Norton wurde deaktiviert.. Virus?

#0
30.04.2006, 22:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 lana..

loesche mit der Killbox:

C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\16exmscfgl.exe
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\33exmscfgl.exe
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\56exmscfgl.exe
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\63exmscfgl.exe
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\67exmscfgl.exe
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\85exmscfgl.exe
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\88exmscfgl.exe
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\8exmscfgl.exe

PC neustarten

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k


RootkitRevealer-> poste das log
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.05.2006, 00:32
Member

Themenstarter

Beiträge: 80
#17 Sabina, RootkitRevealer ist jetzt so weit, aber wie soll ich das posten, das lässt sich nicht abkopieren und als txt.datei abspeichern geht auch nicht, lässt sich nur in das system32 abspeichern..
Dieser Beitrag wurde am 01.05.2006 um 00:37 Uhr von lana.. editiert.
Seitenanfang Seitenende
01.05.2006, 11:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 kopiere einen Teil ab... mit der Maus... rechtklick-> kopieren -> hier - einfuegen, dann kopiere den naechsten Teil ab... wahrscheinlich ist das log zu gross, oder warum kannst du es nicht abkopieren ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.05.2006, 12:19
Member

Themenstarter

Beiträge: 80
#19 Es geht nicht mal eine zeile kopieren, ich verstehe das nicht...
dann muss ich wohl alles per hand abschreiben..,oder=?
Dieser Beitrag wurde am 01.05.2006 um 12:29 Uhr von lana.. editiert.
Seitenanfang Seitenende
01.05.2006, 12:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 nun...das ist schlecht...abschreiben kannst du ja schlecht alles ;)
aber du kannst berichten, was so alles angezeigt wird... sind es temporaere Dateien ?

Zitat

C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\
scanne mit Bitdefender/ScanOnline neu und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.05.2006, 12:34
Member

Themenstarter

Beiträge: 80
#21 Erste 3 sind -HKLM/S................., dann sind es 18 weitere C/Dok und Einst./Svetlana/Lokale einst./Temporäre Internet Files/Content.IE5/......
Insgesamt 21 discrepancies found
Seitenanfang Seitenende
01.05.2006, 13:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 ja...diese Eintraege mussen weg !
/Temporäre Internet Files/Content.IE5/......

1.
Extras -> Internetoptionen -> Erweitert -> Sicherheit -> Haken
setzen bei Leeren des Ordners Temporary Internet Files beim
Schließen des Browsers und Verschlüsselte Seiten nicht auf der
Festplatte speichern.

PC neustarten

2.
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

3.
dann scanne noch mal mit dem Rootkitrevaeler

4.
scanne mit Bitdefender/ScanOnline neu und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.05.2006, 11:42
Member

Themenstarter

Beiträge: 80
#23 Hallo Sabina,
Bitdefender blieb irgendwie haengen, seit 7,5 stunden prueft er und wird nicht fertig, obwohl der balken schon voll ist,als ob er fertig waer, ich brachte es grad ab und lass ihn jetzt nochmal starten..
Ansonsten hab ich alle punkte durch., RootkiR. hat 17founds gemacht,ersten 5 HKLM/....,und der rest- C/Dok. und Einst./Alle User/Anwendungsdaten/Symantec/Live Update/Downloads/Tri374(nach dem wort Tri* kommt jewals 3stellige zahl hinter..
Wie geht's weiter?.
Dieser Beitrag wurde am 02.05.2006 um 11:47 Uhr von lana.. editiert.
Seitenanfang Seitenende
02.05.2006, 11:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 mich interessieren die 5 Eintraege von HKLM/.
der Symantec ist nicht so wichtig ,)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.05.2006, 11:59
Member

Themenstarter

Beiträge: 80
#25 HKLM\S-1-5-21-1274161137-3455256099-522210564-1006\Software\Arcor\Online\Traffic\DSL\setup_traffic_msec 01.05.2006 22:56 22 bytes Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-1274161137-3455256099-522210564-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:p:\Cebtenzzr\rZhyr\Vapbzvat\Flznagrp Abegba 2005 Xrl Trarengbef ( nagvivehf - flfgrz 01.05.2006 22:56 16 bytes Hidden from Windows API.
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 01.05.2006 22:56 80 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Microsoft SQL Server\VAIO_VEDB\MSSQLServer\uptime_time_utc 01.05.2006 22:56 8 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\SchedulingAgent\LastTaskRun 01.05.2006 22:52 16 bytes Data mismatch between Windows API and raw hive data.


diesmal lies sie sich abspeichern..;)
Dieser Beitrag wurde am 02.05.2006 um 12:42 Uhr von lana.. editiert.
Seitenanfang Seitenende
02.05.2006, 12:50
Member

Themenstarter

Beiträge: 80
#26 BitDefender Online Scanner



Bericht erstellt am: Tue, May 02, 2006 - 12:49:00





Zu prüfender Pfad: C:\Dokumente und Einstellungen\Svetlana\Eigene Dateien;C:\Dokumente und Einstellungen\All Users\Dokumente;C:\;D:\;E:\;F:\;G:\;C:\Dokumente und Einstellungen\Svetlana\Eigene Dateien;C:\Dokumente und Einstellungen\Svetlana\Desktop\datFind;C:\Dokumente und Einstellungen\Svetlana\Desktop\hijackthis;C:\Dokumente und Einstellungen\Svetlana\Desktop\KillBox;







Statistik

Zeit
00:51:39

Dateien
363202

Ordner
4715

Boot-Sektoren
4

Archive
8618

Komprimierte Dateien
47022




Ergebnisse

Erkannte Viren
0

Infizierte Dateien
0

verdächtige Dateien
0

Warnungen
0

Desinfiziert
0

Gelöscht
0




Engine-Info

Virensignaturen
373017

Engine info
AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29)

Prüf-Plugins
13

Archiv-Plugins
39

Extraktions-Plugins
4

E-Mail-Plugins
6

System-Plugins
1




Prüfeinstellungen

Primäre Aktion
Desinfizieren

Sekundäre Aktion
Löschen

Heuristik
Ja

Warnungen aktivieren
Ja

Zu prüfende Erweiterungen
*;

Auszuschließende Erweiterungen


E-Mails prüfen
Ja

Archive prüfen
Ja

Komprimierte Dateien prüfen
Ja

Dateien prüfen
Ja

Boot-Sektoren prüfen
Ja




Geprüfte Dateien
Status

Keine Viren gefunden
Seitenanfang Seitenende
02.05.2006, 13:05
Member

Themenstarter

Beiträge: 80
#27 Sabina, ich weiss nicht ob ich den OnlineBanking nutzen darf..(Rechnungen warten), ich hab gelesen dass Backdoor ein spionTrojaner ist,wie groß ist der Schaden der schon mit dem ganzen dreck eingerichtet wurde und wie stehen die shancen, dass ich das alles ganz weg bekomme?
Ich bin dir echt so dankbar, alleine wüsste ich nicht weiter.... nochmals Vielen Dank!
Seitenanfang Seitenende
02.05.2006, 13:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 1.
poste das Log
http://virus-protect.org/registry_stuff.html

2.
START - Ausfuehren - reinkopieren

Zitat

regedit /e c:\domains.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\security center"
das ergibt dann den c:\domains.txt --> suche die txt (rechtsklick auf c:\ ] und poste den text
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.05.2006, 13:14
Member

Themenstarter

Beiträge: 80
#29 doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
doesn't exist HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
doesn't exist HKEY_CURRENT_USER\Software\Microsoft\OLE
doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry
doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00
"DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00
"Description"="Bietet allen Computern in Heim- und kleinen Firmennetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz."
"DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:0001b085

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000
"DoNotAllowExceptions"=dword:00000000
"DisableNotifications"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger"
"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\21exmodulbk.exe"="C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\21exmodulbk.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\68exmodulbk.exe"="C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\68exmodulbk.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\36exmodulbk.exe"="C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\36exmodulbk.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\19exmodulbk.exe"="C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\19exmodulbk.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\34exmodulbk.exe"="C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\34exmodulbk.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\78exmodul32.exe"="C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\78exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\84exmodul32.exe"="C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\84exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\90exmodul32.exe"="C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\90exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\98exmodul32.exe"="C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\98exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\36exmodul32.exe"="C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\36exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\99exmodul32.exe"="C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\99exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\56exmodul32.exe"="C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\56exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\65exmodul32.exe"="C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\65exmodul32.exe:*:Enabled:Microsoft Update"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP"="1900:UDP:LocalSubNet;)isabled:@xpsp2res.dll,-22007"
"2869:TCP"="2869:TCP:LocalSubNet;)isabled:@xpsp2res.dll,-22008"
"139:TCP"="139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Sicherheitscenter"
"DependOnService"=hex(7):52,70,63,53,73,00,77,69,6e,6d,67,6d,74,00,00
"ObjectName"="LocalSystem"
"Description"="Überwacht Systemsicherheitseinstellungen und -konfigurationen."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,53,59,53,54,45,4d,52,4f,4f,54,25,5c,73,79,73,74,65,6d,\
33,32,5c,77,73,63,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"autodisconnect"=dword:0000000f
"enableforcedlogoff"=dword:00000001
"enablesecuritysignature"=dword:00000000
"requiresecuritysignature"=dword:00000000
"NullSessionPipes"=hex(7):43,4f,4d,4e,41,50,00,43,4f,4d,4e,4f,44,45,00,53,51,\
4c,5c,51,55,45,52,59,00,53,50,4f,4f,4c,53,53,00,4c,4c,53,52,50,43,00,62,72,\
6f,77,73,65,72,00,00
"NullSessionShares"=hex(7):43,4f,4d,43,46,47,00,44,46,53,24,00,00
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,73,72,76,73,76,63,2e,64,6c,6c,00
"Lmannounce"=dword:00000000
"Size"=dword:00000001
"Guid"=hex:78,bd,9b,55,52,0b,94,42,90,1b,69,43,a9,6e,d6,a1
"AdjustedNullSessionPipes"=dword:00000001
"CachedOpenLimit"=dword:00000000
"srvcomment"="sony"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters]
"enableplaintextpassword"=dword:00000000
"enablesecuritysignature"=dword:00000001
"requiresecuritysignature"=dword:00000000
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,77,6b,73,73,76,63,2e,64,6c,6c,00
"OtherDomains"=hex(7):00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger]
"Type"=dword:00000020
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Nachrichtendienst"
"DependOnService"=hex(7):4c,61,6e,6d,61,6e,57,6f,72,6b,73,74,61,74,69,6f,6e,00,\
4e,65,74,42,49,4f,53,00,50,6c,75,67,50,6c,61,79,00,52,70,63,53,53,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"="Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern. Dieser Dienst ist nicht mit Windows Messenger verwandt. Der Warndienst überträgt keine Nachrichten, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,6d,73,67,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Security]
"Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,48,00,03,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"DefaultLaunchPermission"=hex:01,00,04,80,5c,00,00,00,6c,00,00,00,00,00,00,00,\
14,00,00,00,02,00,48,00,03,00,00,00,00,00,18,00,1f,00,00,00,01,02,00,00,00,\
00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,\
00,05,04,00,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\
00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,\
20,00,00,00,20,02,00,00
"MachineLaunchRestriction"=hex:01,00,04,80,48,00,00,00,58,00,00,00,00,00,00,00,\
14,00,00,00,02,00,34,00,02,00,00,00,00,00,18,00,1f,00,00,00,01,02,00,00,00,\
00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,\
00,01,00,00,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,\
00,00,00,00,05,20,00,00,00,20,02,00,00
"MachineAccessRestriction"=hex:01,00,04,80,44,00,00,00,54,00,00,00,00,00,00,00,\
14,00,00,00,02,00,30,00,02,00,00,00,00,00,14,00,03,00,00,00,01,01,00,00,00,\
00,00,05,07,00,00,00,00,00,14,00,07,00,00,00,01,01,00,00,00,00,00,01,00,00,\
00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,\
05,20,00,00,00,20,02,00,00
"EnableDCOM"="Y"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat\ActivationSecurityCheckExemptionList]
"{A50398B8-9075-4FBF-A7A1-456BF21937AD}"="1"
"{AD65A69D-3831-40D7-9629-9B0B50A93843}"="1"
"{0040D221-54A1-11D1-9DE0-006097042D69}"="1"
"{2A6D72F1-6E7E-4702-B99C-E40D3DED33C3}"="1"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00
"Bounds"=hex:00,30,00,00,00,20,00,00
"Security Packages"=hex(7):6b,65,72,62,65,72,6f,73,00,6d,73,76,31,5f,30,00,73,\
63,68,61,6e,6e,65,6c,00,77,64,69,67,65,73,74,00,00
"ImpersonatePrivilegeUpgradeToolHasRun"=dword:00000001
"LsaPid"=dword:000002b8
"SecureBoot"=dword:00000001
"auditbaseobjects"=dword:00000000
"crashonauditfail"=dword:00000000
"disabledomaincreds"=dword:00000000
"everyoneincludesanonymous"=dword:00000000
"fipsalgorithmpolicy"=dword:00000000
"forceguest"=dword:00000001
"fullprivilegeauditing"=hex:00
"limitblankpassworduse"=dword:00000001
"lmcompatibilitylevel"=dword:00000000
"nodefaultadminowner"=dword:00000001
"nolmhash"=dword:00000000
"restrictanonymous"=dword:00000000
"restrictanonymoussam"=dword:00000001
"Notification Packages"=hex(7):73,63,65,63,6c,69,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders]
"ProviderOrder"=hex(7):57,69,6e,64,6f,77,73,20,4e,54,20,41,63,63,65,73,73,20,\
50,72,6f,76,69,64,65,72,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders\Windows NT Access Provider]
"ProviderPath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,\
33,32,5c,6e,74,6d,61,72,74,61,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing\System]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Data]
"Pattern"=hex:32,26,1d,8b,48,fc,ff,ab,19,8f,c0,22,05,00,b9,5a,38,36,39,63,63,\
30,39,34,00,00,00,00,ca,58,00,00,18,ca,06,00,99,d0,b7,71,04,ca,06,00,10,00,\
00,00,00,00,00,00,63,4a,af,53,19,83,9c,b5,72,34,e1,86

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\GBG]
"GrafBlumGroup"=hex:d6,72,b5,a5,d9,2e,31,6e,06

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\JD]
"Lookup"=hex:9b,4c,96,d4,59,ab

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Domains]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\SidCache]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\msv1_0]
"ntlmminclientsec"=dword:00000000
"ntlmminserversec"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Skew1]
"SkewMatrix"=hex:49,78,7e,e9,85,cd,5d,96,bb,dc,d3,32,f9,8e,bd,40

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO\Passport1.4]
"SSOURL"="http://www.passport.com"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache]
"Time"=hex:8c,1d,ff,c8,a5,df,c5,01

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\digest.dll]
"Name"="Digest"
"Comment"="Digest SSPI Authentication Package"
"Capabilities"=dword:00004050
"RpcId"=dword:0000ffff
"Version"=dword:00000001
"TokenSize"=dword:0000ffff
"Time"=hex:00,e0,60,91,1a,7a,c4,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msapsspc.dll]
"Name"="DPA"
"Comment"="DPA Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000011
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,e0,60,91,1a,7a,c4,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msnsspc.dll]
"Name"="MSN"
"Comment"="MSN Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000012
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,e0,60,91,1a,7a,c4,01
"Type"=dword:00000031


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]



2.
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\security center]
"FirstRunDisabled"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring]

[HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring\ZoneLabsFirewall]
Seitenanfang Seitenende
02.05.2006, 13:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 lana..

gehe in die Registry
Start-Ausfuehren - regedit


[HKEY_LOCAL_MACHINE\Software\Microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001 -> in 0 aendern
"FirewallDisableNotify"=dword:00000001 -> in 0 aendern

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000 -> in 1 aendern

HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
"EnableFirewall"=dword:00000001 -> (muss 1 sein)

PC neustarten

dann berichte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende