lpdriver.sys --> lpdriver.sys, Added by the W32/Tilebot-H

#16

Zitat

Unknown Service # 5
Service Name: virus
Display Name: change me please
Start Mode: Disabled
Start Name: LocalSystem
Description: this is it, you're ...
Service Type: Own Process
Path: "c:\windows\sysdat.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Doppelklick:regsrch.vbs

kopiere rein:

change me please

virus

sysdat
__________
MfG Sabina

rund um die PC-Sicherheit

#17 dann poste auch das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#18 REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "change me please" 18.11.2005 01:58:05

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VIRUS\0000]
"DeviceDesc"="change me please"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\virus]
"DisplayName"="change me please"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_VIRUS\0000]
"DeviceDesc"="change me please"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\virus]
"DisplayName"="change me please"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VIRUS\0000]
"DeviceDesc"="change me please"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\virus]
"DisplayName"="change me please"




REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "virus" 18.11.2005 01:59:10

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\Panda Antivirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{33F9ACB0-55FC-11D3-A72F-00C0DF248B79}\LocalServer32]
@="C:\\Programme\\Panda Software\\Panda Antivirus Platinum\\pavsrv51.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{65756541-C65C-11CD-0000-4B656E696100}]
@="Panda Antivirus"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{65756541-C65C-11CD-0000-4B656E696100}\InprocServer32]
@="C:\\Programme\\Panda Software\\Panda Antivirus Platinum\\pavOLE.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6F2E2430-554F-11D3-A72D-00CDDF248B79}\InProcServer32]
@="C:\\Programme\\Panda Software\\Panda Antivirus Platinum\\pavcprox.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shellex\ContextMenuHandlers\Panda Antivirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\Panda Antivirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shellex\ContextMenuHandlers\Panda Antivirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Exchange\Client\Extensions]
"PAV"="4.0;C:\\Programme\\Panda Software\\Panda Antivirus Platinum\\PAVExCli.dll;1;11000111111100"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services]
"virus"=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe]
"Path"="C:\\Programme\\Panda Software\\Panda Antivirus Platinum"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe]
@="C:\\Programme\\Panda Software\\Panda Antivirus Platinum\\Iface.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SCANINICIO"="\"C:\\Programme\\Panda Software\\Panda Antivirus Platinum\\Inicio.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"APVXDWIN"="\"C:\\Programme\\Panda Software\\Panda Antivirus Platinum\\APVXDWIN.EXE\" /s"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{65756541-C65C-11CD-0000-4B656E696100}"="Panda Antivirus"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E91563B4-D9EC-11D5-A2BB-00606771B69D}]
"DisplayName"="Panda Antivirus Platinum"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E91563B4-D9EC-11D5-A2BB-00606771B69D}]
"DisplayIcon"="C:\\Programme\\Panda Software\\Panda Antivirus Platinum\\Iface.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E91563B4-D9EC-11D5-A2BB-00606771B69D}]
"InstallLocation"="C:\\Programme\\Panda Software\\Panda Antivirus Platinum"

[HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software\Firewall]
"AVPath"="C:\\Programme\\Panda Software\\Panda Antivirus Platinum"

[HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software\Firewall]
"PathReport"="C:\\Programme\\Panda Software\\Panda Antivirus Platinum\\Firewall\\Firewall.rpt"

[HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software\Firewall\Netport]
"Path"="C:\\Programme\\Panda Software\\Panda Antivirus Platinum\\FIREWALL\\Netport"

[HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software\Firewall\TSE]
"Path"="C:\\Programme\\Panda Software\\Panda Antivirus Platinum\\FIREWALL\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software\Incomplete Downloads]
"C:\\Programme\\Panda Software\\Panda Antivirus Platinum\\Downloads\\PAV6_070701_070702.utp"=hex(7):2f,\

[HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software\Internet]
"PAV_ICL_DIRECTORIO_FICHEROS_PARCIALES"="C:\\Programme\\Panda Software\\Panda Antivirus Platinum\\Part"

[HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software\Panda Antivirus Exchange/Outlook]

[HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software\Panda Antivirus Platinum]

[HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software\Panda Antivirus Platinum]
"PATH"="C:\\Programme\\Panda Software\\Panda Antivirus Platinum\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software\Panda Antivirus Platinum]
"PATHREPORT"="C:\\Programme\\Panda Software\\Panda Antivirus Platinum\\Panda.rpt"

[HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software\Panda Antivirus Platinum]
"FOLDERPROGRAM"="Panda Antivirus Platinum"

[HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software\Panda Antivirus Platinum\CargaCPU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software\Panda Antivirus Platinum\ReportSettings]

[HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software\Panda Scheduling Agent]
"TASKSFOLDER"="C:\\Programme\\Panda Software\\Panda Antivirus Platinum\\Tasks\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software\Panda Virus Hospital]

[HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software\Panda Virus Hospital]
"Path"="C:\\Programme\\Panda Software\\Panda Antivirus Platinum\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software\Panda Virus Hospital]
"Quarantine"="C:\\Programme\\Panda Software\\Panda Antivirus Platinum\\Quarantine"

[HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software\Panda Virus Hospital]
"Backup"="C:\\Programme\\Panda Software\\Panda Antivirus Platinum\\Backup"

[HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software\Panda Virus Hospital]
"Temp"="C:\\Programme\\Panda Software\\Panda Antivirus Platinum\\Temp"

[HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software\Panda Virus Hospital]
"RestoreQuarantine"="C:\\Programme\\Panda Software\\Panda Antivirus Platinum\\Virus"

[HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software\Panda Virus Hospital]
"RestoreBackup"="C:\\Programme\\Panda Software\\Panda Antivirus Platinum\\Virus"

[HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software\Panda Virus Hospital]
"SendTo"="virus@pandasoftware.es"

[HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software\Setup]
"PRODUCTNAME"="Panda Antivirus Platinum 7"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\GroupOrderList]
"FSFilter Anti-Virus"=hex:03,00,00,00,01,00,00,00,02,00,00,00,03,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PAVDRV\0000]
"DeviceDesc"="Panda anti-virus driver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PAVSRV\0000]
"DeviceDesc"="Panda anti-virus service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VIRUS]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VIRUS\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VIRUS\0000]
"Service"="virus"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PAVDRV]
"DISPLAYNAME"="Panda anti-virus driver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PAVFIRES]
"ImagePath"="C:\\Programme\\Panda Software\\Panda Antivirus Platinum\\Firewall\\PavFires.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PAVSRV]
"DISPLAYNAME"="Panda anti-virus service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\virus]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\virus\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\virus\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\virus\Enum]
"0"="Root\\LEGACY_VIRUS\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\GroupOrderList]
"FSFilter Anti-Virus"=hex:03,00,00,00,01,00,00,00,02,00,00,00,03,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_PAVDRV\0000]
"DeviceDesc"="Panda anti-virus driver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_PAVSRV\0000]
"DeviceDesc"="Panda anti-virus service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_VIRUS]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_VIRUS\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_VIRUS\0000]
"Service"="virus"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\PAVDRV]
"DISPLAYNAME"="Panda anti-virus driver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\PAVFIRES]
"ImagePath"="C:\\Programme\\Panda Software\\Panda Antivirus Platinum\\Firewall\\PavFires.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\PAVSRV]
"DISPLAYNAME"="Panda anti-virus service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\virus]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\virus\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GroupOrderList]
"FSFilter Anti-Virus"=hex:03,00,00,00,01,00,00,00,02,00,00,00,03,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PAVDRV\0000]
"DeviceDesc"="Panda anti-virus driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PAVSRV\0000]
"DeviceDesc"="Panda anti-virus service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VIRUS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VIRUS\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VIRUS\0000]
"Service"="virus"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PAVDRV]
"DISPLAYNAME"="Panda anti-virus driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PAVFIRES]
"ImagePath"="C:\\Programme\\Panda Software\\Panda Antivirus Platinum\\Firewall\\PavFires.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PAVSRV]
"DISPLAYNAME"="Panda anti-virus service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\virus]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\virus\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\virus\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\virus\Enum]
"0"="Root\\LEGACY_VIRUS\\0000"

[HKEY_USERS\.DEFAULT\Software\Sygate\Trident\SmcMod]
"BinPath"="C:\\Programme\\Panda Software\\Panda Antivirus Platinum\\FIREWALL\\"

[HKEY_USERS\S-1-5-21-1214440339-113007714-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Panda Antivirus Platinum]

[HKEY_USERS\S-1-5-18\Software\Sygate\Trident\SmcMod]
"BinPath"="C:\\Programme\\Panda Software\\Panda Antivirus Platinum\\FIREWALL\\"



sysdat:

no instaces found!



Logfile of HijackThis v1.99.1
Scan saved at 02:02:18, on 18.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\mgabg.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\PDesk.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Programme\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\unikos\LOKALE~1\Temp\Rar$EX00.406\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124879702796
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1124880022015
O16 - DPF: {74F5614A-8A8C-43B4-8CC2-4B4EFAF4A6C5} (TSCCInstall Class) - http://www.techsmith.com/codec/tsccinst.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Programme\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe


hier noch der scan von panda:

6 x spyware gefunden!

Incident Status Location

Adware:adware/cws No disinfected C:\Dokumente und Einstellungen\unikos\Favoriten\internet
Spyware:spyware/dyfuca No disinfected Windows Registry
Adware:Adware/Exact.BargainBuddyNo disinfected C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9RXGD02G\webservice[2].htm
Adware:Adware/Exact.BargainBuddyNo disinfected C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CIIOK4WS\webservice[2].htm
Adware:Adware/Exact.BargainBuddyNo disinfected C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CIIOK4WS\webservice[3].htm
Adware:Adware/IST.ISTBar No disinfected C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CIIOK4WS\xml_istbar[1].xml

#19 Start-->Ausfuehren--> regedit

loeschen:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VIRUS\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\virus]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_VIRUS\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\virus]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\virus]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VIRUS]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services]
"virus"=dword:00000002 <--loeschen:

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotAllowXPSP2-->1 <--in 0 aendern

HKLM\SOFTWARE\Microsoft\Security Center\
schreibe mir , genau, welche Schluessel und Werte du dort findest

PC neustarten

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "X" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"telnet " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

Zitat

Telnet
Ermöglicht einem Remotebenutzer, sich an diesem Computer anzumelden und Programme auszuführen. Unterstützt verschiedene TCP/IP-Telnetclients, einschließlich UNIX-basierten und Windows-basierten Computern. Wenn dieser Dienst angehalten wird, ist der Remotezugriff möglicherweise nicht mehr verfügbar. Wenn dieser Dienst deaktiviert wird, können alle Dienste, die explizit von diesem Dienst abhängen, nicht mehr gestartet werden.

lade den Patch:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
http://www.microsoft.com/technet/security/bulletin/MS02-039.mspx

dann moechte ich noch mal die 4 Textdateien von datfindbat sehen
__________
MfG Sabina

rund um die PC-Sicherheit

#20 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VIRUS\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_VIRUS\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VIRUS]


kann nicht gelöscht werden


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\virus]


nicht vorhanden


schlüssel:

standard - REG_SZ - Wert nicht gesetzt
AntiVirusDisableNotify - REG_DWORD - 0x00000001 (1)
AntiVirusOverride - REG_DWORD - 0x00000001 (1)
FirewallDisableNotify - REG_DWORD - 0x00000001 (1)
FirewallOverdrive - REG_DWORD - 0x00000001 (1)
UpdatesDisableNotify - REG_DWORD 0x00000001 (1)


telnet ist schon deaktiviert gewesen.

#21 Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VIRUS\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_VIRUS\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VIRUS]

alle Werte in 0 aendern

HKEY_CURRENT_USER\Software\Microsoft\security center
FirewallDisableNotify = "dword:00000001"
UpdatesDisableNotify = "dword:00000001"
AntiVirusDisableNotify = "dword:00000001"

HKEY_LOCAL_MACHINE\Software\Microsoft\security center
FirewallDisableNotify = "dword:00000001"
UpdatesDisableNotify = "dword:00000001"
AntiVirusDisableNotify = "dword:00000001"

PC neustarten

poste noch mal die 4 Textdateien von datfinbat
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#22 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VIRUS]
kann ich nicht finden! die anderen habe ich gelöscht.

jetzt stelle ich alles auf 0

HKEY_CURRENT_USER\Software\Microsoft\security center

habe ich nicht gefunden. die anderen auf 0 gestellt



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7CC4-55D8

Verzeichnis von C:\WINDOWS\system32

18.11.2005 15:44 0 pavjob.log
18.11.2005 01:45 0 asfiles.txt
18.11.2005 01:42 2.550 Uninstall.ico
18.11.2005 01:42 1.406 Help.ico
18.11.2005 01:42 1.718 Open.ico
18.11.2005 01:42 1.406 AddQuit.ico
18.11.2005 01:42 5.350 IE.ico
18.11.2005 01:42 9.470 Desktop.ico
18.11.2005 01:42 1.718 Quick.ico
12.11.2005 19:40 13.646 wpa.dbl
30.10.2005 08:46 380.350 perfh009.dat
30.10.2005 08:46 52.764 perfc009.dat
30.10.2005 08:46 391.000 perfh007.dat
30.10.2005 08:46 63.580 perfc007.dat
30.10.2005 08:46 897.954 PerfStringBackup.INI
12.10.2005 22:18 1.852 d3d9caps.dat
01.10.2005 23:51 1.740 d3d8caps.dat
24.08.2005 17:26 149.200 FNTCACHE.DAT
24.08.2005 15:25 99.480 FWSVPN.DLL
24.08.2005 15:05 1.795 MRT.INI
04.08.2005 17:54 1.457.496 MRT.exe
03.08.2005 09:33 520.456 LegitCheckControl.DLL
29.07.2005 21:07 73.728 asuninst.exe
12.07.2005 17:04 23.304 GWFSPidGen.dll
08.07.2005 17:10 238.592 tapisrv.dll
08.07.2005 17:10 238.592 tapisrv(3).dll
08.07.2005 17:10 72.704 remotesp.tsp
06.07.2005 16:17 89.088 atl71.dll
05.07.2005 22:28 602.112 NCTAudioTransform2.dll
05.07.2005 22:28 454.656 NCTAudioRecord2.dll
05.07.2005 22:28 458.752 NCTAudioPlayer2.dll
05.07.2005 22:28 237.568 lame_enc.dll
05.07.2005 22:28 1.986.560 NCTAudioFile2.dll
05.07.2005 22:28 876.544 NCTAudioEditor2.dll
05.07.2005 22:28 307.200 msvcr70.dll
05.07.2005 22:28 1.212.416 NCTAudioInformation2.dll
30.06.2005 03:15 108.544 umpnpmgr(3).dll
30.06.2005 03:15 108.544 umpnpmgr.dll
29.06.2005 02:55 68.608 mscms(2).dll
29.06.2005 02:55 237.056 icm32.dll
29.06.2005 02:55 68.608 mscms.dll
15.06.2005 18:51 285.184 kerberos(3).dll
15.06.2005 18:51 285.184 kerberos.dll
11.06.2005 03:42 102.400 win32spl.dll
11.06.2005 00:55 53.248 spoolsv.exe
11.06.2005 00:55 53.248 spoolsv(2).exe
09.06.2005 21:32 692.736 DivX.dll
06.06.2005 22:13 356.436 DivXMedia.ax
29.05.2005 00:35 692.224 divxdec.ax

#23 das ist sauber, nun fehlen noch die anderen 3 Logs
__________
MfG Sabina

rund um die PC-Sicherheit

#24 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7CC4-55D8

Verzeichnis von C:\DOKUME~1\unikos\LOKALE~1\Temp

19.11.2005 10:30 228.068 ~WRS0000.tmp
19.11.2005 10:30 512 ~DFBDB9.tmp
2 Datei(en) 228.580 Bytes
0 Verzeichnis(se), 3.203.620.864 Bytes frei

#25 na ja...die Daten von 2002 interessieren mich nicht so sehr
du kannst auch editieren und die logs in andere Nachrichten einfuegen
und gekuerzt habe ich...weil System32 sauber ist ...
__________
MfG Sabina

rund um die PC-Sicherheit

#26 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7CC4-55D8

Verzeichnis von C:\DOKUME~1\unikos\LOKALE~1\Temp

19.11.2005 10:30 228.068 ~WRS0000.tmp
19.11.2005 10:30 512 ~DFBDB9.tmp
2 Datei(en) 228.580 Bytes
0 Verzeichnis(se), 3.203.620.864 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7CC4-55D8

Verzeichnis von C:\WINDOWS

19.11.2005 10:16 0 0.log
19.11.2005 10:15 1.059.950 WindowsUpdate.log
19.11.2005 10:15 159 wiadebug.log
19.11.2005 10:15 50 wiaservc.log
19.11.2005 10:15 2.048 bootstat.dat
18.11.2005 15:14 630 xpsp1hfm.log
18.11.2005 15:14 1.393 imsins.log
18.11.2005 15:14 2.824 tsoc.log
18.11.2005 15:14 311 tabletoc.log
18.11.2005 15:14 8.694 KB835732.log
18.11.2005 15:14 1.247 ntdtcsetup.log
18.11.2005 15:14 2.057 comsetup.log
18.11.2005 15:14 6.793 iis6.log
18.11.2005 15:14 302 msgsocm.log
18.11.2005 15:14 3.085 ocgen.log
18.11.2005 15:14 1.083 netfxocm.log
18.11.2005 15:14 212 ocmsn.log
18.11.2005 15:14 6.182 FaxSetup.log
18.11.2005 15:14 1.932 msmqinst.log
18.11.2005 15:14 0 setuperr.log
18.11.2005 15:14 0 setupact.log
18.11.2005 15:14 25.984 setupapi.log
18.11.2005 01:44 826 win.ini
08.11.2005 22:24 54.156 QTFont.qfn
23.10.2005 13:11 1.409 QTFont.for
07.10.2005 21:21 227 system.ini
02.10.2005 16:31 306 QTW.INI
27.09.2005 14:14 42 ib.ini
26.09.2005 19:46 307.200 Setup1.exe
26.09.2005 19:46 74.752 ST6UNST.EXE
20.08.2005 00:29 716.699 LogMSP.txt
20.08.2005 00:24 2 msoffice.ini
08.08.2005 00:25 532.992 opuc.dll
03.08.2005 18:37 68 BS.INI
09.07.2005 22:17 150 cdplayer.ini
25.05.2005 23:44 10.752 hh.exe
21.05.2005 00:22 10.240 Thumbs.db
19.05.2005 23:44 772 hpinfo.lnk
15.05.2005 15:16 400 ODBC.INI
14.05.2005 14:51 181 BTI.INI
12.05.2005 19:52 69.632 uinst001.exe
04.05.2005 11:01 725 aolback.exe.lnk
04.05.2005 11:01 316.640 WMSysPr9.prx
04.05.2005 10:59 335 nsreg.dat
24.02.2005 16:51 61 comventure.ini
21.10.2004 16:20 30 RESULT.QTW
21.10.2004 16:20 560 WININI.QTW
21.10.2004 16:20 231 SYSINI.QTW
21.10.2004 16:19 57 VGL.INI
06.09.2004 14:21 0 Sti_Trace.log
06.09.2004 13:37 3.451 Ascd_tmp.ini
06.09.2004 13:32 8.192 REGLOCS.OLD
06.09.2004 13:29 0 control.ini
06.09.2004 13:29 299.552 WMSysPrx.prx
06.09.2004 13:29 4.161 ODBCINST.INI
06.09.2004 13:28 749 WindowsShell.Manifest
06.09.2004 13:26 36 vb.ini
06.09.2004 13:26 37 vbaddin.ini
17.07.2003 20:52 72.704 ST5UNST.EXE
26.06.2003 15:07 129.536 SmartRemove.exe
02.04.2003 13:00 48.680 winnt.bmp
02.04.2003 13:00 17.362 Rhododendron.bmp
02.04.2003 13:00 257.568 winhelp.exe
02.04.2003 13:00 65.832 Santa Fe-Stuck.bmp
02.04.2003 13:00 65.978 Seifenblase.bmp
02.04.2003 13:00 271.872 winhlp32.exe
02.04.2003 13:00 13.898 SET7.tmp
02.04.2003 13:00 67.072 NOTEPAD.EXE
02.04.2003 13:00 2 desktop.ini
02.04.2003 13:00 26.680 F„cher.bmp
02.04.2003 13:00 82.944 clock.avi
02.04.2003 13:00 1.086.182 SET3.tmp
02.04.2003 13:00 141.312 regedit.exe
02.04.2003 13:00 17.336 Angler.bmp
02.04.2003 13:00 48.680 winnt256.bmp
02.04.2003 13:00 34.818 wmprfDEU.prx
02.04.2003 13:00 26.582 Granit.bmp
02.04.2003 13:00 1.405 msdfmap.ini
02.04.2003 13:00 15.872 TASKMAN.EXE
02.04.2003 13:00 65.954 Pr„riewind.bmp
02.04.2003 13:00 9.522 Zapotek.bmp
02.04.2003 13:00 17.062 Kaffeetasse.bmp
02.04.2003 13:00 94.800 twain.dll
02.04.2003 13:00 46.592 twain_32.dll
02.04.2003 13:00 49.680 twunk_16.exe
02.04.2003 13:00 25.600 twunk_32.exe
02.04.2003 13:00 1.272 Blaue Spitzen 16.bmp
02.04.2003 13:00 18.944 vmmreg32.dll
02.04.2003 13:00 16.730 Feder.bmp
02.04.2003 13:00 80 explorer.scf
02.04.2003 13:00 1.007.104 explorer.exe
02.04.2003 13:00 707 _default.pif
18.11.2002 17:26 27.136 toFront.dll
05.11.2002 16:56 99.672 dibapi32.dll
05.11.2002 16:56 191.976 cres1100.exe
18.01.2002 17:12 112 ActiveSkin.INI
07.09.2001 15:48 26.624 GetIe.dll
05.01.2000 00:20 86.016 unvise32qt.exe
23.03.1999 09:12 304.128 unin0407.exe
17.11.1998 12:44 328.704 IsUn0407.exe
29.10.1998 16:45 306.688 IsUninst.exe
06.10.1998 17:34 327.168 IsUn040a.exe
26.08.1996 01:12 169.472 QTW32DEL.EXE
26.08.1996 01:12 881.787 SAMPLE.MOV
26.08.1996 01:12 36.412 VIEWENU.HLP
26.08.1996 01:12 2.058.752 QT32INST.EXE
26.08.1996 01:12 43.875 MCENU.HLP
26.08.1996 01:12 67.415 PLAYENU.HLP
26.08.1996 01:12 93.184 VIEW32.EXE
26.08.1996 01:12 107.008 PLAY32.EXE
26.08.1996 01:12 10.112 READQT32.WRI
111 Datei(en) 12.553.162 Bytes
0 Verzeichnis(se), 3.203.612.672 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7CC4-55D8

Verzeichnis von C:\

19.11.2005 10:31 0 sys.txt
19.11.2005 10:30 5.674 system.txt
19.11.2005 10:30 343 systemtemp.txt
19.11.2005 10:24 96.772 system32.txt
19.11.2005 10:15 805.306.368 pagefile.sys
06.11.2005 10:45 40.569 PANDA.RPT
07.10.2005 21:21 194 boot.ini
02.10.2005 16:38 201 DMF2_WKLog.txt
19.08.2005 17:07 62 LogMSP.txt
25.07.2005 01:31 14.054 hpfr3420.log
01.07.2005 14:09 1.120 INSTALL.LOG
25.05.2005 19:53 1.186 outlook.reg
20.05.2005 00:02 1.055.140 HighGrow.zip
30.01.2005 21:29 28.870.018 blackupdate html.exe
30.01.2005 21:02 28.870.018 black update.exe
30.01.2005 18:59 315.624 dxwebsetup.exe
22.12.2004 12:33 554 debugInstaller.txt
14.09.2004 00:01 1.720 Adobe Reader 6.0.lnk
06.09.2004 13:29 0 IO.SYS
06.09.2004 13:29 0 AUTOEXEC.BAT
06.09.2004 13:29 0 CONFIG.SYS
06.09.2004 13:29 0 MSDOS.SYS
02.04.2003 13:00 47.580 NTDETECT.COM
02.04.2003 13:00 4.952 bootfont.bin
02.04.2003 13:00 235.296 ntldr
24.05.2001 11:59 162.304 UNWISE.EXE
26 Datei(en) 865.029.749 Bytes
0 Verzeichnis(se), 3.203.620.864 Bytes frei

#27 ich kann nichts mehr finden

Scan F-secure/ Online
http://virus-protect.org/onlinescan.html

dann ueberpruefe, ob die geaenderten Eintraege im HKLM\SOFTWARE\Microsoft\Security Center\ noch so sind, wie du sie eingestellt hast und ueberpruefe auch, ob der Virus-Dienst in der registry geloescht ist.

Doppelklick:regsrch.vbs

kopiere rein:

change me please

-------------------------------------------
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip
- entzippen
- scannen
- POST_THIS.TXT abkopieren

wende CleanUp an
http://virus-protect.org/cleanup.html

versuche, die windowsUpdates zu machen und berichte, ob es klappt.
__________
MfG Sabina

rund um die PC-Sicherheit

#28 standard - REG_SZ - Wert nicht gesetzt
AntiVirusDisableNotify - REG_DWORD - 0x00000001 (1)
AntiVirusOverride - REG_DWORD - 0x00000001 (1)
FirewallDisableNotify - REG_DWORD - 0x00000001 (1)
FirewallOverdrive - REG_DWORD - 0x00000001 (1)
UpdatesDisableNotify - REG_DWORD 0x00000001 (1)

so sehen sie jetzt aus!

standard - REG_SZ - Wert nicht gesetzt
AntiVirusDisableNotify - REG_DWORD - 0x00000000 (0)
AntiVirusOverride - REG_DWORD - 0x00000001 (1)
FirewallDisableNotify - REG_DWORD - 0x00000000 (0)
FirewallOverdrive - REG_DWORD - 0x00000001 (1)
UpdatesDisableNotify - REG_DWORD 0x00000000 (0)

The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Professional
Version: 5.1.2600 Service Pack 1
Nov 19, 2005 20:42:02


---> Begin Service Listing <---

Unknown Service # 1
Service Name: MGABGEXE
Display Name: MGABGEXE
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\windows\system32\mgabg.exe
State: Running
Process ID: 1580
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 2
Service Name: PAVFIRES
Display Name: Panda Firewall Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\panda software\panda antivirus platinum\firewall\pavfires.exe
State: Running
Process ID: 1616
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 3
Service Name: PAVSRV
Display Name: Panda anti-virus service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\panda software\panda antivirus platinum\pavsrv51.exe
State: Running
Process ID: 1700
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #4
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{9672c603-91c2-4a35-bb7c-07a190c0c689}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 81 Win32 services on this machine.
4 were unrecognized.

Script Execution Time: 19,14063 seconds.

#29 bis hier ist alles in Ordnung

Scan F-secure/ Online
http://virus-protect.org/onlinescan.html

dann ueberpruefe, ob die geaenderten Eintraege im HKLM\SOFTWARE\Microsoft\Security Center\ noch so sind, wie du sie eingestellt hast und ueberpruefe auch, ob der Virus-Dienst in der registry geloescht ist.

Doppelklick:regsrch.vbs

kopiere rein:

change me please
__________
MfG Sabina

rund um die PC-Sicherheit

#30 no instances " change me please "


so sehen sie jetzt aus!

standard - REG_SZ - Wert nicht gesetzt
AntiVirusDisableNotify - REG_DWORD - 0x00000000 (0)
AntiVirusOverride - REG_DWORD - 0x00000001 (1)
FirewallDisableNotify - REG_DWORD - 0x00000000 (0)
FirewallOverdrive - REG_DWORD - 0x00000001 (1)
UpdatesDisableNotify - REG_DWORD 0x00000000 (0)



KASPERSKY ON-LINE SCANNER REPORT
Saturday, November 19, 2005 21:03:54
Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 19/11/2005
Kaspersky Anti-Virus database records: 150915
-------------------------------------------------------------------------------


Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
L:\

Scan Statistics:
Total number of scanned objects: 57805
Number of viruses found: 0
Number of infected objects: 0
Number of suspicious objects: 0
Duration of the scan process: 1785 sec
No malware has been detected. The sections that have been scanned are CLEAN.

Scan process completed.