANTM.BIN /NBPM /S /CLEANALL /LAPPEND /LD /LC /LCF /NM /NB D:\*.* /P=c:\AV-CLS\Trend 1158 files have been read. 1158 files have been checked. 1016 files have been scanned. 1755 files have been scanned. (including files in archived) 0 files containing viruses. Found 0 viruses totally. Maybe 0 viruses totally. Stop At : 9/27/2005 23:35:02 37 seconds (37.06 seconds) has elapsed. ---------*---------*---------*---------*---------*---------*---------*---------* 2005-09-27, 23:35:02, Clean Fail: Copyright (c) 1990 - 2004 Trend Micro Inc. Report Date : 9/27/2005 23:34:24 VSAPI Engine Version : 7.510-1002 VSCANTM Version : 1.1-1001 Virus Pattern Version : 861 (108977 Patterns) (2005/09/27) (286100) Command Line: c:\AV-CLS\Trend\VSCANTM.BIN /NBPM /S /CLEANALL /LAPPEND /LD /LC /LCF /NM /NB D:\*.* /P=c:\AV-CLS\Trend 1158 files have been read. 1158 files have been checked. 1016 files have been scanned. 1755 files have been scanned. (including files in archived) 0 files containing viruses. Found 0 viruses totally. Maybe 0 viruses totally. Stop At : 9/27/2005 23:35:02 37 seconds (37.06 seconds) has elapsed. ---------*---------*---------*---------*---------*---------*---------*---------* 2005-09-27, 23:35:02, Scanner "c:\AV-CLS\Trend\VSCANTM.BIN" has finished running. +++Ende Trendmicro Habe pc durchgestartet... prompt kommt avast mit winlogon hoch > in Container. AVast bringt die 2.Meldung anders: beim 2.Mal meckert es die winlogon aus dllcache an > in Container. Danach scheint es sich nie wieder zu melden(schon 10 min). Offensichtlich merkts, dass die zu tauschende winlogon von da ins system32 will und macht die(dllcache-winlogon) auch weg. Hieße dann aber auch, das beim hochfahren beide getauscht werden oder nur die in dllcache und andere gelöscht. Werde jetzt mal neu starten, vorher aber die winlogon aus den servicepackfiles umbenennen. Denn die laufende winlogon ist die aus system32 und sie ist sauber, da z.B. auch bei Verwendung von Taskinfo zwecks check des Pfades nicht wie vorher die aufpoppenden, ständigen Meldungen bringt. So der Effekt nun ist erstmal der gleiche. Sobald ich aber die dllcache-winlogon in den Container verschoben habe, kommt der Windows Dateischutz hoch und will die WXP sp2-CD. Also würde er sie sich gerne aus den servicepackfiles holen... sh.. jetzt kommt er nicht mehr hoch! das ist mir jetzt aber peinlich... habe an sich die winlogon aus servicepackfiles zurückbenannt, möglicherweise tauscht er das nicht beim hochfahren falls ihm die vorhandene nicht gefällt. morgen gehts (vielleicht) noch bisschen weiter. __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? Dieser Beitrag wurde am 28.09.2005 um 13:18 Uhr von Sunny-pc editiert.
|
|
|
||
Logfile of HijackThis v1.99.1
Scan saved at 00:47:33, on 26.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Uti\!Spyware\_spam\hijackthis_v1991\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
+++Ende HJT
regsearch_winlogon
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "winlogon.exe" 26.09.2005 01:24:46
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\SysProcs]
"winlogon.exe"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Terminal Server\SysProcs]
"winlogon.exe"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\SysProcs]
"winlogon.exe"=dword:00000000
[HKEY_USERS\S-1-5-21-1606980848-2111687655-1060284298-1003\Software\Microsoft\Dependency Walker\Recent File List]
"File2"="C:\\WINDOWS\\system32\\winlogon.exe"
+++Ende regsearch
winpfind-safemode
WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.
If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.
»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180
»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»
Checking %SystemDrive% folder...
Checking %ProgramFilesDir% folder...
Checking %WinDir% folder...
Checking %System% folder...
PEC2 18.08.2001 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
UPX! 13.01.2005 21:41:48 11254 C:\WINDOWS\SYSTEM32\locate.com
aspack 04.08.2004 01:57:10 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
Umonitor 04.08.2004 01:57:34 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
UPX! 20.01.2005 13:47:50 175616 C:\WINDOWS\SYSTEM32\strings.exe
winsync 18.08.2001 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu
Checking %System%\Drivers folder and sub-folders...
PTech 03.08.2004 23:41:38 1309184 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys
Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts
Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
26.09.2005 00:29:28 S 2048 C:\WINDOWS\bootstat.dat
17.09.2005 03:42:54 H 23977 C:\WINDOWS\system32\ffastlog.txt
26.09.2005 00:29:18 H 8192 C:\WINDOWS\system32\config\default.LOG
26.09.2005 00:30:02 H 1024 C:\WINDOWS\system32\config\SAM.LOG
26.09.2005 00:29:30 H 16384 C:\WINDOWS\system32\config\SECURITY.LOG
26.09.2005 00:55:46 H 118784 C:\WINDOWS\system32\config\software.LOG
26.09.2005 00:29:28 H 839680 C:\WINDOWS\system32\config\system.LOG
08.08.2005 10:14:26 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\bcaf7a0b-9a55-4cb4-bacb-2d9d1621a64f
08.08.2005 10:14:26 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred
26.09.2005 00:15:44 H 6 C:\WINDOWS\Tasks\SA.DAT
Checking for CPL files...
Microsoft Corporation 04.08.2004 01:58:24 70656 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 04.08.2004 01:58:24 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 04.08.2004 01:58:24 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl
Microsoft Corporation 04.08.2004 01:58:24 138240 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 14.12.1996 01:00:00 22528 C:\WINDOWS\SYSTEM32\FINDFAST.CPL
Microsoft Corporation 04.08.2004 01:58:24 80384 C:\WINDOWS\SYSTEM32\firewall.cpl
Microsoft Corporation 04.08.2004 01:58:24 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Ahead Software AG 23.12.2003 16:40:52 57344 C:\WINDOWS\SYSTEM32\ImageDrive.cpl
Microsoft Corporation 04.08.2004 01:58:24 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 04.08.2004 01:58:24 133120 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 04.08.2004 01:58:24 381440 C:\WINDOWS\SYSTEM32\irprops.cpl
Microsoft Corporation 04.08.2004 01:58:24 69632 C:\WINDOWS\SYSTEM32\joy.cpl
Microsoft Corporation 18.08.2001 14:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 14.12.1996 01:00:00 47520 C:\WINDOWS\SYSTEM32\MLCFG32.CPL
Microsoft Corporation 04.08.2004 01:58:24 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 18.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 04.08.2004 01:58:24 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl
Microsoft Corporation 04.08.2004 01:58:24 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 18.08.2001 14:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl
Microsoft Corporation 04.08.2004 01:58:24 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 04.08.2004 01:58:24 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl
Microsoft Corporation 04.08.2004 01:58:24 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 18.08.2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 04.08.2004 01:58:24 94208 C:\WINDOWS\SYSTEM32\timedate.cpl
Corel Corporation 18.05.1998 19:08:00 19456 C:\WINDOWS\SYSTEM32\verscpl.cpl
Microsoft Corporation 04.08.2004 01:58:24 148480 C:\WINDOWS\SYSTEM32\wscui.cpl
Microsoft Corporation 04.08.2004 01:58:24 162816 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 18.08.2001 14:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 18.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 18.08.2001 14:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 18.08.2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»
Checking files in %ALLUSERSPROFILE%\Startup folder...
08.11.2004 23:05:28 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
Checking files in %ALLUSERSPROFILE%\Application Data folder...
08.11.2004 22:32:42 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini
01.07.2005 18:07:18 1337 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log
Checking files in %USERPROFILE%\Startup folder...
08.11.2004 23:05:28 HS 84 C:\Dokumente und Einstellungen\sensolife\Startmenü\Programme\Autostart\desktop.ini
Checking files in %USERPROFILE%\Application Data folder...
20.07.2005 14:03:56 1552 C:\Dokumente und Einstellungen\sensolife\Anwendungsdaten\AdobeDLM.log
08.11.2004 22:32:42 HS 62 C:\Dokumente und Einstellungen\sensolife\Anwendungsdaten\desktop.ini
20.07.2005 14:03:56 0 C:\Dokumente und Einstellungen\sensolife\Anwendungsdaten\dm.ini
»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
SV1 =
Arcor 5.004 = IEAK
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
{B63FCD5A-2396-11D1-B762-00A0C90646A4} = C:\Corel\Graphics8\programs\CMFFnd80.dll
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\VersionsMenu
{03170921-4754-11cf-AB9A-00C0F00683EB} = C:\COREL\Versions\CVersion.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\VersionsMenu
{03170921-4754-11cf-AB9A-00C0F00683EB} = C:\COREL\Versions\CVersion.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\FolderToCorelMediaFolder
{0FBF99C1-4127-11D1-B1E6-C17E96D9180A} = C:\Corel\Graphics8\programs\CMFFld80.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}
= C:\Programme\Spybot - Search & Destroy\SDHelper.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{30D02401-6A81-11D0-8274-00C04FD5AE38}
Search Band = %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
File Search Explorer Band = %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}
History Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\System32\shdocvw.dll
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe
HPDJ Taskbar Utility C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
AVGCtrl C:\Programme\AVPersonal\AVGNT.EXE /min
Arcor Online
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE C:\WINDOWS\system32\ctfmon.exe
Arcor Online
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1
DisableTaskMgr 0
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop
NoChangingWallPaper 0
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145
NoActiveDesktop 0
NoSaveSettings 0
ClassicShell 0
NoThemesTab 0
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
DisableTaskMgr 0
NoColorChoice 0
NoSizeChoice 0
NoDispScrSavPage 0
NoDispCPL 0
NoVisualStyleChoice 0
NoDispSettingsPage 0
NoDispAppearancePage 0
NoDispBackgroundPage 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = explorer.exe
System =
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs
»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 26.09.2005 01:10:22
+++Ende winpfind
spasseshalber:
pv > winlogon-dlls
Module information for 'winlogon.exe'
MODULE BASE SIZE PATH
winlogon.exe 1000000 528384 C:\WINDOWS\system32\winlogon.exe
ntdll.dll 7c910000 749568 C:\WINDOWS\system32\ntdll.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) DLL für NT-Layer
kernel32.dll 7c800000 1073152 C:\WINDOWS\system32\kernel32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Client-DLL für Windows NT-Basis-API
ADVAPI32.dll 77da0000 696320 C:\WINDOWS\system32\ADVAPI32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Erweitertes Windows 32 Base-API
RPCRT4.dll 77e50000 593920 C:\WINDOWS\system32\RPCRT4.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Remote Procedure Call Runtime
AUTHZ.dll 77690000 69632 C:\WINDOWS\system32\AUTHZ.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Authorization Framework
msvcrt.dll 77be0000 360448 C:\WINDOWS\system32\msvcrt.dll 7.0.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows NT CRT DLL
CRYPT32.dll 77a50000 610304 C:\WINDOWS\system32\CRYPT32.dll 5.131.2600.2180 (xpsp_sp2_rtm.040803-2158) Krypto-API32
USER32.dll 77d10000 589824 C:\WINDOWS\system32\USER32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Client-DLL für Windows XP USER-API
GDI32.dll 77ef0000 286720 C:\WINDOWS\system32\GDI32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) GDI Client DLL
MSASN1.dll 77af0000 73728 C:\WINDOWS\system32\MSASN1.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ASN.1 Runtime APIs
NDdeApi.dll 758e0000 32768 C:\WINDOWS\system32\NDdeApi.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Netzwerk-DDE Share Management-APIs
PROFMAP.dll 758d0000 40960 C:\WINDOWS\system32\PROFMAP.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Userenv
NETAPI32.dll 597d0000 344064 C:\WINDOWS\system32\NETAPI32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Net Win32 API DLL
USERENV.dll 76620000 741376 C:\WINDOWS\system32\USERENV.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Userenv
PSAPI.DLL 76bb0000 45056 C:\WINDOWS\system32\PSAPI.DLL 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Process Status Helper
REGAPI.dll 76b70000 61440 C:\WINDOWS\system32\REGAPI.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Registry Configuration APIs
Secur32.dll 77fc0000 69632 C:\WINDOWS\system32\Secur32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Security Support Provider Interface
SETUPAPI.dll 778f0000 999424 C:\WINDOWS\system32\SETUPAPI.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows Setup-API
VERSION.dll 77bd0000 32768 C:\WINDOWS\system32\VERSION.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Version Checking and File Installation Libraries
WINSTA.dll 76300000 65536 C:\WINDOWS\system32\WINSTA.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Winstation Library
WINTRUST.dll 76bf0000 188416 C:\WINDOWS\system32\WINTRUST.dll 5.131.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Vertrauensverifizierungs-APIs
IMAGEHLP.dll 76c50000 163840 C:\WINDOWS\system32\IMAGEHLP.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows NT Image Helper
WS2_32.dll 71a10000 94208 C:\WINDOWS\system32\WS2_32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows Socket 2.0 32-Bit DLL
WS2HELP.dll 71a00000 32768 C:\WINDOWS\system32\WS2HELP.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows Socket 2.0 Helper für Windows NT
MSGINA.dll 75910000 1019904 C:\WINDOWS\system32\MSGINA.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows-Anmeldungs-GINA-DLL
SHELL32.dll 7c9d0000 8511488 C:\WINDOWS\system32\SHELL32.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Allgemeine Windows-Shell-DLL
SHLWAPI.dll 77f40000 483328 C:\WINDOWS\system32\SHLWAPI.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Shell Light-weight Utility Library
COMCTL32.dll 5d450000 618496 C:\WINDOWS\system32\COMCTL32.dll 5.82 (xpsp_sp2_rtm.040803-2158) Common Controls Library
ODBC32.dll 745d0000 249856 C:\WINDOWS\system32\ODBC32.dll 3.525.1117.0 (xpsp_sp2_rtm.040803-2158) Microsoft Data Access - ODBC Driver Manager
comdlg32.dll 76350000 303104 C:\WINDOWS\system32\comdlg32.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) DLL für gemeinsame Dialoge
comctl32.dll 773a0000 1056768 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll 6.0 (xpsp_sp2_rtm.040803-2158) User Experience Controls Library
odbcint.dll 20000000 102400 C:\WINDOWS\system32\odbcint.dll 3.525.1117.0 built by: (_sqlbld) Microsoft Data Access - ODBC Ressourcen
SHSVCS.dll 776b0000 147456 C:\WINDOWS\system32\SHSVCS.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Windows-Shelldienste-DLL
sfc.dll 76b60000 20480 C:\WINDOWS\system32\sfc.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows File Protection
sfc_os.dll 76c20000 172032 C:\WINDOWS\system32\sfc_os.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows-Dateischutz
ole32.dll 774b0000 1294336 C:\WINDOWS\system32\ole32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft OLE für Windows
Apphelp.dll 77b10000 139264 C:\WINDOWS\system32\Apphelp.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Application Compatibility Client Library
WINSCARD.DLL 72360000 114688 C:\WINDOWS\system32\WINSCARD.DLL 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Smartcard-API
WTSAPI32.dll 76f10000 32768 C:\WINDOWS\system32\WTSAPI32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows Terminal Server SDK APIs
uxtheme.dll 5b0f0000 229376 C:\WINDOWS\system32\uxtheme.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Microsoft UxTheme-Bibliothek
WINMM.dll 76af0000 188416 C:\WINDOWS\system32\WINMM.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) MCI API-DLL
cscdll.dll 765a0000 118784 C:\WINDOWS\system32\cscdll.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Offlinenetzwerk-Agent
WlNotify.dll 758f0000 110592 C:\WINDOWS\system32\WlNotify.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Common DLL to receive Winlogon notifications
WINSPOOL.DRV 72f70000 155648 C:\WINDOWS\system32\WINSPOOL.DRV 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows-Spoolertreiber
MPR.dll 71a80000 73728 C:\WINDOWS\system32\MPR.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Router-DLL für Mehrfachanbieter
rsaenh.dll ffd0000 163840 C:\WINDOWS\system32\rsaenh.dll 5.1.2600.2161 (xpsp.040706-1629) Microsoft Enhanced Cryptographic Provider
msv1_0.dll 77c40000 143360 C:\WINDOWS\system32\msv1_0.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Authentication Package v1.0
iphlpapi.dll 76d20000 102400 C:\WINDOWS\system32\iphlpapi.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) IP-Hilfs-API
SAMLIB.dll 71b70000 77824 C:\WINDOWS\system32\SAMLIB.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) SAM Library DLL
cscui.dll 779f0000 352256 C:\WINDOWS\system32\cscui.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Clientseitige Cachebenutzeroberfläche
xpsp2res.dll 1390000 2985984 C:\WINDOWS\system32\xpsp2res.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Service Pack 2-Meldungen
NTMARTA.DLL 77660000 135168 C:\WINDOWS\system32\NTMARTA.DLL 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows NT MARTA-Anbieter
WLDAP32.dll 76f20000 184320 C:\WINDOWS\system32\WLDAP32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Win32 LDAP-API-DLL
wdmaud.drv 72c90000 36864 C:\WINDOWS\system32\wdmaud.drv 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) WDM Audio driver mapper
msacm32.drv 72c80000 32768 C:\WINDOWS\system32\msacm32.drv 5.1.2600.0 (xpclient.010817-1148) Microsoft Soundmapper
MSACM32.dll 77bb0000 86016 C:\WINDOWS\system32\MSACM32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft ACM-Audiofilter
midimap.dll 77ba0000 28672 C:\WINDOWS\system32\midimap.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft MIDI-Mapper
sxs.dll 76970000 724992 C:\WINDOWS\system32\sxs.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Fusion 2.5
COMRes.dll 77010000 864256 C:\WINDOWS\system32\COMRes.dll 2001.12.4414.258
OLEAUT32.dll 770f0000 573440 C:\WINDOWS\system32\OLEAUT32.dll 5.1.2600.2180
CLBCATQ.DLL 76f90000 520192 C:\WINDOWS\system32\CLBCATQ.DLL 2001.12.4414.258
+++Ende pv
Das ist very strange:
Habe pc(klein geschrieben bedeutet ab sofort infizierter PC, also mit "virus running"); Also, habe pc runtergefahren dann offline rangehängt und Dateien ins Board kopiert. Wollte jetzt noch die winlogon.exe bei jotti prüfen, aber die scheint sauber zu sein.
...wie man sich doch täuschen kann:
This is a report processed by VirusTotal on 09/26/2005 at 01:52:26 (CET) after scanning the file "winlogon.exe" file.
AntiVir 6.32.0.6 09.25.2005 TR/Agent.HA
Avast 4.6.695.0 09.23.2005 Win32:Trojano-2423
AVG 718 09.23.2005 Generic.AVB
Avira 6.32.0.6 09.25.2005 TR/Agent.HA
BitDefender 7.2 09.25.2005 Trojan.Agent.HA
CAT-QuickHeal 8.00 09.25.2005 no virus found
ClamAV devel-20050917 09.25.2005 no virus found
DrWeb 4.32b 09.25.2005 Trojan.DownLoader.4177
eTrust-Iris 7.1.194.0 09.25.2005 no virus found
eTrust-Vet 11.9.1.0 09.23.2005 no virus found
F-Prot 3.16c 09.23.2005 no virus found
Ikarus 0.2.59.0 09.23.2005 no virus found
Kaspersky 4.0.2.24 09.25.2005 Trojan.Win32.Agent.ha
McAfee 4589 09.23.2005 Spy-Agent.n
NOD32v2 1.1232 09.25.2005 Win32/Wigon.A
Norman 5.70.10 09.23.2005 no virus found
Panda 8.02.00 09.25.2005 W32/Bedetres.A
Sophos 3.98.0 09.25.2005 no virus found
Symantec 8.0 09.25.2005 no virus found
TheHacker 5.8.2.114 09.22.2005 no virus found
VBA32 3.10.4 09.21.2005 Trojan.Win32.Agent.ha
+++Ende virutotal
Bei dem Ergebnis kommt man echt ins Grübeln("no virus found")...
Des Weiteren sagt mir das, dass die Datei offensichtlich wenn scharfgeschalten - also wenn pc hochgefahren - verändert wird!??? Schließlich ist sie dann ohne Logo, auch die Eigenschaften sehen anders aus.
nun Jotti:
Datei: winlogon.exe
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-
AntiVir
Trojan/Agent.HA gefunden
ArcaVir
W32.Inject.LogonSMDB gefunden
Avast
Win32:Trojano-2423 gefunden
AVG Antivirus
Generic.AVB gefunden
BitDefender
Trojan.Agent.HA gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Trojan.DownLoader.4177 gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
W32/Agent.HA-tr gefunden
Kaspersky Anti-Virus
Trojan.Win32.Agent.ha gefunden
NOD32
Win32/Wigon.A gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Trojan.Win32.Agent gefunden
VBA32
Trojan.Win32.Agent.ha gefunden
+++Ende Jotti
Und noch was:
Eigenschaften von I:\WINDOWS\system32\winlogon.exe
Erstellt: Donnerstag, 22. September 2005, 23:19:52
Geändert: Freitag, 23. September 2005, 13:39:21
Letzter Zugriff: Heute, 26. September 2005, 02:12:39
Fällt mir auch noch ein: als ich das erste Mal heute den dependency walker offline auf die Datei loslassen wollte, ist mir schon beim Markieren der AntiVir aufgepoppt. Für die momentane Version (s. aktueller Jotti-scan) interessiert er sich beim öffnen mit DW nicht. Erst beim manuellen Scan der Datei schlägt er an.
Hoffe, ich konnte definitiv was zur allgemeinen complication depth beitragen.
Take your time thinking everything over, very busy tomorrow during the day.
+++Ende Sunny-PC bis Mo. abend
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?