winlogon.exe infiziert von Trojan.Win32.Agent.ha (KAV)

#61 HJT-safemode (winlogon sieht im Explorer sauber aus)
Logfile of HijackThis v1.99.1
Scan saved at 00:47:33, on 26.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Uti\!Spyware\_spam\hijackthis_v1991\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
+++Ende HJT


regsearch_winlogon
REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "winlogon.exe" 26.09.2005 01:24:46

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\SysProcs]
"winlogon.exe"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Terminal Server\SysProcs]
"winlogon.exe"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\SysProcs]
"winlogon.exe"=dword:00000000

[HKEY_USERS\S-1-5-21-1606980848-2111687655-1060284298-1003\Software\Microsoft\Dependency Walker\Recent File List]
"File2"="C:\\WINDOWS\\system32\\winlogon.exe"
+++Ende regsearch

winpfind-safemode
WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
PEC2 18.08.2001 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
UPX! 13.01.2005 21:41:48 11254 C:\WINDOWS\SYSTEM32\locate.com
aspack 04.08.2004 01:57:10 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
Umonitor 04.08.2004 01:57:34 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
UPX! 20.01.2005 13:47:50 175616 C:\WINDOWS\SYSTEM32\strings.exe
winsync 18.08.2001 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...
PTech 03.08.2004 23:41:38 1309184 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
26.09.2005 00:29:28 S 2048 C:\WINDOWS\bootstat.dat
17.09.2005 03:42:54 H 23977 C:\WINDOWS\system32\ffastlog.txt
26.09.2005 00:29:18 H 8192 C:\WINDOWS\system32\config\default.LOG
26.09.2005 00:30:02 H 1024 C:\WINDOWS\system32\config\SAM.LOG
26.09.2005 00:29:30 H 16384 C:\WINDOWS\system32\config\SECURITY.LOG
26.09.2005 00:55:46 H 118784 C:\WINDOWS\system32\config\software.LOG
26.09.2005 00:29:28 H 839680 C:\WINDOWS\system32\config\system.LOG
08.08.2005 10:14:26 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\bcaf7a0b-9a55-4cb4-bacb-2d9d1621a64f
08.08.2005 10:14:26 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred
26.09.2005 00:15:44 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 04.08.2004 01:58:24 70656 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 04.08.2004 01:58:24 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 04.08.2004 01:58:24 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl
Microsoft Corporation 04.08.2004 01:58:24 138240 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 14.12.1996 01:00:00 22528 C:\WINDOWS\SYSTEM32\FINDFAST.CPL
Microsoft Corporation 04.08.2004 01:58:24 80384 C:\WINDOWS\SYSTEM32\firewall.cpl
Microsoft Corporation 04.08.2004 01:58:24 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Ahead Software AG 23.12.2003 16:40:52 57344 C:\WINDOWS\SYSTEM32\ImageDrive.cpl
Microsoft Corporation 04.08.2004 01:58:24 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 04.08.2004 01:58:24 133120 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 04.08.2004 01:58:24 381440 C:\WINDOWS\SYSTEM32\irprops.cpl
Microsoft Corporation 04.08.2004 01:58:24 69632 C:\WINDOWS\SYSTEM32\joy.cpl
Microsoft Corporation 18.08.2001 14:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 14.12.1996 01:00:00 47520 C:\WINDOWS\SYSTEM32\MLCFG32.CPL
Microsoft Corporation 04.08.2004 01:58:24 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 18.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 04.08.2004 01:58:24 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl
Microsoft Corporation 04.08.2004 01:58:24 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 18.08.2001 14:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl
Microsoft Corporation 04.08.2004 01:58:24 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 04.08.2004 01:58:24 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl
Microsoft Corporation 04.08.2004 01:58:24 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 18.08.2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 04.08.2004 01:58:24 94208 C:\WINDOWS\SYSTEM32\timedate.cpl
Corel Corporation 18.05.1998 19:08:00 19456 C:\WINDOWS\SYSTEM32\verscpl.cpl
Microsoft Corporation 04.08.2004 01:58:24 148480 C:\WINDOWS\SYSTEM32\wscui.cpl
Microsoft Corporation 04.08.2004 01:58:24 162816 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 18.08.2001 14:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 18.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 18.08.2001 14:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 18.08.2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
08.11.2004 23:05:28 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

Checking files in %ALLUSERSPROFILE%\Application Data folder...
08.11.2004 22:32:42 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini
01.07.2005 18:07:18 1337 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log

Checking files in %USERPROFILE%\Startup folder...
08.11.2004 23:05:28 HS 84 C:\Dokumente und Einstellungen\sensolife\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
20.07.2005 14:03:56 1552 C:\Dokumente und Einstellungen\sensolife\Anwendungsdaten\AdobeDLM.log
08.11.2004 22:32:42 HS 62 C:\Dokumente und Einstellungen\sensolife\Anwendungsdaten\desktop.ini
20.07.2005 14:03:56 0 C:\Dokumente und Einstellungen\sensolife\Anwendungsdaten\dm.ini

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
SV1 =
Arcor 5.004 = IEAK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
{B63FCD5A-2396-11D1-B762-00A0C90646A4} = C:\Corel\Graphics8\programs\CMFFnd80.dll

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\VersionsMenu
{03170921-4754-11cf-AB9A-00C0F00683EB} = C:\COREL\Versions\CVersion.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\VersionsMenu
{03170921-4754-11cf-AB9A-00C0F00683EB} = C:\COREL\Versions\CVersion.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\FolderToCorelMediaFolder
{0FBF99C1-4127-11D1-B1E6-C17E96D9180A} = C:\Corel\Graphics8\programs\CMFFld80.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}
= C:\Programme\Spybot - Search & Destroy\SDHelper.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{30D02401-6A81-11D0-8274-00C04FD5AE38}
Search Band = %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
File Search Explorer Band = %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}
History Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe
HPDJ Taskbar Utility C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
AVGCtrl C:\Programme\AVPersonal\AVGNT.EXE /min
Arcor Online

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE C:\WINDOWS\system32\ctfmon.exe
Arcor Online

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1
DisableTaskMgr 0


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop
NoChangingWallPaper 0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145
NoActiveDesktop 0
NoSaveSettings 0
ClassicShell 0
NoThemesTab 0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
DisableTaskMgr 0
NoColorChoice 0
NoSizeChoice 0
NoDispScrSavPage 0
NoDispCPL 0
NoVisualStyleChoice 0
NoDispSettingsPage 0
NoDispAppearancePage 0
NoDispBackgroundPage 0


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 26.09.2005 01:10:22
+++Ende winpfind

spasseshalber:
pv > winlogon-dlls

Module information for 'winlogon.exe'
MODULE BASE SIZE PATH
winlogon.exe 1000000 528384 C:\WINDOWS\system32\winlogon.exe
ntdll.dll 7c910000 749568 C:\WINDOWS\system32\ntdll.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) DLL für NT-Layer
kernel32.dll 7c800000 1073152 C:\WINDOWS\system32\kernel32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Client-DLL für Windows NT-Basis-API
ADVAPI32.dll 77da0000 696320 C:\WINDOWS\system32\ADVAPI32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Erweitertes Windows 32 Base-API
RPCRT4.dll 77e50000 593920 C:\WINDOWS\system32\RPCRT4.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Remote Procedure Call Runtime
AUTHZ.dll 77690000 69632 C:\WINDOWS\system32\AUTHZ.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Authorization Framework
msvcrt.dll 77be0000 360448 C:\WINDOWS\system32\msvcrt.dll 7.0.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows NT CRT DLL
CRYPT32.dll 77a50000 610304 C:\WINDOWS\system32\CRYPT32.dll 5.131.2600.2180 (xpsp_sp2_rtm.040803-2158) Krypto-API32
USER32.dll 77d10000 589824 C:\WINDOWS\system32\USER32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Client-DLL für Windows XP USER-API
GDI32.dll 77ef0000 286720 C:\WINDOWS\system32\GDI32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) GDI Client DLL
MSASN1.dll 77af0000 73728 C:\WINDOWS\system32\MSASN1.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ASN.1 Runtime APIs
NDdeApi.dll 758e0000 32768 C:\WINDOWS\system32\NDdeApi.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Netzwerk-DDE Share Management-APIs
PROFMAP.dll 758d0000 40960 C:\WINDOWS\system32\PROFMAP.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Userenv
NETAPI32.dll 597d0000 344064 C:\WINDOWS\system32\NETAPI32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Net Win32 API DLL
USERENV.dll 76620000 741376 C:\WINDOWS\system32\USERENV.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Userenv
PSAPI.DLL 76bb0000 45056 C:\WINDOWS\system32\PSAPI.DLL 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Process Status Helper
REGAPI.dll 76b70000 61440 C:\WINDOWS\system32\REGAPI.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Registry Configuration APIs
Secur32.dll 77fc0000 69632 C:\WINDOWS\system32\Secur32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Security Support Provider Interface
SETUPAPI.dll 778f0000 999424 C:\WINDOWS\system32\SETUPAPI.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows Setup-API
VERSION.dll 77bd0000 32768 C:\WINDOWS\system32\VERSION.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Version Checking and File Installation Libraries
WINSTA.dll 76300000 65536 C:\WINDOWS\system32\WINSTA.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Winstation Library
WINTRUST.dll 76bf0000 188416 C:\WINDOWS\system32\WINTRUST.dll 5.131.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Vertrauensverifizierungs-APIs
IMAGEHLP.dll 76c50000 163840 C:\WINDOWS\system32\IMAGEHLP.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows NT Image Helper
WS2_32.dll 71a10000 94208 C:\WINDOWS\system32\WS2_32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows Socket 2.0 32-Bit DLL
WS2HELP.dll 71a00000 32768 C:\WINDOWS\system32\WS2HELP.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows Socket 2.0 Helper für Windows NT
MSGINA.dll 75910000 1019904 C:\WINDOWS\system32\MSGINA.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows-Anmeldungs-GINA-DLL
SHELL32.dll 7c9d0000 8511488 C:\WINDOWS\system32\SHELL32.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Allgemeine Windows-Shell-DLL
SHLWAPI.dll 77f40000 483328 C:\WINDOWS\system32\SHLWAPI.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Shell Light-weight Utility Library
COMCTL32.dll 5d450000 618496 C:\WINDOWS\system32\COMCTL32.dll 5.82 (xpsp_sp2_rtm.040803-2158) Common Controls Library
ODBC32.dll 745d0000 249856 C:\WINDOWS\system32\ODBC32.dll 3.525.1117.0 (xpsp_sp2_rtm.040803-2158) Microsoft Data Access - ODBC Driver Manager
comdlg32.dll 76350000 303104 C:\WINDOWS\system32\comdlg32.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) DLL für gemeinsame Dialoge
comctl32.dll 773a0000 1056768 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll 6.0 (xpsp_sp2_rtm.040803-2158) User Experience Controls Library
odbcint.dll 20000000 102400 C:\WINDOWS\system32\odbcint.dll 3.525.1117.0 built by: (_sqlbld) Microsoft Data Access - ODBC Ressourcen
SHSVCS.dll 776b0000 147456 C:\WINDOWS\system32\SHSVCS.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Windows-Shelldienste-DLL
sfc.dll 76b60000 20480 C:\WINDOWS\system32\sfc.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows File Protection
sfc_os.dll 76c20000 172032 C:\WINDOWS\system32\sfc_os.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows-Dateischutz
ole32.dll 774b0000 1294336 C:\WINDOWS\system32\ole32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft OLE für Windows
Apphelp.dll 77b10000 139264 C:\WINDOWS\system32\Apphelp.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Application Compatibility Client Library
WINSCARD.DLL 72360000 114688 C:\WINDOWS\system32\WINSCARD.DLL 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Smartcard-API
WTSAPI32.dll 76f10000 32768 C:\WINDOWS\system32\WTSAPI32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows Terminal Server SDK APIs
uxtheme.dll 5b0f0000 229376 C:\WINDOWS\system32\uxtheme.dll 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Microsoft UxTheme-Bibliothek
WINMM.dll 76af0000 188416 C:\WINDOWS\system32\WINMM.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) MCI API-DLL
cscdll.dll 765a0000 118784 C:\WINDOWS\system32\cscdll.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Offlinenetzwerk-Agent
WlNotify.dll 758f0000 110592 C:\WINDOWS\system32\WlNotify.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Common DLL to receive Winlogon notifications
WINSPOOL.DRV 72f70000 155648 C:\WINDOWS\system32\WINSPOOL.DRV 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows-Spoolertreiber
MPR.dll 71a80000 73728 C:\WINDOWS\system32\MPR.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Router-DLL für Mehrfachanbieter
rsaenh.dll ffd0000 163840 C:\WINDOWS\system32\rsaenh.dll 5.1.2600.2161 (xpsp.040706-1629) Microsoft Enhanced Cryptographic Provider
msv1_0.dll 77c40000 143360 C:\WINDOWS\system32\msv1_0.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Authentication Package v1.0
iphlpapi.dll 76d20000 102400 C:\WINDOWS\system32\iphlpapi.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) IP-Hilfs-API
SAMLIB.dll 71b70000 77824 C:\WINDOWS\system32\SAMLIB.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) SAM Library DLL
cscui.dll 779f0000 352256 C:\WINDOWS\system32\cscui.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Clientseitige Cachebenutzeroberfläche
xpsp2res.dll 1390000 2985984 C:\WINDOWS\system32\xpsp2res.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Service Pack 2-Meldungen
NTMARTA.DLL 77660000 135168 C:\WINDOWS\system32\NTMARTA.DLL 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Windows NT MARTA-Anbieter
WLDAP32.dll 76f20000 184320 C:\WINDOWS\system32\WLDAP32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Win32 LDAP-API-DLL
wdmaud.drv 72c90000 36864 C:\WINDOWS\system32\wdmaud.drv 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) WDM Audio driver mapper
msacm32.drv 72c80000 32768 C:\WINDOWS\system32\msacm32.drv 5.1.2600.0 (xpclient.010817-1148) Microsoft Soundmapper
MSACM32.dll 77bb0000 86016 C:\WINDOWS\system32\MSACM32.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft ACM-Audiofilter
midimap.dll 77ba0000 28672 C:\WINDOWS\system32\midimap.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft MIDI-Mapper
sxs.dll 76970000 724992 C:\WINDOWS\system32\sxs.dll 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Fusion 2.5
COMRes.dll 77010000 864256 C:\WINDOWS\system32\COMRes.dll 2001.12.4414.258
OLEAUT32.dll 770f0000 573440 C:\WINDOWS\system32\OLEAUT32.dll 5.1.2600.2180
CLBCATQ.DLL 76f90000 520192 C:\WINDOWS\system32\CLBCATQ.DLL 2001.12.4414.258
+++Ende pv

Das ist very strange:
Habe pc(klein geschrieben bedeutet ab sofort infizierter PC, also mit "virus running"); Also, habe pc runtergefahren dann offline rangehängt und Dateien ins Board kopiert. Wollte jetzt noch die winlogon.exe bei jotti prüfen, aber die scheint sauber zu sein.
...wie man sich doch täuschen kann:

This is a report processed by VirusTotal on 09/26/2005 at 01:52:26 (CET) after scanning the file "winlogon.exe" file.
AntiVir 6.32.0.6 09.25.2005 TR/Agent.HA
Avast 4.6.695.0 09.23.2005 Win32:Trojano-2423
AVG 718 09.23.2005 Generic.AVB
Avira 6.32.0.6 09.25.2005 TR/Agent.HA
BitDefender 7.2 09.25.2005 Trojan.Agent.HA
CAT-QuickHeal 8.00 09.25.2005 no virus found
ClamAV devel-20050917 09.25.2005 no virus found
DrWeb 4.32b 09.25.2005 Trojan.DownLoader.4177
eTrust-Iris 7.1.194.0 09.25.2005 no virus found
eTrust-Vet 11.9.1.0 09.23.2005 no virus found
F-Prot 3.16c 09.23.2005 no virus found
Ikarus 0.2.59.0 09.23.2005 no virus found
Kaspersky 4.0.2.24 09.25.2005 Trojan.Win32.Agent.ha
McAfee 4589 09.23.2005 Spy-Agent.n
NOD32v2 1.1232 09.25.2005 Win32/Wigon.A
Norman 5.70.10 09.23.2005 no virus found
Panda 8.02.00 09.25.2005 W32/Bedetres.A
Sophos 3.98.0 09.25.2005 no virus found
Symantec 8.0 09.25.2005 no virus found
TheHacker 5.8.2.114 09.22.2005 no virus found
VBA32 3.10.4 09.21.2005 Trojan.Win32.Agent.ha
+++Ende virutotal

Bei dem Ergebnis kommt man echt ins Grübeln("no virus found")...
Des Weiteren sagt mir das, dass die Datei offensichtlich wenn scharfgeschalten - also wenn pc hochgefahren - verändert wird!??? Schließlich ist sie dann ohne Logo, auch die Eigenschaften sehen anders aus.


nun Jotti:
Datei: winlogon.exe
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-

AntiVir
Trojan/Agent.HA gefunden
ArcaVir
W32.Inject.LogonSMDB gefunden
Avast
Win32:Trojano-2423 gefunden
AVG Antivirus
Generic.AVB gefunden
BitDefender
Trojan.Agent.HA gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Trojan.DownLoader.4177 gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
W32/Agent.HA-tr gefunden
Kaspersky Anti-Virus
Trojan.Win32.Agent.ha gefunden
NOD32
Win32/Wigon.A gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Trojan.Win32.Agent gefunden
VBA32
Trojan.Win32.Agent.ha gefunden
+++Ende Jotti

Und noch was:
Eigenschaften von I:\WINDOWS\system32\winlogon.exe
Erstellt: Donnerstag, 22. September 2005, 23:19:52
Geändert: Freitag, 23. September 2005, 13:39:21
Letzter Zugriff: Heute, 26. September 2005, 02:12:39

Fällt mir auch noch ein: als ich das erste Mal heute den dependency walker offline auf die Datei loslassen wollte, ist mir schon beim Markieren der AntiVir aufgepoppt. Für die momentane Version (s. aktueller Jotti-scan) interessiert er sich beim öffnen mit DW nicht. Erst beim manuellen Scan der Datei schlägt er an.
Hoffe, ich konnte definitiv was zur allgemeinen complication depth beitragen.


Take your time thinking everything over, very busy tomorrow during the day.
+++Ende Sunny-PC bis Mo. abend
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?

#62 mache bitte folgendes:

1.
Lade clrav
http://www.kaspersky.com/de/removaltools?vtopen=146410248#open
scanne, starte den PC neu und scanne noch mal.

2.es kann sein, dass der PC sehr langsam wird, wenn du den Avast zusammen mit Antivirus auf der platte hast...versuch es mal, wenn nicht, dann deaktiviere Antivirus.

Beim laden von Avast wirst du gefragt, ob du einen Scan nach Neustart akzeptierst--> Ja

dann wird Windows gescannt, bevor es geladen wird.( Boot-Scan )
das kannst du dann wahrscheinlich, wenn du wieder in windows bist als Textdatei abkopieren.
Poste es.

avast! 4 Home Edition (free)
Lade von der Originalseite:
http://www.avast.com/eng/avast_4_home.html
__________
MfG Sabina

rund um die PC-Sicherheit

#63 Also das scheint kein unbekannter zusein. Sollte clrav oder avast nicht fündig weden, versuche mal bitte folgendes.

Boote in den abgesicherten Modus scanne mit Antivir, mitfolgenden Einstellungen, alle Dateien, Alle schadprogramme (ausser spiele), Win32 heuristik hoch.
Zur Beseitigung wenn Antivir/Clrav/avast was findet, bitte in quarantäne nehmen und an Raman schicken.

Mit Regsearch bitte mal nach folgendes suchen zuerst nach :tgbcde
dann nach module32.exe

#64 nAbend!
Habe meine Tastatur auf dem Schreibtisch endlich aus dem Papierkram ausgegraben...

Zitat

Lade clrav
http://www.kaspersky.com/de/removaltools?vtopen=146410248#open
scanne, starte den PC neu und scanne noch mal.

...leider kein feststellbares Ergebnis

avast bei reboot läuft gerade.
OK-pc ist hochgefahren. Bin während Scan paar Minuten weggewesen, habe also live nichts mitgekriegt. Avast kommt hoch, Antivir(laut Icon) allerdings nicht(jedoch laut Rechtsklick auf Symbol schon), auch keine Fenster poppen auf.
Lasse gerade von AVast VRDB generieren(habe Text überflogen, schien Sinn zu geben). Protokolldatei(aus GUI) ist leer.
VRDB still in process...
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?

#65 die Protokolldatei von Avast,,,ich habe dich nicht richtig verstanden...ist leer ?

Zitat

VRDB still in process. ??

Und Winlogon ? Kommt noch die virusmeldung?

scanne bitte uber die konsole mit diesen drei Scannern
http://virus-protect.org/multiavtool.html
__________
MfG Sabina

rund um die PC-Sicherheit

#66 exactly as I said:

Zitat

Avast kommt hoch, Antivir(laut Icon) allerdings nicht(jedoch laut Rechtsklick auf Symbol schon), auch keine Fenster("winlogon..") poppen auf.
Lasse gerade von AVast VRDB generieren(habe Text überflogen, schien Sinn zu geben). Protokolldatei(aus GUI) ist leer.
VRDB still in process...

Habe nach *.txt und *.log im avast gesucht:

aswBoot.log:
CreateKbThread
new CKbBuffer
CKbBuffer::Init
CKbBuffer::Init end
ZwCreateEvent(g_hStopEvent)
ZwAllocateVirtualMemory - stack
ZwGetContextThread - NtCurrentThread
ZwCreateThread - KbThread
CreateKbThread end
ZwInitializeRegistry
KbThread start
Unschedule
61,00,75,00,74,00,6F,00,63,00,68,00,65,00,63,00,
6B,00,20,00,61,00,75,00,74,00,6F,00,63,00,68,00,
6B,00,20,00,2A,00,00,00,61,00,73,00,77,00,42,00,
6F,00,6F,00,74,00,2E,00,65,00,78,00,65,00,20,00,
2F,00,41,00,3A,00,22,00,2A,00,22,00,20,00,2F,00,
4C,00,3A,00,22,00,47,00,65,00,72,00,6D,00,61,00,
6E,00,22,00,00,00,00,00,
Unschedule end
ZwSetEvent(g_hInitEvent)
InitKeyboard
s_dwKbdClassCnt: 2
InitKeyboard end
GetKey
ReadRegistry
DATA=C:\Programme\Alwil Software\Avast4\DATA
PROG=C:\Programme\Alwil Software\Avast4
SystemRoot=C:\WINDOWS
TEMP=C:\WINDOWS\TEMP
TMP=C:\WINDOWS\TEMP
ReadRegistry end
CreateTemp
CreateTemp end
cmnbInit
SetFolders
SetFolders end
aswEnginDllMain(DLL_PROCESS_ATTACH)
InitLog
InitLog end
InitReport
InitReport end
CmdLine
aswBoot.exe /A:"*" /L:"German"
CmdLine end
LoadResources
LoadFile
LoadFile end
LoadResources end
CKbBuffer::Wait
CKbBuffer::Get
CKbBuffer::Get end
CKbBuffer::Wait end
FreeMemory: 471433216
aswintegInitialize
avworkInitialize
ProcessArea
avfilesScanReal(MBR0)
avfilesScanReal C:\
avfilesScanReal D:\
avfilesScanReal E:\
avworkClose
aswintegClose
TerminateKbThread
GetKey end
CloseKeyboard
CloseKeyboard end
KbThread stop
CKbBuffer::~CKbBuffer
CKbBuffer::~CKbBuffer end
aswEnginDllMain(DLL_PROCESS_DETACH)
cmnbFree
FreeResources
CloseReport
CloseLog
+++Ende aswboot.log

aswBoot.txt:
09/26/2005 22:35
Scan aller lokalen Laufwerke

Anzahl durchsuchter Ordner: 2183
Anzahl getestete Dateien: 32097
Anzahl infizierte Dateien: 0
+++Ende aswboot.txt

VRDB-Generator ist fertig
Regenschirm ist zu
Antivir laut Rechtsklick aktiviert
Fenster bleiben aus

habe 2mal den ein-aus-Schalter für Antivir betätigt, jetzt steht alles auf go
Fenster bleiben immer noch aus

mache grad regsearch
:tgbcde - negativ
tgbcde - negativ
module32.exe - negativ

starte pc mal normal durch - mal sehen was Sache ist
Dem Anschein nach als wäre nie was gewesen. Beide Virenscanner scheinen aktiv zu sein, keine aufpoppenden Fenster(habe vor Neustart bei Antivir Einstellungen aus #63 eingestellt)

und nu?
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?

#67 scanne bitte uber die konsole mit diesen drei Scannern
http://virus-protect.org/multiavtool.html

danach berichte (Logs)

dann scanne die winlogon noch mal mit jottis
__________
MfG Sabina

rund um die PC-Sicherheit

#68 @sabina
Da brauch ich ja www! Habe mal den Rest während der updates vom Hausnetz abgenabelt, nur so mal.
...in Arbeit...dauert
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?

#69 ja ich weiss, du hast alle Kabel durchgeschnitten ...na, dann klebe sie wieder ...
__________
MfG Sabina

rund um die PC-Sicherheit

#70 Mal zwischendurch:
Kabel wieder zusammengeklebt. Gut, dass ich leitenden Sekundenkleber habe, sonst hätte das ewig gedauert.
MultiAVtool
Der pc ist mit Scannen noch nicht mit allen 3 Progs durch.
Hatte mit NAI angefangen, allerdings hat beim Scannen an sich der AVast bei Zugriff zugeschlagen, der ja zusammen mit Antivir immer noch im Hintergrund läuft.
Also, der Reihe nach:
NAI
McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.
Virus data file v4590 created Sep 26 2005
Scanning for 150764 viruses, trojans and variants.

Virus Scan Results

09/27/2005 01:34:56

Options:
"C:" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /PROGRAM /MIME /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: [SYSTEM]
Scanning C:\*.*
C:\WINDOWS\Temp\trz7.tmp ... Found the Spy-Agent.n trojan !!!

Summary report on C:\*.*
File(s)
Total files: ........... 88061
Clean: ................. 88014
Possibly Infected: ..... 1
Cleaned: ............... 0
Non-critical Error(s): 2
Master Boot Record(s): ......... 1
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0

Time: 06:26.57
+++Ende NAI

AVast:
*
* avast! Report
* Diese Datei wird automatisch generiert
*
* Aufgabe 'Residenter Schutz' verwendet
* Start: Montag, 26. September 2005 22:51:50
* VPS: 0536-5, 09.09.2005
*
* avast! Report
* Diese Datei wird automatisch generiert
*
* Aufgabe 'Residenter Schutz' verwendet
* Start: Montag, 26. September 2005 23:39:33
* VPS: 0536-5, 09.09.2005
*
*
* Aufgabe beendet: Montag, 26. September 2005 23:49:16
* Laufzeit war 9 Minute(n), 43 Sekunde(n)
*
*
* avast! Report
* Diese Datei wird automatisch generiert
*
* Aufgabe 'Residenter Schutz' verwendet
* Start: Dienstag, 27. September 2005 01:19:44
* VPS: 0536-5, 09.09.2005
*
C:\AV-CLS\Trend\sysclean.exezz [L] VBS:Redlof (0)
C:\AV-CLS\Trend\sysclean.exezz [L] VBS:Redlof (0)
C:\System Volume Information\_restore{A938CE86-7A86-465E-9C67-E918AA393070}\RP5\A0004258.exe [L] Win32:Trojano-2423 [Trj] (0)
Datei erfolgreich in Container verschoben...
C:\WINDOWS\SYSTEM32\WINLOGON.EXE [L] Win32:Trojano-2423 [Trj] (0)
Datei erfolgreich in Container verschoben...
C:\System Volume Information\_restore{A938CE86-7A86-465E-9C67-E918AA393070}\RP5\A0004259.exe [L] Win32:Trojano-2423 [Trj] (0)
Datei erfolgreich in Container verschoben...
C:\System Volume Information\_restore{A938CE86-7A86-465E-9C67-E918AA393070}\RP5\A0004260.exe [L] Win32:Trojano-2423 [Trj] (0)
Datei erfolgreich in Container verschoben...
C:\WINDOWS\system32\dllcache\winlogon.exe [L] Win32:Trojano-2423 [Trj] (0)
Datei erfolgreich in Container verschoben...
*
* avast! Report
* Diese Datei wird automatisch generiert
*
* Aufgabe 'Residenter Schutz' verwendet
* Start: Dienstag, 27. September 2005 09:59:01
* VPS: 0539-0, 26.09.2005
*

C:\WINDOWS\SYSTEM32\WINLOGON.EXE [L] Win32:Trojano-2423 [Trj] (0)
Datei erfolgreich in Container verschoben...
C:\WINDOWS\system32\dllcache\winlogon.exe [L] Win32:Trojano-2423 [Trj] (0)
Datei erfolgreich in Container verschoben...
+++Ende AVast

bei Sophos ist pc abgestürzt(bis dahin ohne Virenfund) -Datei udma_csc.pnf

Wo die sysvolinfo-Inhalte herkommen, kann ich nur vermuten: möglicherweise als ich die Platte offline an den PC gehängt habe(auch WXP). Habe in der Regel zwar daran gedacht, die Systemwiederherstellung für diese PArtitionen abzuschalten, habs aber vielleicht mal vergessen.
Beim pc ist ja die Sys-wiederh. nach wie vor ganz aus.
Habe mal vorsichtshalber die Situation zu meinen Gunsten geklärt: Besitz von sysvolinfo auf beiden Partitionen übernommen und an System nur noch Leserechte vergeben.

mir ist noch was auf gefallen, muß aber checken, ob von Bedeutung: die Postausgangsdatei von OLE ist 52MB groß. Kann aber nicht ausschließen, dass das "normale" Gründe hat. Mal sehen.
lasse ihn nachher gleich nochmal loslaufen
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?

#71 schicke das bitte unbedingt an raman, dann loesche es.
C:\WINDOWS\Temp\trz7.tmp (am besten schicke ihm alle ...tmp aus dem Ordner, denn sie generieren sich , denke ich mal...)

und scanne noch mal
__________
MfG Sabina

rund um die PC-Sicherheit

#72

Zitat

schicke das bitte unbedingt an raman, dann loesche es.
C:\WINDOWS\Temp\trz7.tmp (am besten schicke ihm alle ...tmp aus dem Ordner

done

Zitat

..., denn sie generieren sich , denke ich mal...)

gäb Sinn

Zitat

und scanne noch mal

abends
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?

#73

Zitat

Gnmpf postete
Also das scheint kein unbekannter zusein. Sollte clrav oder avast nicht fündig weden, versuche mal bitte folgendes.

Boote in den abgesicherten Modus scanne mit Antivir, mitfolgenden Einstellungen, alle Dateien, Alle schadprogramme (ausser spiele), Win32 heuristik hoch.
Zur Beseitigung wenn Antivir/Clrav/avast was findet, bitte in quarantäne nehmen und an Raman schicken.

Mit Regsearch bitte mal nach folgendes suchen zuerst nach :tgbcde
dann nach module32.exe

HUHU?

Eine weitere möglichkeit ist diese:

Donwload in ein eigenes Verzeichnis:
http://de.trendmicro-europe.com/file_downloads/common/tsc/sysclean.com
In das selbe Verzeichnis downloaden und entpacken:
http://de.trendmicro-europe.com/global/file_downloads/common/pattern/opr/lpt859.zip

In den abgesicherten Modus booten und laufen lassen.
Das log bitte posten.

#74

Zitat

mache grad regsearch
:tgbcde - negativ
tgbcde - negativ
module32.exe - negativ

__________
MfG Sabina

rund um die PC-Sicherheit

#75 McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.
Virus data file v4591 created Sep 27 2005
Scanning for 150974 viruses, trojans and variants.

Virus Scan Results

09/27/2005 23:47:02

Options:
/ADL /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /PROGRAM /MIME /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: [SYSTEM]
Scanning C:\*.*
C:\WINDOWS\Temp\trz1.tmp ... Found the Spy-Agent.n trojan !!!

Summary report on C:\*.*
File(s)
Total files: ........... 88136
Clean: ................. 88094
Possibly Infected: ..... 1
Cleaned: ............... 0
Non-critical Error(s): 2
Master Boot Record(s): ......... 1
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0
Scanning D: [DATEN]
Scanning D:\*.*
D:\HDD2_4GB_part2\Freestyle_Vol_22_for_www.goldesel.to\Alles was danach da war\Eigene Dateien\maus.zip\MAUS.EXE ... Found potentially unwanted program Joke-MouseShoot.

Summary report on D:\*.*
File(s)
Total files: ........... 2165
Clean: ................. 2108
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 2
Master Boot Record(s): ......... 1
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0

Time: 00:46.17
+++Ende McAfee

Sophos Anti-Virus
Version 3.98.0 [Win32/Intel]
Virus data version 3.98, October 2005
Includes detection for 110457 viruses, trojans and worms
Copyright (c) 1989-2005 Sophos Plc, www.sophos.com

System time 18:55:54, System date 27 September 2005
Command line qualifiers are: -f -di -all -remove -mime -mbr -noc -archive -opt=ISCabinet

Full Scanning

Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip\sbRecovery.reg
Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip\sbRecovery.ini
Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip\comment
Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit1.zip\sbRecovery.reg
Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit1.zip\sbRecovery.ini
Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit1.zip\comment
Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit2.zip\sbRecovery.reg
Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit2.zip\sbRecovery.ini
Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit2.zip\comment
Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit3.zip\sbRecovery.reg
Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit3.zip\sbRecovery.ini
Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit3.zip\comment
Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit4.zip\sbRecovery.reg
Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit4.zip\sbRecovery.ini
Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit4.zip\comment
Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MainPean.zip\sbRecovery.reg
Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MainPean.zip\sbRecovery.ini
Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MainPean.zip\comment
Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WurldMedia.zip\sbRecovery.reg
Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WurldMedia.zip\sbRecovery.ini
Password protected file c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WurldMedia.zip\comment
Could not open c:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Could not open c:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Could not open c:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Could not open c:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Could not open c:\Dokumente und Einstellungen\sensolife\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Could not open c:\Dokumente und Einstellungen\sensolife\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Could not open c:\WINDOWS\system32\CatRoot2\edb.log
Could not open c:\WINDOWS\system32\CatRoot2\tmp.edb
Could not open c:\WINDOWS\system32\config\system.LOG
Could not open c:\WINDOWS\Temp\JETB8E0.tmp
Could not open c:\WINDOWS\Temp\Perflib_Perfdata_100.dat
Could not open c:\WINDOWS\Temp\_avast4_\Webshlock.txt

1 master boot record swept.
27195 files swept in 1 hour, 23 minutes and 5 seconds.
33 errors were encountered.
No viruses were discovered.
21 encrypted files were not checked.
Ending Sophos Anti-Virus.
+++



/--------------------------------------------------------------\
| Trend Micro Sysclean Package |
| Copyright 2002, Trend Micro, Inc. |
| http://www.trendmicro.com |
\--------------------------------------------------------------/


2005-09-27, 23:11:26, Running scanner "c:\AV-CLS\Trend\TSC.BIN"...
2005-09-27, 23:11:46, Scanner "c:\AV-CLS\Trend\TSC.BIN" has finished running.
2005-09-27, 23:11:46, TSC Log:

Damage Cleanup Engine (DCE) 3.9(Build 1020)
Windows XP(Build 2600: Service Pack 2)

Start time : Di Sep 27 2005 23:11:26

Load Damage Cleanup Template (DCT) "c:\AV-CLS\Trend\tsc.ptn" (version 652) [success]

Complete time : Di Sep 27 2005 23:11:46
Execute pattern count(4349), Virus found count(0), Virus clean count(0), Clean failed count(0)

2005-09-27, 23:12:01, An error occurred while scanning file "C:\Dokumente und Einstellungen\LocalService\ntuser.dat": Zugriff verweigert
2005-09-27, 23:12:01, An error occurred while scanning file "C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG": Zugriff verweigert
2005-09-27, 23:12:01, An error occurred while scanning file "C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat": Zugriff verweigert
2005-09-27, 23:12:01, An error occurred while scanning file "C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG": Zugriff verweigert
2005-09-27, 23:12:01, An error occurred while scanning file "C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT": Zugriff verweigert
2005-09-27, 23:12:01, An error occurred while scanning file "C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG": Zugriff verweigert
2005-09-27, 23:12:02, An error occurred while scanning file "C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat": Zugriff verweigert
2005-09-27, 23:12:02, An error occurred while scanning file "C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG": Zugriff verweigert
2005-09-27, 23:12:02, An error occurred while scanning file "C:\Dokumente und Einstellungen\sensolife\ntuser.dat": Zugriff verweigert
2005-09-27, 23:12:02, An error occurred while scanning file "C:\Dokumente und Einstellungen\sensolife\ntuser.dat.LOG": Zugriff verweigert
2005-09-27, 23:13:53, An error occurred while scanning file "C:\Dokumente und Einstellungen\sensolife\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat": Zugriff verweigert
2005-09-27, 23:13:53, An error occurred while scanning file "C:\Dokumente und Einstellungen\sensolife\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\ALG.EXE-0F138680.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\ASHDISP.EXE-0B874892.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\ASHQUICK.EXE-13F2975D.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\ASHWEBSV.EXE-091EF0CF.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\AVAST.SETUP-2B043760.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\AVGNT.EXE-11DE492C.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\AVGUARD.EXE-0137649A.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\AVNOTIFY.EXE-0488930C.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\AVWIN.EXE-1CCB3880.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\AVWUPSRV.EXE-16AD196E.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\CTFMON.EXE-0E17969B.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\CTSVCCDA.EXE-39508B82.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\DEFRAG.EXE-273F131E.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\DFRGNTFS.EXE-269967DF.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\EXPLORER.EXE-082F38A9.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\FIND.EXE-0EC32F1E.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\GUARDGUI.EXE-0251A515.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\HPZTSB07.EXE-02862AA0.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\IMAPI.EXE-0BF740A4.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\INETUPD.EXE-118424B4.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\IPCONFIG.EXE-2395F30B.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\KIX32.EXE-0D30371A.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\Layout.ini": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\LOGONUI.EXE-0AF22957.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\NEROCHECK.EXE-092C6DFA.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\NTVDM.EXE-1A10A423.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\REGEDIT.EXE-1B606482.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\RUNDLL32.EXE-147710F4.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\SCHED.EXE-020AE3ED.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\SDAT4591.EXE-3656DACB.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\SERVICES.EXE-2F433351.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\SETUP.OVR-10EB9DE2.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\SVCHOST.EXE-3530F672.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\SYSCLEAN.COM-1EF28012.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\SYSCLEAN.EXE-31AEB4DC.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\T.EXE-2C5E72A5.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\TASKMGR.EXE-20256C55.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\TSC.BIN-25A3BE24.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\USERINIT.EXE-30B18140.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\WGET.EXE-106A43C1.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\WINRAR.EXE-3588DFE8.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\WMIADAP.EXE-2DF425B2.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf": Zugriff verweigert
2005-09-27, 23:18:03, Could not set file for reading on "C:\WINDOWS\Prefetch\WSCRIPT.EXE-32960AB9.pf": Zugriff verweigert
2005-09-27, 23:19:05, An error occurred while scanning file "C:\WINDOWS\system32\CatRoot2\edb.log": Zugriff verweigert
2005-09-27, 23:19:06, An error occurred while scanning file "C:\WINDOWS\system32\CatRoot2\tmp.edb": Zugriff verweigert
2005-09-27, 23:19:06, An error occurred while scanning file "C:\WINDOWS\system32\config\default": Zugriff verweigert
2005-09-27, 23:19:06, An error occurred while scanning file "C:\WINDOWS\system32\config\default.LOG": Zugriff verweigert
2005-09-27, 23:19:06, An error occurred while scanning file "C:\WINDOWS\system32\config\SAM": Zugriff verweigert
2005-09-27, 23:19:06, An error occurred while scanning file "C:\WINDOWS\system32\config\SAM.LOG": Zugriff verweigert
2005-09-27, 23:19:06, An error occurred while scanning file "C:\WINDOWS\system32\config\SECURITY": Zugriff verweigert
2005-09-27, 23:19:06, An error occurred while scanning file "C:\WINDOWS\system32\config\SECURITY.LOG": Zugriff verweigert
2005-09-27, 23:19:06, An error occurred while scanning file "C:\WINDOWS\system32\config\software": Zugriff verweigert
2005-09-27, 23:19:06, An error occurred while scanning file "C:\WINDOWS\system32\config\software.LOG": Zugriff verweigert
2005-09-27, 23:19:06, An error occurred while scanning file "C:\WINDOWS\system32\config\system": Zugriff verweigert
2005-09-27, 23:19:06, An error occurred while scanning file "C:\WINDOWS\system32\config\system.LOG": Zugriff verweigert
2005-09-27, 23:19:47, An error occurred while scanning file "C:\WINDOWS\Temp\Perflib_Perfdata_100.dat": Zugriff verweigert
2005-09-27, 23:19:49, Running scanner "c:\AV-CLS\Trend\VSCANTM.BIN"...
2005-09-27, 23:32:14, Files Detected:
Copyright (c) 1990 - 2004 Trend Micro Inc.
Report Date : 9/27/2005 23:19:50
VSAPI Engine Version : 7.510-1002
VSCANTM Version : 1.1-1001
Virus Pattern Version : 861 (108977 Patterns) (2005/09/27) (286100)
Command Line: c:\AV-CLS\Trend\VSCANTM.BIN /NBPM /S /CLEANALL /LAPPEND /LD /LC /LCF /NM /NB C:\*.* /P=c:\AV-CLS\Trend

27336 files have been read.
27336 files have been checked.
22103 files have been scanned.
23805 files have been scanned. (including files in archived)
0 files containing viruses.
Found 0 viruses totally.
Maybe 0 viruses totally.
Stop At : 9/27/2005 23:32:14
---------*---------*---------*---------*---------*---------*---------*---------*
2005-09-27, 23:32:14, Files Clean:
Copyright (c) 1990 - 2004 Trend Micro Inc.
Report Date : 9/27/2005 23:19:50
VSAPI Engine Version : 7.510-1002
VSCANTM Version : 1.1-1001
Virus Pattern Version : 861 (108977 Patterns) (2005/09/27) (286100)
Command Line: c:\AV-CLS\Trend\VSCANTM.BIN /NBPM /S /CLEANALL /LAPPEND /LD /LC /LCF /NM /NB C:\*.* /P=c:\AV-CLS\Trend

27336 files have been read.
27336 files have been checked.
22103 files have been scanned.
23805 files have been scanned. (including files in archived)
0 files containing viruses.
Found 0 viruses totally.
Maybe 0 viruses totally.
Stop At : 9/27/2005 23:32:14 12 minutes 22 seconds (742.05 seconds) has elapsed.

---------*---------*---------*---------*---------*---------*---------*---------*
2005-09-27, 23:32:14, Clean Fail:
Copyright (c) 1990 - 2004 Trend Micro Inc.
Report Date : 9/27/2005 23:19:50
VSAPI Engine Version : 7.510-1002
VSCANTM Version : 1.1-1001
Virus Pattern Version : 861 (108977 Patterns) (2005/09/27) (286100)
Command Line: c:\AV-CLS\Trend\VSCANTM.BIN /NBPM /S /CLEANALL /LAPPEND /LD /LC /LCF /NM /NB C:\*.* /P=c:\AV-CLS\Trend

27336 files have been read.
27336 files have been checked.
22103 files have been scanned.
23805 files have been scanned. (including files in archived)
0 files containing viruses.
Found 0 viruses totally.
Maybe 0 viruses totally.
Stop At : 9/27/2005 23:32:14 12 minutes 22 seconds (742.05 seconds) has elapsed.

---------*---------*---------*---------*---------*---------*---------*---------*
2005-09-27, 23:32:14, Scanner "c:\AV-CLS\Trend\VSCANTM.BIN" has finished running.
2005-09-27, 23:34:22, Running scanner "c:\AV-CLS\Trend\VSCANTM.BIN"...
2005-09-27, 23:35:02, Files Detected:
Copyright (c) 1990 - 2004 Trend Micro Inc.
Report Date : 9/27/2005 23:34:24
VSAPI Engine Version : 7.510-1002
VSCANTM Version : 1.1-1001
Virus Pattern Version : 861 (108977 Patterns) (2005/09/27) (286100)
Command Line: c:\AV-CLS\Trend\VSCANTM.BIN /NBPM /S /CLEANALL /LAPPEND /LD /LC /LCF /NM /NB D:\*.* /P=c:\AV-CLS\Trend

1158 files have been read.
1158 files have been checked.
1016 files have been scanned.
1755 files have been scanned. (including files in archived)
0 files containing viruses.
Found 0 viruses totally.
Maybe 0 viruses totally.
Stop At : 9/27/2005 23:35:02
---------*---------*---------*---------*---------*---------*---------*---------*
2005-09-27, 23:35:02, Files Clean:
Copyright (c) 1990 - 2004 Trend Micro Inc.
Report Date : 9/27/2005 23:34:24
VSAPI Engine Version : 7.510-1002
VSCANTM Version : 1.1-1001
Virus Pattern Version : 861 (108977 Patterns) (2005/09/27) (286100)
Command Line: c:\AV-CLS\Trend\VSCANTM.BIN /NBPM /S /CLEANALL /LAPPEND /LD /LC /LCF /NM /NB D:\*.* /P=c:\AV-CLS\Trend

1158 files have been read.
1158 files have been checked.
1016 files have been scanned.
1755 files have been scanned. (including files in archived)
0 files containing viruses.
Found 0 viruses totally.
Maybe 0 viruses totally.
Stop At : 9/27/2005 23:35:02 37 seconds (37.06 seconds) has elapsed.

---------*---------*---------*---------*---------*---------*---------*---------*
2005-09-27, 23:35:02, Clean Fail:
Copyright (c) 1990 - 2004 Trend Micro Inc.
Report Date : 9/27/2005 23:34:24
VSAPI Engine Version : 7.510-1002
VSCANTM Version : 1.1-1001
Virus Pattern Version : 861 (108977 Patterns) (2005/09/27) (286100)
Command Line: c:\AV-CLS\Trend\VSCANTM.BIN /NBPM /S /CLEANALL /LAPPEND /LD /LC /LCF /NM /NB D:\*.* /P=c:\AV-CLS\Trend

1158 files have been read.
1158 files have been checked.
1016 files have been scanned.
1755 files have been scanned. (including files in archived)
0 files containing viruses.
Found 0 viruses totally.
Maybe 0 viruses totally.
Stop At : 9/27/2005 23:35:02 37 seconds (37.06 seconds) has elapsed.

---------*---------*---------*---------*---------*---------*---------*---------*
2005-09-27, 23:35:02, Scanner "c:\AV-CLS\Trend\VSCANTM.BIN" has finished running.
+++Ende Trendmicro

Habe pc durchgestartet... prompt kommt avast mit winlogon hoch > in Container. AVast bringt die 2.Meldung anders: beim 2.Mal meckert es die winlogon aus dllcache an > in Container. Danach scheint es sich nie wieder zu melden(schon 10 min). Offensichtlich merkts, dass die zu tauschende winlogon von da ins system32 will und macht die(dllcache-winlogon) auch weg.
Hieße dann aber auch, das beim hochfahren beide getauscht werden oder nur die in dllcache und andere gelöscht.
Werde jetzt mal neu starten, vorher aber die winlogon aus den servicepackfiles umbenennen. Denn die laufende winlogon ist die aus system32 und sie ist sauber, da z.B. auch bei Verwendung von Taskinfo zwecks check des Pfades nicht wie vorher die aufpoppenden, ständigen Meldungen bringt.

So der Effekt nun ist erstmal der gleiche. Sobald ich aber die dllcache-winlogon in den Container verschoben habe, kommt der Windows Dateischutz hoch und will die WXP sp2-CD. Also würde er sie sich gerne aus den servicepackfiles holen...

sh.. jetzt kommt er nicht mehr hoch!
das ist mir jetzt aber peinlich...
habe an sich die winlogon aus servicepackfiles zurückbenannt, möglicherweise tauscht er das nicht beim hochfahren falls ihm die vorhandene nicht gefällt.

morgen gehts (vielleicht) noch bisschen weiter.
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?