Bräuchte Unterstützung beim Entfernen von SpySheriffThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
01.02.2006, 19:13
Ehrenmitglied
Beiträge: 29434 |
||
|
||
01.02.2006, 20:19
Member
Themenstarter Beiträge: 19 |
#17
Die folgende Einträge wurden nicht gelöscht. "Berechtigungen" gibt es leider nicht im Kontextmenü, so dass ich manuell nicht löschen konnte. (Bin als Administrator angemeldet)
REGEDIT4 ; Registry Search by Bobbi Flekman © 2005 ; Version: 1.0.2.4 ; Results at 01.02.2006 19:22:42 for strings: ; 'command service' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000] "DeviceDesc"="Command Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000] "DeviceDesc"="Command Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000] "DeviceDesc"="Command Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000] "DeviceDesc"="Command Service" ; End Of The Log... REGEDIT4 ; Registry Search by Bobbi Flekman © 2005 ; Version: 1.0.2.4 ; Results at 01.02.2006 19:27:16 for strings: ; 'network monitor' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000] "Service"="Network Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000] "DeviceDesc"="Network Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000] "Service"="Network Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000] "DeviceDesc"="Network Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000] "Service"="Network Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000] "DeviceDesc"="Network Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000] "Service"="Network Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000] "DeviceDesc"="Network Monitor" ; End Of The Log... REGEDIT4 ; Registry Search by Bobbi Flekman © 2005 ; Version: 1.0.2.4 ; Results at 01.02.2006 19:31:37 for strings: ; 'firedaemon service' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_EVENTSEC\0000] "DeviceDesc"="FireDaemon Service: eventsec" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTSYSVERS\0000] "DeviceDesc"="FireDaemon Service: ntsysvers" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNBATCH\0000] "DeviceDesc"="FireDaemon Service: runbatch" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_EVENTSEC\0000] "DeviceDesc"="FireDaemon Service: eventsec" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NTSYSVERS\0000] "DeviceDesc"="FireDaemon Service: ntsysvers" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RUNBATCH\0000] "DeviceDesc"="FireDaemon Service: runbatch" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_EVENTSEC\0000] "DeviceDesc"="FireDaemon Service: eventsec" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTSYSVERS\0000] "DeviceDesc"="FireDaemon Service: ntsysvers" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_RUNBATCH\0000] "DeviceDesc"="FireDaemon Service: runbatch" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EVENTSEC\0000] "DeviceDesc"="FireDaemon Service: eventsec" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTSYSVERS\0000] "DeviceDesc"="FireDaemon Service: ntsysvers" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RUNBATCH\0000] "DeviceDesc"="FireDaemon Service: runbatch" ; End Of The Log... Zitat diese Verbindung geht nach Amsterdam...bist du dort..oder der Hacker, der deinen PC gekapert hat ??? LoLHab mal die anderen Netzwerkrechner hier im Büro gecheckt. Die haben alle als DNS Server 141.67.105.20 eingetragen. Kann mir nicht vorstellen, dass die alle infiziert sind (bin der einzige mit problemen). Ganz mich da vielleicht morgen noch mal näher erkundigen. Ist das mit Amsterdam 100%ig?? MFG Matthias |
|
|
||
01.02.2006, 20:22
Ehrenmitglied
Beiträge: 29434 |
#18
kopiere noch mal die 4 Textdateien von datfindbat...bis September
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.02.2006, 20:37
Member
Themenstarter Beiträge: 19 |
#19
Datentr„ger in Laufwerk D: hat keine Bezeichnung.
Datentr„gernummer: 1CE5-D211 Verzeichnis von D:\ 01.02.2006 20:35 0 sys.txt 01.02.2006 20:34 4.040 system.txt 01.02.2006 20:34 140 systemtemp.txt 01.02.2006 20:33 87.987 system32.txt 01.02.2006 20:01 805.306.368 pagefile.sys 31.01.2006 16:40 68 direct.txt 30.01.2006 16:56 4.870 files.txt 09.01.2006 19:17 285.625 Silent Runners.vbs Datentr„ger in Laufwerk D: hat keine Bezeichnung. Datentr„gernummer: 1CE5-D211 Verzeichnis von D:\WINNT 01.02.2006 20:02 304 SchedLgU.Txt 01.02.2006 12:19 32 pavsig.txt 01.02.2006 12:07 480 win.ini 30.01.2006 11:31 48 wpd99.drv 26.01.2006 12:05 919 ODBC.INI 26.01.2006 11:59 37 vbaddin.ini 25.01.2006 13:45 14.799 mozver.dat 23.01.2006 14:49 28 pdf995.ini 23.01.2006 11:44 57.344 uneng.exe 23.01.2006 11:43 316.640 WMSysPr9.prx 16.01.2006 19:28 121 Winamp.ini 16.01.2006 16:41 41.039 nsreg.dat 16.01.2006 16:32 0 netscape.INI 16.01.2006 16:08 107.132 UninstallThunderbird.exe 16.01.2006 15:16 107.132 UninstallFirefox.exe 16.01.2006 14:49 564 Register Sound Blaster PCI128 (Drivers Only) Web Release.lnk 16.01.2006 14:02 8.192 REGLOCS.OLD 16.01.2006 13:53 0 control.ini 16.01.2006 13:52 4.073 ODBCINST.INI 16.01.2006 13:52 271 desktop.ini 16.01.2006 13:52 21.817 folder.htt 16.01.2006 13:50 36 vb.ini 16.01.2006 13:39 39 ModemDet.txt 16.01.2006 13:35 231 system.ini Datentr„ger in Laufwerk D: hat keine Bezeichnung. Datentr„gernummer: 1CE5-D211 Verzeichnis von D:\WINNT\system32 01.02.2006 20:02 35.870 vsconfig.xml 01.02.2006 14:46 233.289 q4rqle951h.dll 01.02.2006 14:45 233.289 xRctsrv.dll 01.02.2006 14:42 237.271 ir46l5hs1.dll 01.02.2006 13:56 237.271 dzserver.dll 01.02.2006 12:41 235.798 DASBASE.DLL 01.02.2006 12:19 2.550 Uninstall.ico 01.02.2006 12:19 1.406 Help.ico 01.02.2006 12:19 30.590 pavas.ico 01.02.2006 11:48 4.212 zllictbl.dat 31.01.2006 16:24 93 test.txt 31.01.2006 16:22 1.948 lo2.txt 31.01.2006 16:22 435 clear.reg 31.01.2006 16:22 4.488 bad.txt 31.01.2006 16:22 135 test3.txt 31.01.2006 16:22 135 test5.txt 31.01.2006 16:22 135 test2.txt 31.01.2006 16:22 10 flag.txt 31.01.2006 16:22 68 direct.txt 31.01.2006 10:03 0 lo2.txtt 26.01.2006 17:00 99.848 FNTCACHE.DAT 23.01.2006 14:49 118.784 pdfmona.dll 23.01.2006 14:49 51.716 pdf995mon.dll 23.01.2006 11:44 49.152 cdrtc.dll 23.01.2006 11:44 45.056 cdral.dll 16.01.2006 19:32 176.167 rmoc3260.dll 16.01.2006 19:32 5.632 pndx5032.dll 16.01.2006 19:32 6.656 pndx5016.dll 16.01.2006 19:32 278.528 pncrt.dll 16.01.2006 14:39 2.170 spupdsvc.log 16.01.2006 14:39 314 spupdw2k.log 16.01.2006 13:53 2.951 CONFIG.NT 16.01.2006 13:53 16.832 amcompat.tlb 16.01.2006 13:53 23.392 nscompat.tlb 16.01.2006 13:52 289.156 perfh007.dat 16.01.2006 13:52 300.378 perfh009.dat 16.01.2006 13:52 38.036 perfc009.dat 16.01.2006 13:52 46.232 perfc007.dat 16.01.2006 13:52 271 desktop.ini 16.01.2006 13:52 21.817 folder.htt 16.01.2006 13:51 525 mapisvc.inf 16.01.2006 13:51 15.076 emptyregdb.dat 16.01.2006 13:35 303.354 PerfStringBackup_001.INI 16.01.2006 13:35 303.354 PerfStringBackup.INI 16.01.2006 13:34 301 $winnt$.inf 29.11.2005 16:16 98.576 ctxsetup.exe 22.11.2005 18:14 2.299.664 MSHTML.DLL 15.11.2005 00:51 71.440 zlcommdb.dll 15.11.2005 00:51 79.624 zlcomm.dll 15.11.2005 00:51 100.104 vsxml.dll 15.11.2005 00:51 382.728 vsutil.dll 15.11.2005 00:51 71.440 vsregexp.dll 15.11.2005 00:50 227.088 vspubapi.dll 15.11.2005 00:50 104.208 vsmonapi.dll 15.11.2005 00:50 141.064 vsinit.dll 15.11.2005 00:50 372.816 vsdatant.sys 15.11.2005 00:50 83.720 vsdata.dll 15.11.2005 00:34 54.960 vsutil_loc0407.dll 02.11.2005 00:44 127.574 tsuninst.exe 27.10.2005 22:19 1.136.400 DANIM.DLL 24.10.2005 15:43 425.744 URLMON.DLL 24.10.2005 15:43 456.464 WININET.DLL 19.10.2005 18:50 16.384 restart.exe Datentr„ger in Laufwerk D: hat keine Bezeichnung. Datentr„gernummer: 1CE5-D211 Verzeichnis von D:\DOKUME~1\wittasms\LOKALE~1\Temp Gruß Matthias |
|
|
||
01.02.2006, 21:50
Ehrenmitglied
Beiträge: 29434 |
#20
loesche mit der killbox:
D:\WINNT\system32\q4rqle951h.dll D:\WINNT\system32\lo2.txt D:\WINNT\TVc\asappsrv.dll D:\WINNT\system32\xRctsrv.dll D:\WINNT\system32\folder.htt D:\WINNT\system32\pavas.ico D:\WINNT\system32\guard.tmp D:\WINNT\system32\tsuninst.exe D:\WINNT\system32\ir46l5hs1.dll D:\WINNT\system32\dzserver.dll nach dem Neustart suche: C:\!KillBox und loesche alle dort befindlichen Dateien manuell Download win32delfkil.exe: http://users.telenet.be/marcvn/tools/win32delfkil.exe Save it on your desktop. Double click on win32delfkil.exe and install it. This creates a new folder on your desktop: win32delfkil Close all windows, open the win32delfkil folder and double click on fix.bat. --> posten windelf.txt L2MRemover.zip - Look2Me Remover http://www.simplytech.it/L2MRemover/index_de.htm Entpacke das Programm mit einem Ziptool in den neu zu erstellenden Ordner C:\Programme\Look2meRemover. 1. Klicke auf die L2MRemover.exe, um das Programm zu starten. 2. Klicke auf "About" "Check for updates..." im Menu des Programms und aktualisiere das Programm. 3. Drücke auf den "Scan" Button und lasse dein gesamtes System, Speicher und Registry scannen. (Wenn es eine bekannte Variante der Malware findet, wird es sie ermitteln und sie unbrauchbar machen, indem es den ST-Code während des Scannens in die Malware injiziert. Dann wird es die Registry Schlüssel auflisten, die die Malware bei jedem Systemstart neu laden.) 4. Betätige den "Delete Keys" Button, um die Registry von den Schlüsseln zu bereinigen, die dafür sorgen, dass die Malware sich mit jedem Neustart wieder neu auflädt. (Wenn dir das Entfernen der Registerschlüssel zu riskant ist, kannst du ein Häkchen setzen bei "Save before delete", damit ein Backuo-File *.reg gespeichert werden kann, für den Fall, dass du die gelöschten Schlüssel neu erstellen möchtest.) Hinweis: Der "Look2me Remover" entfernt nur die Variationen der Look2Me Malware, die seit November 2005 im Umlauf sind. 5. Speichere das Logfile des Removers. kopiere noch mal die 4 Textdateien von datfindbat...bis September!!!!!!!!!!!!!!!!!!!!! __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.02.2006, 11:32
Member
Themenstarter Beiträge: 19 |
#21
************************
* WIN32DELFKIL LOGFILE * ************************ by Marckie BEFORE RUNNING WIN32DELFKIL *************************** File(s) found in Windows directory ---------------------------------- File(s) found in system32 folder -------------------------------- SharedTaskScheduler key ----------------------- SteelWerX Registry Console Tool 1.0 Written by Bobbi Flekman © 2005 HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler {438755C2-A8BA-11D1-B96B-00A0C90312E1} REG_SZ Browseui preloader {8C7461EF-2B13-11d2-BE35-3078302C2030} REG_SZ Component Categories cache daemon Notify key ---------- AFTER RUNNING WIN32DELFKIL ************************** File(s) found in Windows directory ---------------------------------- File(s) found in system32 folder -------------------------------- SharedTaskScheduler key ----------------------- SteelWerX Registry Console Tool 1.0 Written by Bobbi Flekman © 2005 HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler {438755C2-A8BA-11D1-B96B-00A0C90312E1} REG_SZ Browseui preloader {8C7461EF-2B13-11d2-BE35-3078302C2030} REG_SZ Component Categories cache daemon Notify key ---------- Der L2MeRevover hat nichts gefunden, eine logfile hab ich nicht gefunden. Datentr„ger in Laufwerk D: hat keine Bezeichnung. Datentr„gernummer: 1CE5-D211 Verzeichnis von D:\ 02.02.2006 11:14 0 sys.txt 02.02.2006 11:14 4.095 system.txt 02.02.2006 11:14 140 systemtemp.txt 02.02.2006 11:13 87.621 system32.txt 02.02.2006 10:40 805.306.368 pagefile.sys 02.02.2006 10:36 1.326 windelf.txt 31.01.2006 16:40 68 direct.txt 30.01.2006 16:56 4.870 files.txt 29.01.2006 15:15 6.782 delfiles.bat 09.01.2006 19:17 285.625 Silent Runners.vbs 17.01.2005 13:42 165 spssprod.inf Datentr„ger in Laufwerk D: hat keine Bezeichnung. Datentr„gernummer: 1CE5-D211 Verzeichnis von D:\WINNT 02.02.2006 10:12 376.642 ShellIconCache 02.02.2006 10:08 1.372 SchedLgU.Txt 01.02.2006 12:19 32 pavsig.txt 01.02.2006 12:07 480 win.ini 30.01.2006 11:31 48 wpd99.drv 26.01.2006 12:05 919 ODBC.INI 26.01.2006 11:59 37 vbaddin.ini 25.01.2006 13:45 14.799 mozver.dat 23.01.2006 14:49 28 pdf995.ini 23.01.2006 11:44 57.344 uneng.exe 23.01.2006 11:43 316.640 WMSysPr9.prx 16.01.2006 19:28 121 Winamp.ini 16.01.2006 16:41 41.039 nsreg.dat 16.01.2006 16:32 0 netscape.INI 16.01.2006 16:08 107.132 UninstallThunderbird.exe 16.01.2006 15:16 107.132 UninstallFirefox.exe 16.01.2006 14:49 564 Register Sound Blaster PCI128 (Drivers Only) Web Release.lnk 16.01.2006 14:02 8.192 REGLOCS.OLD 16.01.2006 13:53 0 control.ini 16.01.2006 13:52 4.073 ODBCINST.INI 16.01.2006 13:52 271 desktop.ini 16.01.2006 13:52 21.817 folder.htt 16.01.2006 13:50 36 vb.ini 16.01.2006 13:39 39 ModemDet.txt 16.01.2006 13:35 231 system.ini 17.01.2005 13:11 195 SpssLM.ini Datentr„ger in Laufwerk D: hat keine Bezeichnung. Datentr„gernummer: 1CE5-D211 Verzeichnis von D:\WINNT\system32 02.02.2006 10:42 35.870 vsconfig.xml 01.02.2006 12:41 235.798 DASBASE.DLL 01.02.2006 12:19 2.550 Uninstall.ico 01.02.2006 12:19 1.406 Help.ico 01.02.2006 11:48 4.212 zllictbl.dat 31.01.2006 16:24 93 test.txt 31.01.2006 16:22 435 clear.reg 31.01.2006 16:22 4.488 bad.txt 31.01.2006 16:22 135 test3.txt 31.01.2006 16:22 135 test5.txt 31.01.2006 16:22 135 test2.txt 31.01.2006 16:22 10 flag.txt 31.01.2006 16:22 68 direct.txt 31.01.2006 10:03 0 lo2.txtt 26.01.2006 17:00 99.848 FNTCACHE.DAT 23.01.2006 14:49 118.784 pdfmona.dll 23.01.2006 14:49 51.716 pdf995mon.dll 23.01.2006 11:44 49.152 cdrtc.dll 23.01.2006 11:44 45.056 cdral.dll 16.01.2006 19:32 176.167 rmoc3260.dll 16.01.2006 19:32 5.632 pndx5032.dll 16.01.2006 19:32 6.656 pndx5016.dll 16.01.2006 19:32 278.528 pncrt.dll 16.01.2006 14:39 2.170 spupdsvc.log 16.01.2006 14:39 314 spupdw2k.log 16.01.2006 13:53 2.951 CONFIG.NT 16.01.2006 13:53 16.832 amcompat.tlb 16.01.2006 13:53 23.392 nscompat.tlb 16.01.2006 13:52 300.378 perfh009.dat 16.01.2006 13:52 289.156 perfh007.dat 16.01.2006 13:52 38.036 perfc009.dat 16.01.2006 13:52 46.232 perfc007.dat 16.01.2006 13:52 271 desktop.ini 16.01.2006 13:51 525 mapisvc.inf 16.01.2006 13:51 15.076 emptyregdb.dat 16.01.2006 13:35 303.354 PerfStringBackup_001.INI 16.01.2006 13:35 303.354 PerfStringBackup.INI 16.01.2006 13:34 301 $winnt$.inf 29.11.2005 16:16 98.576 ctxsetup.exe 22.11.2005 18:14 2.299.664 MSHTML.DLL 15.11.2005 00:51 71.440 zlcommdb.dll 15.11.2005 00:51 79.624 zlcomm.dll 15.11.2005 00:51 100.104 vsxml.dll 15.11.2005 00:51 382.728 vsutil.dll 15.11.2005 00:51 71.440 vsregexp.dll 15.11.2005 00:50 227.088 vspubapi.dll 15.11.2005 00:50 104.208 vsmonapi.dll 15.11.2005 00:50 141.064 vsinit.dll 15.11.2005 00:50 372.816 vsdatant.sys 15.11.2005 00:50 83.720 vsdata.dll 15.11.2005 00:34 54.960 vsutil_loc0407.dll 30.10.2005 20:49 42.496 swreg.exe 27.10.2005 22:19 1.136.400 DANIM.DLL 24.10.2005 15:43 425.744 URLMON.DLL 24.10.2005 15:43 456.464 WININET.DLL 19.10.2005 18:50 16.384 restart.exe 25.08.2005 02:17 284.944 SHLWAPI.DLL 09.08.2005 23:14 692.224 divxdec.ax Datentr„ger in Laufwerk D: hat keine Bezeichnung. Datentr„gernummer: 1CE5-D211 Verzeichnis von D:\DOKUME~1\wittasms\LOKALE~1\Temp Übrigens: Ewido hat nichts mehr gefunden Gruß Matthias |
|
|
||
02.02.2006, 13:05
Ehrenmitglied
Beiträge: 29434 |
#22
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html D:\WINNT\system32\DASBASE.DLL ------------------------------------------------------------------- scanne mit allen 4 Scannern --> dann PC neustarten http://virus-protect.org/multiavtool.html suche die Scanreporte in C:\AV-CLS und kopiere sie hier. (nur den Teil, wo etwas gefunden/geloescht wurde __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.02.2006, 00:55
Ehrenmitglied
Beiträge: 29434 |
#23
ich habe es mir noch mal durchgesehen...da ist auch noch ein Haxdoor auf dem System
http://virus-protect.org/artikel/dienste/sndu_haxdoor.html es ist wirklich besser...du formatierst............ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.02.2006, 18:27
Member
Themenstarter Beiträge: 19 |
#24
Sophos und Trend haben nichts gefunden. Die beiden anderen Scanner gingen irgendwie nicht (Abbruch).
Meine System wirkt nach außen hin eigentlich ganz intakt: Kein automatisches öffnen mehr von internetseiten und es Erscheinen keine Verknüpfungen mehr auf dem Desktop. Ewido findet auch nicht mehr, so dass ich eigentlich dachte dass mittlerweile alles sauber sein müsste. Hier noch mal die aktuelle Hijacklog: Logfile of HijackThis v1.99.1 Scan saved at 18:13:10, on 08.02.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: D:\WINNT\System32\smss.exe D:\WINNT\system32\winlogon.exe D:\WINNT\system32\services.exe D:\WINNT\system32\lsass.exe D:\WINNT\system32\svchost.exe D:\WINNT\system32\spoolsv.exe D:\WINNT\System32\svchost.exe D:\Programme\ewido anti-malware\ewidoguard.exe D:\WINNT\system32\nvsvc32.exe D:\WINNT\system32\regsvc.exe D:\WINNT\system32\MSTask.exe C:\Program Files\Sophos\SWNETSUP.EXE D:\WINNT\Explorer.EXE D:\WINNT\System32\WBEM\WinMgmt.exe D:\WINNT\system32\svchost.exe D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\WINNT\system32\internat.exe C:\Program Files\Sophos\ICMON.EXE D:\Programme\Mozilla Firefox\firefox.exe D:\Programme\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\AntiVir PersonalEdition Classic\sched.exe D:\Dokumente und Einstellungen\wittasms\Desktop\HELP\hijackthis_199\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: InterCheck Monitor.lnk = C:\Program Files\Sophos\ICMON.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ipasum.med.uni-erlangen.de O17 - HKLM\System\CCS\Services\Tcpip\..\{619560B2-2706-46BC-B549-08E38F6ACBA0}: NameServer = 141.67.105.20,141.67.3.10 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ipasum.med.uni-erlangen.de O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = ivmed.med.uni-erlangen.de,ipasum.med.uni-erlangen.de O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ipasum.med.uni-erlangen.de O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = ivmed.med.uni-erlangen.de,ipasum.med.uni-erlangen.de O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = ipasum.med.uni-erlangen.de O17 - HKLM\System\CS3\Services\Tcpip\Parameters: SearchList = ivmed.med.uni-erlangen.de,ipasum.med.uni-erlangen.de O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = ivmed.med.uni-erlangen.de,ipasum.med.uni-erlangen.de O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe O23 - Service: ewido security suite guard - ewido networks - D:\Programme\ewido anti-malware\ewidoguard.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINNT\system32\nvsvc32.exe O23 - Service: Sophos Anti-Virus (FAUSAV 2.1) Network (SweepNet) - Sophos Plc - C:\Program Files\Sophos\SWNETSUP.EXE O23 - Service: Sophos Anti-Virus (FAUSAV 2.1) (SWEEPSRV.SYS) - Sophos Plc - C:\Program Files\Sophos\SWEEPSRV.SYS O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINNT\system32\ZoneLabs\vsmon.exe |
|
|
||
08.02.2006, 19:36
Ehrenmitglied
Beiträge: 29434 |
#25
Double Helix
RootkitRevealer http://www.sysinternals.com/Utilities/RootkitRevealer.html kopiere hier den scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.02.2006, 12:44
Member
Themenstarter Beiträge: 19 |
#26
HKLM\SYSTEM\ControlSet001\Services\sysbus32 26.01.2006 19:54 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\sysbus32 26.01.2006 19:54 0 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet003\Services\sysbus32 26.01.2006 19:54 0 bytes Hidden from Windows API. D:\Dokumente und Einstellungen\administrator\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys 02.02.2006 15:51 0 bytes Hidden from Windows API. D:\Dokumente und Einstellungen\administrator\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\settings.sol 02.02.2006 15:51 348 bytes Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys 25.01.2006 13:45 0 bytes Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\settings.sol 25.01.2006 13:45 348 bytes Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\2005 ISEA Tucson.LNK 09.02.2006 12:25 478 bytes Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\2B_4_Canyon_Koch_DINP.ppt.LNK 09.02.2006 12:25 557 bytes Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\adults 85.LNK 27.01.2006 13:02 404 bytes Visible in Windows API, but not in MFT or directory index. D:\Dokumente und Einstellungen\wittasms\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\ISEA-prefinal_HK.ppt.LNK 09.02.2006 12:24 547 bytes Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ice0ptoq.default\Cache\6A9A1664d01 09.02.2006 12:32 22.38 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ice0ptoq.default\Cache\7756ADB7d01 09.02.2006 12:33 101.84 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\mso12A99.emf 09.02.2006 12:24 72.82 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\mso131B0.emf 09.02.2006 12:25 4.23 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\mso25DA8.emf 09.02.2006 12:25 5.10 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\mso30697.emf 09.02.2006 12:25 5.90 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\mso31EB8.wmf 09.02.2006 12:24 1.42 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\mso73B14.emf 09.02.2006 12:25 3.93 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\mso7A4DE.emf 09.02.2006 12:24 60.89 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\mso7CB3D.emf 09.02.2006 12:25 4.23 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\mso8719B.emf 09.02.2006 12:25 4.20 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\mso8D749.emf 09.02.2006 12:25 5.79 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\mso9357F.wmf 09.02.2006 12:24 1.38 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\mso95E8C.emf 09.02.2006 12:25 4.23 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\mso9FF92.emf 09.02.2006 12:25 3.93 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\msoA238D.wmf 09.02.2006 12:24 1.67 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\msoAC09C.wmf 09.02.2006 12:24 1.41 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\msoB1F22.wmf 09.02.2006 12:24 1.04 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\msoB3916.emf 09.02.2006 12:25 4.23 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\msoB4D03.emf 09.02.2006 12:25 4.23 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\msoB67C7.emf 09.02.2006 12:25 5.54 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\msoBE0E5.emf 09.02.2006 12:25 3.93 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\msoC4CAF.emf 09.02.2006 12:25 4.23 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\msoC6EDA.emf 09.02.2006 12:25 3.64 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\msoD5271.emf 09.02.2006 12:25 4.23 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\msoD61A6.wmf 09.02.2006 12:24 544 bytes Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\msoE4D6B.wmf 09.02.2006 12:24 1.44 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\msoEFE4E.emf 09.02.2006 12:25 5.74 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\~DFADF.tmp 09.02.2006 12:17 512 bytes Visible in Windows API, but not in MFT or directory index. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\~DFED04.tmp 09.02.2006 12:27 512 bytes Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Recent\2005 ISEA Tucson.lnk 09.02.2006 12:25 478 bytes Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Recent\2B_4_Canyon_Koch_DINP.ppt.lnk 09.02.2006 12:25 665 bytes Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Recent\ISEA-prefinal_HK.ppt.lnk 09.02.2006 12:24 655 bytes Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Recent\Sophos.lnk 08.02.2006 18:04 242 bytes Visible in Windows API, but not in MFT or directory index. D:\WINNT\system32\drivers\sysbus32.sys 26.01.2006 19:54 47.52 KB Hidden from Windows API. MFG Matthias |
|
|
||
09.02.2006, 12:53
Ehrenmitglied
Beiträge: 29434 |
#27
Double Helix
Gehe in die Registry und loesche: HKLM\SYSTEM\ControlSet001\Services\sysbus32 HKLM\SYSTEM\ControlSet002\Services\sysbus32 HKLM\SYSTEM\ControlSet003\Services\sysbus32 loesche mit der Killbox: D:\WINNT\system32\drivers\sysbus32.sys dann kopiere noch mal (nach Neustart) das Log vom Rootkitrevealer ------------------------------------------------------------------- sysbus32.sys http://virus-protect.org/artikel/dienste/sysbus32_sys.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.02.2006, 17:20
Member
Themenstarter Beiträge: 19 |
#28
Einträge werden in der Registry nicht angezeigt.
D:\WINNT\system32\drivers\sysbus32.sys gelöscht mit Killbox. HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 09.02.2006 17:26 80 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Microsoft\WBEM\CIMOM\Startup Heap Preallocation Size 09.02.2006 09:08 4 bytes Data mismatch between Windows API and raw hive data. D:\Dokumente und Einstellungen\wittasms\Desktop\UPB\~$stract ISEA '06.doc 09.02.2006 17:30 162 bytes Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ice0ptoq.default\Cache\37757820d01 09.02.2006 17:37 66.66 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ice0ptoq.default\Cache\57B4D0CEd01 09.02.2006 17:33 41.98 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ice0ptoq.default\Cache\9E2F0AACd01 09.02.2006 17:33 24.94 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ice0ptoq.default\Cache\9F745D05d01 09.02.2006 17:32 54.76 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ice0ptoq.default\Cache\A50EC86Fd01 09.02.2006 17:32 32.41 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ice0ptoq.default\Cache\B5042919d01 09.02.2006 17:32 98.12 KB Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\~DF2855.tmp 09.02.2006 17:30 512 bytes Hidden from Windows API. D:\Dokumente und Einstellungen\wittasms\Lokale Einstellungen\Temp\~DF3247.tmp 09.02.2006 17:30 512 bytes Hidden from Windows API. MFG Matthias Dieser Beitrag wurde am 09.02.2006 um 17:44 Uhr von Double Helix editiert.
|
|
|
||
10.02.2006, 00:42
Ehrenmitglied
Beiträge: 29434 |
#29
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken Zitat REGEDIT4loeschen: D:\WINNT\system32\DASBASE.DLL dann kopiere noch mal die option 1 von l2mfix http://virus-protect.org/l2mfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.02.2006, 10:08
Member
Themenstarter Beiträge: 19 |
#30
l2mfix-log Option 1
L2MFIX find log 010406 These are the registry keys present ********************************************************************************** Winlogon/notify: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] "Asynchronous"=dword:00000000 "DllName"="" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Logoff"="WinLogoff" "Shutdown"="WinShutdown" ********************************************************************************** useragent: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "{5204260C-C91B-4E3D-EBC7-244E87B1A075}"="" ********************************************************************************** Shell Extension key: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] "{00022613-0000-0000-C000-000000000046}"="Eigenschaften fr Multimediadatei" "{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung" "{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit" "{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite fr Dokumente" "{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shell-Erweiterungen fr Freigaben" "{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL-Erweiterung" "{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Grafikkarten" "{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Bildschirme" "{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Anzeigeverschiebung" "{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit" "{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler" "{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung fr Datentr„gerkopien" "{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shell-Erweiterungen fr Microsoft Windows-Netzwerkobjekte" "{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung" "{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung" "{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shell-Erweiterungen fr die Dateikomprimierung" "{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung fr Webdrucker" "{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI" "{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen fr die Verschlsselung" "{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer" "{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung fr HyperTerminal-Icons" "{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten" "{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil" "{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit" "{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shell-Erweiterungen fr Freigaben" "{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension" "{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shellerweiterungen fr Windows Script Host" "{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung" "{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung" "{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerk- und DFš-Verbindungen" "{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler" "{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension" "{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks" "{1A9BA3A0-143A-11CF-8350-444553540000}"="Shell Favorite Folder" "{20D04FE0-3AEA-1069-A2D8-08002B30309D}"="Arbeitsplatz" "{86747AC0-42A0-1069-A2E6-08002B30309D}"="Aktenkoffer" "{0AFACED1-E828-11D1-9187-B532F1E9575D}"="Ordnerverknpfung" "{12518493-00B2-11d2-9FA5-9E3420524153}"="Bereitgestellter Datentr„ger" "{21B22460-3AEA-1069-A2DC-08002B30309D}"="File Property Page Extension" "{B091E540-83E3-11CF-A713-0020AFD79762}"="File Types Page" "{FBF23B41-E3F0-101B-8488-00AA003E56F8}"="MIME File Types Hook" "{C2FBB630-2971-11d1-A18C-00C04FD75D13}"="Microsoft CopyTo Service" "{C2FBB631-2971-11d1-A18C-00C04FD75D13}"="Microsoft MoveTo Service" "{13709620-C279-11CE-A49E-444553540000}"="Shell Automationsdienst" "{62112AA1-EBE4-11cf-A5FB-0020AFE7292D}"="Shell Automation Folder View" "{4622AD11-FF23-11d0-8D34-00A0C90F2719}"="Startmen" "{7BA4C740-9E81-11CF-99D3-00AA004AE837}"="Microsoft SendTo Service" "{D969A300-E7FF-11d0-A93B-00A0C90F2719}"="Microsoft New Object Service" "{09799AFB-AD67-11d1-ABCD-00C04FC30936}"="Open With Context Menu Handler" "{3FC0B520-68A9-11D0-8D77-00C04FD70822}"="Display Control Panel HTML Extensions" "{75048700-EF1F-11D0-9888-006097DEACF9}"="ActiveDesktop" "{6D5313C0-8C62-11D1-B2CD-006097DF8C11}"="Folder Options Property Page Extension" "{57651662-CE3E-11D0-8D77-00C04FC99D61}"="CmdFileIcon" "{4657278A-411B-11d2-839A-00C04FD918D0}"="Shell Drag & Drop-Hilfe" "{A470F8CF-A1E8-4f65-8335-227475AA5C46}"="Verschlsselungselemente zu den Kontextmens im Explorer hinzufgen" "{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar" "{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status" "{568804CA-CBD7-11d0-9816-00C04FD91972}"="Menu Shell Folder" "{5b4dae26-b807-11d0-9815-00c04fd91972}"="Menu Band" "{8278F931-2A3E-11d2-838F-00C04FD918D0}"="Tracking Shell Menu" "{E13EF4E4-D2F2-11d0-9816-00C04FD91972}"="Menu Site" "{ECD4FC4F-521C-11D0-B792-00A0C90312E1}"="Menu Desk Bar" "{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder" "{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Merge Shell Folder" "{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy" "{D82BE2B0-5764-11D0-A96E-00C04FD705A2}"="IShellFolderBand" "{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand" "{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Microsoft SearchBand" "{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search" "{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search" "{0E5CBF21-D15F-11d0-8301-00AA005B4383}"="&Links" "{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility" "{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse" "{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox" "{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete" "{7487cd30-f71a-11d0-9ea7-00805f714772}"="Thumbnail Image" "{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor" "{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List" "{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List" "{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List" "{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container" "{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu" "{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp" "{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar" "{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite" "{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist" "{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings" "{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band" "{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service" "{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer" "{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut" "{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst" "{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf" "{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files" "{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff" "{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begráungsbildschirm" "{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook" "{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC" "{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC" "{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet" "{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space" "{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service" "{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service" "{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Zwischenspeicher-Ordner" "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck" "{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr" "{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder" "{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler" "{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent" "{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent" "{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent" "{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent" "{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent" "{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler" "{8BEBB290-52D0-11D0-B7F4-00C04FD706EC}"="Miniaturansicht" "{EAB841A0-9550-11CF-8C16-00805F1408F3}"="HTML Thumbnail Extractor" "{1AEB1360-5AFC-11D0-B806-00C04FD706EC}"="Office Graphics Filters Thumbnail Extractor" "{9DBD2C50-62AD-11D0-B806-00C04FD706EC}"="Summary Info Thumbnail handler (DOCFILES)" "{500202A0-731E-11D0-B829-00C04FD706EC}"="LNK file thumbnail interface delegator" "{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager" "{0B124F8C-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator" "{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher" "{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei" "{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channel Shortcut" "{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channel Handler Object" "{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu" "{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties" "{fe1290f0-cfbd-11cf-a330-00aa00c16e65}"="Directory Namespace" "{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object" "{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI" "{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find" "{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find" "{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI" "{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs" "{450D8FBA-AD25-11D0-98A8-0800361B1103}"="MyDocs Folder" "{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook" "{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target" "{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties" "{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu" "{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options" "{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Offline Files Folder" "{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler" "{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer" "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}"="Shell Extensions for RealOne Player" "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension" "{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Webordner" "{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler" "{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler" "{4416FB2D-984A-4800-9338-980C2C4BEB68}"="" "{3739100E-A323-4A34-B8D0-4B1B31471696}"="" "{45DD98E1-A925-4D7A-857C-3AB6AB7F4473}"="" "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"="Shell Extension for Malware scanning" ********************************************************************************** HKEY ROOT CLASSIDS: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{4416FB2D-984A-4800-9338-980C2C4BEB68}] @="" [HKEY_CLASSES_ROOT\CLSID\{4416FB2D-984A-4800-9338-980C2C4BEB68}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{4416FB2D-984A-4800-9338-980C2C4BEB68}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{4416FB2D-984A-4800-9338-980C2C4BEB68}\InprocServer32] @="D:\\WINNT\\system32\\aathz.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{3739100E-A323-4A34-B8D0-4B1B31471696}] @="" [HKEY_CLASSES_ROOT\CLSID\{3739100E-A323-4A34-B8D0-4B1B31471696}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{3739100E-A323-4A34-B8D0-4B1B31471696}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{3739100E-A323-4A34-B8D0-4B1B31471696}\InprocServer32] @="D:\\WINNT\\system32\\MJPI.DLL" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{45DD98E1-A925-4D7A-857C-3AB6AB7F4473}] @="" [HKEY_CLASSES_ROOT\CLSID\{45DD98E1-A925-4D7A-857C-3AB6AB7F4473}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{45DD98E1-A925-4D7A-857C-3AB6AB7F4473}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{45DD98E1-A925-4D7A-857C-3AB6AB7F4473}\InprocServer32] @="D:\\WINNT\\system32\\guard.tmp" "ThreadingModel"="Apartment" ********************************************************************************** Files Found are not all bad files: D:\WINNT\SYSTEM32\ avsda.dll Wed 18 Jan 2006 13:05:54 A.... 57.344 56,00 K cdral.dll Mon 23 Jan 2006 11:44:16 A.... 45.056 44,00 K cdrtc.dll Mon 23 Jan 2006 11:44:16 A.... 49.152 48,00 K mshtml.dll Tue 22 Nov 2005 18:14:26 A.... 2.299.664 2,19 M pdf995~1.dll Mon 23 Jan 2006 14:49:12 A.... 51.716 50,50 K pdfmona.dll Mon 23 Jan 2006 14:49:12 A.... 118.784 116,00 K pncrt.dll Mon 16 Jan 2006 19:32:02 A.... 278.528 272,00 K pndx5016.dll Mon 16 Jan 2006 19:32:04 A.... 6.656 6,50 K pndx5032.dll Mon 16 Jan 2006 19:32:04 A.... 5.632 5,50 K rmoc3260.dll Mon 16 Jan 2006 19:32:22 A.... 176.167 172,04 K vsdata.dll Tue 15 Nov 2005 0:50:30 A.... 83.720 81,76 K vsinit.dll Tue 15 Nov 2005 0:50:42 A.... 141.064 137,76 K vsmonapi.dll Tue 15 Nov 2005 0:50:52 A.... 104.208 101,77 K vspubapi.dll Tue 15 Nov 2005 0:50:56 A.... 227.088 221,77 K vsregexp.dll Tue 15 Nov 2005 0:51:00 A.... 71.440 69,77 K vsutil.dll Tue 15 Nov 2005 0:51:12 A.... 382.728 373,76 K vsutil~1.dll Tue 15 Nov 2005 0:34:04 A.... 54.960 53,67 K vsxml.dll Tue 15 Nov 2005 0:51:20 A.... 100.104 97,76 K zlcomm.dll Tue 15 Nov 2005 0:51:40 A.... 79.624 77,76 K zlcommdb.dll Tue 15 Nov 2005 0:51:44 A.... 71.440 69,77 K 20 items found: 20 files, 0 directories. Total of file sizes: 4.405.075 bytes 4,20 M Locate .tmp files: No matches found. ********************************************************************************** Directory Listing of system files: Datentr„ger in Laufwerk D: hat keine Bezeichnung. Datentr„gernummer: 1CE5-D211 Verzeichnis von D:\WINNT\System32 01.02.2006 12:24 <DIR> dllcache 0 Datei(en) 0 Bytes 1 Verzeichnis(se), 1.086.631.936 Bytes frei MFG Matthias |
|
|
||
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken
Zitat
dann sanne noch mal die drei Begriffe und poste, was noch erscheint...Zitat
was erscheint, muss dann manuell in der Registry geloescht werden..Start -- Ausführen -- regedit (reinschreiben)
Sollte man Probleme haben, die Einträge zu löschen,
Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels,
dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen"
Übernehmen, OK
Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.
--------------------------------------------------------------------------
diese Verbindung geht nach Amsterdam...bist du dort..oder der Hacker, der deinen PC gekapert hat ??? LoL
O17 - HKLM\System\CCS\Services\Tcpip\..\{619560B2-2706-46BC-B549-08E38F6ACBA0}: NameServer = 141.67.105.20
descr: Amsterdam
remarks: country: NL
__________
MfG Sabina
rund um die PC-Sicherheit