spyware infection detectedThema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
05.03.2006, 17:54
...neu hier
Themenstarter Beiträge: 8 |
#16
Deaktivieren bringt nichts...die sind sofort wieder da
|
|
 
|
|
|
|
05.03.2006, 19:25
Ehrenmitglied
 Beiträge: 29434 |
#17
im abgesicherten Modus !
Schritt 1 : Erstelle eine neue Datei C:\bad (Mein Computer --> C:\ --> Rechtsklick auf das desktop--> neu --> C:\bad Schritt 2 : Start - Ausführen - cmd (reinschreiben) kopiere in das DOS-Fenster: -- und klicke jedes Mal -- [enter] move C:\WINDOWS\osaupd.exe C:\bad move C:\WINDOWS\wupdmgr.exe C:\bad move C:\WINDOWS\system32\wupdmgr.tmp C:\bad move C:\WINDOWS\system32\loader.exe C:\bad move C:\WINDOWS\security.html C:\bad move C:\WINDOWS\kliksoftware.exe C:\bad move C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\wupdmgr.exe C:\bad Schritt 3 : loesche: C:\bad __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
06.03.2006, 14:08
...neu hier
Beiträge: 10 |
#18
Hallo, ich habe leider das gleiche Problem und bekomm des einfach nicht weg. Habe schon ein Logfile gemacht. Hoffe ihr könnt mir helfen.
Logfile of HijackThis v1.99.1 Scan saved at 13:57:16, on 06.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\system32\nvsvc32.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\WinTV\Ir.exe C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe C:\WINDOWS\wupdmgr.exe C:\WINDOWS\osaupd.exe C:\Programme\CA\eTrust Antivirus\InocIT.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\HP_Besitzer\Desktop\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe" O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\Programme\TVgenial\IEButtonTVGenialEBayInterface.dll O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\msnscps.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: AddressBar Class - {f65b197f-8260-4d52-909a-f70118e646eb} - C:\WINDOWS\system32\iasada.dll O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = ? O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm O9 - Extra 'Tools' menuitem: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe |
|
|
|
|
|
|
06.03.2006, 14:34
Ehrenmitglied
Beiträge: 29434 |
#19
AndreasH.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint cd\ dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt notepad files.txt stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
06.03.2006, 15:20
...neu hier
Beiträge: 10 |
#20
Text aus der list.bat:
Datentr„ger in Laufwerk C: ist HP_PAVILION Volumeseriennummer: 9C02-87FC Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders 05.03.2006 10:57 <DIR> . 05.03.2006 10:57 <DIR> .. 20.12.2005 12:45 <DIR> 1031 18.12.2005 17:10 <DIR> 1033 05.03.2006 10:57 69.120 ibm00001.dll 05.03.2006 10:57 1.024 ibm00001.exe 05.03.2006 10:57 58.368 ibm00002.dll 14.02.2001 21:45 1.318.912 MSONSEXT.DLL 13.02.2001 00:23 58.784 MSOSV.DLL 20.03.1999 18:46 127.032 MSOWS407.DLL 05.06.1999 11:09 122.937 MSOWS409.DLL 06.08.2000 09:04 401.462 MSVCP60.DLL 22.01.2001 03:25 69.632 PKMAXCTL.DLL 22.01.2001 03:25 872.448 PKMCDO.DLL 22.01.2001 03:25 159.744 PKMCORE.DLL 07.02.2001 09:59 106.496 PKMFORMS.DLL 12.02.2001 04:01 692.224 PKMRES.DLL 22.01.2001 03:25 28.672 PKMSSTLB.DLL 22.01.2001 03:25 40.960 PKMTEMPL.DLL 22.01.2001 03:25 24.576 PKMTRACE.DLL 22.01.2001 03:25 86.016 PKMWS.DLL 22.01.2001 03:25 237.568 PROMDEMO.DLL 18.03.1999 03:37 593.977 RAGENT.DLL 22.01.2001 03:25 184.320 SECMGR.DLL 22.01.2001 03:25 323.584 VAIDDMGR.DLL 22.01.2001 03:25 32.768 VAIMEM.DLL 22 Datei(en) 5.610.624 Bytes 4 Verzeichnis(se), 187.245.682.688 Bytes frei Datentr„ger in Laufwerk C: ist HP_PAVILION Volumeseriennummer: 9C02-87FC 1.Log: Verzeichnis von C:\WINDOWS\system32 06.03.2006 15:03 43.164 nvapps.xml 06.03.2006 13:45 383.048 perfh009.dat 06.03.2006 13:45 54.792 perfc009.dat 06.03.2006 13:45 394.062 perfh007.dat 06.03.2006 13:45 65.870 perfc007.dat 06.03.2006 13:45 907.756 PerfStringBackup.INI 05.03.2006 19:53 0 wupdmgr.tmp 05.03.2006 19:53 4.132 loader.exe 05.03.2006 11:05 12.839 info.txt 05.03.2006 10:58 35.544 msnscps.dll 05.03.2006 10:57 11.043 azebar.xml 05.03.2006 10:56 10.240 iasada.dll 26.02.2006 22:22 1.158 wpa.dbl 14.02.2006 16:01 73.728 ElbyVCD.dll 08.02.2006 06:23 4.513.120 MRT.exe 07.02.2006 20:10 42.275 PUXPPLAT.UND 17.01.2006 22:36 69.632 ElbyCDIO.dll 07.01.2006 11:57 263.824 FNTCACHE.DAT 04.01.2006 04:35 68.096 webclnt.dll 03.01.2006 11:36 1.929.910 fit_den_ganzen_tag.scr 31.12.2005 16:37 3.766 KGyGaAvL.sys 31.12.2005 16:37 56 55095774CD.sys 29.12.2005 03:54 280.064 gdi32.dll 2.Log: Verzeichnis von C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp 06.03.2006 15:03 0 $b17a2e8.tmp 1 Datei(en) 0 Bytes 0 Verzeichnis(se), 187.822.972.928 Bytes frei 3.Log: Verzeichnis von C:\WINDOWS 06.03.2006 15:03 0 0.log 06.03.2006 15:03 1.207.712 WindowsUpdate.log 06.03.2006 15:03 2.048 bootstat.dat 06.03.2006 15:02 32.580 SchedLgU.Txt 05.03.2006 21:16 116 NeroDigital.ini 05.03.2006 20:38 559.973 setupapi.log 05.03.2006 20:25 285.588 ntbtlog.txt 05.03.2006 20:13 4.528 security.html 05.03.2006 15:12 623 win.ini 05.03.2006 10:58 48.344 udp.exe 05.03.2006 10:58 780 hosts 05.03.2006 10:58 3.072 ms1.exe 05.03.2006 10:58 1.024 tool5.exe 05.03.2006 10:58 1.024 tool4.exe 05.03.2006 10:58 1.024 tool3.exe 05.03.2006 10:58 28.032 toolbar.exe 05.03.2006 10:57 32.768 tool2.exe 05.03.2006 10:57 2.560 kl1.exe 05.03.2006 10:57 0 uniq 05.03.2006 10:57 5.189 loadadv728.exe 05.03.2006 10:57 28.032 drsmartload95a.exe 05.03.2006 10:57 12.344 azesearch.bmp 05.03.2006 10:14 55.133 wmsetup.log 02.03.2006 14:42 236.949 setupact.log 26.02.2006 22:49 214 wiadebug.log 26.02.2006 22:24 50 wiaservc.log 16.02.2006 11:06 868 spupdsvc.log 16.02.2006 10:29 133.577 tsoc.log 16.02.2006 10:29 72.519 ntdtcsetup.log 16.02.2006 10:29 119.367 comsetup.log 16.02.2006 10:29 1.374 imsins.log 16.02.2006 10:29 50.196 iis6.log 16.02.2006 10:29 18.729 ocmsn.log 16.02.2006 10:29 10.782 KB911927.log 16.02.2006 10:29 180.319 ocgen.log 16.02.2006 10:29 17.148 msgsocm.log 16.02.2006 10:29 345.433 FaxSetup.log 16.02.2006 10:29 18.029 updspapi.log 16.02.2006 10:29 1.374 imsins.BAK 16.02.2006 10:29 7.031 KB911564.log 16.02.2006 10:29 7.289 KB911565.log 16.02.2006 10:28 9.859 KB901190.log 16.02.2006 10:28 6.781 KB913446.log 02.02.2006 22:34 167 game.ini 01.02.2006 17:01 126.345 DirectX.log 14.01.2006 01:04 54 budsaver.dat 12.01.2006 21:37 471.040 FIFA06.scr 12.01.2006 21:37 12.288 impborl.dll 10.01.2006 21:47 10.173 KB908519.log 06.01.2006 11:18 11.065 KB912919.log 02.01.2006 20:08 54 RadioTracker.INI 20.12.2005 18:29 855 ODBC.INI 4.Log: Verzeichnis von C:\ 06.03.2006 15:20 0 sys.txt 06.03.2006 15:19 9.335 system.txt 06.03.2006 15:19 295 systemtemp.txt 06.03.2006 15:16 111.536 system32.txt 06.03.2006 15:14 7.580 files.txt 06.03.2006 15:03 1.072.222.208 hiberfil.sys 06.03.2006 15:03 1.610.612.736 pagefile.sys 05.03.2006 20:43 0 hpfr5550.xml 05.03.2006 20:43 9.644 hph7350.log 19.02.2006 17:35 278 boot.ini 16.12.2005 13:46 457 propertiesTable.dbf 16.12.2005 13:46 457 propertiesTable.bak |
|
|
|
|
|
|
06.03.2006, 17:51
Ehrenmitglied
Beiträge: 29434 |
#21
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint
cd\ dir "C:\Programme\Gemeinsame Dateien\Windows" >> files.txt dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt dir "C:\Programme\Gemeinsame Dateien" >> files.txt dir "C:\WINDOWS">> files.txt dir "C:\DOKUME~1">> files.txt notepad files.txt EVENTUELL speichern als Anhang (siehe unten) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
06.03.2006, 17:55
...neu hier
Beiträge: 10 |
||
|
|
|
|
|
06.03.2006, 17:56
Ehrenmitglied
Beiträge: 29434 |
#23
HijackThis (StartupListe)
Starte den Rechner bitte im abgesicherten Modus und erstelle dort ein Hijackthis log und ein Startuplist log, dazu bitte in die ms tools setion gehen, beide Dinge bei "generate statuplist log" anhaken und die liste erstellen lassen. *HijackThis - Config *List also minor sections (full) -- Häkchen setzen *List empty sections (complete) -- Häkchen setzen *HijackThis - Config - MiscTools -- Generate StartupListlog *(es öffnet sich das Notepad [Texteditor], nun das KOMPLETTE Log abkopieren und posten) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
06.03.2006, 17:59
Ehrenmitglied
Beiträge: 29434 |
#24
du darfst nicht die list.bat posten (DIE hab ich selbst ...
 sondern den Text, der im Texteditor erscheint ich bin jetzt einige Zeit nicht online...warte bitte, bis ich Zeit habe, eine Reinigung zusammenzustellen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
06.03.2006, 18:26
...neu hier
Beiträge: 10 |
#25
O.K. im Anhang hab ich nochmal die txt-file von der list.bat.
Hoffe dass ich es diesmal richtig gemacht habe. Und hier ist die Startuplist: StartupList report, 06.03.2006, 18:11:26 StartupList version: 1.52.2 Started from : C:\Dokumente und Einstellungen\HP_Besitzer\Desktop\Hijackthis\HijackThis.EXE Detected: Windows XP SP2 (WinNT 5.01.2600) Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180) * Using default options * Including empty and uninteresting sections * Showing rarely important sections ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\HP_Besitzer\Desktop\Hijackthis\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE -------------------------------------------------- Listing of startup folders: Shell folders Startup: [C:\Dokumente und Einstellungen\HP_Besitzer\Startmenü\Programme\Autostart] *No files* Shell folders AltStartup: *Folder not found* User shell folders Startup: *Folder not found* User shell folders AltStartup: *Folder not found* Shell folders Common Startup: [C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart] AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe NETGEAR WG111T Smart Wizard.lnk = ? wupdmgr.exe Shell folders Common AltStartup: *Folder not found* User shell folders Common Startup: *Folder not found* User shell folders Alternate Common Startup: *Folder not found* -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, [HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon] *Registry key not found* [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] *Registry value not found* [HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon] *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Realtime Monitor = C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup TkBellExe = "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce *No values found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *No values found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices *No values found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run MSMSGS = "C:\Programme\Messenger\msmsgs.exe" /background -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce *No values found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\Run [OptionalComponents] *No values found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\Run *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- File association entry for .EXE: HKEY_CLASSES_ROOT\exefile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .COM: HKEY_CLASSES_ROOT\comfile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .BAT: HKEY_CLASSES_ROOT\batfile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .PIF: HKEY_CLASSES_ROOT\piffile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .SCR: HKEY_CLASSES_ROOT\scrfile\shell\open\command (Default) = "%1" /S -------------------------------------------------- File association entry for .HTA: HKEY_CLASSES_ROOT\htafile\shell\open\command (Default) = C:\WINDOWS\system32\mshta.exe "%1" %* -------------------------------------------------- File association entry for .TXT: HKEY_CLASSES_ROOT\txtfile\shell\open\command (Default) = %SystemRoot%\system32\NOTEPAD.EXE %1 -------------------------------------------------- Enumerating Active Setup stub paths: HKLM\Software\Microsoft\Active Setup\Installed Components (* = disabled by HKCU twin) [>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP [>{26923b43-4d38-484f-9b9e-de460746276c}] * StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE [>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] * StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE [{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] * StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll [{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] * StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install [{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] * StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT [{5945c046-1e7d-11d1-bc44-00c04fd912be}] * StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser [{6BF52A52-394A-11d3-B153-00C04F79FAA6}] * StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp10.inf,PerUserStub [{7790769C-0471-11d2-AF11-00C04FA35D02}] * StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install [{89820200-ECBD-11cf-8B85-00AA005B4340}] * StubPath = regsvr32.exe /s /n /i:U shell32.dll [{89820200-ECBD-11cf-8B85-00AA005B4383}] * StubPath = %SystemRoot%\system32\ie4uinit.exe [{89B4C1CD-B018-4511-B0A1-5476DBF70820}] * StubPath = C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install [{8b15971b-5355-4c82-8c07-7e181ea07608}] * StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\fxsocm.inf,Fax.Install.PerUser -------------------------------------------------- Enumerating ICQ Agent Autostart apps: HKCU\Software\Mirabilis\ICQ\Agent\Apps *Registry key not found* -------------------------------------------------- Load/Run keys from C:\WINDOWS\WIN.INI: load=*INI section not found* run=*INI section not found* Load/Run keys from Registry: HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found* HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found* HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found* HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found* HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found* HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found* HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found* HKCU\..\Windows NT\CurrentVersion\Windows: load= HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=explorer.exe SCRNSAVE.EXE=*Registry value not found* drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry value not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Checking for EXPLORER.EXE instances: C:\WINDOWS\Explorer.exe: PRESENT! C:\Explorer.exe: not present C:\WINDOWS\Explorer\Explorer.exe: not present C:\WINDOWS\System\Explorer.exe: not present C:\WINDOWS\System32\Explorer.exe: not present C:\WINDOWS\Command\Explorer.exe: not present C:\WINDOWS\Fonts\Explorer.exe: not present -------------------------------------------------- Checking for superhidden extensions: .lnk: HIDDEN! (arrow overlay: yes) .pif: HIDDEN! (arrow overlay: yes) .exe: not hidden .com: not hidden .bat: not hidden .hta: not hidden .scr: not hidden .shs: HIDDEN! .shb: HIDDEN! .vbs: not hidden .vbe: not hidden .wsh: not hidden .scf: HIDDEN! (arrow overlay: NO!) .url: HIDDEN! (arrow overlay: yes) .js: not hidden .jse: not hidden -------------------------------------------------- Verifying REGEDIT.EXE integrity: - Regedit.exe found in C:\WINDOWS - .reg open command is normal (regedit.exe %1) - Company name OK: 'Microsoft Corporation' - Original filename OK: 'REGEDIT.EXE' - File description: 'Registrierungs-Editor' Registry check passed -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (no name) - C:\Programme\TVgenial\IEButtonTVGenialEBayInterface.dll - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} (no name) - c:\programme\google\googletoolbar2.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7} -------------------------------------------------- Enumerating Task Scheduler jobs: Stromberg.job -------------------------------------------------- Enumerating Download Program Files: [Windows Genuine Advantage Validation Tool] InProcServer32 = C:\WINDOWS\system32\LegitCheckControl.DLL CODEBASE = http://go.microsoft.com/fwlink/?linkid=39204 [Java Plug-in 1.5.0] InProcServer32 = C:\Programme\Java\jre1.5.0\bin\npjpi150.dll CODEBASE = http://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab [Get_ActiveX Control] InProcServer32 = C:\WINDOWS\DOWNLO~1\HPGETD~1.OCX CODEBASE = https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx [Java Plug-in 1.5.0] InProcServer32 = C:\Programme\Java\jre1.5.0\bin\npjpi150.dll CODEBASE = http://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab [Shockwave Flash Object] InProcServer32 = C:\WINDOWS\system32\FLASH.OCX CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab -------------------------------------------------- Enumerating Winsock LSP files: NameSpace #1: C:\WINDOWS\System32\mswsock.dll NameSpace #2: C:\WINDOWS\System32\winrnr.dll NameSpace #3: C:\WINDOWS\System32\mswsock.dll Protocol #1: C:\WINDOWS\system32\mswsock.dll Protocol #2: C:\WINDOWS\system32\mswsock.dll Protocol #3: C:\WINDOWS\system32\mswsock.dll Protocol #4: C:\WINDOWS\system32\rsvpsp.dll Protocol #5: C:\WINDOWS\system32\rsvpsp.dll Protocol #6: C:\WINDOWS\system32\mswsock.dll Protocol #7: C:\WINDOWS\system32\mswsock.dll Protocol #8: C:\WINDOWS\system32\mswsock.dll Protocol #9: C:\WINDOWS\system32\mswsock.dll Protocol #10: C:\WINDOWS\system32\mswsock.dll Protocol #11: C:\WINDOWS\system32\mswsock.dll Protocol #12: C:\WINDOWS\system32\mswsock.dll Protocol #13: C:\WINDOWS\system32\mswsock.dll Protocol #14: C:\WINDOWS\system32\mswsock.dll Protocol #15: C:\WINDOWS\system32\mswsock.dll Protocol #16: C:\WINDOWS\system32\mswsock.dll Protocol #17: C:\WINDOWS\system32\mswsock.dll Protocol #18: C:\WINDOWS\system32\mswsock.dll Protocol #19: C:\WINDOWS\system32\mswsock.dll -------------------------------------------------- Enumerating Windows NT/2000/XP services Microsoft ACPI-Treiber: system32\DRIVERS\ACPI.sys (system) Microsoft Kernel-Echounterdrückung: system32\drivers\aec.sys (manual start) AFD: \SystemRoot\System32\drivers\afd.sys (system) Service for Realtek AC97 Audio (WDM): system32\drivers\ALCXWDM.SYS (manual start) Warndienst: %SystemRoot%\system32\svchost.exe -k LocalService (disabled) Gatewaydienst auf Anwendungsebene: %SystemRoot%\System32\alg.exe (manual start) AMD-Prozessortreiber: system32\DRIVERS\AmdK8.sys (system) Anwendungsverwaltung: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start) NETGEAR WG111T USB2.0 Wireless Card Service: system32\DRIVERS\wg11tnd5.sys (manual start) 1394-ARP-Clientprotokoll: system32\DRIVERS\arp1394.sys (manual start) Aspi32: System32\drivers\aspi32.sys (autostart) ASP.NET-Statusdienst: %SystemRoot%\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (manual start) Asynchroner RAS -Medientreiber: system32\DRIVERS\asyncmac.sys (manual start) Standard-IDE/ESDI-Festplattencontroller: system32\DRIVERS\atapi.sys (system) NETGEAR WG111T Bootloader driver: System32\Drivers\ATHFMWDL.sys (manual start) Protokoll für ATM ARP-Client: system32\DRIVERS\atmarpc.sys (manual start) Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Audiostubtreiber: system32\DRIVERS\audstub.sys (manual start) Intelligenter Hintergrundübertragungsdienst: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Computerbrowser: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) CA-Lizenz-Client: C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe (manual start) CA-Lizenzserver: C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe (manual start) Untertiteldecoder: system32\DRIVERS\CCDECODE.sys (manual start) CD-ROM-Laufwerktreiber: system32\DRIVERS\cdrom.sys (system) Indexdienst: %SystemRoot%\system32\cisvc.exe (manual start) Ablagemappe: %SystemRoot%\system32\clipsrv.exe (disabled) COM+-Systemanwendung: C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} (manual start) Kryptografiedienste: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) DCOM-Server-Prozessstart: %SystemRoot%\system32\svchost -k DcomLaunch (autostart) DHCP-Client: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Laufwerktreiber: system32\DRIVERS\disk.sys (system) Verwaltungsdienst für die Verwaltung logischer Datenträger: %SystemRoot%\System32\dmadmin.exe /com (manual start) dmboot: System32\drivers\dmboot.sys (disabled) dmio: System32\drivers\dmio.sys (disabled) dmload: System32\drivers\dmload.sys (disabled) Verwaltung logischer Datenträger: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Microsoft Kernel-DLS-Synthesizer: system32\drivers\DMusic.sys (manual start) DNINDIS5 NDIS Protocol Driver: \??\C:\WINDOWS\system32\DNINDIS5.SYS (manual start) DNS-Client: %SystemRoot%\system32\svchost.exe -k NetworkService (autostart) Microsoft Kernel-DRM-Audioentschlüsselung: system32\drivers\drmkaud.sys (manual start) dtscsi: \SystemRoot\System32\Drivers\dtscsi.sys (manual start) ElbyCDFL: System32\Drivers\ElbyCDFL.sys (manual start) ElbyCDIO Driver: System32\Drivers\ElbyCDIO.sys (autostart) ElbyDelay: System32\Drivers\ElbyDelay.sys (manual start) Fehlerberichterstattungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart) COM+-Ereignissystem: C:\WINDOWS\system32\svchost.exe -k netsvcs (manual start) Kompatibilität für schnelle Benutzerumschaltung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Fax: %systemroot%\system32\fxssvc.exe (manual start) Diskettencontrollertreiber: system32\DRIVERS\fdc.sys (manual start) Diskettenlaufwerktreiber: system32\DRIVERS\flpydisk.sys (manual start) FltMgr: system32\DRIVERS\fltMgr.sys (system) Treiber für Volume-Manager: system32\DRIVERS\ftdisk.sys (system) Standardpaketklassifizierung: system32\DRIVERS\msgpc.sys (manual start) Hauppauge WinTV 88x Audio Capture: system32\drivers\hcw88aud.sys (system) Hauppauge WinTV 88x DVB Tuner/Demod: system32\drivers\hcw88bda.sys (manual start) Hauppauge WinTV 88x MPEG/TS Capture: system32\drivers\hcw88tse.sys (manual start) Hauppauge WinTV 88x Tuner: system32\drivers\hcw88tun.sys (manual start) Hauppauge WinTV 88x Video: system32\drivers\hcw88vid.sys (manual start) Hauppauge WinTV 88x Crossbar: system32\drivers\HCW88BAR.sys (manual start) Hilfe und Support: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) HID Input Service: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Microsoft HID Class-Treiber: system32\DRIVERS\hidusb.sys (manual start) HTTP: System32\Drivers\HTTP.sys (manual start) HTTP-SSL: %SystemRoot%\System32\svchost.exe -k HTTPFilter (manual start) i8042-Tastatur- und PS/2-Mausanschluss-Treiber: system32\DRIVERS\i8042prt.sys (system) InstallDriver Table Manager: "C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe" (manual start) Filtertreiber für CD-Brennen: system32\DRIVERS\imapi.sys (system) IMAPI-CD-Brenn-COM-Dienste: C:\WINDOWS\system32\imapi.exe (manual start) eTrust Antivirus RPC Server: "C:\Programme\CA\eTrust Antivirus\InoRpc.exe" (autostart) eTrust Antivirus Realtime Server: "C:\Programme\CA\eTrust Antivirus\InoRT.exe" (autostart) eTrust Antivirus Job Server: "C:\Programme\CA\eTrust Antivirus\InoTask.exe" (autostart) INO_FLPY: system32\Drivers\ino_flpy.sys (system) INO_FLTR: \??\C:\WINDOWS\system32\Drivers\ino_fltr.sys (autostart) IntelIde: system32\DRIVERS\intelide.sys (system) Intel-Prozessortreiber: system32\DRIVERS\intelppm.sys (system) IPv6-Windows-Firewalltreiber: system32\DRIVERS\Ip6Fw.sys (manual start) Filtertreiber für IP-Verkehr: system32\DRIVERS\ipfltdrv.sys (manual start) IP/IP-Tunneltreiber: system32\DRIVERS\ipinip.sys (manual start) Übersetzer für IP-Netzwerkadressen: system32\DRIVERS\ipnat.sys (manual start) IPSEC-Treiber: system32\DRIVERS\ipsec.sys (system) IR-Enumeratordienst: system32\DRIVERS\irenum.sys (manual start) PnP-ISA/EISA-Bus-Treiber: system32\DRIVERS\isapnp.sys (system) Sony Ericsson 750 driver (WDM): system32\DRIVERS\k750bus.sys (manual start) Sony Ericsson 750 USB WMC Modem Filter: system32\DRIVERS\k750mdfl.sys (manual start) Sony Ericsson 750 USB WMC Modem Drivers: system32\DRIVERS\k750mdm.sys (manual start) Sony Ericsson 750 USB WMC Device Management Drivers: system32\DRIVERS\k750mgmt.sys (manual start) Sony Ericsson 750 USB WMC OBEX Interface Drivers: system32\DRIVERS\k750obex.sys (manual start) Tastaturklassentreiber: system32\DRIVERS\kbdclass.sys (system) Tastatur-HID-Treiber: system32\DRIVERS\kbdhid.sys (system) Microsoft Kernel-Waveaudiomixer: system32\drivers\kmixer.sys (manual start) Server: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Arbeitsstationsdienst: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) TCP/IP-NetBIOS-Hilfsprogramm: %SystemRoot%\system32\svchost.exe -k LocalService (autostart) Ereignisprotokoll-Überwachung: C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (autostart) AEGIS Protocol (IEEE 802.1x) v2.3.1.10: system32\DRIVERS\mdc8021x.sys (autostart) Nachrichtendienst: %SystemRoot%\system32\svchost.exe -k netsvcs (disabled) NetMeeting-Remotedesktop-Freigabe: C:\WINDOWS\system32\mnmsrvc.exe (manual start) Mausklassentreiber: system32\DRIVERS\mouclass.sys (system) Maus-HID-Treiber: system32\DRIVERS\mouhid.sys (manual start) BDA MPE-Filter: system32\DRIVERS\MPE.sys (manual start) Redirector für WebDav-Client: system32\DRIVERS\mrxdav.sys (manual start) MRXSMB: system32\DRIVERS\mrxsmb.sys (system) Distributed Transaction Coordinator: C:\WINDOWS\system32\msdtc.exe (manual start) Windows Installer: C:\WINDOWS\system32\msiexec.exe /V (manual start) Microsoft Streaming Service Proxy: system32\drivers\MSKSSRV.sys (manual start) Microsoft Proxy für Streaming Clock: system32\drivers\MSPCLOCK.sys (manual start) Microsoft Proxy für Streaming Quality Manager: system32\drivers\MSPQM.sys (manual start) Microsoft-Systemverwaltungs-BIOS-Treiber: system32\DRIVERS\mssmbios.sys (manual start) Microsoft Streaming Tee/Sink-to-Sink-Konvertierung: system32\drivers\MSTEE.sys (manual start) NABTS/FEC VBI-Codec: system32\DRIVERS\NABTSFEC.sys (manual start) Microsoft TV-/Videoverbindung: system32\DRIVERS\NdisIP.sys (manual start) RAS-NDIS-TAPI-Treiber: system32\DRIVERS\ndistapi.sys (manual start) NDIS-Benutzermodus-E/A-Protokoll: system32\DRIVERS\ndisuio.sys (manual start) RAS-NDIS-WAN-Treiber: system32\DRIVERS\ndiswan.sys (manual start) NetBIOS-Schnittstelle: system32\DRIVERS\netbios.sys (system) NetBios über TCP/IP: system32\DRIVERS\netbt.sys (system) Netzwerk-DDE-Dienst: %SystemRoot%\system32\netdde.exe (disabled) Netzwerk-DDE-Serverdienst: %SystemRoot%\system32\netdde.exe (disabled) Anmeldedienst: %SystemRoot%\system32\lsass.exe (manual start) Netzwerkverbindungen: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) 1394-Netzwerktreiber: system32\DRIVERS\nic1394.sys (manual start) NLA (Network Location Awareness): %SystemRoot%\system32\svchost.exe -k netsvcs (manual start) NT-LM-Sicherheitsdienst: %SystemRoot%\system32\lsass.exe (manual start) Wechselmedien: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start) nv: system32\DRIVERS\nv4_mini.sys (manual start) NVIDIA Display Driver Service: %SystemRoot%\system32\nvsvc32.exe (autostart) Filtertreiber für IPX-Verkehr: system32\DRIVERS\nwlnkflt.sys (manual start) Treiber für IPX-Verkehrsweiterleitung: system32\DRIVERS\nwlnkfwd.sys (manual start) VIA OHCI-konformer IEEE 1394-Hostcontroller: system32\DRIVERS\ohci1394.sys (system) Treiber für parallelen Anschluss: system32\DRIVERS\parport.sys (manual start) PCI-Bus-Treiber: system32\DRIVERS\pci.sys (system) PCIIde: system32\DRIVERS\pciide.sys (system) Padus ASPI Shell: system32\drivers\pfc.sys (manual start) Plug & Play: %SystemRoot%\system32\services.exe (autostart) Pml Driver HPZ12: C:\WINDOWS\system32\HPZipm12.exe (system) IPSEC-Dienste: %SystemRoot%\system32\lsass.exe (autostart) WAN-Miniport (PPTP): system32\DRIVERS\raspptp.sys (manual start) Prozessortreiber: system32\DRIVERS\processr.sys (system) Geschützter Speicher: %SystemRoot%\system32\lsass.exe (autostart) PS2: system32\DRIVERS\PS2.sys (manual start) QoS-Paketplaner: system32\DRIVERS\psched.sys (manual start) Treiber für direkte Parallelverbindung: system32\DRIVERS\ptilink.sys (manual start) PxHelp20: System32\Drivers\PxHelp20.sys (system) Treiber für automatische RAS-Verbindung: system32\DRIVERS\rasacd.sys (system) Verwaltung für automatische RAS-Verbindung: %SystemRoot%\system32\svchost.exe -k netsvcs (disabled) WAN-Miniport (L2TP): system32\DRIVERS\rasl2tp.sys (manual start) RAS-Verbindungsverwaltung: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start) Remotezugriff-PPPOE-Treiber: system32\DRIVERS\raspppoe.sys (manual start) Parallelanschluss (direkt): system32\DRIVERS\raspti.sys (manual start) Rdbss: system32\DRIVERS\rdbss.sys (system) RDPCDD: System32\DRIVERS\RDPCDD.sys (system) Sitzungs-Manager für Remotedesktophilfe: C:\WINDOWS\system32\sessmgr.exe (manual start) Filtertreiber für digitale CD-Audiowiedergabe: system32\DRIVERS\redbook.sys (system) Routing und RAS: %SystemRoot%\system32\svchost.exe -k netsvcs (disabled) RPC-Locator: %SystemRoot%\system32\locator.exe (manual start) Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart) QoS-RSVP: %SystemRoot%\system32\rsvp.exe (manual start) Realtek 10/100/1000 NIC Family all in one NDIS XP Driver: system32\DRIVERS\Rtlnicxp.sys (manual start) NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernet-Adapter: system32\DRIVERS\RTL8139.SYS (manual start) Sicherheitskontenverwaltung: %SystemRoot%\system32\lsass.exe (autostart) Smartcard: %SystemRoot%\System32\SCardSvr.exe (manual start) Taskplaner: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Secdrv: system32\DRIVERS\secdrv.sys (autostart) Sekundäre Anmeldung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Serenum-Filtertreiber: system32\DRIVERS\serenum.sys (manual start) Treiber für seriellen Anschluss: system32\DRIVERS\Seri*hier nicht!*.sys (system) Windows-Firewall/Gemeinsame Nutzung der Internetverbindung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Shellhardwareerkennung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) BDA Slip De-Framer: system32\DRIVERS\SLIP.sys (manual start) Microsoft Kernel-Audiosplitter: system32\drivers\splitter.sys (manual start) Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart) sptd: System32\Drivers\sptd.sys (system) Filtertreiber für Systemwiederherstellung: system32\DRIVERS\sr.sys (system) Systemwiederherstellungsdienst: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Srv: system32\DRIVERS\srv.sys (manual start) SSDP-Suchdienst: %SystemRoot%\system32\svchost.exe -k LocalService (manual start) Windows-Bilderfassung (WIA): %SystemRoot%\system32\svchost.exe -k imgsvc (manual start) BDA-IPSink: system32\DRIVERS\StreamIP.sys (manual start) Software-Bus-Treiber: system32\DRIVERS\swenum.sys (manual start) Microsoft Kernel GS Wavetablesynthesizer: system32\drivers\swmidi.sys (manual start) MS Software Shadow Copy Provider: C:\WINDOWS\system32\dllhost.exe /Processid:{49ECC87E-722F-4CFD-ADDA-0BC30D854B7D} (manual start) Microsoft Kernel-Systemaudiogerät: system32\drivers\sysaudio.sys (manual start) 32bit system bus driver: \SystemRoot\System32\Drivers\sysbus32.sys (autostart) Leistungsdatenprotokolle und Warnungen: %SystemRoot%\system32\smlogsvc.exe (manual start) Telefonie: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) TCP/IP-Protokolltreiber: system32\DRIVERS\tcpip.sys (system) Terminal-Gerätetreiber: system32\DRIVERS\termdd.sys (system) Terminaldienste: %SystemRoot%\System32\svchost -k DComLaunch (manual start) Designs: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Überwachung verteilter Verknüpfungen (Client): %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Windows User Mode Driver Framework: C:\WINDOWS\system32\wdfmgr.exe (autostart) Microcode Updatetreiber: system32\DRIVERS\update.sys (manual start) Universeller Plug & Play-Gerätehost: %SystemRoot%\system32\svchost.exe -k LocalService (manual start) Unterbrechungsfreie Stromversorgung: %SystemRoot%\System32\ups.exe (manual start) Microsoft Standard-USB-Haupttreiber: system32\DRIVERS\usbccgp.sys (manual start) Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller: system32\DRIVERS\usbehci.sys (manual start) USB2-aktivierter Hub: system32\DRIVERS\usbhub.sys (manual start) Miniporttreiber für Microsoft USB Open Host-Controller: system32\DRIVERS\usbohci.sys (manual start) USB-Massenspeichertreiber: system32\DRIVERS\USBSTOR.SYS (manual start) Miniporttreiber für universellen Microsoft USB-Hostcontroller: system32\DRIVERS\usbuhci.sys (manual start) VClone: system32\DRIVERS\VClone.sys (system) VgaSave: \SystemRoot\System32\drivers\vga.sys (system) ViaIde: system32\DRIVERS\viaide.sys (system) Volumeschattenkopie: %SystemRoot%\System32\vssvc.exe (manual start) Windows-Zeitgeber: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) RAS-IP-ARP-Treiber: system32\DRIVERS\wanarp.sys (manual start) Treiber für Microsoft WINMM-WDM-Audiokompatibilität: system32\drivers\wdmaud.sys (manual start) Webclient: %SystemRoot%\system32\svchost.exe -k LocalService (autostart) Windows-Verwaltungsinstrumentation: %systemroot%\system32\svchost.exe -k netsvcs (autostart) Dienst für Seriennummern der tragbaren Medien: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) WMI-Leistungsadapter: C:\WINDOWS\system32\wbem\wmiapsrv.exe (manual start) Sicherheitscenter: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) World Standard Teletext-Codec: system32\DRIVERS\WSTCODEC.SYS (manual start) Automatische Updates: %systemroot%\system32\svchost.exe -k netsvcs (autostart) Konfigurationsfreie drahtlose Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Netzwerkversorgungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) -------------------------------------------------- Enumerating Windows NT logon/logoff scripts: *No scripts set to run* Windows NT checkdisk command: BootExecute = autocheck autochk * Windows NT 'Wininit.ini': PendingFileRenameOperations: *Registry value not found* -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll WebCheck: C:\WINDOWS\system32\webcheck.dll SysTray: C:\WINDOWS\system32\stobject.dll UPnPMonitor: C:\WINDOWS\system32\upnpui.dll -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run *Registry key not found* -------------------------------------------------- End of report, 33.745 bytes Report generated in 0,141 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only und hier das Hijack Log: Logfile of HijackThis v1.99.1 Scan saved at 18:09:32, on 06.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\HP_Besitzer\Desktop\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\Programme\TVgenial\IEButtonTVGenialEBayInterface.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = ? O4 - Global Startup: wupdmgr.exe O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm O9 - Extra 'Tools' menuitem: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe Anhang: listbat.txt
|
|
|
|
|
|
|
06.03.2006, 20:03
Ehrenmitglied
Beiträge: 29434 |
#26
Zitat Sabina postete __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
06.03.2006, 22:07
...neu hier
Beiträge: 10 |
#27
Also hier sind nun die ganzen logfiles. Is ne ganze Menge, aber du hast sicher noch den Durchblick
- Ich hab ihn nämlich schon lange nicht mehr. Als Anhang noch das logfile mit datFind damit die Liste nicht ganz so lang ist.Logfile nach Option 1: SmitFraudFix v2.22 Rapport fait à 18:34:00,10 le 06.03.2006 Executé à partir de C:\Dokumente und Einstellungen\HP_Besitzer\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\ »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS C:\WINDOWS\ms1.exe PRESENT ! C:\WINDOWS\tool2.exe PRESENT ! C:\WINDOWS\tool3.exe PRESENT ! C:\WINDOWS\tool4.exe PRESENT ! C:\WINDOWS\tool5.exe PRESENT ! C:\WINDOWS\toolbar.exe PRESENT ! »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» Recherche ...\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer »»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues »»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="http://www.rbk.com/Static/global/Initiatives/iawiav2/wallpapers/wps/jayz_ger_alt_1280.jpg" "SubscribedURL"="http://www.rbk.com/Static/global/Initiatives/iawiav2/wallpapers/wps/jayz_ger_alt_1280.jpg" "FriendlyName"="" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" [HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32] @="%SystemRoot%\system32\browseui.dll" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32] @="%SystemRoot%\system32\browseui.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32] @="%SystemRoot%\system32\browseui.dll" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32] @="%SystemRoot%\system32\browseui.dll" »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport Logfile nach Option 2: SmitFraudFix v2.22 Rapport fait à 18:34:26,85 le 06.03.2006 Executé à partir de C:\Dokumente und Einstellungen\HP_Besitzer\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés C:\WINDOWS\ms1.exe supprimé C:\WINDOWS\tool2.exe supprimé C:\WINDOWS\tool3.exe supprimé C:\WINDOWS\tool4.exe supprimé C:\WINDOWS\tool5.exe supprimé C:\WINDOWS\toolbar.exe supprimé »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre Nettoyage terminé. »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport und das Logfile von Hijack: Logfile of HijackThis v1.99.1 Scan saved at 18:38:52, on 06.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\system32\nvsvc32.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\WinTV\Ir.exe C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\HP_Besitzer\Desktop\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\Programme\TVgenial\IEButtonTVGenialEBayInterface.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = ? O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm O9 - Extra 'Tools' menuitem: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe Anhang: datfind1840system32.txt
|
|
|
|
|
|
|
07.03.2006, 00:36
Ehrenmitglied
Beiträge: 29434 |
#28
AndreasH.
1. Start -- Ausführen -- regedit (reinschreiben) Sollte man Probleme haben, die Einträge zu löschen, Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSBUS32 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysbus32 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SYSBUS32 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sysbus32 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SYSBUS32 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sysbus32 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSBUS32 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysbus32 ----------------------------------------------------------------------------------------- 2. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe" O2 - BHO: AddressBar Class - {f65b197f-8260-4d52-909a-f70118e646eb} - C:\WINDOWS\system32\iasada.dll O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab PC neustarten 3. KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ............(von hier aus) C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll C:\WINDOWS\system32\wupdmgr.tmp C:\WINDOWS\wupdmgr.exe C:\WINDOWS\osaupd.exe C:\WINDOWS\system32\loader.exe C:\WINDOWS\system32\info.txt C:\WINDOWS\system32\msnscps.dll C:\WINDOWS\system32\azebar.xml C:\WINDOWS\system32\iasada.dll C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\$b17a2e8.tmp C:\WINDOWS\security.html C:\WINDOWS\udp.exe C:\WINDOWS\hosts C:\WINDOWS\ms1.exe C:\WINDOWS\tool5.exe C:\WINDOWS\tool4.exe C:\WINDOWS\tool3.exe C:\WINDOWS\toolbar.exe C:\WINDOWS\tool2.exe C:\WINDOWS\kl1.exe C:\WINDOWS\uniq C:\WINDOWS\loadadv728.exe C:\WINDOWS\drsmartload95a.exe C:\WINDOWS\azesearch.bmp C:\WINDOWS\System32\Drivers\sysbus32.sys C:\WINDOWS\budsaver.dat PC neustarten 4. nach dem Neustart suche: C:\!KillBox und loesche alle dort befindlichen Dateien manuell 5. Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. 6. C:\Programme\Gemeinsame Dateien\WinFixer 2005 --> loeschen 7. Counterspy http://virus-protect.org/counterspy.html * nach dem Scan muss man sich entscheiden für: *Ignore *Remove --> Status: Deleted *Quarantaine wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab) 8. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. 9 danach: scanne mit kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
07.03.2006, 19:29
...neu hier
Beiträge: 10 |
#29
So jetzt hab ich alle Schritte durchgeführt sofern dies ging. Die komischen pop-ups in der Taskleiste öffnen sich nun auch nicht mehr. Allerdings hat Kaspersky noch einige Viren gefunden.
zu 1.: Diese Dateien konnte ich nicht löschen da sie nicht (mehr) vorhanden waren. zu 2.: Diese Einträge waren ebenfalls nicht mehr vorhanden. zu 4.: Das Verzeichnis C:\!KillBox hab ich nicht gefunden/ist nicht vorhanden. zu 7.: Scanreport: Spyware Scan Details Start Date: 07.03.2006 12:58:15 End Date: 07.03.2006 13:24:48 Total Time: 26 mins 33 secs Detected spyware My Way Speedbar Browser Plug-in more information... Details: MyWay Speedbar is a search toolbar that installs into Internet Explorer and Netscape Navigator, adding search functions and popup blocking. Status: Deleted Infected files detected c:\programme\myway\mybar\history\search Infected registry entries detected HKEY_CLASSES_ROOT\CLSID\{147A976E-EEE1-4377-8EA7-4716E4CDD239} HKEY_CLASSES_ROOT\CLSID\{147A976E-EEE1-4377-8EA7-4716E4CDD239} HKEY_CLASSES_ROOT\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179} HKEY_CLASSES_ROOT\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}\TreatAs {465BB38F-2B83-43e1-BDE1-5F413D014350} HKEY_CLASSES_ROOT\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179} WinFixer Misc more information... Details: WinFixer is a disabled data repair utility that nags the user to purchase it in order to fix the problems reported in its scan. Status: Deleted Infected files detected c:\windows\system32\drivers\df_u42.sys Infected registry entries detected HKEY_CLASSES_ROOT\Interface\{D3390AE7-6F1D-464F-8921-AF9A85EED316} HKEY_CLASSES_ROOT\Interface\{D3390AE7-6F1D-464F-8921-AF9A85EED316}\ProxyStubClsid {00020424-0000-0000-C000-000000000046} HKEY_CLASSES_ROOT\Interface\{D3390AE7-6F1D-464F-8921-AF9A85EED316}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046} HKEY_CLASSES_ROOT\Interface\{D3390AE7-6F1D-464F-8921-AF9A85EED316}\TypeLib {25BAE2A9-DF54-4927-AF6F-9963146D11D8} HKEY_CLASSES_ROOT\Interface\{D3390AE7-6F1D-464F-8921-AF9A85EED316}\TypeLib Version 1.0 HKEY_CLASSES_ROOT\Interface\{D3390AE7-6F1D-464F-8921-AF9A85EED316} ICheckProduct HKEY_CLASSES_ROOT\TypeLib\{25BAE2A9-DF54-4927-AF6F-9963146D11D8} HKEY_CLASSES_ROOT\TypeLib\{25BAE2A9-DF54-4927-AF6F-9963146D11D8}\1.0\0\win32 C:\Programme\Gemeinsame Dateien\WinFixer 2005\uwappchk.dll HKEY_CLASSES_ROOT\TypeLib\{25BAE2A9-DF54-4927-AF6F-9963146D11D8}\1.0\FLAGS 0 HKEY_CLASSES_ROOT\TypeLib\{25BAE2A9-DF54-4927-AF6F-9963146D11D8}\1.0\HELPDIR C:\Programme\Gemeinsame Dateien\WinFixer 2005\ HKEY_CLASSES_ROOT\TypeLib\{25BAE2A9-DF54-4927-AF6F-9963146D11D8}\1.0 CheckProduct2Lib Trojan.Downloader.I Trojan Downloader more information... Status: Deleted Infected files detected c:\windows\kl1.exe CoolWebSearch.MWSearch Spyware more information... Details: MWSearch adds a search toolbar to Internet Explorer and hijacks the default search page. Status: Deleted Infected files detected C:\WINDOWS\system32\azesearch4.ocx FunWebProducts Adware Bundler more information... Details: Fun Web Products bundles adware software in its products. Status: Deleted Infected registry entries detected HKEY_CURRENT_USER\SOFTWARE\FunWebProducts HKEY_CURRENT_USER\SOFTWARE\FunWebProducts\Settings UID 36280FA1-8840-4C65-9088-1F6CB4250534 HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products\PopSwatter blockedTotal 28 IST.ISTbar Browser Hijacker more information... Details: ISTbar is an Internet Explorer Hijacker, which modifies your homepages and searches without a user’s consent using an Internet Explorer toolbar. Status: Deleted Infected registry entries detected HKEY_CURRENT_USER\software\ist HKEY_CURRENT_USER\software\ist exe_start 3 HKEY_CURRENT_USER\software\ist InstallDate 2006-01-03 15:43:00 HKEY_CURRENT_USER\software\ist account_id 1004174 HKEY_CURRENT_USER\software\ist config ysb_mp3 IST.PowerScan Adware more information... Details: PowerScan is advertised through in ordinary web pop-ups, but recently it started to install with help from the the ISTBar adware. Status: Deleted Infected registry entries detected HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\main bandrest HKEY_CURRENT_USER\software\ist HKEY_CURRENT_USER\software\ist exe_start 3 HKEY_CURRENT_USER\software\ist InstallDate 2006-01-03 15:43:00 HKEY_CURRENT_USER\software\ist account_id 1004174 HKEY_CURRENT_USER\software\ist config ysb_mp3 IST.SlotchBar Toolbar more information... Details: An adware toolbar program for affiliates to distrubute on sites. Affiliates get paid per install of the toolbar. Status: Deleted Infected registry entries detected HKEY_CURRENT_USER\Software\IST HKEY_CURRENT_USER\Software\IST exe_start 3 HKEY_CURRENT_USER\Software\IST InstallDate 2006-01-03 15:43:00 HKEY_CURRENT_USER\Software\IST account_id 1004174 HKEY_CURRENT_USER\Software\IST config ysb_mp3 IST.XXXToolbar Toolbar more information... Details: Adult adware search toolbar for Internet Explorer. XXXToolbar displays a number of pop-up ads when Internet Explorer is running. Status: Deleted Infected registry entries detected HKEY_CURRENT_USER\Software\IST HKEY_CURRENT_USER\Software\IST exe_start 3 HKEY_CURRENT_USER\Software\IST InstallDate 2006-01-03 15:43:00 HKEY_CURRENT_USER\Software\IST account_id 1004174 HKEY_CURRENT_USER\Software\IST config ysb_mp3 My Search Bar Potentially Unwanted Software more information... Status: Deleted Infected registry entries detected HKEY_CLASSES_ROOT\clsid\{014DA6C9-189F-421a-88CD-07CFE51CFF10} MyWebSearch Toolbar Potentially Unwanted Software more information... Details: MyWebSearch Toolbar is a customizable Internet Explorer search toolbar with various other tools. Status: Deleted Infected registry entries detected HKEY_CLASSES_ROOT\CLSID\{147A976E-EEE1-4377-8EA7-4716E4CDD239} HKEY_CLASSES_ROOT\CLSID\{147A976E-EEE1-4377-8EA7-4716E4CDD239} HKEY_CLASSES_ROOT\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179} HKEY_CLASSES_ROOT\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}\TreatAs {465BB38F-2B83-43e1-BDE1-5F413D014350} HKEY_CLASSES_ROOT\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179} HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive SpySheriff Misc more information... Details: SpySheriff is a purported anti-spyware application to scan for and remove spyware from users' computers. Status: Deleted Infected registry entries detected HKEY_CURRENT_USER\Software\SNO2 YourSiteBar Spyware more information... Details: YourSiteBar from IST, the makers of numerous spyware Thread, is an affiliate based marketing toolbar. Status: Deleted Infected registry entries detected HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main BandRest Never HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main BandRest Never MyVideoDaily Low Risk Adware more information... Details: MyVideoDaily is installed as part of a bundle of ad supported software. Status: Deleted Infected registry entries detected HKEY_LOCAL_MACHINE\Software\MyVideoDaily HKEY_LOCAL_MACHINE\Software\MyVideoDaily PartnerID 7 ATDMT.com Cookie more information... Status: Deleted Infected cookies detected c:\dokumente und einstellungen\hp_besitzer\cookies\hp_besitzer@atdmt[2].txt DoubleClick Cookie more information... Details: DoubleClick is a popular ad serving network that uses spyware cookies, to target advertising. Status: Deleted Infected cookies detected c:\dokumente und einstellungen\hp_besitzer\cookies\hp_besitzer@doubleclick[1].txt Mediaplex.com Cookie more information... Details: Cookie used to track cross site advertising with the Mediaplex and value Click advertising companies. Status: Deleted Infected cookies detected c:\dokumente und einstellungen\hp_besitzer\cookies\hp_besitzer@mediaplex[1].txt zu 9.: Scanreport: -->siehe Anhang! Anhang: kaspersky_log.txt
|
|
|
|
|
|
|
07.03.2006, 23:58
Ehrenmitglied
Beiträge: 29434 |
#30
Zitat C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dllda weisst du ja, was du im abgesicherten Modus (am besten manuell zu loeschen hast....) * scanne mit ewido im abgesicherten modus --> Poste den scanreport http://virus-protect.org/ewido.html * scanne noch mal mit Kaspersky ----------------------------------------------------------------- Traurige Nachricht...bis jetzt ist es noch niemandem gelungen C:\WINDOWS\osaupd.exe C:\WINDOWS\wupdmgr.exe zu loeschen. Ich verstehe auch nicht warum...deshalb habe ich dich auch mit sovielen Erkennungstools scannen lassen. wenn du es nicht geloescht bekommst...erstelle ich eine bfu-Datei...du musst mir nur Bescheid sagen Hier kommt noch eins: RootkitRevealer http://www.sysinternals.com/Utilities/RootkitRevealer.html poste den scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten