Home » Viren, Trojaner & Malware Forum » backdoor win 32 ciadoor 13 wie bekomme ich den komplett wieder los ? » Themenansicht
backdoor win 32 ciadoor 13 wie bekomme ich den komplett wieder los ? |
||
|---|---|---|
| #0
| ||
|
19.03.2006, 13:20
Member
Beiträge: 61 |
||
 
|
|
|
|
19.03.2006, 14:10
Member
Beiträge: 96 |
#2
Also fangen wir mal an....
1) Lies dir mal das durch:http://virus-protect.org/xpantispy.html Das finde ich nämlich in deinem Log 2) Stelle den Cleanup so ein wie hier:http://virus-protect.org/cleanup.html 3) Poste die 4 Textdateien (bitte nur die letzten 3 Monate) http://virus-protect.org/datfindbat.html __________ Mfg Aicalico |
|
|
|
|
|
|
19.03.2006, 16:36
Member
Themenstarter Beiträge: 61 |
#3
ui ui ui erst mal danke für die schnelle hilfe !!!
da hatte ich wohl zu dem trojaner noch nen dialer .kann der dialer auch schaden anrichten wenn ich dsl flat habe ??? habe das clean up wie beschrieben ausgeführt . leider kann ich die eingabeaufforderung nicht starten also die bat datei starten besagt mir immer administrator hatt die eingabeaufforderung deaktiviert wo kann ich diese den wieder aktiviren??? hier nochmal eine neue log von hjackthis Logfile of HijackThis v1.99.1 Scan saved at 16:35:01, on 19.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5112.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\System32\svchost.exe C:\Programme\mozilla.org\SeaMonkey\seamonkey.exe C:\Dokumente und Einstellungen\jörg\Eigene Dateien\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vodafone.de/start_noflash.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = FICKGANGSTA R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.0 RC 15.8\RivaTuner.exe" /S O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize O4 - HKLM\..\Run: [LexPPS.exe] C:\WINDOWS\system32\lexpps.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Programme\Trend Micro\Tmas\Tmas.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O11 - Options group: [TABS] Tabbed Browsing O17 - HKLM\System\CCS\Services\Tcpip\..\{EED3396E-859D-46A8-8EA1-ED9EFA0441D2}: NameServer = 192.168.122.252,192.168.122.253 O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe bis bald ......................... |
|
|
|
|
|
|
19.03.2006, 20:38
Member
Beiträge: 96 |
#4
Also:
1) Wenn du DSL hast bringen Dialer nichts. Wenn du wissen willst warum..einfach nachfragen 2) Dann holen wir uns einfach Administratorrechte: -Abgesicherter Modus: Beim booten einfach ein paar mal F8 drücken..dann müsste ein Fenster mit der option "Abgesicherter Modus" erscheinen. Diese wählst du. Als nächstes wählst du als Benutzer "Administrator". So solltest du Adminrechte erhalten. Warnung: Im abgesicherter Modus gibt es kein Internet! Danach führst du das aus: Zitat 2) Stelle den Cleanup so ein wie hier: __________ Mfg Aicalico |
|
|
|
|
|
|
19.03.2006, 21:02
Ehrenmitglied
 Beiträge: 29434 |
#5
jörg 71
wsock32sys - backdoor win 32 ciadoor 13 http://virus-protect.org/artikel/dienste/wsock32sys.html c:\windows\system32\dllcache\win32\winlogon.exe http://virus-protect.org/artikel/dienste/winlogon.html öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe neustarten start-->Ausfuehren--> regedit HKEY_CURRENT_USER\Software\Microsoft\Windows\System (Ohne den Schlüssel Policies) Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn. Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein Start > Ausführen > mmc > Datei > Snapin hinzufügen > Hinzufügen > Gruppenrichtlinien auswählen > hinzufügen > Fertig stellen > schließen > ok >Benutzerkonfiguration > Aministrative Vorlagen > System > Doppleklick auf "Zugriff auf Eingabeaufforderung verhindern" > deaktivieren > OK > alle Fenster schliessen > neu anmelden > an der Kommandozeile PC neustarten + Click Start>> Ausfuehren>> Type in Services.msc und Click OK! "Eigenschaften" >> Click "Stop">> Starttyp "deaktiviert" NTLOAD NTSVCMGR Start --> Ausfuehren --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke nach jedem O.K. sc delete NTLOAD sc delete NTSVCMGR ----------------------------------------------------------------------- wenn du die datfindbat-Logs postest...bekommen wir den PC wieder clean http://virus-protect.org/datfindbat.html ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
20.03.2006, 19:50
Member
Themenstarter Beiträge: 61 |
#6
hy aicalico und sabina und alle anderen :-*)
muss sagen hier sind profis on board !!! habe soweit alles erledigt hier die zwei logs erstens bat log und dann die service filter : Datentr„ger in Laufwerk C: ist PLATTE 40GB Volumeseriennummer: 7015-0755 Verzeichnis von c:\ 20.03.2006 19:46 0 dirdat.txt 20.03.2006 19:42 1.609.875.456 pagefile.sys 18.03.2006 04:10 45 TEST.XML 16.03.2006 13:54 31.100 drwtsn32.log 01.03.2006 20:42 221 boot.ini 13.01.2006 16:26 1.360 m_ButtonMetrics.txt 02.01.2006 09:06 574 INSTALL1.LOG 29.10.2005 06:29 150 AUTOEXEC.BAT 27.10.2005 07:19 104 shutdown.log 01.07.2005 13:59 68 hcwclear.txt 03.06.2005 19:40 297 tvx.lst 03.06.2005 17:15 40 Key.txt 06.03.2005 12:02 222 BOOT.BKK 03.03.2005 09:39 0 MSDOS.SYS 03.03.2005 09:39 0 CONFIG.SYS 03.03.2005 09:39 0 IO.SYS 31.12.2002 13:00 4.952 bootfont.bin 31.12.2002 13:00 251.184 ntldr 31.12.2002 13:00 47.564 NTDETECT.COM 09.02.2000 15:25 28.672 FileKill.exe 20 Datei(en) 1.610.242.009 Bytes 0 Verzeichnis(se), 5.486.526.464 Bytes frei Datentr„ger in Laufwerk C: ist PLATTE 40GB Volumeseriennummer: 7015-0755 Verzeichnis von C:\WINDOWS\system32 20.03.2006 19:44 31.826 vsconfig.xml 20.03.2006 19:43 43.573 nvapps.xml 20.03.2006 19:42 2.206 wpa.dbl 20.03.2006 19:42 197.298 OODBS.lor 19.03.2006 13:58 401.644 perfh009.dat 19.03.2006 13:58 62.732 perfc009.dat 19.03.2006 13:58 416.478 perfh007.dat 19.03.2006 13:58 75.512 perfc007.dat 19.03.2006 13:58 967.218 PerfStringBackup.INI 19.03.2006 09:06 34.308 BASSMOD.dll 18.03.2006 04:51 75.098 ckl009.dat 18.03.2006 04:21 192.976 FNTCACHE.DAT 17.03.2006 06:41 196 del32.bat 17.03.2006 06:41 1.439.128 daemon403-x86.exe 27.02.2006 15:29 2.154 tmmute.ini 26.02.2006 18:05 0 Ultra.dll 18.02.2006 13:52 1.024 WinCmd.key 17.02.2006 19:09 1.632 d3d8caps.dat 16.02.2006 06:47 1.744 d3d9caps.dat 15.02.2006 06:44 14.336 wgapatch(1.4.410.0).exe 04.02.2006 08:29 16.832 amcompat.tlb 04.02.2006 08:29 23.392 nscompat.tlb 18.01.2006 15:27 172.032 fpres532.dll 12.01.2006 15:40 290.816 fpmon5.dll 05.01.2006 14:56 130 Log.inf 05.01.2006 14:56 65.536 DVDKeyAuth.dll 30.12.2005 19:10 4.212 zllictbl.dat 29.12.2005 03:54 280.064 gdi32.dll 26.12.2005 17:06 52.858 interceptor.sys 24.12.2005 21:05 87 ssprs.tgz 24.12.2005 21:05 73 ssprs.dll 23.12.2005 18:53 37 getfile.dat 21.12.2005 14:36 4 win32.dll.tmp 21.12.2005 14:36 232 winmgnt.dll.txt 21.12.2005 14:36 50 winmgnt.dll 21.12.2005 14:06 50 winmgnt.dll.bkup 21.12.2005 05:05 5 spoolvc.dll 21.12.2005 05:05 0 schost.dll 21.12.2005 05:05 0 win32.dll.bkup 20.12.2005 04:47 7.006 jupdate-1.5.0_06-b05.log 20.12.2005 03:52 5 SndDrv32ds_k.ods 20.12.2005 03:52 5 AuxDrv32ds_k.ods 19.12.2005 12:14 4.517.888 nvstercp.dll 19.12.2005 05:46 200.350 muzika.xm 10.12.2005 04:16 180.224 NVUNINST.EXE |
|
|
|
|
|
|
21.03.2006, 00:13
Ehrenmitglied
Beiträge: 29434 |
#7
die Daten aus dem mittelalter
 interessieren mich nicht so sehr... poste bitte noch die fehlenden 2 logs...drei monate genuegen .+ das Filter-Log __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
21.03.2006, 07:14
Member
Themenstarter Beiträge: 61 |
#8
okay habe auch gelacht ging wohl etwas daneben (to much wa)
Verzeichnis von C:\DOKUME~1\JRG~1\LOKALE~1\Temp 21.03.2006 07:01 80 www66.tmp 21.03.2006 06:27 14.065 xebcore.log 21.03.2006 06:22 832 WcesView.log 20.03.2006 23:38 41.777 xebcore.log.old 20.03.2006 20:17 16.384 ~DF3E98.tmp 20.03.2006 20:17 46.713 DIO2.tmp 20.03.2006 20:17 16.384 Perflib_Perfdata_2a8.dat 20.03.2006 20:16 16.384 Perflib_Perfdata_27c.dat 8 Datei(en) 152.619 Bytes 0 Verzeichnis(se), 8.366.686.208 Bytes frei Verzeichnis von C:\WINDOWS 21.03.2006 06:43 116 NeroDigital.ini 20.03.2006 20:17 2.074 ModemLog_Bluetooth Null Modem.txt 20.03.2006 20:17 0 0.log 20.03.2006 20:16 157 wiadebug.log 20.03.2006 20:16 50 wiaservc.log 20.03.2006 20:15 2.048 bootstat.dat 20.03.2006 20:04 31.814 SchedLgU.Txt 20.03.2006 20:04 442.805 WindowsUpdate.log 19.03.2006 13:14 542.354 setupapi.log 19.03.2006 11:12 435 setupact.log 19.03.2006 08:55 1.095 wmsetup.log 18.03.2006 10:35 264.362 ntbtlog.txt 17.03.2006 06:58 537 DirectX.log 10.03.2006 07:12 1.082 win.ini 08.03.2006 15:43 399 popupads.ini 01.03.2006 19:15 19.339 mozver.dat 01.03.2006 07:09 1.672 wincmd.ini 27.02.2006 18:06 2.560 _MSRSTRT.EXE 24.02.2006 06:46 2.359.350 ACD Wallpaper.bmp 17.02.2006 20:29 32.538 cFosSpeed_Setup_Log.txt 16.02.2006 21:07 6.944 ie7bet2p.log 16.02.2006 06:54 545 PKZIP.PIF 16.02.2006 06:54 545 RAR.PIF 16.02.2006 06:54 545 ARJ.PIF 16.02.2006 06:54 545 PKUNZIP.PIF 16.02.2006 06:54 545 UC.PIF 16.02.2006 06:54 545 NOCLOSE.PIF 16.02.2006 06:54 545 LHA.PIF 12.02.2006 17:20 518 OEWABLog.txt 12.02.2006 16:40 57.897 ie7beta1.log 12.02.2006 16:26 15.831 ie7beta2_main.log 12.02.2006 11:55 15.528 spupdsvc.log 12.02.2006 10:27 321.444 iis6.log 12.02.2006 10:27 93.873 comsetup.log 12.02.2006 10:27 58.811 ntdtcsetup.log 12.02.2006 10:27 197.869 tsoc.log 12.02.2006 10:27 1.374 imsins.log 12.02.2006 10:27 21.156 tabletoc.log 12.02.2006 10:27 23.101 ocmsn.log 12.02.2006 10:27 73.689 netfxocm.log 12.02.2006 10:27 29.763 MedCtrOC.log 12.02.2006 10:27 137.052 ocgen.log 12.02.2006 10:26 20.915 msgsocm.log 12.02.2006 10:26 415.900 FaxSetup.log 12.02.2006 10:26 138.598 msmqinst.log 12.02.2006 10:24 21.110 updspapi.log 12.02.2006 09:13 780 KB883939.log 12.02.2006 09:02 833 active setup log.txt 10.02.2006 19:25 159.744 GSetup.exe 06.02.2006 13:44 107.134 UninstallFirefox.exe 05.02.2006 17:08 101 winzipme.ini 05.02.2006 16:42 106.613 SeaMonkeyUninstall.exe 05.02.2006 16:42 104.053 GREUninstall.exe 04.02.2006 06:57 33.462 basecsp.log 04.02.2006 06:55 316.640 WMSysPr9.prx 04.02.2006 06:53 1.355 imsins.BAK 04.02.2006 06:50 14.304 KB904412.log 04.02.2006 06:18 183.296 NDNuninstall7_22.exe 08.01.2006 21:09 29.240 hpoins03.dat 03.01.2006 12:23 34 cdplayer.ini ************************************************* The script did not recognize the services listed below. This does not mean that they are a problem. To copy the entire contents of this document for posting: At the top of this window click "Edit" then "Select All" Next click "Edit" again then "Copy" Now right click in the forum post box then click "Paste" ######################################## ServiceFilter 1.1 by rand1038 Microsoft Windows XP Professional Version: 5.1.2600 Service Pack 2 Mrz 20, 2006 19:47:56 ---> Begin Service Listing <--- Unknown Service # 1 Service Name: BthServ Display Name: Bluetooth Support Service Start Mode: Auto Start Name: NT AUTHORITY\LocalService Description: ... Service Type: Share Process Path: c:\windows\system32\svchost.exe -k bthsvcs State: Running Process ID: 2052 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 2 Service Name: de_serv Display Name: AVM FRITZ!web Routing Service Start Mode: Manual Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\programme\gemeinsame dateien\avm\de_serv.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 3 Service Name: IDriverT Display Name: InstallDriver Table Manager Start Mode: Manual Start Name: LocalSystem Description: Provides support for the Running Object Table for InstallShield ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\installshield\driver\11\intel 32\idrivert.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #4 Service Name: iPodService Display Name: iPodService Start Mode: Manual Start Name: LocalSystem Description: iPod hardware management ... Service Type: Own Process Path: c:\programme\ipod\bin\ipodservice.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 5 Service Name: kavsvc Display Name: kavsvc Start Mode: Boot Start Name: LocalSystem Description: ... Service Type: Own Process Path: \systemroot\"c:\programme\kaspersky lab\kaspersky anti-virus personal pro\kavsvc.exe" State: Running Process ID: 2780 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 6 Service Name: LightScribeService Display Name: LightScribeService Direct Disc Labeling Service Start Mode: Auto Start Name: LocalSystem Description: Used by the LightScribe software components to support 3rd party disc labeling applications using ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\lightscribe\lssrvc.exe" State: Running Process ID: 2160 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #7 Service Name: Nla Display Name: NLA (Network Location Awareness) Start Mode: Boot Start Name: LocalSystem Description: Sammelt und speichert Netzwerkkonfigurations- und Standortinformationen und benachrichtigt ... Service Type: Share Process Path: \systemroot\c:\windows\system32\svchost.exe -k netsvcs State: Running Process ID: 1300 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #8 Service Name: NVSvc Display Name: NVIDIA Display Driver Service Start Mode: Boot Start Name: LocalSystem Description: Provides system and desktop level support to the NVIDIA display ... Service Type: Own Process Path: \systemroot\c:\windows\system32\nvsvc32.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 9 Service Name: O&O Defrag Display Name: O&O Defrag Start Mode: Auto Start Name: LocalSystem Description: O&O Defragmentation ... Service Type: Own Process Path: c:\windows\system32\oodag.exe State: Running Process ID: 2220 Started: Wahr Exit Code: 0 Accept Pause: Wahr Accept Stop: Wahr Unknown Service #10 Service Name: RDSessMgr Display Name: Sitzungs-Manager für Remotedesktophilfe Start Mode: Auto Start Name: LocalSystem Description: Verwaltet und überwacht die Remoteunterstützung. Die Remoteunterstützung wird beim Beenden dieses ... Service Type: Own Process Path: c:\windows\inf\sessmgr.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 11 Service Name: SandraDataSrv Display Name: Sandra Data Service Start Mode: Manual Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\programme\sisoftware\sisoftware sandra professional 2005.sr1\rpcdatasrv.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 12 Service Name: SandraTheSrv Display Name: Sandra Service Start Mode: Manual Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\programme\sisoftware\sisoftware sandra professional 2005.sr1\rpcsandrasrv.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #13 Service Name: SENS Display Name: Systemereignisbenachrichtigung Start Mode: Boot Start Name: LocalSystem Description: Verfolgt Systemereignisse wie Windows-Anmeldungen sowie Netzwerk- und Stromversorgungsereignisse. ... Service Type: Share Process Path: \systemroot\c:\windows\system32\svchost.exe -k netsvcs State: Running Process ID: 1300 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 14 Service Name: SLEE_81_SERVICE Display Name: Steganos Live Encryption Engine 8.1 [Service] Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\windows\system32\slee81.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 15 Service Name: StarWindService Display Name: StarWind iSCSI Service Start Mode: Auto Start Name: LocalSystem Description: Enables network access to local devices via iSCSI ... Service Type: Own Process Path: c:\programme\alcohol soft\alcohol 120\starwind\starwindservice.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #16 Service Name: StyleXPService Display Name: StyleXPService Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: "c:\programme\tgtsoft\stylexp\stylexpservice.exe" State: Running Process ID: 1328 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #17 Service Name: SwPrv Display Name: MS Software Shadow Copy Provider Start Mode: Manual Start Name: LocalSystem Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ... Service Type: Own Process Path: c:\windows\system32\dllhost.exe /processid:{4f59e5c6-14d0-4b18-abe7-0a1035d78d53} State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 18 Service Name: TUWinStylerThemeSvc Display Name: TuneUp WinStyler Theme Service Start Mode: Manual Start Name: LocalSystem Description: ... Service Type: Own Process Path: "c:\programme\tuneup utilities 2006\winstylerthemesvc.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 19 Service Name: UleadBurningHelper Display Name: Ulead Burning Helper Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\programme\gemeinsame dateien\ulead systems\dvd\ulcdrsvr.exe State: Running Process ID: 2348 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #20 Service Name: V2i Protector Display Name: V2i Protector Start Mode: Auto Start Name: LocalSystem Description: Verwaltungsservice zum Erstellen von Zeitplänen und ... Service Type: Own Process Path: c:\programme\powerquest\drive image 7.0\agent\pqv2isvc.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch ---> End Service Listing <--- There are 100 Win32 services on this machine. 20 were unrecognized. Script Execution Time: 1,484375 seconds. hoffe jetzt hat hingehaut gruss jörg |
|
|
|
|
|
|
21.03.2006, 10:54
Ehrenmitglied
Beiträge: 29434 |
#9
1.
Einzelne Dateien scannen Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten--> Berichte hier kopieren http://www.virustotal.com/flash/index_en.html c:\windows\system32\dllcache\win32\winlogon.exe C:\WINDOWS\system32\spoolvc.dll C:\WINDOWS\system32\schost.dll C:\WINDOWS\system32\winmgnt.dll C:\WINDOWS\system32\PKZIP.PIF C:\WINDOWS\system32\RAR.PIF C:\WINDOWS\system32\ARJ.PIF ----------------------------------------------------------------------------- 3. KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ..... C:\WINDOWS\system32\ckl009.dat C:\DOKUME~1\JRG~1\LOKALE~1\Temp\www66.tmp C:\WINDOWS\NDNuninstall7_22.exe PC neustarten ------------------------------------------------------------------------------------- 5. multiavtool http://virus-protect.org/multiavtool.html * klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster. - man muss eingeben, was gescannt werden soll - C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen: - C:\Windows - C:\ * klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie Zitat ist fuer mich: __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.03.2006, 08:28
Member
Themenstarter Beiträge: 61 |
#10
einzelne dateien gescannt keine viren found
die winlogon.exe habe ich nicht mehr die schost.dll ist wohl zu gross kommt :File size can't be more than 10 Megabytes. You can't try compressing it. Thanks you. << Go back ******************************************************* sophos scan finde ich die log datei nicht aber war alles i.o no virus found 03/22/2006 19:05:37 MCAFEE LOG Options: "C:\WINDOWS\SYSTEM32" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML" Scanning C: [PLATTE 40GB] Scanning C:\WINDOWS\SYSTEM32\*.* Summary report on C:\WINDOWS\SYSTEM32\*.* File(s) Total files: ........... 10643 Clean: ................. 10628 Possibly Infected: ..... 0 Cleaned: ............... 0 Non-critical Error(s): 1 Time: 00:24.07 ******************************************************** trend mirco ist sauber :-) *Logfile of HijackThis v1.99.1 Scan saved at 08:30:01, on 23.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5112.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\htpatch.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\RivaTuner v2.0 RC 15.8\RivaTuner.exe C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe C:\Programme\TGTSoft\StyleXP\StyleXP.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\Rainlendar\Rainlendar.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Trend Micro\Tmas\tmas.exe C:\Programme\qtorrent\utorrent.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\mozilla.org\SeaMonkey\seamonkey.exe C:\Dokumente und Einstellungen\jörg\Eigene Dateien\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = FICKGANGSTA R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.0 RC 15.8\RivaTuner.exe" /S O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize O4 - HKLM\..\Run: [RivaTuner] "C:\Programme\RivaTuner v2.0 RC 15.8\RivaTuner.exe" /T O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Programme\Trend Micro\Tmas\Tmas.exe O11 - Options group: [TABS] Tabbed Browsing O17 - HKLM\System\CCS\Services\Tcpip\..\{EED3396E-859D-46A8-8EA1-ED9EFA0441D2}: NameServer = 192.168.122.252,192.168.122.253 O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe letzter log hijackthis Glaube dürfte alles soweit wieder i.o sein oder ******************************************************* |
|
|
|
|
|
|
23.03.2006, 11:48
Ehrenmitglied
Beiträge: 29434 |
#11
jörg 71
wsock32sys http://virus-protect.org/artikel/dienste/wsock32sys.html ---------------------------------------------------------------------- Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Windows-Firewall/Gemeinsame Nutzung der Internetverbindung in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. ------------------------------------------------------------------------ das ist ganz gewiss nicht koscher.... nur, weiss ich nicht, was es ist.... ich nehme aber an, dass es gehoert zu : http://virus-protect.org/artikel/dienste/winlogon.html O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe Zitat Verzeichnis von C:\WINDOWS\system32loesche das bitte alles und dann: HijackThis (StartupListe) erstelle ein Startuplist log, dazu bitte in die ms tools setion gehen, beide Dinge bei "generate statuplist log" anhaken und die liste erstellen lassen. *HijackThis - Config *List also minor sections (full) -- Häkchen setzen *List empty sections (complete) -- Häkchen setzen *HijackThis - Config - MiscTools -- Generate StartupListlog *(es öffnet sich das Notepad [Texteditor], nun das KOMPLETTE Log abkopieren und posten) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.03.2006, 16:03
Member
Themenstarter Beiträge: 61 |
#12
Hy
Sabina habe die win logon exe gefunden und durch den scanner und siehe da Fortinet 2.71.0.0 03.23.2006 suspicious rest war okay ********************************************************* REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.0.1 ; Results at 23.03.2006 14:40:38 for strings: ; 'windows-firewall/gemeinsame nutzung der internetverbindung' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SHAREDACCESS\0000] "DeviceDesc"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess] "DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SHAREDACCESS\0000] "DeviceDesc"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess] "DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SHAREDACCESS\0000] "DeviceDesc"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\SharedAccess] "DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHAREDACCESS\0000] "DeviceDesc"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung" ; End Of The Log... ********************************************************** ********************************************************** StartupList report, 23.03.2006, 15:58:27 StartupList version: 1.52.2 Started from : C:\Dokumente und Einstellungen\jörg\Eigene Dateien\hijackthis\HijackThis.EXE Detected: Windows XP SP2 (WinNT 5.01.2600) Detected: Internet Explorer v7.00 (7.00.5112.0000) * Using default options * Including empty and uninteresting sections * Showing rarely important sections ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\htpatch.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\RivaTuner v2.0 RC 15.8\RivaTuner.exe C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe C:\Programme\TGTSoft\StyleXP\StyleXP.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\Trend Micro\Tmas\Tmas.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\explorer.exe C:\Programme\mozilla.org\SeaMonkey\seamonkey.exe C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\jörg\Eigene Dateien\hijackthis\HijackThis.exe -------------------------------------------------- Listing of startup folders: Shell folders Startup: [C:\Dokumente und Einstellungen\jörg\Startmenü\Programme\Autostart] Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe Shell folders AltStartup: *Folder not found* User shell folders Startup: *Folder not found* User shell folders AltStartup: *Folder not found* Shell folders Common Startup: [C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart] HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe Trend Micro Anti-Spyware.lnk = C:\Programme\Trend Micro\Tmas\Tmas.exe Shell folders Common AltStartup: *Folder not found* User shell folders Common Startup: *Folder not found* User shell folders Alternate Common Startup: *Folder not found* -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\Userinit.exe [HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon] *Registry key not found* [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] *Registry value not found* [HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon] *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run HTpatch = C:\WINDOWS\htpatch.exe HP Component Manager = "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" HP Software Update = C:\Programme\HP\HP Software Update\HPWuSchd2.exe FinePrint Dispatcher v5 = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM Zone Labs Client = C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup nwiz = nwiz.exe /install NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit RivaTunerStartupDaemon = "C:\Programme\RivaTuner v2.0 RC 15.8\RivaTuner.exe" /S KAVPersonal50 = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize RivaTuner = "C:\Programme\RivaTuner v2.0 RC 15.8\RivaTuner.exe" /T -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce *No values found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *No values found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices *No values found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *No values found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run TuneUp MemOptimizer = "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart STYLEXP = C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce *No values found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *No values found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices *No values found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *No values found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\Run [OptionalComponents] *No values found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\Run *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- File association entry for .EXE: HKEY_CLASSES_ROOT\exefile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .COM: HKEY_CLASSES_ROOT\comfile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .BAT: HKEY_CLASSES_ROOT\batfile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .PIF: HKEY_CLASSES_ROOT\piffile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .SCR: HKEY_CLASSES_ROOT\scrfile\shell\open\command (Default) = "%1" /S -------------------------------------------------- File association entry for .HTA: HKEY_CLASSES_ROOT\htafile\shell\open\command (Default) = C:\WINDOWS\system32\mshta.exe "%1" %* -------------------------------------------------- File association entry for .TXT: HKEY_CLASSES_ROOT\txtfile\shell\open\command (Default) = %SystemRoot%\system32\NOTEPAD.EXE %1 -------------------------------------------------- Enumerating Active Setup stub paths: HKLM\Software\Microsoft\Active Setup\Installed Components (* = disabled by HKCU twin) [>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] * StubPath = C:\WINDOWS\inf\unregmp2.exe /HideWMP [>{26923b43-4d38-484f-9b9e-de460746276c}] * StubPath = "%programfiles%\Internet Explorer\iexplore.exe" -userconfig [>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS] * StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP [>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE [{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] * StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll [{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] * StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install [{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] * StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT [{5945c046-1e7d-11d1-bc44-00c04fd912be}] * StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser [{6BF52A52-394A-11d3-B153-00C04F79FAA6}] * StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp10.inf,PerUserStub [{7790769C-0471-11d2-AF11-00C04FA35D02}] * StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install [{89820200-ECBD-11cf-8B85-00AA005B4340}] * StubPath = regsvr32.exe /s /n /i:U shell32.dll [{89820200-ECBD-11cf-8B85-00AA005B4383}] * StubPath = %SystemRoot%\system32\ie4uinit.exe [{89B4C1CD-B018-4511-B0A1-5476DBF70820}] * StubPath = C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install -------------------------------------------------- Enumerating ICQ Agent Autostart apps: HKCU\Software\Mirabilis\ICQ\Agent\Apps *Registry key not found* -------------------------------------------------- Load/Run keys from C:\WINDOWS\WIN.INI: load=*INI section not found* run=*INI section not found* Load/Run keys from Registry: HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found* HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found* HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found* HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found* HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found* HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found* HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found* HKCU\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found* HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs= -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=C:\WINDOWS\system32\MAT.scr drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry value not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Checking for EXPLORER.EXE instances: C:\WINDOWS\Explorer.exe: PRESENT! C:\Explorer.exe: not present C:\WINDOWS\Explorer\Explorer.exe: not present C:\WINDOWS\System\Explorer.exe: not present C:\WINDOWS\System32\Explorer.exe: not present C:\WINDOWS\Command\Explorer.exe: not present C:\WINDOWS\Fonts\Explorer.exe: not present -------------------------------------------------- Checking for superhidden extensions: .lnk: HIDDEN! (arrow overlay: yes) .pif: not hidden (arrow overlay: yes) .exe: not hidden .com: not hidden .bat: not hidden .hta: not hidden .scr: not hidden .shs: HIDDEN! .shb: HIDDEN! .vbs: not hidden .vbe: not hidden .wsh: not hidden .scf: not hidden (arrow overlay: NO!) .url: HIDDEN! (arrow overlay: yes) .js: not hidden .jse: not hidden -------------------------------------------------- Verifying REGEDIT.EXE integrity: - Regedit.exe found in C:\WINDOWS - .reg open command is normal (regedit.exe %1) - Company name OK: 'Microsoft Corporation' - Original filename OK: 'REGEDIT.EXE' - File description: 'Registrierungs-Editor' Registry check passed -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - (no file) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} (no name) - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} TGTSoft Explorer Toolbar Changer - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll - {C333CF63-767F-4831-94AC-E683D962C63C} -------------------------------------------------- Enumerating Task Scheduler jobs: 1-Klick-Wartung.job WebReg 20060312000339.job XoftSpy.job -------------------------------------------------- Enumerating Download Program Files: [Microsoft XML Parser for Java] OSD = C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd [Java Plug-in] InProcServer32 = C:\Programme\Java\jre1.5.0_06\bin\ssv.dll CODEBASE = http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab [Java Plug-in] InProcServer32 = C:\Programme\Java\jre1.5.0_06\bin\ssv.dll CODEBASE = http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab [Java Plug-in 1.5.0_06] InProcServer32 = C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll CODEBASE = http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab -------------------------------------------------- Enumerating Winsock LSP files: NameSpace #1: C:\WINDOWS\System32\mswsock.dll NameSpace #2: C:\WINDOWS\System32\winrnr.dll NameSpace #3: C:\WINDOWS\System32\mswsock.dll NameSpace #4: C:\WINDOWS\system32\wshbth.dll Protocol #1: C:\WINDOWS\system32\mswsock.dll Protocol #2: C:\WINDOWS\system32\mswsock.dll Protocol #3: C:\WINDOWS\system32\mswsock.dll Protocol #4: C:\WINDOWS\system32\mswsock.dll Protocol #5: C:\WINDOWS\system32\rsvpsp.dll Protocol #6: C:\WINDOWS\system32\rsvpsp.dll Protocol #7: C:\WINDOWS\system32\mswsock.dll Protocol #8: C:\WINDOWS\system32\mswsock.dll Protocol #9: C:\WINDOWS\system32\mswsock.dll Protocol #10: C:\WINDOWS\system32\mswsock.dll Protocol #11: C:\WINDOWS\system32\mswsock.dll Protocol #12: C:\WINDOWS\system32\mswsock.dll Protocol #13: C:\WINDOWS\system32\mswsock.dll Protocol #14: C:\WINDOWS\system32\mswsock.dll Protocol #15: C:\WINDOWS\system32\mswsock.dll Protocol #16: C:\WINDOWS\system32\mswsock.dll Protocol #17: C:\WINDOWS\system32\mswsock.dll Protocol #18: C:\WINDOWS\system32\mswsock.dll Protocol #19: C:\WINDOWS\system32\mswsock.dll Protocol #20: C:\WINDOWS\system32\mswsock.dll Protocol #21: C:\WINDOWS\system32\mswsock.dll Protocol #22: C:\WINDOWS\system32\mswsock.dll Protocol #23: C:\WINDOWS\system32\mswsock.dll Protocol #24: C:\WINDOWS\system32\mswsock.dll Protocol #25: C:\WINDOWS\system32\mswsock.dll Protocol #26: C:\WINDOWS\system32\mswsock.dll Protocol #27: C:\WINDOWS\system32\mswsock.dll Protocol #28: C:\WINDOWS\system32\mswsock.dll Protocol #29: C:\WINDOWS\system32\mswsock.dll Protocol #30: C:\WINDOWS\system32\mswsock.dll Protocol #31: C:\WINDOWS\system32\mswsock.dll Protocol #32: C:\WINDOWS\system32\mswsock.dll Protocol #33: C:\WINDOWS\system32\mswsock.dll Protocol #34: C:\WINDOWS\system32\mswsock.dll Protocol #35: C:\WINDOWS\system32\mswsock.dll Protocol #36: C:\WINDOWS\system32\mswsock.dll Protocol #37: C:\WINDOWS\system32\mswsock.dll Protocol #38: C:\WINDOWS\system32\mswsock.dll Protocol #39: C:\WINDOWS\system32\mswsock.dll Protocol #40: C:\WINDOWS\system32\mswsock.dll Protocol #41: C:\WINDOWS\system32\mswsock.dll Protocol #42: C:\WINDOWS\system32\mswsock.dll Protocol #43: C:\WINDOWS\system32\mswsock.dll Protocol #44: C:\WINDOWS\system32\mswsock.dll -------------------------------------------------- Enumerating Windows NT/2000/XP services a347bus: system32\DRIVERS\a347bus.sys (system) a347scsi: System32\Drivers\a347scsi.sys (system) AVM ADSL Adapter Device: System32\DRIVERS\aadev.sys (autostart) Microsoft ACPI-Treiber: system32\DRIVERS\ACPI.sys (system) Microsoft Kernel-Echounterdrückung: system32\drivers\aec.sys (manual start) AFD: \SystemRoot\System32\drivers\afd.sys (system) Warndienst: %SystemRoot%\system32\svchost.exe -k LocalService (autostart) Gatewaydienst auf Anwendungsebene: %SystemRoot%\System32\alg.exe (manual start) AnyDVD: System32\Drivers\AnyDVD.sys (manual start) Anwendungsverwaltung: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start) aslm75: \??\C:\WINDOWS\system32\drivers\aslm75.sys (system) ASP.NET State Service: %SystemRoot%\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (manual start) Asynchroner RAS -Medientreiber: system32\DRIVERS\asyncmac.sys (manual start) Standard-IDE/ESDI-Festplattencontroller: system32\DRIVERS\atapi.sys (system) Protokoll für ATM ARP-Client: system32\DRIVERS\atmarpc.sys (manual start) Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Audiostubtreiber: system32\DRIVERS\audstub.sys (manual start) Antivirus Filter Driver: \SystemRoot\system32\drivers\av5flt.sys (manual start) AVM FRITZ!Box: system32\DRIVERS\avmunet.sys (manual start) Intelligenter Hintergrundübertragungsdienst: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Computerbrowser: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Conexant's BtPCI WDM Video Capture: system32\DRIVERS\BT848.sys (autostart) Bluetooth Audio: system32\DRIVERS\btaudio.sys (manual start) Bluetooth Virtual Communications Driver: system32\DRIVERS\btport.sys (manual start) Bluetooth-Anforderungsblocktreiber: system32\DRIVERS\BthEnum.sys (manual start) Bluetooth-Modemkommunikationstreiber: system32\DRIVERS\bthmodem.sys (manual start) Bluetooth-Gerät (PAN): system32\DRIVERS\bthpan.sys (manual start) Bluetooth-Porttreiber: System32\Drivers\BTHport.sys (manual start) Bluetooth Support Service: %SystemRoot%\system32\svchost.exe -k bthsvcs (autostart) USB-Treiber für Bluetooth-Funkgerät: System32\Drivers\BTHUSB.sys (manual start) Bluetooth Protocol Stack: system32\drivers\btkrnl.sys (system) Bluetooth Seri*hier nicht!* Driver: \??\C:\WINDOWS\system32\drivers\Seri*hier nicht!*.sys (autostart) Bluetooth Port Client Driver: \??\C:\WINDOWS\system32\drivers\btslbcsp.sys (autostart) Bluetooth LAN Access Server: system32\DRIVERS\btwdndis.sys (manual start) Untertiteldecoder: system32\DRIVERS\CCDECODE.sys (manual start) CD-ROM-Laufwerktreiber: system32\DRIVERS\cdrom.sys (system) Cinemsup: \??\C:\WINDOWS\system32\drivers\cinemsup.sys (system) Ablagemappe: %SystemRoot%\system32\clipsrv.exe (disabled) COM+-Systemanwendung: C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} (manual start) cpuz: \??\C:\DOKUME~1\JRG~1\LOKALE~1\Temp\cpuz.sys (manual start) Kryptografiedienste: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) DCOM-Server-Prozessstart: %SystemRoot%\system32\svchost -k DcomLaunch (autostart) AVM FRITZ!web Routing Service: C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (manual start) DHCP-Client: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Laufwerktreiber: system32\DRIVERS\disk.sys (system) Verwaltungsdienst für die Verwaltung logischer Datenträger: %SystemRoot%\System32\dmadmin.exe /com (manual start) dmboot: System32\drivers\dmboot.sys (disabled) Treiber für die Verwaltung logischer Datenträger: System32\drivers\dmio.sys (system) dmload: System32\drivers\dmload.sys (system) Verwaltung logischer Datenträger: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Microsoft Kernel-DLS-Synthesizer: system32\drivers\DMusic.sys (manual start) DNS-Client: %SystemRoot%\system32\svchost.exe -k NetworkService (manual start) Microsoft Kernel-DRM-Audioentschlüsselung: system32\drivers\drmkaud.sys (manual start) drvmcdb: system32\drivers\drvmcdb.sys (system) dtscsi: \SystemRoot\System32\Drivers\dtscsi.sys (manual start) EIO: \??\C:\WINDOWS\system32\drivers\EIO.sys (manual start) ElbyCDFL: System32\Drivers\ElbyCDFL.sys (manual start) ElbyCDIO Driver: System32\Drivers\ElbyCDIO.sys (autostart) ElbyDelay: System32\Drivers\ElbyDelay.sys (manual start) Fehlerberichterstattungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled) Creative AudioPCI (ES1371,ES1373) (WDM): system32\drivers\es1371mp.sys (manual start) Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart) COM+-Ereignissystem: C:\WINDOWS\system32\svchost.exe -k netsvcs (manual start) Kompatibilität für schnelle Benutzerumschaltung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Diskettencontrollertreiber: system32\DRIVERS\fdc.sys (manual start) Diskettenlaufwerktreiber: system32\DRIVERS\flpydisk.sys (manual start) FltMgr: system32\DRIVERS\fltMgr.sys (system) Treiber für Volume-Manager: system32\DRIVERS\ftdisk.sys (system) Gameport-Enumerator: system32\DRIVERS\gameenum.sys (manual start) GDTdiInterceptor: \??\C:\WINDOWS\system32\drivers\GDTdiIcpt.sys (autostart) GearAspiWDM: SYSTEM32\DRIVERS\GEARAspiWDM.sys (system) GEARSecurity: %SystemRoot%\System32\GEARSec.exe (disabled) giveio: \??\C:\WINDOWS\system32\DRIVERS\giveio.sys (system) Standardpaketklassifizierung: system32\DRIVERS\msgpc.sys (manual start) Hauppauge WinTV 848/9 WDM Video Driver: system32\drivers\HCWBT8XX.sys (manual start) Hilfe und Support: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Eingabegerätezugang: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Microsoft HID Class-Treiber: system32\DRIVERS\hidusb.sys (manual start) hmonitor: \??\C:\WINDOWS\system32\drivers\hmonitor.sys (autostart) IEEE-1284.4 Driver HPZid412: system32\DRIVERS\HPZid412.sys (manual start) Print Class Driver for IEEE-1284.4 HPZipr12: system32\DRIVERS\HPZipr12.sys (manual start) USB to IEEE-1284.4 Translation Driver HPZius12: system32\DRIVERS\HPZius12.sys (manual start) HSFHWBS2: system32\DRIVERS\HSFBS2S2.sys (manual start) HSF_DP: system32\DRIVERS\HSFDPSP2.sys (manual start) HTTP: System32\Drivers\HTTP.sys (manual start) HTTP-SSL: %SystemRoot%\System32\svchost.exe -k HTTPFilter (manual start) i8042-Tastatur- und PS/2-Mausanschluss-Treiber: system32\DRIVERS\i8042prt.sys (system) InstallDriver Table Manager: "C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe" (manual start) Filtertreiber für CD-Brennen: system32\DRIVERS\imapi.sys (system) IMAPI-CD-Brenn-COM-Dienste: C:\WINDOWS\system32\imapi.exe (autostart) InCD File System: system32\drivers\InCDFs.sys (disabled) InCDPass: system32\drivers\InCDPass.sys (system) InCD Reader: system32\drivers\InCDRm.sys (system) Intel-Prozessortreiber: system32\DRIVERS\intelppm.sys (system) IPv6-Windows-Firewalltreiber: system32\DRIVERS\Ip6Fw.sys (manual start) Filtertreiber für IP-Verkehr: system32\DRIVERS\ipfltdrv.sys (manual start) IP/IP-Tunneltreiber: system32\DRIVERS\ipinip.sys (manual start) Übersetzer für IP-Netzwerkadressen: system32\DRIVERS\ipnat.sys (manual start) iPodService: C:\Programme\iPod\bin\iPodService.exe (manual start) IPSEC-Treiber: system32\DRIVERS\ipsec.sys (system) IR-Enumeratordienst: system32\DRIVERS\irenum.sys (manual start) PnP-ISA/EISA-Bus-Treiber: system32\DRIVERS\isapnp.sys (system) kavsvc: "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe" (system) Tastaturklassentreiber: system32\DRIVERS\kbdclass.sys (system) Kl1: System32\drivers\kl1.sys (system) Klif: System32\drivers\klif.sys (system) Klmc: System32\drivers\klmc.sys (system) Microsoft Kernel-Waveaudiomixer: system32\drivers\kmixer.sys (manual start) Logitech PS/2 Mouse Filter Driver: system32\DRIVERS\L8042pr2.Sys (manual start) Server: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Arbeitsstationsdienst: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) LexBce Server: C:\WINDOWS\system32\LEXBCES.EXE (autostart) LightScribeService Direct Disc Labeling Service: "C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe" (autostart) TCP/IP-NetBIOS-Hilfsprogramm: %SystemRoot%\system32\svchost.exe -k LocalService (autostart) Logitech Mouse Class Filter Driver: system32\DRIVERS\LMouFlt2.Sys (manual start) mbmiodrvr: \??\C:\WINDOWS\system32\mbmiodrvr.sys (system) mdmxsdk: system32\DRIVERS\mdmxsdk.sys (autostart) Nachrichtendienst: %SystemRoot%\system32\svchost.exe -k netsvcs (disabled) NetMeeting-Remotedesktop-Freigabe: C:\WINDOWS\system32\mnmsrvc.exe (disabled) Mausklassentreiber: system32\DRIVERS\mouclass.sys (system) Maus-HID-Treiber: system32\DRIVERS\mouhid.sys (manual start) Redirector für WebDav-Client: system32\DRIVERS\mrxdav.sys (manual start) MRXSMB: system32\DRIVERS\mrxsmb.sys (system) Distributed Transaction Coordinator: C:\WINDOWS\system32\msdtc.exe (disabled) Windows Installer: C:\WINDOWS\system32\msiexec.exe /V (manual start) Microsoft Streaming Service Proxy: system32\drivers\MSKSSRV.sys (manual start) Microsoft Proxy für Streaming Clock: system32\drivers\MSPCLOCK.sys (manual start) Microsoft Proxy für Streaming Quality Manager: system32\drivers\MSPQM.sys (manual start) Microsoft-Systemverwaltungs-BIOS-Treiber: system32\DRIVERS\mssmbios.sys (manual start) Microsoft Streaming Tee/Sink-to-Sink-Konvertierung: system32\drivers\MSTEE.sys (manual start) Media Technology Kernel Driver: System32\Drivers\fide.sys (manual start) NABTS/FEC VBI-Codec: system32\DRIVERS\NABTSFEC.sys (manual start) Microsoft TV-/Videoverbindung: system32\DRIVERS\NdisIP.sys (manual start) RAS-NDIS-TAPI-Treiber: system32\DRIVERS\ndistapi.sys (manual start) NDIS-Benutzermodus-E/A-Protokoll: system32\DRIVERS\ndisuio.sys (manual start) RAS-NDIS-WAN-Treiber: system32\DRIVERS\ndiswan.sys (manual start) NetBIOS-Schnittstelle: system32\DRIVERS\netbios.sys (system) NetBios über TCP/IP: system32\DRIVERS\netbt.sys (system) Netzwerk-DDE-Dienst: %SystemRoot%\system32\netdde.exe (manual start) Netzwerk-DDE-Serverdienst: %SystemRoot%\system32\netdde.exe (manual start) AVM PPP over Ethernet: system32\DRIVERS\netdsl.sys (system) AVM FRITZ!web DSL PPP: system32\DRIVERS\NETFWDSL.SYS (manual start) Anmeldedienst: %SystemRoot%\system32\lsass.exe (manual start) Netzwerkverbindungen: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) NLA (Network Location Awareness): %SystemRoot%\system32\svchost.exe -k netsvcs (system) Nokia USB Generic: system32\drivers\nmwcdc.sys (manual start) Nokia USB Modem: system32\drivers\nmwcdcm.sys (manual start) Nokia USB Phone Parent: system32\drivers\nmwcd.sys (manual start) NT-LM-Sicherheitsdienst: %SystemRoot%\system32\lsass.exe (manual start) Wechselmedien: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start) nv: system32\DRIVERS\nv4_mini.sys (manual start) NVIDIA Display Driver Service: %SystemRoot%\system32\nvsvc32.exe (system) Filtertreiber für IPX-Verkehr: system32\DRIVERS\nwlnkflt.sys (manual start) Treiber für IPX-Verkehrsweiterleitung: system32\DRIVERS\nwlnkfwd.sys (manual start) O&O Defrag: C:\WINDOWS\system32\oodag.exe (autostart) Treiber für parallelen Anschluss: system32\DRIVERS\parport.sys (manual start) PCI Bus Driver: system32\DRIVERS\pci.sys (system) PCIIde: system32\DRIVERS\pciide.sys (system) Low level access layer for CD devices: System32\Drivers\Pcouffin.sys (manual start) Padus ASPI Shell: system32\drivers\pfc.sys (manual start) Plug & Play: %SystemRoot%\system32\services.exe (autostart) Pml Driver HPZ12: C:\WINDOWS\system32\HPZipm12.exe (manual start) IPSEC-Dienste: %SystemRoot%\system32\lsass.exe (manual start) WAN-Miniport (PPTP): system32\DRIVERS\raspptp.sys (manual start) Geschützter Speicher: %SystemRoot%\system32\lsass.exe (autostart) QoS-Paketplaner: system32\DRIVERS\psched.sys (manual start) Treiber für direkte Parallelverbindung: system32\DRIVERS\ptilink.sys (manual start) PxHelp20: system32\DRIVERS\PxHelp20.sys (system) Treiber für automatische RAS-Verbindung: system32\DRIVERS\rasacd.sys (system) Verwaltung für automatische RAS-Verbindung: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start) WAN-Miniport (L2TP): system32\DRIVERS\rasl2tp.sys (manual start) RAS-Verbindungsverwaltung: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start) Remotezugriff-PPPOE-Treiber: system32\DRIVERS\raspppoe.sys (manual start) Parallelanschluss (direkt): system32\DRIVERS\raspti.sys (manual start) Rdbss: system32\DRIVERS\rdbss.sys (system) RDPCDD: System32\DRIVERS\RDPCDD.sys (system) Treiber für Terminalserver-Geräteumleitung: system32\DRIVERS\rdpdr.sys (manual start) Sitzungs-Manager für Remotedesktophilfe: C:\WINDOWS\inf\sessmgr.exe (autostart) Filtertreiber für digitale CD-Audiowiedergabe: system32\DRIVERS\redbook.sys (system) Routing und RAS: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Remote-Registrierung: %SystemRoot%\system32\svchost.exe -k LocalService (disabled) Bluetooth-Gerät (RFCOMM-Protokoll-TDI): system32\DRIVERS\rfcomm.sys (manual start) RivaTuner32: \??\C:\Programme\RivaTuner v2.0 RC 15.8\RivaTuner32.sys (manual start) Microsoft Legacy Modem Driver: System32\Drivers\RootMdm.sys (manual start) RPC-Locator: %SystemRoot%\system32\locator.exe (autostart) Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart) QoS-RSVP: %SystemRoot%\system32\rsvp.exe (autostart) Sicherheitskontenverwaltung: %SystemRoot%\system32\lsass.exe (autostart) Sandra Data Service: C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcDataSrv.exe (manual start) Sandra Service: C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcSandraSrv.exe (manual start) Smartcard: %SystemRoot%\System32\SCardSvr.exe (manual start) Taskplaner: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Secdrv: system32\DRIVERS\secdrv.sys (autostart) Sekundäre Anmeldung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (system) Serenum-Filtertreiber: system32\DRIVERS\serenum.sys (manual start) Treiber für seriellen Anschluss: system32\DRIVERS\Seri*hier nicht!*.sys (system) Windows-Firewall/Gemeinsame Nutzung der Internetverbindung: %SystemRoot%\system32\svchost.exe -k netsvcs (disabled) Shellhardwareerkennung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) SiS AGP Filter: system32\DRIVERS\SISAGPX.sys (system) SiSide: system32\DRIVERS\siside.sys (system) SiS-PCI-Fast Ethernet- Adaptertreiber: system32\DRIVERS\sisnic.sys (manual start) Add Performance Filter Driver: system32\drivers\sisperf.sys (system) Steganos Live Encryption Engine 8.1 [Driver]: \??\C:\WINDOWS\system32\drivers\SLEE81.sys (autostart) Steganos Live Encryption Engine 8.1 [Service]: C:\WINDOWS\system32\SLEE81.exe (autostart) BDA Slip De-Framer: system32\DRIVERS\SLIP.sys (manual start) SoftFSB: \??\C:\Dokumente und Einstellungen\jörg\Eigene Dateien\softfsb\SoftFSB.SYS (manual start) Microsoft Kernel-Audiosplitter: system32\drivers\splitter.sys (manual start) Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart) sptd: System32\Drivers\sptd.sys (system) Filtertreiber für Systemwiederherstellung: \SystemRoot\system32\DRIVERS\sr.sys (disabled) Systemwiederherstellungsdienst: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Srv: system32\DRIVERS\srv.sys (manual start) SSDP-Suchdienst: %SystemRoot%\system32\svchost.exe -k LocalService (autostart) StarWind iSCSI Service: C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe (autostart) Windows-Bilderfassung (WIA): %SystemRoot%\system32\svchost.exe -k imgsvc (autostart) BDA-IPSink: system32\DRIVERS\StreamIP.sys (manual start) StyleXPHelper: \??\C:\Programme\TGTSoft\StyleXP\StyleXPHelper.exe (system) StyleXPService: "C:\Programme\TGTSoft\StyleXP\StyleXPService.exe" (autostart) Software-Bus-Treiber: system32\DRIVERS\swenum.sys (manual start) Microsoft Kernel GS Wavetablesynthesizer: system32\drivers\swmidi.sys (manual start) MS Software Shadow Copy Provider: C:\WINDOWS\system32\dllhost.exe /Processid:{4F59E5C6-14D0-4B18-ABE7-0A1035D78D53} (manual start) Microsoft Kernel-Systemaudiogerät: system32\drivers\sysaudio.sys (manual start) Leistungsdatenprotokolle und Warnungen: %SystemRoot%\system32\smlogsvc.exe (manual start) Telefonie: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) TCP/IP-Protokolltreiber: system32\DRIVERS\tcpip.sys (system) Terminal-Gerätetreiber: system32\DRIVERS\termdd.sys (system) Terminaldienste: %SystemRoot%\System32\svchost -k DComLaunch (manual start) Designs: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Telnet: C:\WINDOWS\system32\tlntsvr.exe (disabled) Überwachung verteilter Verknüpfungen (Client): %SystemRoot%\system32\svchost.exe -k netsvcs (manual start) TSP: \??\C:\WINDOWS\system32\drivers\klif.sys (manual start) TuneUp WinStyler Theme Service: "C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe" (manual start) Universal Image Mounter Controller: system32\DRIVERS\UimBus.sys (system) UIM Drive Backup Image Plugin: System32\Drivers\Uim_IM.sys (system) ULCDRHlp: System32\Drivers\ULCDRHlp.sys (manual start) Ulead Burning Helper: C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe (autostart) Windows User Mode Driver Framework: C:\WINDOWS\system32\wdfmgr.exe (autostart) Microcode Updatetreiber: system32\DRIVERS\update.sys (manual start) Universeller Plug & Play-Gerätehost: %SystemRoot%\system32\svchost.exe -k LocalService (disabled) Unterbrechungsfreie Stromversorgung: %SystemRoot%\System32\ups.exe (manual start) Microsoft Standard-USB-Haupttreiber: system32\DRIVERS\usbccgp.sys (manual start) Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller: system32\DRIVERS\usbehci.sys (manual start) Microsoft USB-Standardhubtreiber: system32\DRIVERS\usbhub.sys (manual start) Miniporttreiber für Microsoft USB Open Host-Controller: system32\DRIVERS\usbohci.sys (manual start) Microsoft USB-Druckerklasse: system32\DRIVERS\usbprint.sys (manual start) USB-Scannertreiber: system32\DRIVERS\usbscan.sys (manual start) USB-Massenspeichertreiber: system32\DRIVERS\USBSTOR.SYS (manual start) uscbs108: system32\DRIVERS\uscbs108.sys (manual start) uscsc108: system32\DRIVERS\uscsc108.sys (manual start) USIUDF: System32\Drivers\USIUDF.sys (system) V2i Protector: C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe (autostart) vaxscsi: \SystemRoot\System32\Drivers\vaxscsi.sys (manual start) VgaSave: \SystemRoot\System32\drivers\vga.sys (system) vsdatant: System32\vsdatant.sys (system) TrueVector Internet Monitor: C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service (autostart) Volumeschattenkopie: %SystemRoot%\System32\vssvc.exe (manual start) Windows-Zeitgeber: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled) RAS-IP-ARP-Treiber: system32\DRIVERS\wanarp.sys (manual start) Windows CE USB Seri*hier nicht!* Host Driver: system32\DRIVERS\wceusbsh.sys (manual start) Microsoft WDM Virtual Wave Driver (WDM): system32\drivers\wdmaud.sys (manual start) Webclient: %SystemRoot%\system32\svchost.exe -k LocalService (autostart) winachsf: system32\DRIVERS\HSFCXTS2.sys (manual start) Windows-Verwaltungsinstrumentation: %systemroot%\system32\svchost.exe -k netsvcs (autostart) Dienst für Seriennummern der tragbaren Medien: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Treibererweiterungen für Windows-Verwaltungsinstrumentation: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) WMI-Leistungsadapter: C:\WINDOWS\system32\wbem\wmiapsrv.exe (manual start) Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung: \SystemRoot\System32\drivers\ws2ifsl.sys (disabled) Sicherheitscenter: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled) World Standard Teletext-Codec: system32\DRIVERS\WSTCODEC.SYS (manual start) Automatische Updates: %systemroot%\system32\svchost.exe -k netsvcs (disabled) Konfigurationsfreie drahtlose Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Netzwerkversorgungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) -------------------------------------------------- Enumerating Windows NT logon/logoff scripts: *No scripts set to run* Windows NT checkdisk command: BootExecute = autocheck autochk * Windows NT 'Wininit.ini': PendingFileRenameOperations: C:\Dokumente und Einstellungen\jörg\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat||C:\Dokumente und Einstellungen\jörg\Lokale Einstellungen\Verlauf\History.IE5\index.dat||C:\Dokumente und Einstellungen\jörg\Cookies\index.dat||C:\Dokumente und Einstellungen\jörg\Cookies||| -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll WebCheck: C:\WINDOWS\system32\webcheck.dll SysTray: C:\WINDOWS\system32\stobject.dll -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run Generic Host Process = C:\WINDOWS\system32\scvhost.exe -------------------------------------------------- End of report, 40.318 bytes Report generated in 0,359 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only hatte noch einige dateien in der ignorierliste von hijackthis habe sie mit delete all gelöscht . gruss jörg [/color][/color] |
|
|
|
|
|
|
23.03.2006, 16:15
Ehrenmitglied
Beiträge: 29434 |
#13
Gehe in die Registry Start-->Ausfuehren--> regedit bearbeiten--> suchen --> scvhost [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] Generic Host Process = C:\WINDOWS\system32\scvhost.exe <--loeschen loesche das und alles, was du findest von scvhost (nicht verwechseln mit svchost.exe !!!) HKCU\Software\VB and VBA Program Settings\set\set\set --> loeschen FmS137q14n.ini (kann auch andere Zahlen/Nummernfolge haben) --------------------------------------------------------------------------------- Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT4Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen. c:\windows\system32\dllcache\win32 --> loeschen ! C:\WINDOWS\system32\scvhost.exe (nicht verwechseln mit: svchost.exe ) ! ---------------------------------------------------------------------- KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ............ C:\WINDOWS\system32\scvhost.exe C:\WINDOWS\system32\win32.dll.tmp C:\WINDOWS\system32\winmgnt.dll.txt C:\WINDOWS\system32\winmgnt.dll C:\WINDOWS\system32\winmgnt.dll.bkup C:\WINDOWS\system32\spoolvc.dll C:\WINDOWS\system32\schost.dll C:\WINDOWS\system32\win32.dll.bkup PC neustarten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
24.03.2006, 07:14
Member
Themenstarter Beiträge: 61 |
#14
Hy Sabina :-)
C:\WINDOWS\system32\scvhost.exe C:\WINDOWS\system32\win32.dll.tmp C:\WINDOWS\system32\winmgnt.dll.txt C:\WINDOWS\system32\winmgnt.dll C:\WINDOWS\system32\winmgnt.dll.bkup C:\WINDOWS\system32\spoolvc.dll C:\WINDOWS\system32\schost.dll C:\WINDOWS\system32\win32.dll.bkup Von denen keine mehr vorhanden die beiden reg einträge sind gelöscht :\windows\system32\dllcache\win32 --> loeschen ! C:\WINDOWS\system32\scvhost.exe sind auch nicht mehr vorhanden fixme.reg erstellt aber kommt fehler kann nicht importiert werden im abgesicherten zustand . Gruss jörg |
|
|
|
|
|
|
24.03.2006, 14:10
Ehrenmitglied
Beiträge: 29434 |
#15
also, ich habe die reg vorher ausprobiert (mein armer Compi
)wahrscheinlich hast du die REGEDIT4 nicht mit abkopiert oder die reg-Datei nicht korrekt erstellt. loesche also manuell: Start -- Ausführen -- regedit (reinschreiben) bearbeiten -> suchen -> Windows-Firewall/Gemeinsame Nutzung der Internetverbindung Sollte man Probleme haben, die Einträge zu löschen, Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SHAREDACCESS\0000] HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess] HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SHAREDACCESS\0000] HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess] HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SHAREDACCESS\0000] HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess] HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SHAREDACCESS\0000] HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\SharedAccess] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHAREDACCESS\0000] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] PC neustarten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
hatte nach dem letzten scan einen trojaner drauf backdoor win 32 ciadoor 13
er hatte mir schon den taskmanager ausgestellt die regedit usw habe ihn mit kaspersky nicht lösche3n könne wie bekomme ich den am besten los glaube der hatt sogar in ner inf datei sessmgr.exe losgelegt kenne mich nicht ganz sogut aus daher habe ich die bitte könnte mir jemand helfen hier die hijacktis datei log
Logfile of HijackThis v1.99.1
Scan saved at 12:56:56, on 19.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5112.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Trend Micro\Tmas\Tmas.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\inf\sessmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\mozilla.org\SeaMonkey\seamonkey.exe
C:\WINDOWS\system32\svchost.exe
C:\DOKUME~1\JRG~1\LOKALE~1\Temp\Rar$EX01.657\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vodafone.de/start_noflash.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = FICKGANGSTA
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.0 RC 15.8\RivaTuner.exe" /S
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Programme\Trend Micro\Tmas\Tmas.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {025C655D-DD80-4F1A-BEC7-8BF875438F51} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {025C655D-DD80-4F1A-BEC7-8BF875438F51} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O11 - Options group: [TABS] Tabbed Browsing
O17 - HKLM\System\CCS\Services\Tcpip\..\{EED3396E-859D-46A8-8EA1-ED9EFA0441D2}: NameServer = 192.168.122.252,192.168.122.253
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sitzungs-Manager für Remotedesktophilfe (RDSessMgr) - Unknown owner - C:\WINDOWS\inf\sessmgr.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcSandraSrv.exe
O23 - Service: Steganos Live Encryption Engine 8.1 [Service] (SLEE_81_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE81.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: V2i Protector - Unknown owner - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
danke erst mal
gruss jörg