cmd.exe Auslastung des CPU mit 100% nach einigen Stunden |
||
---|---|---|
#0
| ||
18.12.2005, 16:48
...neu hier
Beiträge: 10 |
||
|
||
18.12.2005, 17:27
Moderator
Beiträge: 7805 |
#2
Das ist ein Rootkit.
Nutzte bitte Blacklight http://www.f-secure.com/blacklight/try.shtml Lade es herunter, entpacke es in einen extra Ordner, starte es, waehle folgendes, erst " i acept the agreement", dann "scan", warte bis es den Rechner geprueft hat, dann "next" und "exit". Es befindet sich nun eine TXT Datei in dem Ordner, in dem sich auch Blacklight befindet, post es bitte hier. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.12.2005, 17:42
...neu hier
Themenstarter Beiträge: 10 |
#3
Okay, kommt hier. Danke schon mal...
12/18/05 17:37:13 [Info]: BlackLight Engine 1.0.30 initialized 12/18/05 17:37:13 [Info]: OS: 5.0 build 2195 (Service Pack 4) 12/18/05 17:37:13 [Note]: 7019 4 12/18/05 17:37:13 [Note]: 7005 0 12/18/05 17:37:22 [Note]: 7006 0 12/18/05 17:37:22 [Note]: 7011 840 12/18/05 17:37:23 [Note]: 7018 472 12/18/05 17:37:23 [Info]: Hidden process: C:\WINNT\system32\wbem\clipsvr.exe 12/18/05 17:37:23 [Note]: 7018 536 12/18/05 17:37:23 [Info]: Hidden process: C:\WINNT\system32\wbem\netdde32.exe 12/18/05 17:37:23 [Note]: 7018 560 12/18/05 17:37:23 [Info]: Hidden process: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_stunnel.exe 12/18/05 17:37:23 [Note]: 7018 588 12/18/05 17:37:23 [Info]: Hidden process: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_mbt.exe 12/18/05 17:37:23 [Note]: 7018 704 12/18/05 17:37:23 [Info]: Hidden process: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_bbt.exe 12/18/05 17:37:23 [Note]: FSRAW library version 1.7.1014 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_cmd.exe 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_op.exe 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\libeay32.dll 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\libssl32.dll 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_.exe 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_1.bat 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_1.lst 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_2.bat 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_2.exe 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_bbt.exe 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_cc.exe 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_pse.exe 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_psi.exe 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_psk.exe 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_psl.exe 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_psll.exe 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_pssd.exe 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_reg.exe 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_sc.exe 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_scan.exe 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_scl.exe 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_stunnel.exe 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_stunnel.pem 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_tl.exe 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_touch.exe 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_xcacls.exe 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_du.exe 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_findstr.exe 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_handle.exe 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_mbt.exe 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_ntpass1.exe 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_ntpass1.log 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_ntpass1a.exe 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_ntpass2.exe 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_ntpass2.log 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:28 [Info]: Hidden file: C:\WINNT\system32\drivers\knlps\nul\usr\bin\_0_ntpass2a.exe 12/18/05 17:37:28 [Note]: 10002 3 12/18/05 17:37:50 [Info]: Hidden file: C:\Dokumente und Einstellungen\Bannier1\Lokale Einstellungen\Temp\F-Secure\BlackLight\ 12/18/05 17:37:50 [Note]: 10002 3 12/18/05 17:37:50 [Info]: Hidden file: C:\Dokumente und Einstellungen\Bannier1\Lokale Einstellungen\Temp\F-Secure\BlackLight\ 12/18/05 17:37:50 [Note]: 10002 3 12/18/05 17:37:57 [Info]: Hidden file: C:\WINNT\system32\wbem\clipsvr.exe 12/18/05 17:37:57 [Note]: 10002 1 12/18/05 17:37:57 [Info]: Hidden file: C:\WINNT\system32\wbem\netdde32.exe 12/18/05 17:37:57 [Note]: 10002 1 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:38:01 [Note]: 10002 3 12/18/05 17:39:56 [Note]: 7007 0 |
|
|
||
18.12.2005, 17:55
Moderator
Beiträge: 7805 |
#4
Uh, wenn ich das recht in Erinnerung habe, ist das eines der haeftigeren Rootkits. Nicht unbedingt, das man es nicht reinigen kann, aber es veraendert einiges und klaut auch einiges.
Lasse bitte alles von Blacklight umbenennen(Dateinamen anhaken und rename druecken) und starte dann neu. Bitte dann ein neues Hijackthis log erstellen und alles was sich im C:\WINNT\system32\drivers\knlps\nul\usr\bin Ordner befindet packen und an virus@protecus.de schicken. Zusaetzlich noch alle Dateien mit der Endung .ren aus dem Ordner C:\WINNT\system32\wbem __________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.12.2005, 18:01
...neu hier
Themenstarter Beiträge: 10 |
#5
Okay, werd das jetzt gleich in Angriff nehmen. Kann einen kleinen Moment dauern.
Mann, bin ich froh, dass ich dieses Forum und dich gefunden hab. |
|
|
||
18.12.2005, 18:09
Moderator
Beiträge: 7805 |
#6
Naja, eigentlich wollte ich dir PAsswortwechsel und neu Aufsetzen empfehlen!
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.12.2005, 18:16
...neu hier
Themenstarter Beiträge: 10 |
#7
Mach keinen Mist :-)
Hier das File: Logfile of HijackThis v1.99.1 Scan saved at 18:11:51, on 18.12.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://looking4.it.helsinki.fi/activex/AxisCamControl.cab O23 - Service: ClipBook (ClipSrv) - Unknown owner - C:\WINNT\system32\wbem\clipsvr.exe (file missing) O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Network DDE (NetDDE) - Unknown owner - C:\WINNT\system32\wbem\netdde32.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe Jetzt das Problem: Mein eigener Rechner verweigert mir den Zugriff auf den Ordner knlps !!! Ich komm also gar nicht an bin Ordner ran. Und nun ? Soll ich den Ordner "drivers" senden ? Kannst Du da dann ran ? C:\WINNT\system32\wbem wäre kein Problem.... |
|
|
||
18.12.2005, 18:20
Moderator
Beiträge: 7805 |
#8
Nein, das wird nicht gehen. Versuche es bitte im abgesicherten Modus, bzw nutze nochmal Blacklight, ob noch was gemeldet wird. Ein problem bekommen wir, wenn noch ein Rootkit-Treiber aktiv ist.
Hm, ich sehe gerade, du nutzt kein AV-Programm? __________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.12.2005, 18:23
...neu hier
Themenstarter Beiträge: 10 |
#9
Okay, abgesicherter Modus geht nach dem erneuten Scan los.
Ich hatte AntiVir drauf, habs dann mal wegen der delus-Datei gelöscht. Um anzutesten... Ansonsten besteht dieses Problem ( das es bekannt ist ) erst seitdem ich einen Router habe. Und keine Firewall benutzt habe, Asche auf mein Haupt, ja, ich weiss Okay, Blacklight hat nix gefunden. Ich versuch jetzt den abgesicherten Modus *hoff* Dieser Beitrag wurde am 18.12.2005 um 18:27 Uhr von Banni editiert.
|
|
|
||
18.12.2005, 18:30
Moderator
Beiträge: 7805 |
#10
Fast vergessen, du musst diese Ueberbleibsel noch fixen:
O23 - Service: ClipBook (ClipSrv) - Unknown owner - C:\WINNT\system32\wbem\clipsvr.exe (file missing) O23 - Service: Network DDE (NetDDE) - Unknown owner - C:\WINNT\system32\wbem\netdde32.exe (file missing) Ein Router ist okay! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.12.2005, 18:41
...neu hier
Themenstarter Beiträge: 10 |
#11
Okay, ja, werd ich nun fixen.
Komm im abgesicherten Mod auch nicht an den Ordner dran :-( Jetzt hab ich ein Problem, oder ? Die gute Nachricht ist, dass die Dateien, die der securityTaskManager angegeben hat, nun weg sind. Vielleicht liegt es an diesem delus Programm, dass der STM im abgesicherten Mod zeigt ? Wird angeblich beim Windows Start mit angezeigt..und ist unsichtbar Die beiden lassen sich nicht fixen. Geht das auch im abgesicherten Modus ? Dieser Beitrag wurde am 18.12.2005 um 18:43 Uhr von Banni editiert.
|
|
|
||
18.12.2005, 18:52
Moderator
Beiträge: 7805 |
#12
Hm, kannst du mir deie dren Dateien aus dem WBEM Ordner schicken? Ich denke, das wird eine Hackdefender Variante sein. Delus wird teilweise auch von Antivir bei der installation genutzt.
Bevor wir SVV nutzen, versuche es mal mit Rootkitrevealer. Erstelle damit ein Log und poste es dann hier. Du kannst es hier finden: http://www.sysinternals.com/Utilities/RootkitRevealer.html Einfach starten, scan druecken und dann den Report speichern (geht soweit ich weiss ueber file save as) __________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.12.2005, 18:58
...neu hier
Themenstarter Beiträge: 10 |
#13
Die Dateien schick ich gleich los
Die beiden Einträge lassen sich auch nicht im abgesicherten Mod fixen :-( Okay, den Scan mach ich jetzt ( nach dem senden ) Dateien sind hoffentlich unterwegs Dieser Beitrag wurde am 18.12.2005 um 19:07 Uhr von Banni editiert.
|
|
|
||
18.12.2005, 19:12
Moderator
Beiträge: 7805 |
#14
Wie schon geschrieben, sind sie es nicht! Poste bitte das Rootkitrevealer log.
Ich muss leider immer antworten, da dun nicht auf deine eigene Threads antworten kannst... __________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.12.2005, 19:16
...neu hier
Themenstarter Beiträge: 10 |
#15
Heisst das du hast die Dateien nicht bekommen ?
Das Log ist leer, Rootkidrevealer hat nix gefunden ( Hat C und sogar F gescannt ) Du hattest ne Mail geschickt, sorry. Nachdem ich die Dateien mit win.rar nicht packen durfte, hab ich versucht, sie anzuhängen. Ging wohl auch nicht. Was ist das bloss für ein *******, so ein Roolkit ?? Dieser Beitrag wurde am 18.12.2005 um 19:24 Uhr von Banni editiert.
|
|
|
||
gesucht habe ich nun und hoffe nichts überlesen zu haben. Hier jetzt also mein Problem, an dem ich seit 11 Tagen herum arbeite. Ich werde es mal so gut wie möglich zu erklären versuchen:
Nach einer gewissen Zeit im Internet öffnet sich eine Fehlermeldung:
cmd.exe - Fehler in der Anwendung
Die Anwendung konnte nicht richtig installiert werden ( 0xc0000142 )
Das Ganze zeigt sich dann im Taskmanager: Hier wurde die cmd.exe bis zu 300x gestartet, ist unterschiedlich. Jede Öffnung der cmd.exe hat zwischen 600 und 1200 KB. Das lastet den CPU zu 100 % aus.
Habe bisher mit HiJackThis gefixt ( über die Selbstfindung im Internet )
AdAware hat Alexa gefunden und gekillt
Der SecurityTaskManager meldet mir ein Programm auf C:\, an welches er nicht ran kann: "delus" ! Ist unsichtbar !
Ferner meldet er:
- clipsvr.exe = besteht eine E\A Überlappung. Programm besteht angeblich nicht mehr. Wird auch aus unsichtbar geführt.
- netdde.exe = Handle ungültig, kann daher auch nicht in die Quarantäne.
Selbiges für:
_0_stunnel.exe
_0_mbt.exe
_0_bbt.exe
Ich weiss nicht, ob das was zu bedeuten hat. Ich komm nicht ran, der SecurityTaskManager meldet aber: potentiell gefährlich.
Hier nochmal mein neuestes File:
Logfile of HijackThis v1.99.1
Scan saved at 16:45:55, on 18.12.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\svchost.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://looking4.it.helsinki.fi/activex/AxisCamControl.cab
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
Jetzt hoffe ich mal, ihr könnt etwas damit anfangen. Bin inzwischen wirklich ratlos und für jede gute Idee zu haben.
Danke für die Mühe schon mal im Voraus
Grüße
Banni
P.S.: Hab noch was vergessen, dass wichtig sein könnte:
Blende ich versteckte Ordner ein und die Systemdateien, dann finde ich auf meinem Rechner 1x eine Datei evntcmd.exe, 2x eine Anwendung vcmd und 5x die cmd.exe ! Gehört das so ??