CPU Auslastung für mich zu Extrem --> Lüfter zu laut!

#1 Hallo,

seit einigen Wochen ist mein PC viel zu laut! Ich hab schon so viel probiert und gelöscht und gemacht! Ich weiß echt nicht mehr weiter!
Vielleicht wisst ihr woran es legen könnte oder woran es liegt! Ich hab euch hier mal die Log Datei von HJT reinkopiert. Vielleicht hilft euch das weiter!

Möglicherweise gibt es auch Sachen, die sowieso raus können.

Logfile of HijackThis v1.99.1
Scan saved at 21:12:25, on 30.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ezSP_Px.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\taskswitch.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\1\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1
R3 - URLSearchHook: (no name) - <default> - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6A6E50DC-BFA8-4B40-AB1B-159E03E829FD} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - (no file)
O2 - BHO: (no name) - {87ADA82A-82D3-4A7A-9628-7DF1F9E20785} - C:\WINDOWS\system32\audiosrw.dll
O2 - BHO: (no name) - {8B3868B4-EBA8-48FA-A19B-E1DFB99066FA} - (no file)
O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - C:\Programme\Accoona\ASearchAssist.dll (file missing)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O2 - BHO: metaspinner GmbH - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - C:\Programme\Preispiraten3\Preispiraten3\IEButtonPPInterface.dll
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [helpr] C:\Program Files\SETI\helper.exe -loader -nolog
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\PPE.EXE
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [NvCplScan] nvsc32.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ServiceLayer] C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [rdirector] C:\WINDOWS\system32\rdirector.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss
O4 - HKCU\..\Run: [NvCplScan] nvsc32.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [rdirector] C:\WINDOWS\system32\rdirector.exe
O4 - HKCU\..\Run: [XPoe-Runtime] C:\Programme\DATA BECKER\XP optimal einstellen 3.0\xpoerunt.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten3\\Preispiraten3\\preispiraten.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Preispiraten 3 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten3\Preispiraten3\preispiraten3ie.exe
O9 - Extra button: BINGOOO - {3E7B066D-BB7F-46F0-91AB-89010B506A44} - C:\Programme\BINGOOO\BINGOOO.exe (file missing)
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00000055-9980-0010-8000-00AA00389B71} -
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} -
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) -
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) -
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} -
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} -
O16 - DPF: {CAFEEFAC-0014-0001-0000-ABCDEFFEDCBA} (Java Plug-in) -
O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} (Java Plug-in) -
O16 - DPF: {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA} (Java Plug-in) -
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} (Java Plug-in) -
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} -
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{C449B559-6AB7-4273-AE8C-D3F490F65923}: NameServer = 192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: CompiCleanNT5 Server (CCNTSVR) - Unknown owner - C:\Programme\CompiCleanNT5\CCNTSVR.exe (file missing)
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) - Unknown owner - c:\progra~1\pinnacle\mediac~1\epgspo~2.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

#2 bloodhoundsf

ich empfehle schnellstens zu formatieren, da ist ein fetter Backdoor auf dem System- und wahrscheinlich auch anonyme FTP-Server, die runterladen, was sie wollen, daher die hohe Auslastung.
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Ich wollte es eigentlich nicht formatieren! Gibt es nicht eine andere Alternative? Gerne auch eine, die vielleicht viel Arbeit macht! Aber den Backdoor usyw. muss man doch auch so entfernen können, oder?

#4 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo,

bin jetzt auf der Seite
http://virus-protect.org/datfindbat.html

Ich habs mir durchgelesen, seh jetzt aber sio schnell nicht durch
Kannst du mir mal schnell auf die Sprünge helfen!

Edit:
Ich glaub ih habs verstanden!

Ich kopiere jetzt mal die Logs ab! Ich starte Anfang dieses Jahres

31.03.2006 12:20 398.180 perfh009.dat
31.03.2006 12:20 60.380 perfc009.dat
31.03.2006 12:20 408.830 perfh007.dat
31.03.2006 12:20 71.196 perfc007.dat
31.03.2006 12:20 950.158 PerfStringBackup.INI
31.03.2006 12:16 28.707 nvapps.xml
31.03.2006 12:16 109.707 OODBS.lor
28.03.2006 23:10 45 initdebug.nfo
26.03.2006 12:55 2.206 wpa.dbl
17.03.2006 07:56 2.164.672 FNTCACHE.DAT
10.03.2006 02:10 4.799.320 MRT.exe
06.03.2006 23:56 14.848 BASSMOD.dll
22.02.2006 22:25 3.243 jupdate-1.4.2_07-b05.log
07.02.2006 12:36 96.768 PhotomatixLib3.dll
05.02.2006 17:23 205.824 pmtf1.dll
05.02.2006 15:27 353.280 pmtf2.dll
04.02.2006 13:19 28.393 audiosrw.dll
28.01.2006 11:28 231.424 PhotomatixLib.dll
15.01.2006 13:42 204.800 PhotomatixLib2.dll
11.01.2006 17:32 7.006 jupdate-1.5.0_06-b05.log
04.01.2006 05:35 68.096 webclnt.dll

31.03.2006 12:26 204 jusched.log
31.03.2006 12:24 59.964 Adobelm_Cleanup.0001

31.03.2006 12:16 159 wiadebug.log
31.03.2006 12:16 0 wiaservc.log
31.03.2006 12:16 0 0.log
31.03.2006 12:16 2.048 bootstat.dat
30.03.2006 23:22 1.072.767 WindowsUpdate.log
30.03.2006 21:07 1.409 QTFont.for
30.03.2006 21:07 54.156 QTFont.qfn
30.03.2006 17:32 116 NeroDigital.ini
25.03.2006 10:33 119.610 setupapi.log
24.03.2006 23:51 352 setupact.log
21.03.2006 23:54 183.296 NDNuninstall7_22.exe
21.03.2006 23:53 98 acc1.txt
21.03.2006 23:53 98 ncc1.txt
08.03.2006 16:01 32.630 SchedLgU.Txt
04.03.2006 12:23 107.864 DirectX.log
02.03.2006 16:35 1.438 win.ini
24.02.2006 17:53 0 setuperr.log
16.02.2006 17:03 29.899 spupdsvc.log
16.02.2006 16:52 220.049 comsetup.log
16.02.2006 16:52 93.877 iis6.log
16.02.2006 16:52 137.575 ntdtcsetup.log
16.02.2006 16:52 1.374 imsins.log
16.02.2006 16:52 259.281 tsoc.log
16.02.2006 16:52 33.931 ocmsn.log
16.02.2006 16:52 6.899 KB913446.log
16.02.2006 16:52 368.496 ocgen.log
16.02.2006 16:52 33.330 msgsocm.log
16.02.2006 16:52 635.783 FaxSetup.log
16.02.2006 16:52 11.203 KB911564.log
16.02.2006 16:52 238.745 wmsetup.log
16.02.2006 16:51 11.000 KB911927.log
16.02.2006 16:51 27.390 updspapi.log
16.02.2006 16:51 10.906 KB911565.log
02.02.2006 21:58 1.315 jrmkt.ini
31.01.2006 18:08 107.132 UninstallFirefox.exe
31.01.2006 18:08 14.615 mozver.dat
29.01.2006 15:42 160 mafosav.INI
28.01.2006 22:21 42.771 CSTBox.INI
28.01.2006 21:34 0 SEARCH
19.01.2006 17:39 30 RESULT.QTW
15.01.2006 15:34 296 system.ini
11.01.2006 22:39 10.138 KB908519.log
10.01.2006 18:53 19 uscsave.INI
06.01.2006 14:17 11.005 KB912919.log


31.03.2006 12:30 0 sys.txt
31.03.2006 12:30 20.462 system.txt
31.03.2006 12:30 346 systemtemp.txt
31.03.2006 12:29 126.888 system32.txt
31.03.2006 12:16 805.306.368 pagefile.sys
26.03.2006 13:53 379 boot.ini
26.03.2006 07:15 211 BOOT.BKK
26.03.2006 07:15 211 BOOT.BXP
26.03.2006 07:14 254 boot.ini.ini
26.03.2006 07:05 372 Kopie von boot.ini.ini
15.01.2006 16:29 229.856 avi_log.txt

#6 1.
der pfad oberhalb waere auch ganz hilfreich..und poste bitte die logs bis november vom datum her

1.Log Verzeichnis von C:\WINDOWS\system32<--Pfad
2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
3.Log Verzeichnis von C:\WINDOWS
4.Log Verzeichnis von C:\

2.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

NvCplScan

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.


http://www.sophos.de/virusinfo/analyses/w32forbotdg.html
http://www.f-secure.de/v-desk/bropia_g.shtml
http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-w32.kelvir.d.html

http://www.symantec.de/region/de/techsupp/avcenter/venc/data/de-w32.kelvir.removal.tool.html

http://www.symantec.com/avcenter/venc/data/w32.bropia.n.html

Zitat

W32/Forbot-DG ist ein Netzwerkwurm mit Backdoor-Funktionalität.

HKLM\SYSTEM\CurrentControlSet\Services\NvCplScan

Damit er automatisch beim Windows-Start aktiviert wird, verschiebt sich der Wurm als nvsc32.exe in den Windows-Systemordner und erstellt die folgenden Registrierungseinträge:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
NvCplScan
nvsc32.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
NvCplScan
nvsc32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
NvCplScan
nvsc32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
NvCplScan
nvsc32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
NvCplScan
nvsc32.exe

W32/Forbot-DG erstellt seinen eigenen Dienst mit dem Namen "NvCplScan" und dem Anzeigenamen "NvCplScan".

W32/Forbot-DG verfügt außerdem über Backdoor-Funktionalität und kann angewiesen werden, folgende Aktionen auszuführen:

* Fluten eines remoten Hosts
* Starten eines HTTP-Servers
* Starten eines FTP-Servers
* Portscan zufällig gewählter IP-Adressen
* Ausführen willkürlicher Befehle
* Herunterladen von Dateien


Der Wurm kann sich auf nicht gepatchte Computer verbreiten, die von der LSASS-Schwachstelle betroffen sind (siehe MS04-011).

__________
MfG Sabina

rund um die PC-Sicherheit

#7 Verzeichnis von C:\WINDOWS\system32

31.03.2006 13:37 28.707 nvapps.xml
31.03.2006 13:36 109.998 OODBS.lor
31.03.2006 12:20 398.180 perfh009.dat
31.03.2006 12:20 60.380 perfc009.dat
31.03.2006 12:20 408.830 perfh007.dat
31.03.2006 12:20 71.196 perfc007.dat
31.03.2006 12:20 950.158 PerfStringBackup.INI
28.03.2006 23:10 45 initdebug.nfo
26.03.2006 12:55 2.206 wpa.dbl
17.03.2006 07:56 2.164.672 FNTCACHE.DAT
10.03.2006 02:10 4.799.320 MRT.exe
06.03.2006 23:56 14.848 BASSMOD.dll
22.02.2006 22:25 3.243 jupdate-1.4.2_07-b05.log
07.02.2006 12:36 96.768 PhotomatixLib3.dll
05.02.2006 17:23 205.824 pmtf1.dll
05.02.2006 15:27 353.280 pmtf2.dll
04.02.2006 13:19 28.393 audiosrw.dll
28.01.2006 11:28 231.424 PhotomatixLib.dll
15.01.2006 13:42 204.800 PhotomatixLib2.dll
11.01.2006 17:32 7.006 jupdate-1.5.0_06-b05.log
04.01.2006 05:35 68.096 webclnt.dll
29.12.2005 04:54 280.064 gdi32.dll
20.12.2005 21:12 4.206 Dfusbpdr.ini
16.12.2005 22:04 2.956 qtplugin.log
16.12.2005 15:37 2.368 SVKP.sys
14.12.2005 10:24 118.784 sirenacm.dll
06.12.2005 14:41 1.056.768 ROBOEX32.DLL
06.12.2005 14:41 49.152 INETWH32.DLL
06.12.2005 14:41 28.672 nnr.dll
06.12.2005 07:02 5.533.696 wmp.dll
01.12.2005 05:31 1.492.480 shdocvw.dll
28.11.2005 00:34 2.276.352 kernel1.exe
24.11.2005 01:58 1.022.464 browseui.dll
24.11.2005 01:58 3.013.632 mshtml.dll
10.11.2005 14:03 127.078 javaws.exe
10.11.2005 14:03 49.265 jpicpl32.cpl
10.11.2005 12:27 49.250 javaw.exe
10.11.2005 12:27 49.248 java.exe
05.11.2005 05:16 606.208 urlmon.dll
05.11.2005 05:16 1.056.256 danim.dll

Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp

Das war leer

Verzeichnis von C:\WINDOWS

31.03.2006 13:38 498 wiadebug.log
31.03.2006 13:38 121.118 setupapi.log
31.03.2006 13:37 50 wiaservc.log
31.03.2006 13:36 0 0.log
31.03.2006 13:36 2.048 bootstat.dat
31.03.2006 13:30 1.073.475 WindowsUpdate.log
31.03.2006 13:27 116 NeroDigital.ini
30.03.2006 21:07 54.156 QTFont.qfn
30.03.2006 21:07 1.409 QTFont.for
24.03.2006 23:51 352 setupact.log
21.03.2006 23:54 183.296 NDNuninstall7_22.exe
21.03.2006 23:53 98 acc1.txt
21.03.2006 23:53 98 ncc1.txt
08.03.2006 16:01 32.630 SchedLgU.Txt
04.03.2006 12:23 107.864 DirectX.log
02.03.2006 16:35 1.438 win.ini
24.02.2006 17:53 0 setuperr.log
16.02.2006 17:03 29.899 spupdsvc.log
16.02.2006 16:52 220.049 comsetup.log
16.02.2006 16:52 93.877 iis6.log
16.02.2006 16:52 137.575 ntdtcsetup.log
16.02.2006 16:52 1.374 imsins.log
16.02.2006 16:52 259.281 tsoc.log
16.02.2006 16:52 33.931 ocmsn.log
16.02.2006 16:52 6.899 KB913446.log
16.02.2006 16:52 368.496 ocgen.log
16.02.2006 16:52 33.330 msgsocm.log
16.02.2006 16:52 635.783 FaxSetup.log
16.02.2006 16:52 11.203 KB911564.log
16.02.2006 16:52 238.745 wmsetup.log
16.02.2006 16:51 11.000 KB911927.log
16.02.2006 16:51 27.390 updspapi.log
16.02.2006 16:51 10.906 KB911565.log
02.02.2006 21:58 1.315 jrmkt.ini
31.01.2006 18:08 107.132 UninstallFirefox.exe
31.01.2006 18:08 14.615 mozver.dat
29.01.2006 15:42 160 mafosav.INI
28.01.2006 22:21 42.771 CSTBox.INI
28.01.2006 21:34 0 SEARCH
19.01.2006 17:39 30 RESULT.QTW
15.01.2006 15:34 296 system.ini
11.01.2006 22:39 10.138 KB908519.log
10.01.2006 18:53 19 uscsave.INI
06.01.2006 14:17 11.005 KB912919.log
31.12.2005 01:29 253.952 Setup1.exe
31.12.2005 01:29 1.698 ST6UNST.000
31.12.2005 01:29 74.752 ST6UNST.EXE
30.12.2005 00:53 796.672 GPInstall.exe
27.12.2005 16:03 325 nsw.log
25.12.2005 12:15 0 OpPrintServer.INI
23.12.2005 16:11 0 ROUTE
20.12.2005 23:31 0 VSUNINST.EXE
18.12.2005 21:35 2.009 chipset.log
16.12.2005 14:40 10.398 KB910437.log
16.12.2005 14:40 17.076 KB905915.log
12.12.2005 15:09 121 GEARInstall.log
05.12.2005 16:53 4.096 d3dx.dat
27.11.2005 19:30 0 Bootus.INI
23.11.2005 00:16 24 ES_2_D1.prf
23.11.2005 00:16 24 AM_D0.PRF
23.11.2005 00:16 24 ES_1_D1.prf
22.11.2005 23:36 24 AM_D8.PRF
18.11.2005 22:21 10.920 setuplog.xml
18.11.2005 22:17 2.199 diagwrn.xml
18.11.2005 22:17 1.887 diagerr.xml
12.11.2005 18:08 11.814 KB896424.log
12.11.2005 12:06 747 stwin04.ini
12.11.2005 12:05 209 d2hnav.ini
06.11.2005 14:09 253 tm.ini
06.11.2005 13:05 41 tdf.dii
02.11.2005 19:20 36.506 wsclient.exe
02.11.2005 19:18 12 winschul.dir
02.11.2005 19:18 2 winschul.net
01.11.2005 08:58 1.125 winamp.ini

Verzeichnis von C:\

31.03.2006 13:42 0 sys.txt
31.03.2006 13:41 20.462 system.txt
31.03.2006 13:41 129 systemtemp.txt
31.03.2006 13:40 126.888 system32.txt
31.03.2006 13:36 805.306.368 pagefile.sys
26.03.2006 13:53 379 boot.ini
26.03.2006 07:15 211 BOOT.BKK
26.03.2006 07:15 211 BOOT.BXP
26.03.2006 07:14 254 boot.ini.ini
26.03.2006 07:05 372 Kopie von boot.ini.ini
15.01.2006 16:29 229.856 avi_log.txt
17.12.2005 00:25 13.030 PDOXUSRS.NET
09.12.2005 19:34 88 ALT_debug.txt
27.11.2005 23:43 45 TEST.XML
27.11.2005 11:55 441 bootbak.bat
18.11.2005 23:09 254 CountCyclesWMVDecLog.txt
02.11.2005 19:21 0 debugtxt.pas

#8 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

NvCplScan

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

#9 REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 31.03.2006 13:49:14 for strings:
; 'nvcplscan'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplScan"="nvsc32.exe"

[HKEY_USERS\S-1-5-21-2025429265-1972579041-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplScan"="nvsc32.exe"

; End Of The Log...

#10 ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Bei mir steht, dass der Windows Script Host deaktiviert wurde!

#12 Windows Script Hosting aktivieren/deaktivieren

Start - Ausfuehren - regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings\Enabled --> 0 deaktiviert / 1 = aktiviert

-----------------------------------------------------------------------

Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\nvsc32.exe
C:\WINDOWS\system32\audiosrw.dll

------------------------------------------------

http://sandbox.norman.no/live_4.html
C:\WINDOWS\system32\nvsc32.exe
C:\WINDOWS\system32\audiosrw.dll

-----------------------------------------------
arbeite die bat ab und poste den text
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Bei den Datein, die per mail geprüft wurden ist folgendes herausgekommen:

Norman Scanner Engine 5.90. 7
Sandbox 05.90, dated 29/02-2006

Your message ID (for later reference): 20060331-1039

audiosrw.dll : Not detected by sandbox (Signature: W32/Stud.B)
[ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT
(E.G. ZIP WITH PASSWORD)**.
* File length: 28393 bytes.
* MD5 hash: 75fefa251e75ced8647c1d8298fb9e2b.

Norman Scanner Engine 5.90. 7
Sandbox 05.90, dated 29/02-2006

Your message ID (for later reference): 20060331-1038

nvsvc32.exe : Not detected by sandbox (Signature: NO_VIRUS)
[ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT
(E.G. ZIP WITH PASSWORD)**.
* File length: 127043 bytes.
* MD5 hash: 0bd326515e07602c311fce4d087f448f.

-------------------------------------------------------------------------

Und bei der Bat folgendes:


doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
doesn't exist HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
doesn't exist HKEY_CURRENT_USER\Software\Microsoft\OLE
doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry
doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Type"=dword:00000020
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung"
"DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"="Bietet allen Computern in Privat- und Kleinunternehmensnetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz."
"Group"=""
"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:000009dc

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\onlineTV\\onlineTV.exe"="C:\\Programme\\onlineTV\\onlineTV.exe:*:Enabled:onlineTV"
"C:\\Programme\\onlineTV\\smartplayer.exe"="C:\\Programme\\onlineTV\\smartplayer.exe:*:Enabled:Smartplayer"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP"="1900:UDP:LocalSubNetisabled:@xpsp2res.dll,-22007"
"2869:TCP"="2869:TCP:LocalSubNetisabled:@xpsp2res.dll,-22008"
"139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000
"DoNotAllowExceptions"=dword:00000000
"DisableNotifications"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\totalcmd\\TOTALCMD.EXE"="C:\\Programme\\totalcmd\\TOTALCMD.EXE:*:Enabled:Total Commander 32 bit international version, file manager replacement for Windows"
"C:\\Programme\\WinMX\\WinMX.exe"="C:\\Programme\\WinMX\\WinMX.exe:*:Enabled:WinMX"
"C:\\Programme\\eMCrypt\\eMCrypt.exe"="C:\\Programme\\eMCrypt\\eMCrypt.exe:*:Enabled:eMCrypt.exe"
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"="C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe:*:Enabled:backWeb-8876480"
"C:\\Programme\\Pinnacle\\MediaCenter\\PmcSettings.exe"="C:\\Programme\\Pinnacle\\MediaCenter\\PmcSettings.exe:*:Enabled: "
"C:\\Programme\\Pinnacle\\MediaCenter\\PMC.exe"="C:\\Programme\\Pinnacle\\MediaCenter\\PMC.exe:*:Enabled: "
"C:\\Programme\\Pinnacle\\Shared Files\\Programs\\MediaManager\\PMSManager.exe"="C:\\Programme\\Pinnacle\\Shared Files\\Programs\\MediaManager\\PMSManager.exe:*:Enabled:MediaManager Application"
"C:\\Programme\\EA GAMES\\Need For Speed Underground\\Speed.exe"="C:\\Programme\\EA GAMES\\Need For Speed Underground\\Speed.exe:*:Enabled:Speed"
"C:\\Programme\\Battlefield1942\\BF1942.exe"="C:\\Programme\\Battlefield1942\\BF1942.exe:*:Enabled:BF1942"
"C:\\Programme\\Battlefield Vietnam\\bfvietnam.exe"="C:\\Programme\\Battlefield Vietnam\\bfvietnam.exe:*:Enabled:bfvietnam"
"C:\\VWLUPO\\lupo.exe"="C:\\VWLUPO\\lupo.exe:*:Enabled:lupo"
"C:\\Programme\\onlineTV\\onlineTV.exe"="C:\\Programme\\onlineTV\\onlineTV.exe:*:Enabled:onlineTV"
"C:\\Programme\\onlineTV\\smartplayer.exe"="C:\\Programme\\onlineTV\\smartplayer.exe:*:Enabled:Smartplayer"
"C:\\Programme\\Shareaza\\Shareaza.exe"="C:\\Programme\\Shareaza\\Shareaza.exe:*:Enabled:Shareaza Ultimate File Sharing"
"X:\\Sascha\\Extrahierte Zips\\WinMX 3,52 Beta\\WinMX.exe"="X:\\Sascha\\Extrahierte Zips\\WinMX 3,52 Beta\\WinMX.exe:*:Enabled:WinMX Application"
"C:\\Programme\\Microsoft Games\\Flight Simulator 9\\fs9.exe"="C:\\Programme\\Microsoft Games\\Flight Simulator 9\\fs9.exe:*:Enabled:Microsoft Flight Simulator"
"C:\\WINDOWS\\system32\\dpnsvr.exe"="C:\\WINDOWS\\system32\\dpnsvr.exe:*:Enabled:Microsoft DirectPlay8 Server"
"C:\\Programme\\Steam\\Steam.exe"="C:\\Programme\\Steam\\Steam.exe:*:Enabled:Steam"
"C:\\Programme\\Pinnacle\\MediaCenter\\PMC.Tools.Recorder.exe"="C:\\Programme\\Pinnacle\\MediaCenter\\PMC.Tools.Recorder.exe:*:Enabled: "
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQLite"
"C:\\Programme\\Need for Speed Underground 2\\speed2.exe"="C:\\Programme\\Need for Speed Underground 2\\speed2.exe:*:Enabled:speed2"
"C:\\Programme\\ViaVoice\\BIN\\audmig.exe"="C:\\Programme\\ViaVoice\\BIN\\audmig.exe:*:Enabled:audmig"
"C:\\Dokumente und Einstellungen\\1\\Lokale Einstellungen\\Temp\\_ISTMP9.DIR\\_INS5576._MP"="C:\\Dokumente und Einstellungen\\1\\Lokale Einstellungen\\Temp\\_ISTMP9.DIR\\_INS5576._MP:*:Enabled:InstallShield Engine"
"C:\\Programme\\ViaVoice\\BIN\\engine.exe"="C:\\Programme\\ViaVoice\\BIN\\engine.exe:*:Enabled:IBM ViaVoice ® Speech Recognition"
"C:\\Programme\\ViaVoice\\BIN\\macroeditor.exe"="C:\\Programme\\ViaVoice\\BIN\\macroeditor.exe:*:Enabled:macroeditor"
"C:\\Programme\\ViaVoice\\BIN\\msaadmn.exe"="C:\\Programme\\ViaVoice\\BIN\\msaadmn.exe:*:Enabled:msaadmn"
"C:\\Programme\\ViaVoice\\BIN\\navcentral.exe"="C:\\Programme\\ViaVoice\\BIN\\navcentral.exe:*:Enabled:navcentral"
"C:\\Programme\\ViaVoice\\BIN\\smart.exe"="C:\\Programme\\ViaVoice\\BIN\\smart.exe:*:Enabled:smart"
"C:\\Programme\\ViaVoice\\BIN\\speechbar.exe"="C:\\Programme\\ViaVoice\\BIN\\speechbar.exe:*:Enabled:speechbar"
"C:\\Programme\\Microsoft Office\\Office10\\WINWORD.EXE"="C:\\Programme\\Microsoft Office\\Office10\\WINWORD.EXE:*:Enabled:Microsoft Word"
"C:\\Programme\\Xfire\\ua_lsp_inst.exe"="C:\\Programme\\Xfire\\ua_lsp_inst.exe:*:Enabled:ua_lsp_inst"
"C:\\Programme\\EA GAMES\\Medal of Honor Pacific Assault(tm)\\mohpa.exe"="C:\\Programme\\EA GAMES\\Medal of Honor Pacific Assault(tm)\\mohpa.exe:*:Enabled:Medal of Honor Pacific Assault(tm)"
"C:\\MAGIX\\mp3_maker_titanium_2004\\mp3maker.exe"="C:\\MAGIX\\mp3_maker_titanium_2004\\mp3maker.exe:*:Enabled:MAGIX mp3maker titanium 2004"
"C:\\Programme\\WEB.DE\\FreePhone\\SIPPS.exe"="C:\\Programme\\WEB.DE\\FreePhone\\SIPPS.exe:*:Enabled:SIPPS"
"C:\\Programme\\eMule.de\\emule.exe"="C:\\Programme\\eMule.de\\emule.exe:*isabled:eMule"
"C:\\Programme\\Java\\jdk1.5.0_01\\jre\\bin\\java.exe"="C:\\Programme\\Java\\jdk1.5.0_01\\jre\\bin\\java.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:Eine DLL-Datei als Anwendung ausführen"
"C:\\WINDOWS\\system32\\nvsc32.exe"="C:\\WINDOWS\\system32\\nvsc32.exe:*isabled:nvsc32"
"C:\\Programme\\Intuwave\\Shared\\mRouterRunTime\\mRouterRuntime.exe"="C:\\Programme\\Intuwave\\Shared\\mRouterRunTime\\mRouterRuntime.exe:*:Enabled:mRouterRuntime"
"C:\\Programme\\Macromedia\\Fireworks MX\\Fireworks.exe"="C:\\Programme\\Macromedia\\Fireworks MX\\Fireworks.exe:*:Enabled:Fireworks MX"
"C:\\Programme\\NetMeeting\\conf.exe"="C:\\Programme\\NetMeeting\\conf.exe:*:Enabled:Windows® NetMeeting®"
"C:\\Programme\\Ipswitch\\WS_FTP Pro\\wsftpgui.exe"="C:\\Programme\\Ipswitch\\WS_FTP Pro\\wsftpgui.exe:*:Enabled:WS_FTP Pro Application"
"C:\\Programme\\Half Life\\hl.exe"="C:\\Programme\\Half Life\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat"="C:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat:*:Enabledie Schlacht um Mittelerde (tm)"
"C:\\Programme\\DAP\\DAP.exe"="C:\\Programme\\DAP\\DAP.exe:*:Enabledownload Accelerator Plus"
"C:\\Programme\\Paltalk Messenger\\paltalk7.exe"="C:\\Programme\\Paltalk Messenger\\paltalk7.exe:*:Enabledaltalk Messenger 7.0"
"C:\\Programme\\BitTorrent\\bittorrent.exe"="C:\\Programme\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
"C:\\Programme\\EA GAMES\\Need for Speed Most Wanted\\speed.exe"="C:\\Programme\\EA GAMES\\Need for Speed Most Wanted\\speed.exe:*:Enabled:speed"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\39exmodulag.exe"="C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\39exmodulag.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\47exmodulag.exe"="C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\47exmodulag.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\0exmodulah.exe"="C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\0exmodulah.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\50exmodulah.exe"="C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\50exmodulah.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\24exmodulah.exe"="C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\24exmodulah.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\44exmodulah.exe"="C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\44exmodulah.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\12exmodulah.exe"="C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\12exmodulah.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\27exmodulal.exe"="C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\27exmodulal.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\36exmodulal.exe"="C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\36exmodulal.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\96exmodulam.exe"="C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\96exmodulam.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\63exmodulam.exe"="C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\63exmodulam.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\67exmodulan.exe"="C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\67exmodulan.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\33exmodulao.exe"="C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\33exmodulao.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\5exmodulao.exe"="C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\5exmodulao.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\3exmodulao.exe"="C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\3exmodulao.exe:*:Enabled:Microsoft Update"
"C:\\Programme\\3dsmax\\3dsmax.exe"="C:\\Programme\\3dsmax\\3dsmax.exe:*:Enabled:3ds max 7"
"C:\\Programme\\backburner 2\\monitor.exe"="C:\\Programme\\backburner 2\\monitor.exe:*:Enabled:backburner 2.3 monitor"
"C:\\Programme\\backburner 2\\manager.exe"="C:\\Programme\\backburner 2\\manager.exe:*:Enabled:backburner 2.3 manager"
"C:\\Programme\\backburner 2\\server.exe"="C:\\Programme\\backburner 2\\server.exe:*:Enabled:backburner 2.3 server"
"C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\74exmodulao.exe"="C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\74exmodulao.exe:*:Enabled:Microsoft Update"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP"="1900:UDP:LocalSubNetisabled:@xpsp2res.dll,-22007"
"2869:TCP"="2869:TCP:LocalSubNetisabled:@xpsp2res.dll,-22008"
"139:TCP"="139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002"
"4662:TCP"="4662:TCP:*:Enabled:eMCrypt Einstellung TCP"
"4672:UDP"="4672:UDP:*:Enabled:eMCrypt Einstellung UDP"
"4661:UDP"="4661:UDP:*:Enabled:Razorback 2"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"{60E7D5D1-4511-4908-A48E-1E2DBE67AE0A}"=dword:00000001
"{8C2801AA-8EA5-48EE-B2B7-9FA94D1DDD0D}"=dword:00000001
"{C449B559-6AB7-4273-AE8C-D3F490F65923}"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Sicherheitscenter"
"DependOnService"=hex(7):52,70,63,53,73,00,77,69,6e,6d,67,6d,74,00,00
"ObjectName"="LocalSystem"
"Description"="Überwacht Systemsicherheitseinstellungen und -konfigurationen."
"DependOnGroup"=hex(7):00
"Group"=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,53,59,53,54,45,4d,52,4f,4f,54,25,5c,73,79,73,74,65,6d,\
33,32,5c,77,73,63,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"autodisconnect"=dword:0000000f
"enableforcedlogoff"=dword:00000001
"enablesecuritysignature"=dword:00000000
"requiresecuritysignature"=dword:00000000
"NullSessionPipes"=hex(7):43,4f,4d,4e,41,50,00,43,4f,4d,4e,4f,44,45,00,53,51,\
4c,5c,51,55,45,52,59,00,53,50,4f,4f,4c,53,53,00,4c,4c,53,52,50,43,00,62,72,\
6f,77,73,65,72,00,00
"NullSessionShares"=hex(7):43,4f,4d,43,46,47,00,44,46,53,24,00,00
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,73,72,76,73,76,63,2e,64,6c,6c,00
"Lmannounce"=dword:00000000
"Size"=dword:00000001
"Guid"=hex:e8,9c,4c,c7,46,64,38,49,ab,b6,28,24,87,4b,a7,a0
"AdjustedNullSessionPipes"=dword:00000001
"Hide"=dword:00000001
"CachedOpenLimit"=dword:00000000
"srvcomment"="bloodhoundsf"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters]
"enableplaintextpassword"=dword:00000000
"enablesecuritysignature"=dword:00000001
"requiresecuritysignature"=dword:00000000
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,77,6b,73,73,76,63,2e,64,6c,6c,00
"OtherDomains"=hex(7):00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger]
"Type"=dword:00000020
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Nachrichtendienst"
"DependOnService"=hex(7):4c,61,6e,6d,61,6e,57,6f,72,6b,73,74,61,74,69,6f,6e,00,\
4e,65,74,42,49,4f,53,00,50,6c,75,67,50,6c,61,79,00,52,70,63,53,53,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"="Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern. Dieser Dienst ist nicht mit Windows Messenger verwandt. Der Warndienst überträgt keine Nachrichten, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden."
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,6d,73,67,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Security]
"Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,48,00,03,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Enum]
"0"="Root\\LEGACY_MESSENGER\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoRebootWithLoggedOnUsers"=dword:00000001


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"DefaultLaunchPermission"=hex:01,00,04,80,64,00,00,00,80,00,00,00,00,00,00,00,\
14,00,00,00,02,00,50,00,03,00,00,00,00,00,18,00,01,00,00,00,01,01,00,00,00,\
00,00,05,12,00,00,00,00,00,00,00,00,00,18,00,01,00,00,00,01,01,00,00,00,00,\
00,05,04,00,00,00,00,00,00,00,00,00,18,00,01,00,00,00,01,02,00,00,00,00,00,\
05,20,00,00,00,20,02,00,00,01,05,00,00,00,00,00,05,15,00,00,00,a0,5f,84,1f,\
5e,2e,6b,49,ce,12,03,03,f4,01,00,00,01,05,00,00,00,00,00,05,15,00,00,00,a0,\
5f,84,1f,5e,2e,6b,49,ce,12,03,03,f4,01,00,00
"EnableDCOM"="Y"
"MachineLaunchRestriction"=hex:01,00,04,80,48,00,00,00,58,00,00,00,00,00,00,00,\
14,00,00,00,02,00,34,00,02,00,00,00,00,00,18,00,1f,00,00,00,01,02,00,00,00,\
00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,\
00,01,00,00,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,\
00,00,00,00,05,20,00,00,00,20,02,00,00
"MachineAccessRestriction"=hex:01,00,04,80,44,00,00,00,54,00,00,00,00,00,00,00,\
14,00,00,00,02,00,30,00,02,00,00,00,00,00,14,00,03,00,00,00,01,01,00,00,00,\
00,00,05,07,00,00,00,00,00,14,00,07,00,00,00,01,01,00,00,00,00,00,01,00,00,\
00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,\
05,20,00,00,00,20,02,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat\ActivationSecurityCheckExemptionList]
"{A50398B8-9075-4FBF-A7A1-456BF21937AD}"="1"
"{AD65A69D-3831-40D7-9629-9B0B50A93843}"="1"
"{0040D221-54A1-11D1-9DE0-006097042D69}"="1"
"{2A6D72F1-6E7E-4702-B99C-E40D3DED33C3}"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\NONREDIST]
"System.EnterpriseServices.Thunk.dll"=""


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00
"Bounds"=hex:00,30,00,00,00,20,00,00
"Security Packages"=hex(7):6b,65,72,62,65,72,6f,73,00,6d,73,76,31,5f,30,00,73,\
63,68,61,6e,6e,65,6c,00,77,64,69,67,65,73,74,00,00
"LsaPid"=dword:00000400
"SecureBoot"=dword:00000001
"auditbaseobjects"=dword:00000000
"crashonauditfail"=dword:00000000
"disabledomaincreds"=dword:00000000
"everyoneincludesanonymous"=dword:00000000
"fipsalgorithmpolicy"=dword:00000000
"fullprivilegeauditing"=hex:00
"limitblankpassworduse"=dword:00000001
"lmcompatibilitylevel"=dword:00000000
"nodefaultadminowner"=dword:00000001
"nolmhash"=dword:00000000
"restrictanonymous"=dword:00000000
"restrictanonymoussam"=dword:00000001
"Notification Packages"=hex(7):73,63,65,63,6c,69,00,00
"ImpersonatePrivilegeUpgradeToolHasRun"=dword:00000001
"ForceGuest"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders]
"ProviderOrder"=hex(7):57,69,6e,64,6f,77,73,20,4e,54,20,41,63,63,65,73,73,20,\
50,72,6f,76,69,64,65,72,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders\Windows NT Access Provider]
"ProviderPath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,\
33,32,5c,6e,74,6d,61,72,74,61,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing\System]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Data]
"Pattern"=hex:ab,e9,74,c6,e5,e9,a7,70,51,c3,71,6d,b9,ad,ab,85,31,64,36,36,33,\
37,61,64,00,68,07,00,01,00,00,00,d8,00,00,00,dc,00,00,00,48,fa,06,00,d6,48,\
52,74,04,00,00,00,a0,fd,06,00,b8,fd,06,00,a8,48,0d,36

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\GBG]
"GrafBlumGroup"=hex:fb,05,a5,e7,7e,45,86,9b,b1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\JD]
"Lookup"=hex:c4,5a,3f,73,c1,09

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Domains]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\SidCache]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\msv1_0]
"ntlmminclientsec"=dword:00000000
"ntlmminserversec"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Skew1]
"SkewMatrix"=hex:cb,12,be,94,e4,f5,94,69,2a,04,b8,e7,7d,b4,74,2d

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO\Passport1.4]
"SSOURL"="http://www.passport.com"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache]
"Time"=hex:a6,e5,80,dc,67,9d,c4,01

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\digest.dll]
"Name"="Digest"
"Comment"="Digest SSPI Authentication Package"
"Capabilities"=dword:00004050
"RpcId"=dword:0000ffff
"Version"=dword:00000001
"TokenSize"=dword:0000ffff
"Time"=hex:00,5b,d8,39,ad,79,c4,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msapsspc.dll]
"Name"="DPA"
"Comment"="DPA Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000011
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,0f,9d,3e,ad,79,c4,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msnsspc.dll]
"Name"="MSN"
"Comment"="MSN Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000012
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,3c,ce,3f,ad,79,c4,01
"Type"=dword:00000031


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
"DisableMonitoring"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
"DisableMonitoring"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]



#14 Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\nvsc32.exe
C:\WINDOWS\system32\audiosrw.dll

Zitat

Windows Script Hosting aktivieren/deaktivieren

Start - Ausfuehren - regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings\Enabled --> 0 deaktiviert / 1 = aktiviert

ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren

HijackThis (StartupListe)
Startuplist log, dazu bitte in die ms tools setion gehen, beide Dinge bei "generate statuplist log" anhaken und die liste erstellen lassen.

*HijackThis - Config
*List also minor sections (full) -- Häkchen setzen
*List empty sections (complete) -- Häkchen setzen
*HijackThis - Config - MiscTools -- Generate StartupListlog
*(es öffnet sich das Notepad [Texteditor], nun das KOMPLETTE Log abkopieren und posten)
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Die Seite http://www.virustotal.com/flash/index_en.html öffnet sich bei mir nicht! Und soll ich da auf der Seite auf durhsuchen etc. klicken?