Home » Viren, Trojaner & Malware Forum » Windows sagt immer "your computer is infected! » Themenansicht
Windows sagt immer "your computer is infected! |
||
|---|---|---|
| #0
| ||
|
16.04.2006, 19:21
Ehrenmitglied
 Beiträge: 29434 |
||
 
|
|
|
|
16.04.2006, 20:36
Member
Themenstarter Beiträge: 15 |
#17
hi,
ich habe leider kein zugriff auf C:\Dokumente und Einstellungen\ben\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5FNN5D8E C:\Dokumente und Einstellungen\ben\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6ZEH9O8O dies verweigert er mir. hier ist ist der scanreport: Start Date: 16.04.2006 20:11:05 End Date: 16.04.2006 20:27:40 Total Time: 16 mins 35 secs Detected spyware SurfAccuracy Adware (General) more information... Status: Deleted Infected files detected c:\programme\surfaccuracy\sacc.cfg Glacier RAT more information... Status: Deleted Infected files detected c:\windows\system32\system32.exe Looking-For.Home Search Assistant Hijacker more information... Details: Home Search Assistant is an Internet Explorer browser helper object (BHO) that changes the user's home page and modifes search results. It also spawns pop-ups on the desktop. Status: Deleted Infected files detected c:\dokumente und einstellungen\ben\anwendungsdaten\install.dat DesktopScam Trojan Downloader more information... Details: DesktopScam is a trojan that is downloaded with rogue security applicatons in order to frighten the affected user into purchasing the rogue program. Status: Deleted Infected files detected c:\windows\system32\cmesys.exe SpySheriff Rogue Security Program more information... Details: SpySheriff is a purported anti-spyware application to scan for and remove spyware from users' computers. Status: Deleted Infected files detected C:\Dokumente und Einstellungen\ben\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5FNN5D8E\vzpewmqcuy[1].txt C:\Dokumente und Einstellungen\ben\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6ZEH9O8O\akyqhdyznv[1].htm IST.PowerScan Adware (General) more information... Details: PowerScan is advertised through in ordinary web pop-ups, but recently it started to install with help from the the ISTBar adware. Status: Deleted Infected registry entries detected HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\main bandrest Trojan.Desktophijack Trojan more information... Details: Trojan.Desktophijack modifies the home page and desktop settings on a compromised computer. Status: Deleted Infected registry entries detected HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ForceActiveDesktopOn 1 BraveSentry Rogue Security Program more information... Details: BraveSentry is a purported anti-spyware application to scan for and remove spyware from users' computers Status: Deleted Infected registry entries detected HKEY_CURRENT_USER\Software\Install ad.yieldmanager Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count Status: Deleted Infected cookies detected c:\dokumente und einstellungen\ben\cookies\ben@ad.yieldmanager[2].txt mfg ben |
|
|
|
|
|
|
16.04.2006, 20:41
Ehrenmitglied
Beiträge: 29434 |
#18
Counterspy hats geloescht....
Zitat C:\Dokumente und Einstellungen\ben\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5FNN5D8E\vzpewmqcuy[1].txtposte das log vom Silentrunner http://virus-protect.org/silentrunner.html + die 4 logs von datfindbat ...4 Monate vom Datum her.... http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
16.04.2006, 20:50
Member
Themenstarter Beiträge: 15 |
#19
log 1:
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 9C93-923C Verzeichnis von C:\WINDOWS\system32 03.08.2006 19:40 1.004.544 AutoPartNt.exe 16.04.2006 20:32 0 nvapps.xml 16.04.2006 20:32 144.336 OODBS.lor 16.04.2006 17:48 2.550 Uninstall.ico 16.04.2006 17:48 1.406 Help.ico 16.04.2006 17:48 30.590 pavas.ico 16.04.2006 15:07 0 asfiles.txt 15.04.2006 04:48 2.206 wpa.dbl 06.04.2006 12:48 5.143.456 MRT.exe 30.03.2006 11:26 1.492.480 shdocvw.dll 30.03.2006 03:16 18.944 xpsp3res.dll 26.03.2006 09:06 383.254 perfh009.dat 26.03.2006 09:06 53.608 perfc009.dat 26.03.2006 09:06 394.500 perfh007.dat 26.03.2006 09:06 64.598 perfc007.dat 26.03.2006 09:06 906.552 PerfStringBackup.INI 23.03.2006 22:34 3.074.560 mshtml.dll 18.03.2006 13:09 615.424 urlmon.dll 17.03.2006 11:11 679.424 inetcomm.dll 17.03.2006 06:03 8.493.056 shell32.dll 17.03.2006 02:38 28.672 verclsid.exe 10.03.2006 06:09 5.533.696 wmp.dll 04.03.2006 05:34 664.064 wininet.dll 04.03.2006 05:34 474.624 shlwapi.dll 04.03.2006 05:34 448.512 mshtmled.dll 04.03.2006 05:34 146.432 msrating.dll 04.03.2006 05:34 39.424 pngfilt.dll 04.03.2006 05:34 532.480 mstime.dll 04.03.2006 05:34 55.808 extmgr.dll 04.03.2006 05:34 205.312 dxtrans.dll 04.03.2006 05:34 1.056.256 danim.dll 04.03.2006 05:34 96.768 inseng.dll 04.03.2006 05:34 251.392 iepeers.dll 04.03.2006 05:34 1.022.976 browseui.dll 04.03.2006 05:34 152.064 cdfview.dll 14.02.2006 10:20 550.120 LegitCheckControl.dll 17.01.2006 23:36 69.632 ElbyCDIO.dll 04.01.2006 05:35 68.096 webclnt.dll 29.12.2005 04:54 280.064 gdi32.dll 23.12.2005 12:38 2.590 sdbackup.reg log: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 9C93-923C Verzeichnis von C:\DOKUME~1\ben\LOKALE~1\Temp 16.04.2006 20:40 1.212.416 ~DF6434.tmp 16.04.2006 20:40 1.212.416 ~DF276.tmp 16.04.2006 20:38 1.212.416 ~DF5DEB.tmp 16.04.2006 20:33 1.212.416 ~DF7B52.tmp 16.04.2006 20:32 32.768 ~DF5545.tmp 16.04.2006 20:32 16.384 ~DF3A93.tmp 16.04.2006 20:32 49.152 ~DF6065.tmp 16.04.2006 20:10 1.212.416 ~DFE3F5.tmp 16.04.2006 20:10 49.152 ~DF302F.tmp 16.04.2006 20:10 32.768 ~DF258A.tmp 16.04.2006 20:10 16.384 ~DF652.tmp 16.04.2006 16:19 72.192 ~e5.0001 12 Datei(en) 6.330.880 Bytes 0 Verzeichnis(se), 5.246.648.320 Bytes frei log3: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 9C93-923C Verzeichnis von C:\WINDOWS 16.04.2006 20:43 642 win.ini 16.04.2006 20:43 227 system.ini 16.04.2006 20:33 1.478.650 WindowsUpdate.log 16.04.2006 20:32 0 0.log 16.04.2006 20:32 159 wiadebug.log 16.04.2006 20:32 50 wiaservc.log 16.04.2006 20:32 2.048 bootstat.dat 16.04.2006 20:30 32.610 SchedLgU.Txt 16.04.2006 20:06 182.707 setupact.log 16.04.2006 19:59 1.142.472 ntbtlog.txt 16.04.2006 19:57 2.329 TMFilter.log 16.04.2006 17:48 962.317 setupapi.log 16.04.2006 16:13 32 pavsig.txt 16.04.2006 10:20 116 NeroDigital.ini 15.04.2006 14:17 24 pyJwe log:4 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 9C93-923C Verzeichnis von C:\ 06.08.2006 10:40 458 memory.txt 16.04.2006 20:49 0 sys.txt 16.04.2006 20:49 8.906 system.txt 16.04.2006 20:48 824 systemtemp.txt 16.04.2006 20:47 101.104 system32.txt 16.04.2006 20:43 211 boot.ini 16.04.2006 20:32 1.610.612.736 pagefile.sys 16.04.2006 13:51 600 avenger.txt 14.04.2006 14:26 0 tool4.exe 14.04.2006 14:24 0 uniq 04.01.2006 16:30 20 ntuser.ini 01.10.2005 17:44 21 tmuninst.ini 01.10.2005 17:34 47.564 NTDETECT.COM 01.10.2005 17:34 251.184 ntldr 01.10.2005 16:47 0 IO.SYS 01.10.2005 16:47 0 CONFIG.SYS 01.10.2005 16:47 0 AUTOEXEC.BAT 01.10.2005 16:47 0 MSDOS.SYS 02.04.2003 14:00 4.952 bootfont.bin 19 Datei(en) 1.611.028.580 Bytes 0 Verzeichnis(se), 5.246.648.320 Bytes frei silent runners log: "Silent Runners.vbs", revision 44, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "OfficeScanNT Monitor" = ""C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow" ["Trend Micro Inc."] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "AudioDeck" = "C:\Programme\VIAudioi\SBADeck\ADeck.exe 1 " ["VIA Technologies, Inc."] "Acronis Scheduler2 Service" = ""C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"" ["Acronis"] "MSConfig" = "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {E24AD748-155E-4254-B674-4EDF86E7E1DF}\(Default) = "Acronis Popup Blocker" -> {HKLM...CLSID} = "CAdBlocker Object" \InProcServer32\(Default) = "D:\Acronis privat\Blocker.dll" ["Acronis"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler" -> {HKLM...CLSID} = "Microsoft Office Outlook" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{950FF917-7A57-46BC-8017-59D9BF474000}" = "Shell Extension for CDRW" -> {HKLM...CLSID} = "Shell Extension for CDRW" \InProcServer32\(Default) = "C:\Programme\Ahead\InCD\incdshx.dll" ["Ahead Software AG"] "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension" -> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension" \InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices" -> {HKLM...CLSID} = "Portable Media Devices" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {HKLM...CLSID} = "Portable Media Devices Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{48EAD1E1-ECF2-4a85-AA09-1C44FBEED451}" = "OODefrag" -> {HKCU...CLSID} = "OODShellExtObj Class" \InProcServer32\(Default) = "C:\PROGRA~1\OOSOFT~1\DEFRAG~1\oodsh.dll" ["O&O Software GmbH"] "{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band" -> {HKLM...CLSID} = "Shell Search Band" \InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS] "{60CE0473-50F7-417B-A10F-6921827B9CA8}" = "Acronis PrivacyExpert Shell Extension Class" -> {HKLM...CLSID} = "CPrivexShellExt Object" \InProcServer32\(Default) = "D:\Acronis privat\PrivShellExt.dll" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard" -> {HKLM...CLSID} = "CShellExecuteHookImpl Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"] INFECTION WARNING! "{076394AD-7FDD-44EF-A075-32C68DBAB99B}" = "*b" (unwritable string) -> {HKLM...CLSID} = "GIANT AntiSpyware Service Hook" \InProcServer32\(Default) = "C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunExecuteHook.dll" ["Sunbelt Software"] HKLM\System\CurrentControlSet\Control\Session Manager\ INFECTION WARNING! "BootExecute" = "autocheck autochk * OODBS" [file not found], [MS], [file not found], [file not found] HKLM\Software\Classes\PROTOCOLS\Filter\ INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" -> {HKLM...CLSID} = "Ctest Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"] ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] PowerArchiver\(Default) = "{d03d3e68-0c44-3d45-b15f-bcfd8a8b4c7e}" -> {HKLM...CLSID} = "PowerArchiver Shell Extensions" \InProcServer32\(Default) = "C:\Programme\PowerArchiver\PASHLEXT.DLL" ["ConeXware, Inc."] PrivShellExt\(Default) = "{60CE0473-50F7-417B-A10F-6921827B9CA8}" -> {HKLM...CLSID} = "CPrivexShellExt Object" \InProcServer32\(Default) = "D:\Acronis privat\PrivShellExt.dll" [null data] TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension" \InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" -> {HKLM...CLSID} = "Ctest Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"] ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension" \InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ PowerArchiver\(Default) = "{d03d3e68-0c44-3d45-b15f-bcfd8a8b4c7e}" -> {HKLM...CLSID} = "PowerArchiver Shell Extensions" \InProcServer32\(Default) = "C:\Programme\PowerArchiver\PASHLEXT.DLL" ["ConeXware, Inc."] PrivexShellExt\(Default) = "{60CE0473-50F7-417B-A10F-6921827B9CA8}" -> {HKLM...CLSID} = "CPrivexShellExt Object" \InProcServer32\(Default) = "D:\Acronis privat\PrivShellExt.dll" [null data] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies [Description] {enabled Group Policy setting}: ------------------------------------------------------------ HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "Wallpaper" = (value not set) [disables the Display Properties|Desktop (tab) (except the "Customize Desktop..." button); selects wallpaper and enables Active Desktop] {User Configuration|Administrative Templates|Desktop|Active Desktop| Active Desktop Wallpaper|Wallpaper Name:} Active Desktop and Wallpaper: ----------------------------- Active Desktop enabled via Group Policy. Wallpaper selected via Group Policy. Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Enabled Scheduled Tasks: ------------------------ "1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided) -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBC}" -> {HKLM...CLSID} = "Java Plug-in 1.5.0_04" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll" ["Sun Microsystems, Inc."] {12345678-1234-1234-1234-1234567890AB}\ {2E071ADC-ADF8-4B4B-8ACB-EDC49E6D45A2}\ "ButtonText" = "Acronis Pop-Up-Blocker" "MenuText" = "Acronis Pop-Up-Blocker" "CLSIDExtension" = "{2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2}" -> {HKLM...CLSID} = "CAdBlockToolExt Object" \InProcServer32\(Default) = "D:\Acronis privat\Blocker.dll" ["Acronis"] {92780B25-18CC-41C8-B9BE-3C9C571A8263}\ "ButtonText" = "Recherchieren" {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ Missing lines (compared with English-language version): "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided) -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] HKLM\Software\Microsoft\Internet Explorer\AboutURLs\ HIJACK WARNING! "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Acronis Malware Shield Service, psh_svc, ""C:\Programme\Gemeinsame Dateien\Acronis\Malware Shield\psh_svc.exe"" [null data] Acronis Scheduler2 Service, AcrSch2Svc, ""C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe"" ["Acronis"] ewido security suite control, ewido security suite control, "C:\Programme\ewido anti-malware\ewidoctrl.exe" ["ewido networks"] HTTP-SSL, HTTPFilter, "C:\WINDOWS\System32\svchost.exe -k HTTPFilter" {"C:\WINDOWS\System32\w3ssl.dll" [MS]} NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] O&O Defrag, O&O Defrag, "C:\WINDOWS\system32\oodag.exe" ["O&O Software GmbH"] OfficeScanNT Echtzeitsuche, ntrtscan, "C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe" ["Trend Micro Inc."] OfficeScanNT Listener, tmlisten, "C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe" ["Trend Micro Inc."] OfficeScanNT Personal Firewall, OfcPfwSvc, "C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe" ["Trend Micro Inc."] StarWind iSCSI Service, StarWindService, "C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe" ["Rocket Division Software"] User Profile Hive Cleanup, UPHClean, "C:\Programme\UPHClean\uphclean.exe" [MS] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."] Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 20 seconds, including 5 seconds for message boxes) mfg ben |
|
|
|
|
|
|
16.04.2006, 22:49
Ehrenmitglied
Beiträge: 29434 |
#20
1.
loesche: C:\tool4.exe C:\uniq C:\tmuninst.ini C:\WINDOWS\pyJwe 2. HijackThis (StartupListe) Starte den Rechner bitte im abgesicherten Modus und erstelle dort ein Hijackthis log und ein Startuplist log, dazu bitte in die ms tools setion gehen, beide Dinge bei "generate statuplist log" anhaken und die liste erstellen lassen. *HijackThis - Config *List also minor sections (full) -- Häkchen setzen *List empty sections (complete) -- Häkchen setzen *HijackThis - Config - MiscTools -- Generate StartupListlog *(es öffnet sich das Notepad [Texteditor], nun das KOMPLETTE Log abkopieren und posten) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
17.04.2006, 08:24
Member
Themenstarter Beiträge: 15 |
#21
bitte hier ist der log:
StartupList report, 17.04.2006, 08:13:11 StartupList version: 1.52.2 Started from : C:\acronis\hijack\HijackThis.EXE Detected: Windows XP SP2 (WinNT 5.01.2600) Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180) * Using default options * Including empty and uninteresting sections * Showing rarely important sections ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Sunbelt Software\CounterSpy\Consumer\Thread.exe C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe C:\acronis\hijack\HijackThis.exe -------------------------------------------------- Listing of startup folders: Shell folders Startup: [C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart] *No files* Shell folders AltStartup: *Folder not found* User shell folders Startup: *Folder not found* User shell folders AltStartup: *Folder not found* Shell folders Common Startup: [C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart] *No files* Shell folders Common AltStartup: *Folder not found* User shell folders Common Startup: *Folder not found* User shell folders Alternate Common Startup: *Folder not found* -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, [HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon] *Registry key not found* [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] *Registry value not found* [HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon] *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run SoundMan = SOUNDMAN.EXE NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup nwiz = nwiz.exe /install OfficeScanNT Monitor = "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit AudioDeck = C:\Programme\VIAudioi\SBADeck\ADeck.exe 1 Acronis Scheduler2 Service = "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" SunServer = C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce *No values found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *No values found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run CTFMON.EXE = C:\WINDOWS\System32\CTFMON.EXE -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\Run [OptionalComponents] *No values found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\Run *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- File association entry for .EXE: HKEY_CLASSES_ROOT\exefile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .COM: HKEY_CLASSES_ROOT\comfile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .BAT: HKEY_CLASSES_ROOT\batfile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .PIF: HKEY_CLASSES_ROOT\piffile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .SCR: HKEY_CLASSES_ROOT\scrfile\shell\open\command (Default) = "%1" /S -------------------------------------------------- File association entry for .HTA: HKEY_CLASSES_ROOT\htafile\shell\open\command (Default) = C:\WINDOWS\System32\mshta.exe "%1" %* -------------------------------------------------- File association entry for .TXT: HKEY_CLASSES_ROOT\txtfile\shell\open\command (Default) = %SystemRoot%\system32\NOTEPAD.EXE %1 -------------------------------------------------- Enumerating Active Setup stub paths: HKLM\Software\Microsoft\Active Setup\Installed Components (* = disabled by HKCU twin) [>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP [>{26923b43-4d38-484f-9b9e-de460746276c}] StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE [>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS] StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP [>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE [{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] * StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\mswmp.inf,PerUserStub [{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll [{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install [{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] * StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT [{5945c046-1e7d-11d1-bc44-00c04fd912be}] StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser [{6BF52A52-394A-11d3-B153-00C04F79FAA6}] * StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp10.inf,PerUserStub [{7790769C-0471-11d2-AF11-00C04FA35D02}] StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install [{89820200-ECBD-11cf-8B85-00AA005B4340}] StubPath = regsvr32.exe /s /n /i:U shell32.dll [{89820200-ECBD-11cf-8B85-00AA005B4383}] StubPath = %SystemRoot%\system32\ie4uinit.exe [{89B4C1CD-B018-4511-B0A1-5476DBF70820}] StubPath = C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install -------------------------------------------------- Enumerating ICQ Agent Autostart apps: HKCU\Software\Mirabilis\ICQ\Agent\Apps *Registry key not found* -------------------------------------------------- Load/Run keys from C:\WINDOWS\WIN.INI: load=*INI section not found* run=*INI section not found* Load/Run keys from Registry: HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found* HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found* HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found* HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found* HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found* HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found* HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found* HKCU\..\Windows NT\CurrentVersion\Windows: load= HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs= -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=%SystemRoot%\System32\logon.scr drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry key not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Checking for EXPLORER.EXE instances: C:\WINDOWS\Explorer.exe: PRESENT! C:\Explorer.exe: not present C:\WINDOWS\Explorer\Explorer.exe: not present C:\WINDOWS\System\Explorer.exe: not present C:\WINDOWS\System32\Explorer.exe: not present C:\WINDOWS\Command\Explorer.exe: not present C:\WINDOWS\Fonts\Explorer.exe: not present -------------------------------------------------- Checking for superhidden extensions: .lnk: HIDDEN! (arrow overlay: yes) .pif: HIDDEN! (arrow overlay: yes) .exe: not hidden .com: not hidden .bat: not hidden .hta: not hidden .scr: not hidden .shs: HIDDEN! .shb: HIDDEN! .vbs: not hidden .vbe: not hidden .wsh: not hidden .scf: HIDDEN! (arrow overlay: NO!) .url: HIDDEN! (arrow overlay: yes) .js: not hidden .jse: not hidden -------------------------------------------------- Verifying REGEDIT.EXE integrity: - Regedit.exe found in C:\WINDOWS - .reg open command is normal (regedit.exe %1) - Company name OK: 'Microsoft Corporation' - Original filename OK: 'REGEDIT.EXE' - File description: 'Registrierungs-Editor' Registry check passed -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} Acronis Popup Blocker - D:\Acronis privat\Blocker.dll - {E24AD748-155E-4254-B674-4EDF86E7E1DF} -------------------------------------------------- Enumerating Task Scheduler jobs: 1-Klick-Wartung.job -------------------------------------------------- Enumerating Download Program Files: [CKAVWebScan Object] InProcServer32 = C:\WINDOWS\system32\Kaspersky Lab\Kaspersky On-line Scanner\kavwebscan.dll CODEBASE = http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab [ActiveScan Installer Class] InProcServer32 = C:\WINDOWS\Downloaded Program Files\CONFLICT.1\asinst.dll CODEBASE = http://acs.pandasoftware.com/activescan/as5free/asinst.cab [Shockwave Flash Object] InProcServer32 = C:\WINDOWS\system32\Macromed\Flash\Flash8a.ocx CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab -------------------------------------------------- Enumerating Winsock LSP files: NameSpace #1: C:\WINDOWS\System32\mswsock.dll NameSpace #2: C:\WINDOWS\System32\winrnr.dll NameSpace #3: C:\WINDOWS\System32\mswsock.dll Protocol #1: C:\WINDOWS\system32\mswsock.dll Protocol #2: C:\WINDOWS\system32\mswsock.dll Protocol #3: C:\WINDOWS\system32\mswsock.dll Protocol #4: C:\WINDOWS\system32\rsvpsp.dll Protocol #5: C:\WINDOWS\system32\rsvpsp.dll Protocol #6: C:\WINDOWS\system32\mswsock.dll Protocol #7: C:\WINDOWS\system32\mswsock.dll Protocol #8: C:\WINDOWS\system32\mswsock.dll Protocol #9: C:\WINDOWS\system32\mswsock.dll Protocol #10: C:\WINDOWS\system32\mswsock.dll Protocol #11: C:\WINDOWS\system32\mswsock.dll Protocol #12: C:\WINDOWS\system32\mswsock.dll Protocol #13: C:\WINDOWS\system32\mswsock.dll Protocol #14: C:\WINDOWS\system32\mswsock.dll Protocol #15: C:\WINDOWS\system32\mswsock.dll -------------------------------------------------- Enumerating Windows NT/2000/XP services Microsoft ACPI-Treiber: System32\DRIVERS\ACPI.sys (system) Acronis Scheduler2 Service: "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe" (autostart) Microsoft Kernel-Echounterdrückung: system32\drivers\aec.sys (manual start) Umgebung für die AFD-Netzwerkunterstützung: \SystemRoot\System32\drivers\afd.sys (system) Service for WDM 3D Audio Driver: system32\drivers\ALCXSENS.SYS (manual start) Service for Realtek AC97 Audio (WDM): system32\drivers\ALCXWDM.SYS (manual start) Warndienst: %SystemRoot%\System32\svchost.exe -k LocalService (disabled) Gatewaydienst auf Anwendungsebene: %SystemRoot%\System32\alg.exe (manual start) AnyDVD: System32\Drivers\AnyDVD.sys (manual start) Anwendungsverwaltung: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start) 1394-ARP-Clientprotokoll: System32\DRIVERS\arp1394.sys (manual start) ASP.NET State Service: %SystemRoot%\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (manual start) Asynchroner RAS -Medientreiber: System32\DRIVERS\asyncmac.sys (manual start) Standard-IDE/ESDI-Festplattencontroller: System32\DRIVERS\atapi.sys (system) Protokoll für ATM ARP-Client: System32\DRIVERS\atmarpc.sys (manual start) Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Audiostubtreiber: System32\DRIVERS\audstub.sys (manual start) Intelligenter Hintergrundübertragungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Computerbrowser: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) CIF USB Camera (2110A): system32\DRIVERS\cccp106.sys (manual start) Untertiteldecoder: system32\DRIVERS\CCDECODE.sys (manual start) CD-ROM-Laufwerktreiber: System32\DRIVERS\cdrom.sys (system) Indexdienst: %SystemRoot%\system32\cisvc.exe (manual start) Ablagemappe: %SystemRoot%\system32\clipsrv.exe (disabled) COM+-Systemanwendung: C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} (manual start) Kryptografiedienste: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) DCOM-Server-Prozessstart: %SystemRoot%\system32\svchost -k DcomLaunch (autostart) DHCP-Client: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Laufwerktreiber: System32\DRIVERS\disk.sys (system) Verwaltungsdienst für die Verwaltung logischer Datenträger: %SystemRoot%\System32\dmadmin.exe /com (manual start) dmboot: System32\drivers\dmboot.sys (disabled) Treiber für die Verwaltung logischer Datenträger: System32\drivers\dmio.sys (system) dmload: System32\drivers\dmload.sys (system) Verwaltung logischer Datenträger: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Microsoft Kernel-DLS-Synthesizer: system32\drivers\DMusic.sys (manual start) DNS-Client: %SystemRoot%\System32\svchost.exe -k NetworkService (autostart) Microsoft Kernel-DRM-Audioentschlüsselung: system32\drivers\drmkaud.sys (manual start) dtscsi: \SystemRoot\System32\Drivers\dtscsi.sys (manual start) ElbyCDIO Driver: System32\Drivers\ElbyCDIO.sys (autostart) ENTECH: \??\C:\WINDOWS\system32\DRIVERS\ENTECH.SYS (manual start) Fehlerberichterstattungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart) COM+-Ereignissystem: C:\WINDOWS\System32\svchost.exe -k netsvcs (manual start) ewido security suite control: C:\Programme\ewido anti-malware\ewidoctrl.exe (autostart) Kompatibilität für schnelle Benutzerumschaltung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Diskettencontrollertreiber: System32\DRIVERS\fdc.sys (manual start) Diskettenlaufwerktreiber: System32\DRIVERS\flpydisk.sys (manual start) FltMgr: system32\drivers\fltmgr.sys (system) Treiber für Volume-Manager: System32\DRIVERS\ftdisk.sys (system) Standardpaketklassifizierung: System32\DRIVERS\msgpc.sys (manual start) Hilfe und Support: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Eingabegerätezugang: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled) Microsoft HID Class-Treiber: system32\DRIVERS\hidusb.sys (manual start) HTTP: System32\Drivers\HTTP.sys (manual start) HTTP-SSL: %SystemRoot%\System32\svchost.exe -k HTTPFilter (manual start) i8042-Tastatur- und PS/2-Mausanschluss-Treiber: System32\DRIVERS\i8042prt.sys (system) InstallDriver Table Manager: "C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe" (disabled) Filtertreiber für CD-Brennen: System32\DRIVERS\imapi.sys (system) IMAPI-CD-Brenn-COM-Dienste: C:\WINDOWS\System32\imapi.exe (manual start) InCDPass: System32\DRIVERS\InCDPass.sys (system) InCD Helper: C:\Programme\Ahead\InCD\InCDsrv.exe (disabled) IPv6-Windows-Firewalltreiber: system32\drivers\ip6fw.sys (manual start) Filtertreiber für IP-Verkehr: System32\DRIVERS\ipfltdrv.sys (manual start) IP/IP-Tunneltreiber: System32\DRIVERS\ipinip.sys (manual start) Übersetzer für IP-Netzwerkadressen: System32\DRIVERS\ipnat.sys (manual start) IPSEC-Treiber: System32\DRIVERS\ipsec.sys (system) IR-Enumeratordienst: System32\DRIVERS\irenum.sys (manual start) PnP-ISA/EISA-Bus-Treiber: System32\DRIVERS\isapnp.sys (system) ithsgt: system32\DRIVERS\ithsgt.sys (autostart) Tastaturklassentreiber: System32\DRIVERS\kbdclass.sys (system) Microsoft Kernel-Waveaudiomixer: system32\drivers\kmixer.sys (manual start) Server: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Arbeitsstationsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) LexBce Server: C:\WINDOWS\system32\LEXBCES.EXE (disabled) lilsgt: system32\DRIVERS\lilsgt.sys (autostart) TCP/IP-NetBIOS-Hilfsprogramm: %SystemRoot%\System32\svchost.exe -k LocalService (autostart) Machine Debug Manager: "C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE" (disabled) Nachrichtendienst: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled) NetMeeting-Remotedesktop-Freigabe: C:\WINDOWS\System32\mnmsrvc.exe (manual start) Mausklassentreiber: System32\DRIVERS\mouclass.sys (system) Maus-HID-Treiber: System32\DRIVERS\mouhid.sys (manual start) Redirector für WebDav-Client: System32\DRIVERS\mrxdav.sys (manual start) MRXSMB: System32\DRIVERS\mrxsmb.sys (system) Distributed Transaction Coordinator: C:\WINDOWS\System32\msdtc.exe (manual start) Windows Installer: C:\WINDOWS\system32\msiexec.exe /V (manual start) Microsoft Streaming Service Proxy: system32\drivers\MSKSSRV.sys (manual start) Microsoft Proxy für Streaming Clock: system32\drivers\MSPCLOCK.sys (manual start) Microsoft Proxy für Streaming Quality Manager: system32\drivers\MSPQM.sys (manual start) Microsoft-Systemverwaltungs-BIOS-Treiber: System32\DRIVERS\mssmbios.sys (manual start) Microsoft Streaming Tee/Sink-to-Sink-Konvertierung: system32\drivers\MSTEE.sys (manual start) NABTS/FEC VBI-Codec: system32\DRIVERS\NABTSFEC.sys (manual start) Microsoft TV-/Videoverbindung: system32\DRIVERS\NdisIP.sys (manual start) RAS-NDIS-TAPI-Treiber: System32\DRIVERS\ndistapi.sys (manual start) NDIS-Benutzermodus-E/A-Protokoll: System32\DRIVERS\ndisuio.sys (manual start) RAS-NDIS-WAN-Treiber: System32\DRIVERS\ndiswan.sys (manual start) NetBIOS-Schnittstelle: System32\DRIVERS\netbios.sys (system) NetBios über TCP/IP: System32\DRIVERS\netbt.sys (system) Netzwerk-DDE-Dienst: %SystemRoot%\system32\netdde.exe (disabled) Netzwerk-DDE-Serverdienst: %SystemRoot%\system32\netdde.exe (disabled) Anmeldedienst: %SystemRoot%\System32\lsass.exe (manual start) Netzwerkverbindungen: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) 1394-Netzwerktreiber: System32\DRIVERS\nic1394.sys (manual start) NLA (Network Location Awareness): %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) NT-LM-Sicherheitsdienst: %SystemRoot%\System32\lsass.exe (manual start) Wechselmedien: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start) OfficeScanNT Echtzeitsuche: C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe (autostart) nv: System32\DRIVERS\nv4_mini.sys (manual start) NVIDIA Display Driver Service: %SystemRoot%\system32\nvsvc32.exe (autostart) Filtertreiber für IPX-Verkehr: System32\DRIVERS\nwlnkflt.sys (manual start) Treiber für IPX-Verkehrsweiterleitung: System32\DRIVERS\nwlnkfwd.sys (manual start) O&O Defrag: C:\WINDOWS\system32\oodag.exe (autostart) OfficeScanNT Personal Firewall: C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe (autostart) VIA OHCI-konformer IEEE 1394-Hostcontroller: System32\DRIVERS\ohci1394.sys (system) Office Source Engine: "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE" (manual start) Treiber für parallelen Anschluss: System32\DRIVERS\parport.sys (manual start) PCI Bus Driver: System32\DRIVERS\pci.sys (system) Plug & Play: %SystemRoot%\system32\services.exe (autostart) IPSEC-Dienste: %SystemRoot%\System32\lsass.exe (autostart) WAN-Miniport (PPTP): System32\DRIVERS\raspptp.sys (manual start) Prozessortreiber: System32\DRIVERS\processr.sys (system) Geschützter Speicher: %SystemRoot%\system32\lsass.exe (autostart) QoS-Paketplaner: System32\DRIVERS\psched.sys (manual start) Process Activity Acronis Monitor: system32\DRIVERS\psh_drv.sys (autostart) Acronis Malware Shield Service: "C:\Programme\Gemeinsame Dateien\Acronis\Malware Shield\psh_svc.exe" (autostart) Treiber für direkte Parallelverbindung: System32\DRIVERS\ptilink.sys (manual start) Treiber für automatische RAS-Verbindung: System32\DRIVERS\rasacd.sys (system) Verwaltung für automatische RAS-Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) WAN-Miniport (L2TP): System32\DRIVERS\rasl2tp.sys (manual start) RAS-Verbindungsverwaltung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Remotezugriff-PPPOE-Treiber: System32\DRIVERS\raspppoe.sys (manual start) Parallelanschluss (direkt): System32\DRIVERS\raspti.sys (manual start) Rdbss: System32\DRIVERS\rdbss.sys (system) RDPCDD: System32\DRIVERS\RDPCDD.sys (system) Treiber für Terminalserver-Geräteumleitung: System32\DRIVERS\rdpdr.sys (manual start) Sitzungs-Manager für Remotedesktophilfe: C:\WINDOWS\system32\sessmgr.exe (manual start) Filtertreiber für digitale CD-Audiowiedergabe: System32\DRIVERS\redbook.sys (system) Routing und RAS: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled) Remote-Registrierung: %SystemRoot%\system32\svchost.exe -k LocalService (autostart) RivaTuner32: \??\C:\Programme\RivaTuner v2.0 RC 15.7\RivaTuner32.sys (manual start) RPC-Locator: %SystemRoot%\System32\locator.exe (manual start) Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart) QoS-RSVP: %SystemRoot%\System32\rsvp.exe (manual start) Sicherheitskontenverwaltung: %SystemRoot%\system32\lsass.exe (autostart) Smartcard: %SystemRoot%\System32\SCardSvr.exe (manual start) Taskplaner: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Secdrv: System32\DRIVERS\secdrv.sys (autostart) Sekundäre Anmeldung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Serenum-Filtertreiber: System32\DRIVERS\serenum.sys (manual start) Treiber für seriellen Anschluss: System32\DRIVERS\Seri*hier nicht!*.sys (system) StarForce Cure Driver (version 1.x): System32\drivers\sfcure01.sys (manual start) StarForce Protection Environment Driver (version 1.x): System32\drivers\sfdrv01.sys (system) StarForce Protection Helper Driver (version 2.x): System32\drivers\sfhlp02.sys (system) StarForce Protection Synchronization Driver (version 2.x): System32\drivers\sfsync02.sys (system) StarForce Protection Synchronization Driver (version 3.x): System32\drivers\sfsync03.sys (system) StarForce Protection VFS Driver (version 2.x): System32\drivers\sfvfs02.sys (system) Shellhardwareerkennung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) BDA Slip De-Framer: system32\DRIVERS\SLIP.sys (manual start) Acronis Snapshots Manager: system32\DRIVERS\snapman.sys (system) Microsoft Kernel-Audiosplitter: system32\drivers\splitter.sys (manual start) Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart) sptd: System32\Drivers\sptd.sys (system) Filtertreiber für Systemwiederherstellung: System32\DRIVERS\sr.sys (system) Systemwiederherstellungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Srv: System32\DRIVERS\srv.sys (manual start) SSDP-Suchdienst: %SystemRoot%\System32\svchost.exe -k LocalService (manual start) StarWind iSCSI Service: C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe (autostart) Windows-Bilderfassung (WIA): %SystemRoot%\System32\svchost.exe -k imgsvc (autostart) BDA-IPSink: system32\DRIVERS\StreamIP.sys (manual start) Software-Bus-Treiber: System32\DRIVERS\swenum.sys (manual start) Microsoft Kernel GS Wavetablesynthesizer: system32\drivers\swmidi.sys (manual start) MS Software Shadow Copy Provider: C:\WINDOWS\System32\dllhost.exe /Processid:{AC2A0B03-425B-4959-BD0D-08E59891E04A} (manual start) Microsoft Kernel-Systemaudiogerät: system32\drivers\sysaudio.sys (manual start) 32bit system bus driver: \SystemRoot\System32\Drivers\sysbus32.sys (autostart) Leistungsdatenprotokolle und Warnungen: %SystemRoot%\system32\smlogsvc.exe (manual start) Telefonie: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) TCP/IP-Protokolltreiber: System32\DRIVERS\tcpip.sys (system) Terminal-Gerätetreiber: System32\DRIVERS\termdd.sys (system) Terminaldienste: %SystemRoot%\System32\svchost -k DComLaunch (manual start) Tetris driver: System32\Drivers\Tetris.sys (manual start) Designs: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Telnet: C:\WINDOWS\System32\tlntsvr.exe (disabled) Trend Micro Filter: \??\C:\Programme\Trend Micro\OfficeScan Client\TmXPFlt.sys (autostart) OfficeScanNT Listener: C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe (autostart) Trend Micro PreFilter: \??\C:\Programme\Trend Micro\OfficeScan Client\TmPreFlt.sys (autostart) Überwachung verteilter Verknüpfungen (Client): %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) TuneUp WinStyler Theme Service: "C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe" (disabled) Windows User Mode Driver Framework: C:\WINDOWS\system32\wdfmgr.exe (autostart) Microcode Updatetreiber: System32\DRIVERS\update.sys (manual start) User Profile Hive Cleanup: C:\Programme\UPHClean\uphclean.exe (autostart) Universeller Plug & Play-Gerätehost: %SystemRoot%\System32\svchost.exe -k LocalService (manual start) Unterbrechungsfreie Stromversorgung: %SystemRoot%\System32\ups.exe (manual start) Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller: System32\DRIVERS\usbehci.sys (manual start) USB2-aktivierter Hub: System32\DRIVERS\usbhub.sys (manual start) Microsoft USB-Druckerklasse: system32\DRIVERS\usbprint.sys (manual start) USB-Massenspeichertreiber: system32\DRIVERS\USBSTOR.SYS (manual start) Miniporttreiber für universellen Microsoft USB-Hostcontroller: System32\DRIVERS\usbuhci.sys (manual start) vax347b: system32\DRIVERS\vax347b.sys (system) vax347s: System32\Drivers\vax347s.sys (system) vaxscsi: \SystemRoot\System32\Drivers\vaxscsi.sys (manual start) VGA-Anzeigecontroller.: \SystemRoot\System32\drivers\vga.sys (system) VIA AGP Filter: System32\DRIVERS\viaagp1.sys (system) ViaIde: System32\DRIVERS\viaide.sys (system) viamraid: system32\DRIVERS\viamraid.sys (system) viasraid: System32\DRIVERS\viasraid.sys (system) Vinyl AC'97 Audio Controller (WDM): system32\drivers\vinyl97.sys (manual start) Trend Micro VSAPI NT: \??\C:\Programme\Trend Micro\OfficeScan Client\VSApiNt.sys (autostart) Volumeschattenkopie: %SystemRoot%\System32\vssvc.exe (manual start) Windows-Zeitgeber: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) RAS-IP-ARP-Treiber: System32\DRIVERS\wanarp.sys (manual start) Treiber für Microsoft WINMM-WDM-Audiokompatibilität: system32\drivers\wdmaud.sys (manual start) Webclient: %SystemRoot%\System32\svchost.exe -k LocalService (autostart) Windows-Verwaltungsinstrumentation: %systemroot%\system32\svchost.exe -k netsvcs (autostart) Dienst für Seriennummern der tragbaren Medien: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Treibererweiterungen für Windows-Verwaltungsinstrumentation: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) WMI-Leistungsadapter: C:\WINDOWS\System32\wbem\wmiapsrv.exe (manual start) Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung: \SystemRoot\System32\drivers\ws2ifsl.sys (disabled) Sicherheitscenter: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled) World Standard Teletext-Codec: system32\DRIVERS\WSTCODEC.SYS (manual start) Automatische Updates: %systemroot%\system32\svchost.exe -k netsvcs (disabled) Konfigurationsfreie drahtlose Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Netzwerkversorgungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) XPPTP 0x24 winsock: \??\C:\WINDOWS\system32\xptpmm.sys (system) XPPTP 0x25 winsock: \??\C:\WINDOWS\system32\xptpmm.sys (autostart) NDIS5.1 Miniport Driver for Marvell Yukon Gigabit Ethernet Adapter: System32\DRIVERS\yukonwxp.sys (manual start) -------------------------------------------------- Enumerating Windows NT logon/logoff scripts: *No scripts set to run* Windows NT checkdisk command: BootExecute = autocheck autochk * Windows NT 'Wininit.ini': PendingFileRenameOperations: *Registry value not found* -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll WebCheck: C:\WINDOWS\System32\webcheck.dll SysTray: C:\WINDOWS\System32\stobject.dll -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run *Registry key not found* -------------------------------------------------- End of report, 34.175 bytes Report generated in 0,047 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only _____________________ mfg ben |
|
|
|
|
|
|
17.04.2006, 12:14
Ehrenmitglied
Beiträge: 29434 |
#22
Zitat 32bit system bus driver: \SystemRoot\System32\Drivers\sysbus32.sys (autostart)das muss raus !!!! Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "32bit system bus driver" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der "32bit system bus driver " beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " 32bit system bus driver" läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt. ---------------------------------------- Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT4mit der Killbox loeschen C:\WINDOWS\System32\Drivers\sysbus32.sys Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fix.reg" auf dem Desktop doppelklicken und der Registry beifuegen -------------------- Start -- Ausführen -- regedit (reinschreiben) Sollte man Probleme haben, die Einträge zu löschen, Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen. bearbeiten--> suchen--> SYSBUS32 alles loeschen, was noch da ist. ------------------------------------------------------ dann poste das neue RootkitRevealer-Log __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
17.04.2006, 20:16
Member
Themenstarter Beiträge: 15 |
#23
hi,
rootkitlog: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 20.12.2005 11:41 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed 17.04.2006 19:57 4 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\Misc.\TotalScanned 17.04.2006 19:57 4 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\Misc.\LastScannedFileName 17.04.2006 19:57 53 bytes Windows API length not consistent with raw hive data. HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg 16.02.2006 09:12 0 bytes Access is denied. mfg ben HKLM\SYSTEM\ControlSet002\Services\vax347s\Config\jdgg40 17.04.2006 19:43 0 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\ben\Anwendungsdaten\Mozilla\Firefox\Profiles\1gv6q48f.default\Cache\017D4139d01 17.04.2006 20:01 31.88 KB Hidden from Windows API. C:\Dokumente und Einstellungen\ben\Anwendungsdaten\Mozilla\Firefox\Profiles\1gv6q48f.default\Cache\03A8CF40d01 17.04.2006 20:03 49.37 KB Hidden from Windows API. C:\Dokumente und Einstellungen\ben\Anwendungsdaten\Mozilla\Firefox\Profiles\1gv6q48f.default\Cache\1E439297d01 17.04.2006 20:01 18.24 KB Hidden from Windows API. C:\Dokumente und Einstellungen\ben\Anwendungsdaten\Mozilla\Firefox\Profiles\1gv6q48f.default\Cache\33768901d01 17.04.2006 20:01 75.08 KB Hidden from Windows API. C:\Dokumente und Einstellungen\ben\Anwendungsdaten\Mozilla\Firefox\Profiles\1gv6q48f.default\Cache\3A44A67Fd01 17.04.2006 20:01 59.91 KB Hidden from Windows API. C:\Dokumente und Einstellungen\ben\Anwendungsdaten\Mozilla\Firefox\Profiles\1gv6q48f.default\Cache\53884FD5d01 17.04.2006 20:01 17.96 KB Hidden from Windows API. C:\Dokumente und Einstellungen\ben\Anwendungsdaten\Mozilla\Firefox\Profiles\1gv6q48f.default\Cache\53EEE156d01 17.04.2006 20:03 16.13 KB Hidden from Windows API. C:\Dokumente und Einstellungen\ben\Anwendungsdaten\Mozilla\Firefox\Profiles\1gv6q48f.default\Cache\54B0E45Fd01 17.04.2006 20:01 22.33 KB Hidden from Windows API. C:\Dokumente und Einstellungen\ben\Anwendungsdaten\Mozilla\Firefox\Profiles\1gv6q48f.default\Cache\686CC63Ed01 17.04.2006 20:01 19.30 KB Hidden from Windows API. C:\Dokumente und Einstellungen\ben\Anwendungsdaten\Mozilla\Firefox\Profiles\1gv6q48f.default\Cache\747CEA3Cd01 17.04.2006 20:01 79.13 KB Hidden from Windows API. C:\Dokumente und Einstellungen\ben\Anwendungsdaten\Mozilla\Firefox\Profiles\1gv6q48f.default\Cache\75BAE108d01 17.04.2006 20:02 17.87 KB Hidden from Windows API. C:\Dokumente und Einstellungen\ben\Anwendungsdaten\Mozilla\Firefox\Profiles\1gv6q48f.default\Cache\8E6C55A3d01 17.04.2006 20:01 23.17 KB Hidden from Windows API. C:\Dokumente und Einstellungen\ben\Anwendungsdaten\Mozilla\Firefox\Profiles\1gv6q48f.default\Cache\AC26891Ed01 17.04.2006 20:03 16.35 KB Hidden from Windows API. C:\Dokumente und Einstellungen\ben\Anwendungsdaten\Mozilla\Firefox\Profiles\1gv6q48f.default\Cache\B08DA0B9d01 17.04.2006 20:04 34.40 KB Hidden from Windows API. C:\Dokumente und Einstellungen\ben\Anwendungsdaten\Mozilla\Firefox\Profiles\1gv6q48f.default\Cache\B9FCA4EDd01 17.04.2006 20:01 31.88 KB Hidden from Windows API. C:\Dokumente und Einstellungen\ben\Anwendungsdaten\Mozilla\Firefox\Profiles\1gv6q48f.default\Cache\BB115FDCd01 17.04.2006 20:04 18.72 KB Hidden from Windows API. C:\Dokumente und Einstellungen\ben\Anwendungsdaten\Mozilla\Firefox\Profiles\1gv6q48f.default\Cache\CF86AED7d01 17.04.2006 20:01 23.63 KB Hidden from Windows API. C:\Dokumente und Einstellungen\ben\Anwendungsdaten\Mozilla\Firefox\Profiles\1gv6q48f.default\Cache\E45B027Ed01 17.04.2006 20:01 27.20 KB Hidden from Windows API. C:\Dokumente und Einstellungen\ben\Anwendungsdaten\Mozilla\Firefox\Profiles\1gv6q48f.default\Cache\E9EE5CF4d01 17.04.2006 20:01 59.91 KB Hidden from Windows API. C:\Dokumente und Einstellungen\ben\Anwendungsdaten\Mozilla\Firefox\Profiles\1gv6q48f.default\Cache\EA15D26Ed01 17.04.2006 20:03 37.37 KB Hidden from Windows API. C:\Dokumente und Einstellungen\ben\Anwendungsdaten\Mozilla\Firefox\Profiles\1gv6q48f.default\Cache\FA8BF1B3d01 17.04.2006 20:03 17.12 KB Hidden from Windows API. C:\Dokumente und Einstellungen\ben\Anwendungsdaten\Mozilla\Firefox\Profiles\1gv6q48f.default\parent.lock 17.04.2006 20:01 0 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\ben\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5FNN5D8E\t22908-2[1].htm 17.04.2006 19:58 24.24 KB Hidden from Windows API. C:\Dokumente und Einstellungen\ben\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5FNN5D8E\t22908-2[2].htm 17.04.2006 19:58 107.19 KB Hidden from Windows API. C:\Dokumente und Einstellungen\ben\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U9XEVE98\t22908-2[2].htm 17.04.2006 19:55 107.24 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{27240DE3-D922-4358-8A52-19328D05391F}\RP259\A0251642.mfl 17.04.2006 20:01 1.16 MB Hidden from Windows API. |
|
|
|
|
|
|
18.04.2006, 10:25
Ehrenmitglied
Beiträge: 29434 |
#24
1.
versuche mit der Killbox zu loeschen: C:\Dokumente und Einstellungen\ben\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5FNN5D8E\t22908-2[1].htm C:\Dokumente und Einstellungen\ben\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5FNN5D8E\t22908-2[2].htm C:\System Volume Information\_restore{27240DE3-D922-4358-8A52-19328D05391F}\RP259\A0251642.mfl Versteckte- und Systemdateien sichtbar machen http://virus-protect.org/invisible.html Temporary Internet Files\Content.IE5\5FNN5D8E--> loeschen Temporary Internet Files\Content.IE5\U9XEVE98 --> loeschen 2. scanne mit dem CleanUp (im abges.Modus...bis nichts mehr von den temp-Dateien zu finden ist !!!! 3. leere unbedingt das Cache vom Firefox Zitat *Klicken Sie in der Browserleiste auf "Beabeiten"4. Rootkit Hook Analyzer Screen von Rootkit Hook Analyzer http://www.resplendence.com/hookanalyzer berichte vom Scan __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.04.2006, 09:19
Member
Themenstarter Beiträge: 15 |
#25
hi,
habe mit killbox keine einträge C:\Dokumente und Einstellungen\ben\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5FNN5D8E\t22908-2[1].htm C:\Dokumente und Einstellungen\ben\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5FNN5D8E\t22908-2[2].htm gefunden. Auf C:\System Volume Information\_restore{27240DE3-D922-4358-8A52-19328D05391F}\RP259\A0251642.mfl konnte ich nicht zugreiffen.... Rootkill zeigte mit 20 kernel hooks an. bei description stand immer Plug and Play Bios Extension mfg ben |
|
|
|
|
|
|
23.04.2006, 12:44
Ehrenmitglied
Beiträge: 29434 |
#26
seagate
1. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) 2. Dr.Web http://virus-protect.org/cureit.html Poste bitte das, was drweb gefuinden hat. Dazu unter Start - Ausfuehren %userprofil%\doctorweb\cureit.log eingeben und enter druecken. Den Inhalt der Dinge, die Drweb gefunden hat bitte posten. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.04.2006, 17:06
Member
Themenstarter Beiträge: 15 |
#27
hallo,
leider kann ich denn scan bericht nicht aschicken,gibt immer fehlermeldung.... |
|
|
|
|
|
|
23.04.2006, 17:27
Ehrenmitglied
Beiträge: 29434 |
#28
und... wurde aber was gefunden ? oder war alles sauber ?
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
28.04.2006, 19:34
Member
Themenstarter Beiträge: 15 |
||
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html
manuell im abgesicherten modus loeschen:
1.
C:\Programme\Gemeinsame Dateien\WinSoftware
C:\PROGRAMME\SurfAccuracy
C:\country.exe
C:\toolbar.exe
C:\tool2.exe
C:\Program Files\SpySheriff
C:\Dokumente und Einstellungen\ben\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5FNN5D8E
C:\Dokumente und Einstellungen\ben\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6ZEH9O8O
2.
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
3.
Counterspy
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove --> Status: Deleted
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab
__________
MfG Sabina
rund um die PC-Sicherheit