Troj/Feutel-AS bzw. Backdoor.Win32.Hupigon.lq entfernen - Aber wie?Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
08.03.2006, 18:17
Member
Beiträge: 13 |
||
|
||
08.03.2006, 19:28
Ehrenmitglied
Beiträge: 29434 |
#2
Eijeijei
Zitat ich hatte heute eine Virenmeldung von NAV. Darin teilte mir Norton mit, dass er einen Trojaner gefunden hat, ihn aber nicht entfernen konnte- Knips..Glaskugel an - welche Virenmeldung gibt der Norton aus? Bitte Pfad vom Virus posten - Knips..Glaskugel aus ------------------------------------------------------------------------ stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.03.2006, 19:42
Member
Themenstarter Beiträge: 13 |
#3
Hallo Sabina,
stimmt. Den Pfad hab ich völlig vergessen. Sorry. Also die Meldung ist, dass unter C:/Windows/system32/drivers/mchlnjDrv.sys ein Trojaner ist. Ich hatte dann unter mchlnjdrv gesurft und festgestellt auf der Seite http://www.bleepingcomputer.com/startups/Cat-M.html dass es sich um den o. g. Trojaner handeln müsste. Norton hat dazu nix Genaues gesagt. Der hat nur festgestellt, es ist ein Wurm, den er nicht entfernen kann. Ist Cleanup sehr anders als CCleaner? Ich hab mit CCleaner und mit Steganos Security Suite schon alle Dateien gelöscht, die irgendwelche Spuren darstellen könnten. Letztes Mal wurde mir hier im Forum nämlich der CCleaner empfohlen... Datfind.bat-Log: Hier meine Logs: Verzeichnis von C:\WINDOWS 08.03.2006 13:26 159 wiadebug.log 08.03.2006 13:26 50 wiaservc.log 08.03.2006 13:24 2.048 bootstat.dat 08.03.2006 01:47 32.458 SchedLgU.Txt 27.02.2006 21:22 783 hpinfo.lnk 25.02.2006 09:33 192 winamp.ini 31.01.2006 00:05 700.998 SIGVERIF.TXT 12.01.2006 23:19 32 weitere.INI 12.01.2006 12:50 1.601 OutlookExpressDatensicherung1_Uninstall.ins 09.01.2006 12:00 115.712 oebackup1.exe 29.12.2005 23:13 69 NeroDigital.ini 27.12.2005 17:03 0 Sti_Trace.log 23.12.2005 20:33 0 nsreg.dat 23.12.2005 20:33 107.132 UninstallFirefox.exe 23.12.2005 20:33 2.763 mozver.dat 12.12.2005 23:52 18 sys386hi.dat 12.12.2005 23:51 10 hxprot3 12.12.2005 01:28 1.847 easybest.txt Verzeichnis von C:\WINDOWS\system32 08.03.2006 13:25 29.204 nvapps.xml 08.03.2006 13:24 177.548 OODBS.lor 08.03.2006 08:54 13.646 wpa.dbl 24.02.2006 20:10 312.376 FNTCACHE.DAT 07.02.2006 21:28 4.513.120 MRT.exe 31.01.2006 14:35 91.904 S32EVNT1.DLL 04.01.2006 04:35 68.096 webclnt.dll 29.12.2005 03:54 280.064 gdi32.dll Verzeichnis von C:\DOKUME~1\\LOKALE~1\Temp 08.03.2006 20:05 512 ~DF577B.tmp 08.03.2006 20:02 861 ~WRD0000.doc 08.03.2006 20:02 512 ~DF4351.tmp 08.03.2006 20:02 512 ~DF2ED2.tmp 08.03.2006 13:25 1.474.560 ~DFCF4C.tmp Verzeichnis von C:\ 08.03.2006 20:13 0 sys.txt 08.03.2006 20:13 5.059 system.txt 08.03.2006 20:12 489 systemtemp.txt 08.03.2006 20:12 100.311 system32.txt 08.03.2006 20:00 429 datFind.bat 08.03.2006 13:24 804.495.360 pagefile.sys Liebe Grüße, Eijeijei Dieser Beitrag wurde am 08.03.2006 um 20:28 Uhr von Eijeijei editiert.
|
|
|
||
08.03.2006, 21:18
Ehrenmitglied
Beiträge: 29434 |
#4
1.
ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren 2 Download Registry Search by Bobbi Flekman http://www.bleepingcomputer.com/files/regsearch.php und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Gray Pigeon Server in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) mchlnjDrv n edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. http://www.sophos.com/virusinfo/analyses/trojfeutelas.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.03.2006, 22:48
Member
Themenstarter Beiträge: 13 |
#5
Zu 1.)
The script did not recognize the services listed below. This does not mean that they are a problem. To copy the entire contents of this document for posting: At the top of this window click "Edit" then "Select All" Next click "Edit" again then "Copy" Now right click in the forum post box then click "Paste" ######################################## ServiceFilter 1.1 by rand1038 Microsoft Windows XP Home Edition Version: 5.1.2600 Service Pack 2 Mrz 8, 2006 22:22:06 ===> Begin Service Listing <=== Unknown Service #1 Service Name: AcrSch2Svc Display Name: Acronis Scheduler2 Service Start Mode: Auto Start Name: LocalSystem Description: Erlaubt Acronis Produkten, geplante Tasks automatisch auf diesem Computer auszuführen. Wenn dieser ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\acronis\schedule2\schedul2.exe" State: Running Process ID: 224 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #2 Service Name: ccEvtMgr Display Name: Symantec Event Manager Start Mode: Auto Start Name: LocalSystem Description: Symantec Event ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\symantec shared\ccevtmgr.exe" State: Running Process ID: 1524 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #3 Service Name: ccProxy Display Name: Symantec Network Proxy Start Mode: Auto Start Name: LocalSystem Description: Symantec Network Proxy ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\symantec shared\ccproxy.exe" State: Running Process ID: 292 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #4 Service Name: ccPwdSvc Display Name: Symantec Password Validation Start Mode: Manual Start Name: LocalSystem Description: Symantec Password Validation ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\symantec shared\ccpwdsvc.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #5 Service Name: ccSetMgr Display Name: Symantec Settings Manager Start Mode: Auto Start Name: LocalSystem Description: Symantec Settings ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\symantec shared\ccsetmgr.exe" State: Running Process ID: 1404 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #6 Service Name: navapsvc Display Name: Norton AntiVirus Auto-Protect-Dienst Start Mode: Auto Start Name: LocalSystem Description: Verarbeitet Norton AntiVirus ... Service Type: Own Process Path: "c:\programme\norton internet security\norton antivirus\navapsvc.exe" State: Running Process ID: 380 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 7 Service Name: O&O Defrag Display Name: O&O Defrag Start Mode: Auto Start Name: LocalSystem Description: O&O Defragmentation ... Service Type: Own Process Path: c:\windows\system32\oodag.exe State: Running Process ID: 576 Started: Wahr Exit Code: 0 Accept Pause: Wahr Accept Stop: Wahr Unknown Service # 8 Service Name: PTBSync Display Name: Atomuhr Synchronisation Start Mode: Manual Start Name: LocalSystem Description: Stellt die PC Uhr nach einer Atomuhr auch wenn kein Benutzer angemeldet ist. (by ... Service Type: Own Process Path: c:\programme\ptbsync\ptbsync.exe /service State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 9 Service Name: SatSrv Display Name: Steganos AntiTheft Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\windows\system32\satsrv.exe State: Running Process ID: 1212 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #10 Service Name: SAVScan Display Name: SAVScan Start Mode: Auto Start Name: LocalSystem Description: Handles Norton AntiVirus Auto-Protect Archive ... Service Type: Own Process Path: "c:\programme\norton internet security\norton antivirus\savscan.exe" State: Running Process ID: 336 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #11 Service Name: SBService Display Name: ScriptBlocking Service Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\progra~1\gemein~1\symant~1\script~1\sbserv.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #12 Service Name: SNDSrvc Display Name: Symantec Network Drivers Service Start Mode: Auto Start Name: LocalSystem Description: Symantec Network Drivers ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\symantec shared\sndsrvc.exe" State: Running Process ID: 1420 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 13 Service Name: svcWRSSSDK Display Name: Webroot Spy Sweeper Engine Start Mode: Auto Start Name: LocalSystem Description: Provides core functionality to Webroot Spy Sweeper. This service must be enabled and started for ... Service Type: Own Process Path: c:\programme\steganos antispyware 2006\wrsssdk.exe State: Running Process ID: 1512 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #14 Service Name: SwPrv Display Name: MS Software Shadow Copy Provider Start Mode: Manual Start Name: LocalSystem Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ... Service Type: Own Process Path: c:\windows\system32\dllhost.exe /processid:{12681d9f-89bb-464d-8c00-d05bd45213e1} State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #15 Service Name: SymWSC Display Name: SymWMI Service Start Mode: Auto Start Name: LocalSystem Description: Symantec WMI ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\symantec shared\security center\symwsc.exe" State: Running Process ID: 2092 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 16 Service Name: TUWinStylerThemeSvc Display Name: TuneUp WinStyler Theme Service Start Mode: Manual Start Name: LocalSystem Description: ... Service Type: Own Process Path: "c:\programme\tuneup utilities 2006\winstylerthemesvc.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch ---> End Service Listing <--- There are 94 Win32 services on this machine. 16 were unrecognized. Script Execution Time: 3,023438 seconds. Zu 2.1. REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.0.1 ; Results at 08.03.2006 22:29:45 for strings: ; 'gray pigeon server' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... zu 2.3. REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.0.1 ; Results at 08.03.2006 22:34:16 for strings: ; 'gray pigeon server' ; Strings excluded from search: ; 'mchlnjdrv' ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... Wie öffne ich denn die rbot-baf.ide Datei? Danke schon mal und liebe Grüße, Eijeijei |
|
|
||
08.03.2006, 23:31
Ehrenmitglied
Beiträge: 29434 |
#6
Eijeijei
C:/Windows/system32/drivers/mchlnjDrv.sys --> findest du die sys noch auf dem System ? ---------------------------------------------------------------------------- HijackThis (StartupListe) erstelle ein Startuplist log, dazu bitte in die ms tools setion gehen, beide Dinge bei "generate statuplist log" anhaken und die liste erstellen lassen. *HijackThis - Config *List also minor sections (full) -- Häkchen setzen *List empty sections (complete) -- Häkchen setzen *HijackThis - Config - MiscTools -- Generate StartupListlog *(es öffnet sich das Notepad [Texteditor], nun das KOMPLETTE Log abkopieren und posten) poste den scanreport RootkitRevealer http://www.sysinternals.com/Utilities/RootkitRevealer.html --------------------------------------------------------------------------- start -->Ausfuehren --> regedit bearbeiten--> suchen--> mchlnjDrv findest du ??????? HKLM\System\ControlSet002\Services\mchlnjDrv HKLM\System\ControlSet001\Services\mchlnjDrv HKLM\System\CurrentControlSet\Services\mchlnjDrv __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.03.2006, 16:06
Member
Themenstarter Beiträge: 13 |
#7
Hallo,
da bin ich wieder. C:/Windows/system32/drivers/mchlnjDrv.sys ist nicht auf meinem System. HKLM\System\ControlSet002\Services\mchlnjDrv HKLM\System\ControlSet001\Services\mchlnjDrv HKLM\System\CurrentControlSet\Services\mchlnjDrv sind auch nicht drauf. Hijackthis Startup-Log: StartupList report, 09.03.2006, 11:01:24 StartupList version: 1.52.2 Started from : F:\Programme & technische Infos - F\Systemdiagnose - Programme\Hijacker - Diagnose - Tool\HijackThis.EXE Detected: Windows XP SP2 (WinNT 5.01.2600) Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180) * Using default options * Including empty and uninteresting sections * Showing rarely important sections ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\system32\SatSrv.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Steganos AntiSpyware 2006\WRSSSDK.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\1PW\ONEPW.EXE C:\Programme\Steganos AntiSpyware 2006\saspy2006.exe C:\Programme\PTBSync\PTBSync.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\iexplore.exe F:\Programme & technische Infos - F\Systemdiagnose - Programme\Hijacker - Diagnose - Tool\HijackThis.exe -------------------------------------------------- Listing of startup folders: Shell folders Startup: [C:\Dokumente und Einstellungen\\Startmenü\Programme\Autostart] ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE Shell folders AltStartup: *Folder not found* User shell folders Startup: *Folder not found* User shell folders AltStartup: *Folder not found* Shell folders Common Startup: [C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart] *No files* Shell folders Common AltStartup: *Folder not found* User shell folders Common Startup: *Folder not found* User shell folders Alternate Common Startup: *Folder not found* -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, [HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon] *Registry key not found* [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] *Registry value not found* [HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon] *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run CreativeMixer = C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t ccApp = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" URLLSTCK.exe = C:\Programme\Norton Internet Security\UrlLstCk.exe Symantec NetDriver Monitor = C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer 1PW = C:\PROGRA~1\1PW\ONEPW.EXE NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup AntiSpyware 2006 = "C:\Programme\Steganos AntiSpyware 2006\saspy2006.exe" /startintray PTBSync = C:\Programme\PTBSync\PTBSync.exe /Start -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce *No values found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *No values found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run *No values found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce *No values found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\Run [OptionalComponents] *No values found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\Run *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- File association entry for .EXE: HKEY_CLASSES_ROOT\exefile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .COM: HKEY_CLASSES_ROOT\comfile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .BAT: HKEY_CLASSES_ROOT\batfile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .PIF: HKEY_CLASSES_ROOT\piffile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .SCR: HKEY_CLASSES_ROOT\scrfile\shell\open\command (Default) = "%1" /S -------------------------------------------------- File association entry for .HTA: HKEY_CLASSES_ROOT\htafile\shell\open\command (Default) = C:\WINDOWS\System32\mshta.exe "%1" %* -------------------------------------------------- File association entry for .TXT: HKEY_CLASSES_ROOT\txtfile\shell\open\command (Default) = %SystemRoot%\system32\NOTEPAD.EXE %1 -------------------------------------------------- Enumerating Active Setup stub paths: HKLM\Software\Microsoft\Active Setup\Installed Components (* = disabled by HKCU twin) [>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP [>{26923b43-4d38-484f-9b9e-de460746276c}] * StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE [>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS] * StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP [>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] * StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE [{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] * StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll [{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] * StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install [{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] * StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT [{5945c046-1e7d-11d1-bc44-00c04fd912be}] * StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser [{6BF52A52-394A-11d3-B153-00C04F79FAA6}] * StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp10.inf,PerUserStub [{7790769C-0471-11d2-AF11-00C04FA35D02}] * StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install [{89820200-ECBD-11cf-8B85-00AA005B4340}] * StubPath = regsvr32.exe /s /n /i:U shell32.dll [{89820200-ECBD-11cf-8B85-00AA005B4383}] * StubPath = %SystemRoot%\system32\ie4uinit.exe -------------------------------------------------- Enumerating ICQ Agent Autostart apps: HKCU\Software\Mirabilis\ICQ\Agent\Apps *Registry key not found* -------------------------------------------------- Load/Run keys from C:\WINDOWS\WIN.INI: load=*INI section not found* run=*INI section not found* Load/Run keys from Registry: HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found* HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found* HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found* HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found* HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found* HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found* HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found* HKCU\..\Windows NT\CurrentVersion\Windows: load= HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs= -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry value not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Checking for EXPLORER.EXE instances: C:\WINDOWS\Explorer.exe: PRESENT! C:\Explorer.exe: not present C:\WINDOWS\Explorer\Explorer.exe: not present C:\WINDOWS\System\Explorer.exe: not present C:\WINDOWS\System32\Explorer.exe: not present C:\WINDOWS\Command\Explorer.exe: not present C:\WINDOWS\Fonts\Explorer.exe: not present -------------------------------------------------- Checking for superhidden extensions: ..lnk: HIDDEN! (arrow overlay: yes) ..pif: HIDDEN! (arrow overlay: yes) ..exe: not hidden ..com: not hidden ..bat: not hidden ..hta: not hidden ..scr: not hidden ..shs: HIDDEN! ..shb: HIDDEN! ..vbs: not hidden ..vbe: not hidden ..wsh: not hidden ..scf: HIDDEN! (arrow overlay: NO!) ..url: HIDDEN! (arrow overlay: yes) ..js: not hidden ..jse: not hidden -------------------------------------------------- Verifying REGEDIT.EXE integrity: - Regedit.exe found in C:\WINDOWS - .reg open command is normal (regedit.exe %1) - Company name OK: 'Microsoft Corporation' - Original filename OK: 'REGEDIT.EXE' - File description: 'Registrierungs-Editor' Registry check passed -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (no name) - C:\Programme\GetRight\xx2gr.dll - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} (no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F} Web assistant - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} NAV Helper - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872} -------------------------------------------------- Enumerating Task Scheduler jobs: 1-Klick-Wartung.job Norton AntiVirus - Meinen Computer prüfen.job Symantec NetDetect.job -------------------------------------------------- Enumerating Download Program Files: [Windows Genuine Advantage Validation Tool] InProcServer32 = C:\WINDOWS\system32\LegitCheckControl.DLL CODEBASE = http://go.microsoft.com/fwlink/?linkid=39204 [Office Update Installation Engine] InProcServer32 = C:\WINDOWS\opuc.dll CODEBASE = http://office.microsoft.com/officeupdate/content/opuc2.cab [WUWebControl Class] InProcServer32 = C:\WINDOWS\system32\wuweb.dll CODEBASE = http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122229244558 [Java Plug-in 1.5.0_05] InProcServer32 = C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll CODEBASE = http://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab [Java Plug-in 1.5.0_05] InProcServer32 = C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll CODEBASE = http://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab [Shockwave Flash Object] InProcServer32 = C:\WINDOWS\system32\Macromed\Flash\Flash8.ocx CODEBASE = http://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab -------------------------------------------------- Enumerating Winsock LSP files: NameSpace #1: C:\WINDOWS\System32\mswsock.dll NameSpace #2: C:\WINDOWS\System32\winrnr.dll NameSpace #3: C:\WINDOWS\System32\mswsock.dll Protocol #1: C:\WINDOWS\system32\mswsock.dll Protocol #2: C:\WINDOWS\system32\mswsock.dll Protocol #3: C:\WINDOWS\system32\mswsock.dll Protocol #4: C:\WINDOWS\system32\rsvpsp.dll Protocol #5: C:\WINDOWS\system32\rsvpsp.dll Protocol #6: C:\WINDOWS\system32\mswsock.dll Protocol #7: C:\WINDOWS\system32\mswsock.dll Protocol #8: C:\WINDOWS\system32\mswsock.dll Protocol #9: C:\WINDOWS\system32\mswsock.dll Protocol #10: C:\WINDOWS\system32\mswsock.dll Protocol #11: C:\WINDOWS\system32\mswsock.dll Protocol #12: C:\WINDOWS\system32\mswsock.dll Protocol #13: C:\WINDOWS\system32\mswsock.dll Protocol #14: C:\WINDOWS\system32\mswsock.dll Protocol #15: C:\WINDOWS\system32\mswsock.dll Protocol #16: C:\WINDOWS\system32\mswsock.dll Protocol #17: C:\WINDOWS\system32\mswsock.dll Protocol #18: C:\WINDOWS\system32\mswsock.dll Protocol #19: C:\WINDOWS\system32\mswsock.dll -------------------------------------------------- Enumerating Windows NT/2000/XP services Microsoft ACPI-Treiber: System32\DRIVERS\ACPI.sys (system) Acronis Scheduler2 Service: "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe" (autostart) Microsoft Kernel-Echounterdrückung: system32\drivers\aec.sys (manual start) Umgebung für die AFD-Netzwerkunterstützung: \SystemRoot\System32\drivers\afd.sys (system) Warndienst: %SystemRoot%\System32\svchost.exe -k LocalService (autostart) Gatewaydienst auf Anwendungsebene: %SystemRoot%\System32\alg.exe (manual start) AMD K7-Prozessortreiber: System32\DRIVERS\amdk7.sys (system) Anwendungsverwaltung: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start) 1394-ARP-Clientprotokoll: System32\DRIVERS\arp1394.sys (manual start) Asynchroner RAS -Medientreiber: System32\DRIVERS\asyncmac.sys (manual start) Standard-IDE/ESDI-Festplattencontroller: System32\DRIVERS\atapi.sys (system) Protokoll für ATM ARP-Client: System32\DRIVERS\atmarpc.sys (manual start) Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Audiostubtreiber: System32\DRIVERS\audstub.sys (manual start) Intelligenter Hintergrundübertragungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Computerbrowser: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) OpenCom 40dsl: System32\Drivers\CAPI20.SYS (autostart) Symantec Event Manager: "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" (autostart) Symantec Network Proxy: "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe" (autostart) Symantec Password Validation: "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe" (manual start) Symantec Settings Manager: "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" (autostart) CD-ROM-Laufwerktreiber: System32\DRIVERS\cdrom.sys (system) Indexdienst: C:\WINDOWS\System32\cisvc.exe (disabled) Ablagemappe: %SystemRoot%\system32\clipsrv.exe (disabled) COM+-Systemanwendung: C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} (manual start) Kryptografiedienste: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) DCOM-Server-Prozessstart: %SystemRoot%\system32\svchost -k DcomLaunch (autostart) DeTeWe CapiPort: \SystemRoot\System32\drivers\detewecp.sys (autostart) DHCP-Client: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Laufwerktreiber: System32\DRIVERS\disk.sys (system) Verwaltungsdienst für die Verwaltung logischer Datenträger: %SystemRoot%\System32\dmadmin.exe /com (manual start) dmboot: System32\drivers\dmboot.sys (disabled) dmio: System32\drivers\dmio.sys (disabled) dmload: System32\drivers\dmload.sys (disabled) Verwaltung logischer Datenträger: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Microsoft Kernel-DLS-Synthesizer: system32\drivers\DMusic.sys (manual start) DNS-Client: %SystemRoot%\System32\svchost.exe -k NetworkService (manual start) Microsoft Kernel-DRM-Audioentschlüsselung: system32\drivers\drmkaud.sys (manual start) DeTeWe OpenCom 40 dsl: System32\DRIVERS\dtwmnic5.sys (manual start) ElbyCDFL: System32\Drivers\ElbyCDFL.sys (manual start) ElbyCDIO Driver: System32\Drivers\ElbyCDIO.sys (autostart) Fehlerberichterstattungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled) Creative AudioPCI (ES1371,ES1373) (WDM): system32\drivers\es1371mp.sys (manual start) Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart) COM+-Ereignissystem: C:\WINDOWS\System32\svchost.exe -k netsvcs (manual start) Kompatibilität für schnelle Benutzerumschaltung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Diskettencontrollertreiber: System32\DRIVERS\fdc.sys (manual start) Diskettenlaufwerktreiber: System32\DRIVERS\flpydisk.sys (manual start) FltMgr: system32\drivers\fltmgr.sys (system) Treiber für Volume-Manager: System32\DRIVERS\ftdisk.sys (system) Gameport-Enumerator: System32\DRIVERS\gameenum.sys (manual start) Standardpaketklassifizierung: System32\DRIVERS\msgpc.sys (manual start) Hilfe und Support: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Eingabegerätezugang: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled) HTTP: System32\Drivers\HTTP.sys (manual start) HTTP-SSL: %SystemRoot%\System32\svchost.exe -k HTTPFilter (manual start) i8042-Tastatur- und PS/2-Mausanschluss-Treiber: System32\DRIVERS\i8042prt.sys (system) IMAPI-CD-Brenn-COM-Dienste: C:\WINDOWS\System32\imapi.exe (manual start) IPv6-Windows-Firewalltreiber: system32\drivers\ip6fw.sys (manual start) Filtertreiber für IP-Verkehr: System32\DRIVERS\ipfltdrv.sys (manual start) IP/IP-Tunneltreiber: System32\DRIVERS\ipinip.sys (manual start) Übersetzer für IP-Netzwerkadressen: System32\DRIVERS\ipnat.sys (manual start) IPSEC-Treiber: System32\DRIVERS\ipsec.sys (system) IR-Enumeratordienst: System32\DRIVERS\irenum.sys (manual start) PnP-ISA/EISA-Bus-Treiber: System32\DRIVERS\isapnp.sys (system) Tastaturklassentreiber: System32\DRIVERS\kbdclass.sys (system) Microsoft Kernel-Waveaudiomixer: system32\drivers\kmixer.sys (manual start) Server: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Arbeitsstationsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) TCP/IP-NetBIOS-Hilfsprogramm: %SystemRoot%\System32\svchost.exe -k LocalService (autostart) Nachrichtendienst: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled) NetMeeting-Remotedesktop-Freigabe: C:\WINDOWS\System32\mnmsrvc.exe (manual start) Mausklassentreiber: System32\DRIVERS\mouclass.sys (system) Redirector für WebDav-Client: System32\DRIVERS\mrxdav.sys (manual start) MRXSMB: System32\DRIVERS\mrxsmb.sys (system) Distributed Transaction Coordinator: C:\WINDOWS\System32\msdtc.exe (disabled) Windows Installer: C:\WINDOWS\system32\msiexec.exe /V (manual start) Microsoft Streaming Service Proxy: system32\drivers\MSKSSRV.sys (manual start) Microsoft Proxy für Streaming Clock: system32\drivers\MSPCLOCK.sys (manual start) Microsoft Proxy für Streaming Quality Manager: system32\drivers\MSPQM.sys (manual start) Microsoft-Systemverwaltungs-BIOS-Treiber: System32\DRIVERS\mssmbios.sys (manual start) Microsoft MPU-401 MIDI UART-Treiber: system32\drivers\msmpu401.sys (manual start) Norton AntiVirus Auto-Protect-Dienst: "C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe" (autostart) NAVENG: \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20060307.009\NAVENG.Sys (manual start) NAVEX15: \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20060307.009\NavEx15.Sys (manual start) RAS-NDIS-TAPI-Treiber: System32\DRIVERS\ndistapi.sys (manual start) NDIS-Benutzermodus-E/A-Protokoll: System32\DRIVERS\ndisuio.sys (manual start) RAS-NDIS-WAN-Treiber: System32\DRIVERS\ndiswan.sys (manual start) NetBIOS-Schnittstelle: System32\DRIVERS\netbios.sys (system) NetBios über TCP/IP: System32\DRIVERS\netbt.sys (system) Netzwerk-DDE-Dienst: %SystemRoot%\system32\netdde.exe (manual start) Netzwerk-DDE-Serverdienst: %SystemRoot%\system32\netdde.exe (manual start) Anmeldedienst: %SystemRoot%\System32\lsass.exe (manual start) Netzwerkverbindungen: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) 1394-Netzwerktreiber: System32\DRIVERS\nic1394.sys (manual start) NLA (Network Location Awareness): %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) NT-LM-Sicherheitsdienst: %SystemRoot%\System32\lsass.exe (manual start) Wechselmedien: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start) nv: System32\DRIVERS\nv4_mini.sys (manual start) nv4: System32\DRIVERS\nv4.sys (manual start) NVIDIA Display Driver Service: %SystemRoot%\system32\nvsvc32.exe (autostart) Filtertreiber für IPX-Verkehr: System32\DRIVERS\nwlnkflt.sys (manual start) Treiber für IPX-Verkehrsweiterleitung: System32\DRIVERS\nwlnkfwd.sys (manual start) O&O Defrag: C:\WINDOWS\system32\oodag.exe (autostart) VIA OHCI-konformer IEEE 1394-Hostcontroller: System32\DRIVERS\ohci1394.sys (system) Treiber für parallelen Anschluss: System32\DRIVERS\parport.sys (manual start) PCI-Bus-Treiber: System32\DRIVERS\pci.sys (system) PCTEL Speaker Phone: %SystemRoot%\system32\pctspk.exe (autostart) PfModNT: \??\C:\WINDOWS\System32\PfModNT.sys (autostart) Plug & Play: %SystemRoot%\system32\services.exe (autostart) IPSEC-Dienste: %SystemRoot%\System32\lsass.exe (manual start) PortTalk: \??\C:\WINDOWS\system32\Drivers\PtbTalk.sys (autostart) WAN-Miniport (PPTP): System32\DRIVERS\raspptp.sys (manual start) Prozessortreiber: System32\DRIVERS\processr.sys (system) Geschützter Speicher: %SystemRoot%\system32\lsass.exe (autostart) QoS-Paketplaner: System32\DRIVERS\psched.sys (manual start) Atomuhr Synchronisation: C:\Programme\PTBSync\PTBSync.exe /Service (manual start) Treiber für direkte Parallelverbindung: System32\DRIVERS\ptilink.sys (manual start) PCTEL Seri*hier nicht!* Device Driver for PCI: System32\DRIVERS\ptserlp.sys (manual start) PxHelp20: System32\Drivers\PxHelp20.sys (system) Treiber für automatische RAS-Verbindung: System32\DRIVERS\rasacd.sys (system) Verwaltung für automatische RAS-Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) WAN-Miniport (L2TP): System32\DRIVERS\rasl2tp.sys (manual start) RAS-Verbindungsverwaltung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Remotezugriff-PPPOE-Treiber: System32\DRIVERS\raspppoe.sys (manual start) Parallelanschluss (direkt): System32\DRIVERS\raspti.sys (manual start) Rdbss: System32\DRIVERS\rdbss.sys (system) RDPCDD: System32\DRIVERS\RDPCDD.sys (system) Sitzungs-Manager für Remotedesktophilfe: C:\WINDOWS\system32\sessmgr.exe (manual start) Filtertreiber für digitale CD-Audiowiedergabe: System32\DRIVERS\redbook.sys (system) Routing und RAS: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled) Microsoft Legacy Modem Driver: System32\Drivers\RootMdm.sys (manual start) RPC-Locator: %SystemRoot%\System32\locator.exe (manual start) Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart) QoS-RSVP: %SystemRoot%\System32\rsvp.exe (manual start) Sicherheitskontenverwaltung: %SystemRoot%\system32\lsass.exe (autostart) Steganos AntiTheft: C:\WINDOWS\system32\SatSrv.exe (autostart) SAVRT: \??\C:\Programme\Norton Internet Security\Norton AntiVirus\SAVRT.SYS (system) SAVRTPEL: \??\C:\Programme\Norton Internet Security\Norton AntiVirus\SAVRTPEL.SYS (system) SAVScan: "C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe" (autostart) Bustreiber für SBP2-Transport/Protokoll: system32\DRIVERS\sbp2port.sys (system) Sound Blaster AudioPCI Audio Driver (WDM): system32\drivers\sbpci.sys (manual start) ScriptBlocking Service: C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe (autostart) Smartcard: %SystemRoot%\System32\SCardSvr.exe (manual start) Taskplaner: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Secdrv: System32\DRIVERS\secdrv.sys (manual start) Sekundäre Anmeldung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Serenum-Filtertreiber: System32\DRIVERS\serenum.sys (manual start) Treiber für seriellen Anschluss: System32\DRIVERS\Seri*hier nicht!*.sys (system) Windows-Firewall/Gemeinsame Nutzung der Internetverbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Shellhardwareerkennung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Steganos Live Encryption Engine 13 [Driver]: \??\C:\WINDOWS\system32\drivers\SLEE13.sys (system) Acronis Snapshots Manager: system32\DRIVERS\snapman.sys (system) Symantec Network Drivers Service: "C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe" (autostart) Microsoft Kernel-Audiosplitter: system32\drivers\splitter.sys (manual start) Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart) Filtertreiber für Systemwiederherstellung: System32\DRIVERS\sr.sys (system) Systemwiederherstellungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Srv: System32\DRIVERS\srv.sys (manual start) SSDP-Suchdienst: %SystemRoot%\System32\svchost.exe -k LocalService (disabled) Windows-Bilderfassung (WIA): %SystemRoot%\System32\svchost.exe -k imgsvc (autostart) Webroot Spy Sweeper Engine: C:\Programme\Steganos AntiSpyware 2006\WRSSSDK.exe (autostart) Software-Bus-Treiber: System32\DRIVERS\swenum.sys (manual start) Microsoft Software Synthesizer (WDM): system32\drivers\swmidi.sys (system) MS Software Shadow Copy Provider: C:\WINDOWS\System32\dllhost.exe /Processid:{12681D9F-89BB-464D-8C00-D05BD45213E1} (manual start) SYMDNS: \SystemRoot\System32\Drivers\SYMDNS.SYS (manual start) SymEvent: \??\C:\Programme\Symantec\SYMEVENT.SYS (manual start) SYMFW: \SystemRoot\System32\Drivers\SYMFW.SYS (manual start) SYMIDS: \SystemRoot\System32\Drivers\SYMIDS.SYS (manual start) SYMIDSCO: \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\SymcData\idsdefs\20060213.061\symidsco.sys (manual start) SYMNDIS: \SystemRoot\System32\Drivers\SYMNDIS.SYS (manual start) SYMREDRV: \SystemRoot\System32\Drivers\SYMREDRV.SYS (manual start) SYMTDI: \SystemRoot\System32\Drivers\SYMTDI.SYS (system) SymWMI Service: "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe" (autostart) Microsoft Kernel-Systemaudiogerät: system32\drivers\sysaudio.sys (manual start) Leistungsdatenprotokolle und Warnungen: %SystemRoot%\system32\smlogsvc.exe (manual start) Telefonie: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) TCP/IP-Protokolltreiber: System32\DRIVERS\tcpip.sys (system) Terminal-Gerätetreiber: System32\DRIVERS\termdd.sys (system) Terminaldienste: %SystemRoot%\System32\svchost -k DComLaunch (manual start) Designs: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Acronis TrueImage FS Filter: system32\DRIVERS\tifsfilt.sys (autostart) Acronis TrueImage Backup Archive Explorer: system32\DRIVERS\timntr.sys (system) Überwachung verteilter Verknüpfungen (Client): %SystemRoot%\system32\svchost.exe -k netsvcs (manual start) TuneUp WinStyler Theme Service: "C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe" (manual start) DeTeWe ISDN-Adapter (USB): System32\Drivers\ulisa.sys (manual start) Windows User Mode Driver Framework: C:\WINDOWS\system32\wdfmgr.exe (autostart) Microcode Updatetreiber: System32\DRIVERS\update.sys (manual start) Universeller Plug & Play-Gerätehost: %SystemRoot%\System32\svchost.exe -k LocalService (disabled) Unterbrechungsfreie Stromversorgung: %SystemRoot%\System32\ups.exe (manual start) Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller: system32\DRIVERS\usbehci.sys (manual start) USB2-aktivierter Hub: System32\DRIVERS\usbhub.sys (manual start) USB-Scannertreiber: system32\DRIVERS\usbscan.sys (manual start) USB-Massenspeichertreiber: System32\DRIVERS\USBSTOR.SYS (manual start) Miniporttreiber für universellen Microsoft USB-Hostcontroller: System32\DRIVERS\usbuhci.sys (manual start) USB Remote NDIS Network Device Driver: system32\DRIVERS\usb8023.sys (manual start) VGA-Anzeigecontroller.: \SystemRoot\System32\drivers\vga.sys (system) VIA AGP-Bus-Filter: System32\DRIVERS\viaagp.sys (system) ViaIde: System32\DRIVERS\viaide.sys (system) XP Vmodem: System32\DRIVERS\vmodem.sys (system) XP Vpctcom: System32\DRIVERS\vpctcom.sys (system) Volumeschattenkopie: %SystemRoot%\System32\vssvc.exe (manual start) XP Vvoice: System32\DRIVERS\vvoice.sys (system) Windows-Zeitgeber: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled) RAS-IP-ARP-Treiber: System32\DRIVERS\wanarp.sys (manual start) Microsoft WDM Virtual Wave Driver (WDM): system32\drivers\wdmaud.sys (system) Webclient: %SystemRoot%\System32\svchost.exe -k LocalService (autostart) WinDSL-Adapter (PPP-over-Ethernet): system32\DRIVERS\WinDSL.sys (manual start) %WinDSLp_Desc%: system32\DRIVERS\WinDSL.sys (manual start) Windows-Verwaltungsinstrumentation: %systemroot%\system32\svchost.exe -k netsvcs (autostart) Dienst für Seriennummern der tragbaren Medien: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) WMI-Leistungsadapter: C:\WINDOWS\System32\wbem\wmiapsrv.exe (manual start) Sicherheitscenter: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled) Automatische Updates: %systemroot%\system32\svchost.exe -k netsvcs (disabled) Konfigurationsfreie drahtlose Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Netzwerkversorgungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) -------------------------------------------------- Enumerating Windows NT logon/logoff scripts: *No scripts set to run* Windows NT checkdisk command: BootExecute = autocheck autochk * Windows NT 'Wininit.ini': PendingFileRenameOperations: C:\DOKUME~1\\Cookies\index.dat|||t -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll WebCheck: C:\WINDOWS\System32\webcheck.dll SysTray: C:\WINDOWS\System32\stobject.dll -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run *Registry key not found* -------------------------------------------------- End of report, 35.577 bytes Report generated in 0,250 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only Rootkit Revealer Log: HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher 11.06.2005 20:43 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\DefaultIcon 11.06.2005 20:43 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell 11.06.2005 20:43 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open 11.06.2005 20:43 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open\command 11.06.2005 20:43 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open\ddeexec 11.06.2005 20:43 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open\ddeexec\Application 11.06.2005 20:43 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open\ddeexec\Topic 11.06.2005 20:43 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Ole 11.06.2005 20:43 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Ole\AppCompat 11.06.2005 20:43 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Ole\AppCompat\ActivationSecurityCheckExemptionList 11.06.2005 20:43 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc 11.06.2005 20:43 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc\ClientProtocols 11.06.2005 20:43 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc\NameService 11.06.2005 20:43 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc\NetBios 11.06.2005 20:43 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc\SecurityService 11.06.2005 20:43 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet 11.06.2005 20:43 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet\DefaultIcon 11.06.2005 20:43 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet\shell 11.06.2005 20:43 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet\shell\open 11.06.2005 20:43 0 bytes Security mismatch. HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet\shell\open\command 11.06.2005 20:43 0 bytes Security mismatch. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 11.06.2005 15:58 0 bytes Key name contains embedded nulls (*) C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temp\Rar$EX00.525\Eula.txt 11.02.2006 09:22 1.92 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temp\Rar$EX00.525\RootkitRevealer.chm 07.12.2005 14:19 99.77 KB Visible in Windows API, but not in MFT or directory index. Anmerken möchte ich noch, dass mir NAV beim Hochfahren wieder die Meldung anzeigte, dass er einen Virus gefunden hat, den er aber nicht löschen kann. Ich habe mir auch mal den Rootkit Hook Analyzer runtergeladen und durchlaufen lassen. Der hat auch etwas gefunden, wobei ich allerdings nicht weiß, was da wichtig ist und wie ich das interpretieren bzw. hier posten könnte. Liebe Grüße, Eijeijei |
|
|
||
10.03.2006, 02:22
Ehrenmitglied
Beiträge: 29434 |
#8
Eijeijei
1. Einzelne Dateien scannen Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten http://www.virustotal.com/flash/index_en.html C.\Windows\oebackup1.exe --------------------------------------------------------------------------------------- 2. -schreibe mit wieder genau Name und Pfad. -und berichte, was Rootkit Hook Analyze gefunden hat (Log abkopieren?) 3. regrun http://virus-protect.org/regrun.html Ich möchte gerne folgende Information von dir haben: (1) Fix Problems Prohibited > Anzahl der gefundenen Dateien Suspicious > Anzahl der gefundenen Dateien Warnings > Anzahl der gefundenen Dateien (2) Kopiere diese Datei aus dem Fenster "What's this" in Notepad. 4. (3) schliesse das Fenster "What's this". 5. (4) Verwende den Pfeil > geh genauso vor wie eben, kopiere auch diese Datei aus dem Fensterchen "What's this" in Notepad. Mach das mit allen Dateien, die auf deinem System gefunden worden sind. Gib ausserden den Status der gefundenen Dateien an: Prohibited, Suspicious, Warning ? 6. Wenn du alle Dateien auf diese Weise in Notepad kopiert hast, klicke auf (5): Finish und schliesse das Programm. 7. Kopiere alle Dateien, die du in Notepad gesammelt hast (2) und die Information (1) in deinen Thread. Mach nicht alleine weiter mit RegRun. Zitat Troj/Feutel-A copies itself to the Windows folder as "G-Server.exe" and creates files in the same folder called "G_Server.DLL" and "G_Server_Hook.DLL". The Trojan may also create a temporary file which is then deleted. Zitat <Windows>\svchost.dll Zitat When first run Troj/Feutel-CK copies itself to <Windows folder>\srystem.bat. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.03.2006, 21:05
Member
Themenstarter Beiträge: 13 |
#9
Hallo,
zu 1.) Ergebnis: Antivirus Version Update Result AntiVir 6.34.0.53 03.10.2006 no virus found Avast 4.6.695.0 03.08.2006 no virus found AVG 718 03.10.2006 no virus found Avira 6.34.0.53 03.10.2006 no virus found BitDefender 7.2 03.10.2006 no virus found CAT-QuickHeal 8.00 03.10.2006 no virus found ClamAV devel-20060126 03.10.2006 no virus found DrWeb 4.33 03.10.2006 no virus found eTrust-InoculateIT 23.71.98 03.09.2006 no virus found eTrust-Vet 12.4.2115 03.10.2006 no virus found Ewido 3.5 03.10.2006 no virus found Fortinet 2.71.0.0 03.10.2006 suspicious F-Prot 3.16c 03.09.2006 no virus found Ikarus 0.2.59.0 03.10.2006 no virus found Kaspersky 4.0.2.24 03.10.2006 no virus found McAfee 4714 03.09.2006 no virus found NOD32v2 1.1437 03.10.2006 no virus found Norman 5.70.10 03.10.2006 no virus found Panda 9.0.0.4 03.10.2006 no virus found Sophos 4.03.0 03.10.2006 no virus found Symantec 8.0 03.10.2006 no virus found TheHacker 5.9.5.110 03.09.2006 no virus found UNA 1.83 03.10.2006 no virus found VBA32 3.10.5 03.10.2006 no virus found zu 2.) Hier verstehe ich nicht, welchen Namen und Pfad ich schreiben soll. Mit Rootkit Hook Analyzer gibt's kein Log, und es lässt sich leider auch nichts kopieren. Er hat folgende Komponenten bemängelt, die aber m. E. okay sein dürften: savrt.sys ( müsste Bestandteil von NAV sein) savrtpel.sys (dto.) navex15.sys (dto.) naveng.sys (dto.) rkreveal15.sys (Rootkit Revealer?) dump_wmilib.sys (müsste Windows-Bestandteil sein) duom_atapi.sys (hierzu hab ich im Netz nix gefunden, könnte aber was mit dem Brenner zu tun haben?) Das sind alles Dateien, die die der Analyzer unter "Modules" nicht zuordnen konnte und bei denen demzufolge im Pfad "???" steht und zu denen keine weiteren Angaben vorhanden sind. Bei "Hooks" wurde in roter Schrift Folgendes bemängelt: Index = 31 Service Name = NtConnectPort/ZwConnectPort Ich weiß nicht, was das bedeuten soll. Eine Bekannte von mir hat aber auch dieses Programm durchlaufen lassen und auch den gleichen Hook bemängelt bekommen. Vielleicht ist das ja normal??? 3.) Prohibited: 2 Suspicious: 17 Warnings: 3 Log ist im Anhang. Jetzt habe ich folgendes Problem, dass mein Regrun Reanimator nicht ganz so funktioniert, wie in der Gebrauchsanweisung beschrieben. Jedenfalls nicht immer. Ich habe den Virusscan gemacht, "Disinfect" gedrückt und kann leider nicht bei allen Dateien ausmachen, wie ich an das "What's this"-Fenster komme. Manchmal gibt es nämlich nur die beiden Buttons "It's good for me" und "It's not correct. Restore default settings". Ich müsste also mit dem grünen Pfeil blättern und kann auf diese Art und Weise also nur die Dateien erfassen, die auch einen Button "Good or bad? Get info/Kill or Accept it" haben. Wenn ich das Fenster, in dem oben im dunkelblauen Bereich "Antispyware" steht, geöffnet habe, komme ich nicht an das "What's this?"-Fenster dran. Wenn ich nur das Fenster "RegRun Reanimator" geöffnet habe, komme ich irgendwie nicht an die Prohibited-, Suspicious- oder Warning-Dateien dran. Irgendwie steh' ich da jetzt auf der Leitung... Anmerken möchte ich noch, dass NAV heute seine routinemäßige Virenkontrolle gemacht hat und nichts, aber auch rein gar nichts bemängelt hat. Liebe Grüße, Eijeijei Anhang: regrunlog.txt Dieser Beitrag wurde am 10.03.2006 um 21:09 Uhr von Eijeijei editiert.
|
|
|
||
11.03.2006, 00:30
Ehrenmitglied
Beiträge: 29434 |
#10
Zitat OEBackup - Outlook Express Datensicherung (Vollversion)=C:\WINDOWS\oebackup1.exeder Symantec findet nichts...und ich auch nicht Am besten mache einen Onlinescan mit kaspersky und berichte. http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.03.2006, 22:44
Member
Themenstarter Beiträge: 13 |
#11
Hallo Sabina,
das war ein Super-Tipp mit Kaspersky. Danke. Der hat nämlich Folgendes gefunden: Trojan-Spy.Win32.Agent.et Andere Version: .o Aliases Trojan-Spy.Win32.Agent.et (Kaspersky Lab) auch bekannt als: Trojan.FWB (Doctor Web), TR/Spy.Agent.ET (H+BEDV), Trojan.Spy.Agent.ET (SOFTWIN), Trj/Agent.ABK (Panda) Datum: Wann entdeckt? 18 Jun 2005 00:44 GMT Update released 18 Jun 2005 02:15 GMT behavior TrojanSpy Für dieses Schadprogramm gibt es keine Beschreibung. Blablabla. Gefunden wurde der Trojaner in dem Pfad: C:\WINDOWS\system32\mspeupx.exe Ich habe hier http://forums.wugnet.com/Help+&+Support-MSPEUPX.exe-Windows-Updater-ftopict405465.html eine Anleitung gefunden, was da zu machen ist und mit Ewido (www.ewido.net) online gescannt und dort die Datei Logger.exe gefunden und beseitigt. Vorher habe ich in der Registry den Pfad HKCU\Software\Microsoft\Internet Explorer\Main\Check_Associations no gefunden, der, wie Du ja in einem Posting geschrieben hattest, wohl auch vom Trojaner herrührt. PC neu gestartet, und: NAV bringt wieder die Virusmeldung mit mchlnjDrv.sys, obwohl ich diese Datei gar nicht in der Registry und im Windows habe. Will der Norton mich veräppeln? Ich weiß jetzt nicht, was ich davon zu halten habe. Liebe Grüße, Eijeijei |
|
|
||
11.03.2006, 22:51
Ehrenmitglied
Beiträge: 29434 |
#12
poste bitte mal die 4 Textdateien von datfindbat, aber bitte bis August 2005
http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.03.2006, 23:05
Member
Themenstarter Beiträge: 13 |
#13
Datentr„ger in Laufwerk C: ist System - XP
Volumeseriennummer: F462-CDAC sys.txt Verzeichnis von C:\ 13.06.2005 16:12 211 boot.ini 10.06.2005 20:49 47.564 NTDETECT.COM 10.06.2005 20:49 251.184 ntldr 10.06.2005 18:41 0 MSDOS.SYS 10.06.2005 18:41 0 CONFIG.SYS 10.06.2005 18:41 0 IO.SYS 10.06.2005 18:41 0 AUTOEXEC.BAT 18.08.2001 13:00 4.952 bootfont.bin 16 Datei(en) 804.905.565 Bytes 0 Verzeichnis(se), 16.773.758.976 Bytes frei systemtemp.txt hat bis August 2005 nichts system.txt: Datentr„ger in Laufwerk C: ist System - XP Volumeseriennummer: F462-CDAC Verzeichnis von C:\WINDOWS 31.08.2005 10:05 428.544 WRServices.dll 25.08.2005 13:34 115.712 1PWUn0.exe 23.08.2005 12:18 4.096 d3dx.dat 27.06.2005 12:09 131 EurekaLog.ini 13.06.2005 13:16 24 magix.ini 13.06.2005 12:20 0 CleaningLab.INI 12.06.2005 12:13 231 system.ini 12.06.2005 11:06 657 explorer.exe.manifest 12.06.2005 01:24 1.093 1PasswordPro_Uninstall.ins 11.06.2005 18:34 1.534 OutlookExpressDatensicherung_Uninstall.ins 11.06.2005 16:47 25 cdplayer.ini 11.06.2005 16:39 316.640 WMSysPr9.prx 10.06.2005 21:11 400 ODBC.INI 10.06.2005 20:21 376 mozregistry.dat 10.06.2005 20:12 59 WINPHONE.INI 10.06.2005 19:41 299.552 WMSysPrx.prx 10.06.2005 19:41 4.161 ODBCINST.INI 10.06.2005 19:39 749 WindowsShell.Manifest 10.06.2005 19:38 37 vbaddin.ini 10.06.2005 19:38 36 vb.ini 10.06.2005 18:41 0 control.ini 27.05.2005 00:22 10.752 hh.exe 22.03.2005 14:56 326.656 opuc.dll 11.02.2005 09:02 115.712 1PWUn.EXE 10.12.2004 02:05 115.712 oebackup.EXE 03.08.2004 23:58 288.768 winhlp32.exe 03.08.2004 23:58 32.866 slrundll.exe 03.08.2004 23:58 153.600 regedit.exe 03.08.2004 23:58 153.600 R.COM 03.08.2004 23:58 153.600 REGEDIT.COM 03.08.2004 23:58 70.144 notepad.exe 03.08.2004 23:57 1.035.264 explorer.exe 03.08.2004 23:57 50.688 twain_32.dll 23.04.2004 13:18 167.936 snui.exe 16.04.2003 11:21 7.168 suecmdial.dll 09.10.2002 10:52 887 mgxoschk.ini 18.08.2001 13:00 15.872 TASKMAN.EXE 18.08.2001 13:00 9.522 Zapotek.bmp 18.08.2001 13:00 94.800 twain.dll 18.08.2001 13:00 65.832 Santa Fe-Stuck.bmp 18.08.2001 13:00 49.680 twunk_16.exe 18.08.2001 13:00 25.600 twunk_32.exe 18.08.2001 13:00 1.272 Blaue Spitzen 16.bmp 18.08.2001 13:00 26.582 Granit.bmp 18.08.2001 13:00 82.944 clock.avi 18.08.2001 13:00 17.362 Rhododendron.bmp 18.08.2001 13:00 18.944 vmmreg32.dll 18.08.2001 13:00 17.336 Angler.bmp 18.08.2001 13:00 65.954 Pr„riewind.bmp 18.08.2001 13:00 2 desktop.ini 18.08.2001 13:00 80 explorer.scf 18.08.2001 13:00 1.405 msdfmap.ini 18.08.2001 13:00 16.730 Feder.bmp 18.08.2001 13:00 34.818 wmprfDEU.prx 18.08.2001 13:00 257.568 winhelp.exe 18.08.2001 13:00 26.680 F„cher.bmp 18.08.2001 13:00 48.680 winnt.bmp 18.08.2001 13:00 48.680 winnt256.bmp 18.08.2001 13:00 17.062 Kaffeetasse.bmp 18.08.2001 13:00 707 _default.pif 02.08.2000 20:47 26.112 RunUnDrv.exe 17.12.1999 10:13 86.016 unvise32.exe 11.10.1999 02:01 41.984 CTREGRUN.EXE 17.11.1998 12:44 328.704 IsUn0407.exe 19.11.1997 14:49 303.616 IsUninst.exe 95 Datei(en) 6.673.925 Bytes 0 Verzeichnis(se), 16.773.763.072 Bytes frei system32.txt ist in der Anlage beigefügt LG, Eijeijei Anhang: 32.txt
|
|
|
||
12.03.2006, 14:29
Ehrenmitglied
Beiträge: 29434 |
#14
1.ich wollte gern alle Daten sehen, von jetzt bis August (nicht nur ab August).........
2. bitte wieder den Pfad vom Virus mitposten, den Norton gefunden hat. Einzelne Dateien scannen Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten http://www.virustotal.com/flash/index_en.html C:\WINDOWS\1PWUn0.exe ** __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.03.2006, 23:37
Member
Themenstarter Beiträge: 13 |
#15
1. Hier nun der andere Daten-Teil:
sys.txt: Datentr„ger in Laufwerk C: ist System - XP Volumeseriennummer: F462-CDAC Verzeichnis von C:\ 08.03.2006 20:13 0 sys.txt 08.03.2006 20:13 5.059 system.txt 08.03.2006 20:12 489 systemtemp.txt 08.03.2006 20:12 100.311 system32.txt 08.03.2006 20:00 429 datFind.bat 08.03.2006 13:24 804.495.360 pagefile.sys 02.11.2005 22:52 0 23990098.$$$ 02.11.2005 22:52 6 AVPCallback.log systemtemp.txt: Datentr„ger in Laufwerk C: ist System - XP Volumeseriennummer: F462-CDAC Verzeichnis von C:\DOKUME~1\Schmidt\LOKALE~1\Temp 08.03.2006 20:05 512 ~DF577B.tmp 08.03.2006 20:02 861 ~WRD0000.doc 08.03.2006 20:02 512 ~DF4351.tmp 08.03.2006 20:02 512 ~DF2ED2.tmp 08.03.2006 13:25 1.474.560 ~DFCF4C.tmp 5 Datei(en) 1.476.957 Bytes 0 Verzeichnis(se), 16.773.771.264 Bytes frei system.txt: Datentr„ger in Laufwerk C: ist System - XP Volumeseriennummer: F462-CDAC Verzeichnis von C:\WINDOWS 08.03.2006 13:26 159 wiadebug.log 08.03.2006 13:26 50 wiaservc.log 08.03.2006 13:24 2.048 bootstat.dat 08.03.2006 01:47 32.458 SchedLgU.Txt 27.02.2006 21:22 783 hpinfo.lnk 25.02.2006 09:33 192 winamp.ini 31.01.2006 00:05 700.998 SIGVERIF.TXT 12.01.2006 23:19 32 weitere.INI 12.01.2006 12:50 1.601 OutlookExpressDatensicherung1_Uninstall.ins 09.01.2006 12:00 115.712 oebackup1.exe 29.12.2005 23:13 69 NeroDigital.ini 27.12.2005 17:03 0 Sti_Trace.log 23.12.2005 20:33 0 nsreg.dat 23.12.2005 20:33 107.132 UninstallFirefox.exe 23.12.2005 20:33 2.763 mozver.dat 12.12.2005 23:52 18 sys386hi.dat 12.12.2005 23:51 10 hxprot3 12.12.2005 01:28 1.847 easybest.txt 17.11.2005 20:58 1.601 OutlookExpressDatensicherung0_Uninstall.ins 08.11.2005 00:02 36 TemplateWizard.INI 06.11.2005 00:56 24 AM_D8.PRF 02.11.2005 20:36 0 Lic.xxx 18.10.2005 18:31 487 Capictrl.INI 18.10.2005 15:36 277 awprotoc.txt 18.10.2005 15:36 61 awerror.txt 30.09.2005 10:34 115.712 oebackup0.exe 24.09.2005 21:39 1.154 1PasswordPro0_Uninstall.ins 24.09.2005 13:07 10 popcinfo.dat 24.09.2005 12:45 733 win.ini 22.09.2005 12:53 4 win32t4.dll 31.08.2005 10:05 428.544 WRServices.dll 25.08.2005 13:34 115.712 1PWUn0.exe 23.08.2005 12:18 4.096 d3dx.dat system32.txt: Datentr„ger in Laufwerk C: ist System - XP Volumeseriennummer: F462-CDAC Verzeichnis von C:\WINDOWS\system32 08.03.2006 13:25 29.204 nvapps.xml 08.03.2006 13:24 177.548 OODBS.lor 08.03.2006 08:54 13.646 wpa.dbl 24.02.2006 20:10 312.376 FNTCACHE.DAT 07.02.2006 21:28 4.513.120 MRT.exe 31.01.2006 14:35 91.904 S32EVNT1.DLL 04.01.2006 04:35 68.096 webclnt.dll 29.12.2005 03:54 280.064 gdi32.dll 06.12.2005 06:02 5.533.696 wmp.dll 01.12.2005 04:31 1.492.480 shdocvw.dll 24.11.2005 00:58 1.022.464 browseui.dll 24.11.2005 00:58 3.013.632 mshtml.dll 21.11.2005 20:06 25.849 keyg*hier nicht*.exe 21.11.2005 20:06 20.992 mspeupx.exe 05.11.2005 04:16 606.208 urlmon.dll 05.11.2005 04:16 1.056.256 danim.dll 04.11.2005 11:22 184.320 SatSrv.exe 30.10.2005 10:43 311.740 perfh009.dat 30.10.2005 10:43 40.128 perfc009.dat 30.10.2005 10:43 48.354 perfc007.dat 30.10.2005 10:43 316.924 perfh007.dat 30.10.2005 10:43 723.744 PerfStringBackup.INI 23.10.2005 12:37 5.618 jupdate-1.5.0_05-b05.log 21.10.2005 21:08 3.799 jupdate-1.5.0_04-b05.log 21.10.2005 04:40 664.064 wininet.dll 21.10.2005 04:40 474.112 shlwapi.dll 21.10.2005 04:40 39.424 pngfilt.dll 21.10.2005 04:40 530.944 mstime.dll 21.10.2005 04:40 448.512 mshtmled.dll 21.10.2005 04:40 146.432 msrating.dll 21.10.2005 04:40 96.768 inseng.dll 21.10.2005 04:40 205.312 dxtrans.dll 21.10.2005 04:40 55.808 extmgr.dll 21.10.2005 04:40 251.392 iepeers.dll 21.10.2005 04:40 152.064 cdfview.dll 20.10.2005 23:25 1.094.144 esent.dll 17.10.2005 22:20 118.272 t2embed.dll 17.10.2005 22:20 80.896 fontsub.dll 13.10.2005 00:11 15.584 spmsg.dll 06.10.2005 04:08 1.839.616 win32k.sys 23.09.2005 04:06 8.491.520 shell32.dll 10.09.2005 02:54 2.067.968 cdosys.dll 01.09.2005 02:44 292.352 winsrv.dll 01.09.2005 02:44 19.968 linkinfo.dll 30.08.2005 04:55 1.292.800 quartz.dll 26.08.2005 17:14 127.078 javaws.exe 26.08.2005 17:14 49.265 jpicpl32.cpl 26.08.2005 14:55 49.250 javaw.exe 26.08.2005 14:55 49.248 java.exe 26.08.2005 13:49 102.912 islzma.dll 23.08.2005 04:39 124.416 umpnpmgr.dll 22.08.2005 19:31 197.632 netman.dll 03.08.2005 09:33 520.456 LegitCheckControl.DLL 02.08.2005 15:35 86.016 nvmctray.dll 02.08.2005 15:35 286.720 nvnt4cpl.dll 02.08.2005 15:35 5.140.480 nvoglnt.dll 02.08.2005 15:35 315.392 nvrsar.dll 02.08.2005 15:35 233.472 nvrscs.dll 02.08.2005 15:35 241.664 nvrsda.dll 02.08.2005 15:35 266.240 nvrsde.dll 02.08.2005 15:35 270.336 nvrsel.dll 02.08.2005 15:35 237.568 nvrseng.dll 02.08.2005 15:35 270.336 nvrses.dll 02.08.2005 15:35 262.144 nvrsesm.dll 02.08.2005 15:35 1.339.392 nvdspsch.exe 02.08.2005 15:35 270.336 nvrsfr.dll 02.08.2005 15:35 311.296 nvrshe.dll 02.08.2005 15:35 167.936 nvwrszht.dll 02.08.2005 15:35 245.760 nvrshu.dll 02.08.2005 15:35 270.336 nvrsit.dll 02.08.2005 15:35 253.952 nvrsja.dll 02.08.2005 15:35 249.856 nvrsko.dll 02.08.2005 15:35 262.144 nvrsnl.dll 02.08.2005 15:35 241.664 nvrsno.dll 02.08.2005 15:35 241.664 nvrspl.dll 02.08.2005 15:35 262.144 nvrspt.dll 02.08.2005 15:35 253.952 nvrsptb.dll 02.08.2005 15:35 14.757 nvdisp.nvu 02.08.2005 15:35 258.048 nvrsru.dll 02.08.2005 15:35 245.760 nvrssk.dll 02.08.2005 15:35 241.664 nvrssl.dll 02.08.2005 15:35 241.664 nvrssv.dll 02.08.2005 15:35 1.466.368 nview.dll 02.08.2005 15:35 212.992 nvrszhc.dll 02.08.2005 15:35 114.688 nvrszht.dll 02.08.2005 15:35 466.944 nvshell.dll 02.08.2005 15:35 127.043 nvsvc32.exe 02.08.2005 15:35 73.728 nvtuicpl.cpl 02.08.2005 15:35 176.128 nvudisp.exe 02.08.2005 15:35 81.920 nvwddi.dll 02.08.2005 15:35 1.662.976 nvwdmcpl.dll 02.08.2005 15:35 7.110.656 nvcpl.dll 02.08.2005 15:35 1.019.904 nvwimg.dll 02.08.2005 15:35 147.456 nvcolor.exe 02.08.2005 15:35 282.624 nvwrsar.dll 02.08.2005 15:35 32.768 nvcodins.dll 02.08.2005 15:35 286.720 nvwrscs.dll 02.08.2005 15:35 294.912 nvwrsda.dll 02.08.2005 15:35 32.768 nvcod.dll 02.08.2005 15:35 1.519.616 nwiz.exe 02.08.2005 15:35 311.296 nvwrsde.dll 02.08.2005 15:35 335.872 nvwrsel.dll 02.08.2005 15:35 442.368 nvappbar.exe 02.08.2005 15:35 286.720 nvwrseng.dll 02.08.2005 15:35 335.872 nvwrses.dll 02.08.2005 15:35 327.680 nvwrsesm.dll 02.08.2005 15:35 303.104 nvwrsfi.dll 02.08.2005 15:35 327.680 nvwrsfr.dll 02.08.2005 15:35 163.840 nvwrszhc.dll 02.08.2005 15:35 278.528 nvwrshe.dll 02.08.2005 15:35 3.908.864 nv4_disp.dll 02.08.2005 15:35 315.392 nvwrshu.dll 02.08.2005 15:35 245.760 nvrstr.dll 02.08.2005 15:35 323.584 nvwrsit.dll 02.08.2005 15:35 212.992 nvwrsja.dll 02.08.2005 15:35 540.672 nvhwvid.dll 02.08.2005 15:35 196.608 nvwrsko.dll 02.08.2005 15:35 319.488 nvwrsnl.dll 02.08.2005 15:35 299.008 nvwrsno.dll 02.08.2005 15:35 294.912 nvwrspl.dll 02.08.2005 15:35 323.584 nvwrspt.dll 02.08.2005 15:35 319.488 nvwrsptb.dll 02.08.2005 15:35 393.216 keystone.exe 02.08.2005 15:35 315.392 nvwrsru.dll 02.08.2005 15:35 299.008 nvwrssk.dll 02.08.2005 15:35 303.104 nvwrssl.dll 02.08.2005 15:35 294.912 nvwrssv.dll 02.08.2005 15:35 237.568 nvrsfi.dll 02.08.2005 15:35 303.104 nvwrstr.dll 2. Der Pfad von NAV ist wie gehabt: C/Windows/system32/Drivers/mchlnjDrV.sys. Und wie gehabt ist diese Datei nicht auffindbar im Windows Explorer und in der Registry. Ich habe überhaupt kein mchlnjDrv auf dem System, wenn ich der Suchfunktion Glauben schenken darf. Der Virustotal-Online-Scan ergab Folgendes: This is a report processed by VirusTotal on 03/12/2006 at 22:45:44 (CET) after scanning the file "1PWUn.EXE" file. Antivirus Version Update Result AntiVir 6.34.0.53 03.11.2006 no virus found Avast 4.6.695.0 03.10.2006 no virus found AVG 718 03.10.2006 no virus found Avira 6.34.0.53 03.11.2006 no virus found BitDefender 7.2 03.12.2006 no virus found CAT-QuickHeal 8.00 03.10.2006 no virus found ClamAV devel-20060126 03.11.2006 no virus found DrWeb 4.33 03.12.2006 no virus found eTrust-InoculateIT 23.71.100 03.12.2006 no virus found eTrust-Vet 12.4.2115 03.10.2006 no virus found Ewido 3.5 03.12.2006 no virus found Fortinet 2.71.0.0 03.12.2006 suspicious F-Prot 3.16c 03.11.2006 no virus found Ikarus 0.2.59.0 03.10.2006 no virus found Kaspersky 4.0.2.24 03.12.2006 no virus found McAfee 4716 03.11.2006 no virus found NOD32v2 1.1440 03.12.2006 no virus found Norman 5.70.10 03.10.2006 no virus found Panda 9.0.0.4 03.12.2006 no virus found Sophos 4.03.0 03.12.2006 no virus found Symantec 8.0 03.12.2006 no virus found TheHacker 5.9.5.111 03.09.2006 no virus found UNA 1.83 03.10.2006 no virus found VBA32 3.10.5 03.12.2006 no virus found Liebe Grüße, Eijeijei |
|
|
||
ich hatte heute eine Virenmeldung von NAV. Darin teilte mir Norton mit, dass er einen Trojaner gefunden hat, ihn aber nicht entfernen konnte. Ich habe Steganos Antispy, Ad-Aware, Spybot und Stinger durchlaufen lassen. Die haben alle nichts gefunden. Die Internet-Auswertung von Hijackthis hat auch nichts Nennenswertes gebracht. Ich poste hier mal das Hijackthis-Log. Vielleicht findet ja jemand von Euch etwas, was ihm suspekt vorkommt. Wie könnte ich weiter vorgehen?
Hier mein Log:
Logfile of HijackThis v1.99.1
Scan saved at 16:39:02, on 08.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\1PW\ONEPW.EXE
C:\Programme\Steganos AntiSpyware 2006\saspy2006.exe
C:\Programme\PTBSync\PTBSync.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\SatSrv.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Steganos AntiSpyware 2006\WRSSSDK.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\OPScan.exe
F:\Programme & technische Infos - F\AA_ heruntergel. Programme vor der Instalatiion\Systemdiagnose - Programme\Diagnose - Tool - Hijacker\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.shaumbras.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CreativeMixer] C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [1PW] C:\PROGRA~1\1PW\ONEPW.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AntiSpyware 2006] "C:\Programme\Steganos AntiSpyware 2006\saspy2006.exe" /startintray
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - Startup: ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {095E1970-2834-405E-8B82-5484DF7A0A26} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {095E1970-2834-405E-8B82-5484DF7A0A26} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O15 - Trusted Zone: http://*.windowsupdate.microsoft.com
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122229244558
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Atomuhr Synchronisation (PTBSync) - ElmüSoft - C:\Programme\PTBSync\PTBSync.exe
O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - C:\WINDOWS\system32\SatSrv.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Steganos AntiSpyware 2006\WRSSSDK.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Danke für Eure Mühe und Grüße,
Eijeijei