Norton wurde deaktiviert.. Virus? |
||
---|---|---|
#0
| ||
30.04.2006, 22:47
Ehrenmitglied
Beiträge: 29434 |
||
|
||
01.05.2006, 00:32
Member
Themenstarter Beiträge: 80 |
#17
Sabina, RootkitRevealer ist jetzt so weit, aber wie soll ich das posten, das lässt sich nicht abkopieren und als txt.datei abspeichern geht auch nicht, lässt sich nur in das system32 abspeichern..
Dieser Beitrag wurde am 01.05.2006 um 00:37 Uhr von lana.. editiert.
|
|
|
||
01.05.2006, 11:29
Ehrenmitglied
Beiträge: 29434 |
#18
kopiere einen Teil ab... mit der Maus... rechtklick-> kopieren -> hier - einfuegen, dann kopiere den naechsten Teil ab... wahrscheinlich ist das log zu gross, oder warum kannst du es nicht abkopieren ?
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.05.2006, 12:19
Member
Themenstarter Beiträge: 80 |
#19
Es geht nicht mal eine zeile kopieren, ich verstehe das nicht...
dann muss ich wohl alles per hand abschreiben..,oder=? Dieser Beitrag wurde am 01.05.2006 um 12:29 Uhr von lana.. editiert.
|
|
|
||
01.05.2006, 12:28
Ehrenmitglied
Beiträge: 29434 |
#20
nun...das ist schlecht...abschreiben kannst du ja schlecht alles
aber du kannst berichten, was so alles angezeigt wird... sind es temporaere Dateien ? Zitat C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\scanne mit Bitdefender/ScanOnline neu und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.05.2006, 12:34
Member
Themenstarter Beiträge: 80 |
#21
Erste 3 sind -HKLM/S................., dann sind es 18 weitere C/Dok und Einst./Svetlana/Lokale einst./Temporäre Internet Files/Content.IE5/......
Insgesamt 21 discrepancies found |
|
|
||
01.05.2006, 13:32
Ehrenmitglied
Beiträge: 29434 |
#22
ja...diese Eintraege mussen weg !
/Temporäre Internet Files/Content.IE5/...... 1. Extras -> Internetoptionen -> Erweitert -> Sicherheit -> Haken setzen bei Leeren des Ordners Temporary Internet Files beim Schließen des Browsers und Verschlüsselte Seiten nicht auf der Festplatte speichern. PC neustarten 2. Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren<cleanmgr #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k 3. dann scanne noch mal mit dem Rootkitrevaeler 4. scanne mit Bitdefender/ScanOnline neu und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.05.2006, 11:42
Member
Themenstarter Beiträge: 80 |
#23
Hallo Sabina,
Bitdefender blieb irgendwie haengen, seit 7,5 stunden prueft er und wird nicht fertig, obwohl der balken schon voll ist,als ob er fertig waer, ich brachte es grad ab und lass ihn jetzt nochmal starten.. Ansonsten hab ich alle punkte durch., RootkiR. hat 17founds gemacht,ersten 5 HKLM/....,und der rest- C/Dok. und Einst./Alle User/Anwendungsdaten/Symantec/Live Update/Downloads/Tri374(nach dem wort Tri* kommt jewals 3stellige zahl hinter.. Wie geht's weiter?. Dieser Beitrag wurde am 02.05.2006 um 11:47 Uhr von lana.. editiert.
|
|
|
||
02.05.2006, 11:57
Ehrenmitglied
Beiträge: 29434 |
#24
mich interessieren die 5 Eintraege von HKLM/.
der Symantec ist nicht so wichtig ,) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.05.2006, 11:59
Member
Themenstarter Beiträge: 80 |
#25
HKLM\S-1-5-21-1274161137-3455256099-522210564-1006\Software\Arcor\Online\Traffic\DSL\setup_traffic_msec 01.05.2006 22:56 22 bytes Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-1274161137-3455256099-522210564-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:\Cebtenzzr\rZhyr\Vapbzvat\Flznagrp Abegba 2005 Xrl Trarengbef ( nagvivehf - flfgrz 01.05.2006 22:56 16 bytes Hidden from Windows API. HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 01.05.2006 22:56 80 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Microsoft\Microsoft SQL Server\VAIO_VEDB\MSSQLServer\uptime_time_utc 01.05.2006 22:56 8 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Microsoft\SchedulingAgent\LastTaskRun 01.05.2006 22:52 16 bytes Data mismatch between Windows API and raw hive data. diesmal lies sie sich abspeichern.. Dieser Beitrag wurde am 02.05.2006 um 12:42 Uhr von lana.. editiert.
|
|
|
||
02.05.2006, 12:50
Member
Themenstarter Beiträge: 80 |
#26
BitDefender Online Scanner
Bericht erstellt am: Tue, May 02, 2006 - 12:49:00 Zu prüfender Pfad: C:\Dokumente und Einstellungen\Svetlana\Eigene Dateien;C:\Dokumente und Einstellungen\All Users\Dokumente;C:\;D:\;E:\;F:\;G:\;C:\Dokumente und Einstellungen\Svetlana\Eigene Dateien;C:\Dokumente und Einstellungen\Svetlana\Desktop\datFind;C:\Dokumente und Einstellungen\Svetlana\Desktop\hijackthis;C:\Dokumente und Einstellungen\Svetlana\Desktop\KillBox; Statistik Zeit 00:51:39 Dateien 363202 Ordner 4715 Boot-Sektoren 4 Archive 8618 Komprimierte Dateien 47022 Ergebnisse Erkannte Viren 0 Infizierte Dateien 0 verdächtige Dateien 0 Warnungen 0 Desinfiziert 0 Gelöscht 0 Engine-Info Virensignaturen 373017 Engine info AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29) Prüf-Plugins 13 Archiv-Plugins 39 Extraktions-Plugins 4 E-Mail-Plugins 6 System-Plugins 1 Prüfeinstellungen Primäre Aktion Desinfizieren Sekundäre Aktion Löschen Heuristik Ja Warnungen aktivieren Ja Zu prüfende Erweiterungen *; Auszuschließende Erweiterungen E-Mails prüfen Ja Archive prüfen Ja Komprimierte Dateien prüfen Ja Dateien prüfen Ja Boot-Sektoren prüfen Ja Geprüfte Dateien Status Keine Viren gefunden |
|
|
||
02.05.2006, 13:05
Member
Themenstarter Beiträge: 80 |
#27
Sabina, ich weiss nicht ob ich den OnlineBanking nutzen darf..(Rechnungen warten), ich hab gelesen dass Backdoor ein spionTrojaner ist,wie groß ist der Schaden der schon mit dem ganzen dreck eingerichtet wurde und wie stehen die shancen, dass ich das alles ganz weg bekomme?
Ich bin dir echt so dankbar, alleine wüsste ich nicht weiter.... nochmals Vielen Dank! |
|
|
||
02.05.2006, 13:07
Ehrenmitglied
Beiträge: 29434 |
#28
1.
poste das Log http://virus-protect.org/registry_stuff.html 2. START - Ausfuehren - reinkopieren Zitat regedit /e c:\domains.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\security center"das ergibt dann den c:\domains.txt --> suche die txt (rechtsklick auf c:\ ] und poste den text __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.05.2006, 13:14
Member
Themenstarter Beiträge: 80 |
#29
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
doesn't exist HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa doesn't exist HKEY_CURRENT_USER\Software\Microsoft\OLE doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile ----------------------- ----------------------- REGEDIT4 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "DependOnGroup"=hex(7):00 "DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00 "Description"="Bietet allen Computern in Heim- und kleinen Firmennetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz." "DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\ 32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00 "ObjectName"="LocalSystem" "Start"=dword:00000002 "Type"=dword:00000020 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:0001b085 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\ 33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004" "445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005" "137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001" "138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000000 "DoNotAllowExceptions"=dword:00000000 "DisableNotifications"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger" "C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:Microsoft Update" "C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\21exmodulbk.exe"="C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\21exmodulbk.exe:*:Enabled:Microsoft Update" "C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\68exmodulbk.exe"="C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\68exmodulbk.exe:*:Enabled:Microsoft Update" "C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\36exmodulbk.exe"="C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\36exmodulbk.exe:*:Enabled:Microsoft Update" "C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\19exmodulbk.exe"="C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\19exmodulbk.exe:*:Enabled:Microsoft Update" "C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\34exmodulbk.exe"="C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\34exmodulbk.exe:*:Enabled:Microsoft Update" "C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\78exmodul32.exe"="C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\78exmodul32.exe:*:Enabled:Microsoft Update" "C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\84exmodul32.exe"="C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\84exmodul32.exe:*:Enabled:Microsoft Update" "C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\90exmodul32.exe"="C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\90exmodul32.exe:*:Enabled:Microsoft Update" "C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\98exmodul32.exe"="C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\98exmodul32.exe:*:Enabled:Microsoft Update" "C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\36exmodul32.exe"="C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\36exmodul32.exe:*:Enabled:Microsoft Update" "C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\99exmodul32.exe"="C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\99exmodul32.exe:*:Enabled:Microsoft Update" "C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\56exmodul32.exe"="C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\56exmodul32.exe:*:Enabled:Microsoft Update" "C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\65exmodul32.exe"="C:\\DOKUME~1\\Svetlana\\LOKALE~1\\Temp\\65exmodul32.exe:*:Enabled:Microsoft Update" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1900:UDP"="1900:UDP:LocalSubNetisabled:@xpsp2res.dll,-22007" "2869:TCP"="2869:TCP:LocalSubNetisabled:@xpsp2res.dll,-22008" "139:TCP"="139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004" "445:TCP"="445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005" "137:UDP"="137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001" "138:UDP"="138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000004 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\ 32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00 "DisplayName"="Sicherheitscenter" "DependOnService"=hex(7):52,70,63,53,73,00,77,69,6e,6d,67,6d,74,00,00 "ObjectName"="LocalSystem" "Description"="Überwacht Systemsicherheitseinstellungen und -konfigurationen." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,53,59,53,54,45,4d,52,4f,4f,54,25,5c,73,79,73,74,65,6d,\ 33,32,5c,77,73,63,73,76,63,2e,64,6c,6c,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "autodisconnect"=dword:0000000f "enableforcedlogoff"=dword:00000001 "enablesecuritysignature"=dword:00000000 "requiresecuritysignature"=dword:00000000 "NullSessionPipes"=hex(7):43,4f,4d,4e,41,50,00,43,4f,4d,4e,4f,44,45,00,53,51,\ 4c,5c,51,55,45,52,59,00,53,50,4f,4f,4c,53,53,00,4c,4c,53,52,50,43,00,62,72,\ 6f,77,73,65,72,00,00 "NullSessionShares"=hex(7):43,4f,4d,43,46,47,00,44,46,53,24,00,00 "ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\ 33,32,5c,73,72,76,73,76,63,2e,64,6c,6c,00 "Lmannounce"=dword:00000000 "Size"=dword:00000001 "Guid"=hex:78,bd,9b,55,52,0b,94,42,90,1b,69,43,a9,6e,d6,a1 "AdjustedNullSessionPipes"=dword:00000001 "CachedOpenLimit"=dword:00000000 "srvcomment"="sony" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters] "enableplaintextpassword"=dword:00000000 "enablesecuritysignature"=dword:00000001 "requiresecuritysignature"=dword:00000000 "ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\ 33,32,5c,77,6b,73,73,76,63,2e,64,6c,6c,00 "OtherDomains"=hex(7):00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger] "Type"=dword:00000020 "Start"=dword:00000004 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\ 32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00 "DisplayName"="Nachrichtendienst" "DependOnService"=hex(7):4c,61,6e,6d,61,6e,57,6f,72,6b,73,74,61,74,69,6f,6e,00,\ 4e,65,74,42,49,4f,53,00,50,6c,75,67,50,6c,61,79,00,52,70,63,53,53,00,00 "DependOnGroup"=hex(7):00 "ObjectName"="LocalSystem" "Description"="Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern. Dieser Dienst ist nicht mit Windows Messenger verwandt. Der Warndienst überträgt keine Nachrichten, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Parameters] "ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\ 33,32,5c,6d,73,67,73,76,63,2e,64,6c,6c,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole] "DefaultLaunchPermission"=hex:01,00,04,80,5c,00,00,00,6c,00,00,00,00,00,00,00,\ 14,00,00,00,02,00,48,00,03,00,00,00,00,00,18,00,1f,00,00,00,01,02,00,00,00,\ 00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,\ 00,05,04,00,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\ 00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00 "MachineLaunchRestriction"=hex:01,00,04,80,48,00,00,00,58,00,00,00,00,00,00,00,\ 14,00,00,00,02,00,34,00,02,00,00,00,00,00,18,00,1f,00,00,00,01,02,00,00,00,\ 00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,\ 00,01,00,00,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,\ 00,00,00,00,05,20,00,00,00,20,02,00,00 "MachineAccessRestriction"=hex:01,00,04,80,44,00,00,00,54,00,00,00,00,00,00,00,\ 14,00,00,00,02,00,30,00,02,00,00,00,00,00,14,00,03,00,00,00,01,01,00,00,00,\ 00,00,05,07,00,00,00,00,00,14,00,07,00,00,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00 "EnableDCOM"="Y" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat\ActivationSecurityCheckExemptionList] "{A50398B8-9075-4FBF-A7A1-456BF21937AD}"="1" "{AD65A69D-3831-40D7-9629-9B0B50A93843}"="1" "{0040D221-54A1-11D1-9DE0-006097042D69}"="1" "{2A6D72F1-6E7E-4702-B99C-E40D3DED33C3}"="1" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00 "Bounds"=hex:00,30,00,00,00,20,00,00 "Security Packages"=hex(7):6b,65,72,62,65,72,6f,73,00,6d,73,76,31,5f,30,00,73,\ 63,68,61,6e,6e,65,6c,00,77,64,69,67,65,73,74,00,00 "ImpersonatePrivilegeUpgradeToolHasRun"=dword:00000001 "LsaPid"=dword:000002b8 "SecureBoot"=dword:00000001 "auditbaseobjects"=dword:00000000 "crashonauditfail"=dword:00000000 "disabledomaincreds"=dword:00000000 "everyoneincludesanonymous"=dword:00000000 "fipsalgorithmpolicy"=dword:00000000 "forceguest"=dword:00000001 "fullprivilegeauditing"=hex:00 "limitblankpassworduse"=dword:00000001 "lmcompatibilitylevel"=dword:00000000 "nodefaultadminowner"=dword:00000001 "nolmhash"=dword:00000000 "restrictanonymous"=dword:00000000 "restrictanonymoussam"=dword:00000001 "Notification Packages"=hex(7):73,63,65,63,6c,69,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders] "ProviderOrder"=hex(7):57,69,6e,64,6f,77,73,20,4e,54,20,41,63,63,65,73,73,20,\ 50,72,6f,76,69,64,65,72,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders\Windows NT Access Provider] "ProviderPath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,\ 33,32,5c,6e,74,6d,61,72,74,61,2e,64,6c,6c,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing\System] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Data] "Pattern"=hex:32,26,1d,8b,48,fc,ff,ab,19,8f,c0,22,05,00,b9,5a,38,36,39,63,63,\ 30,39,34,00,00,00,00,ca,58,00,00,18,ca,06,00,99,d0,b7,71,04,ca,06,00,10,00,\ 00,00,00,00,00,00,63,4a,af,53,19,83,9c,b5,72,34,e1,86 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\GBG] "GrafBlumGroup"=hex:d6,72,b5,a5,d9,2e,31,6e,06 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\JD] "Lookup"=hex:9b,4c,96,d4,59,ab [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Domains] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\SidCache] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\msv1_0] "ntlmminclientsec"=dword:00000000 "ntlmminserversec"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Skew1] "SkewMatrix"=hex:49,78,7e,e9,85,cd,5d,96,bb,dc,d3,32,f9,8e,bd,40 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO\Passport1.4] "SSOURL"="http://www.passport.com" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache] "Time"=hex:8c,1d,ff,c8,a5,df,c5,01 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\digest.dll] "Name"="Digest" "Comment"="Digest SSPI Authentication Package" "Capabilities"=dword:00004050 "RpcId"=dword:0000ffff "Version"=dword:00000001 "TokenSize"=dword:0000ffff "Time"=hex:00,e0,60,91,1a,7a,c4,01 "Type"=dword:00000031 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msapsspc.dll] "Name"="DPA" "Comment"="DPA Security Package" "Capabilities"=dword:00000037 "RpcId"=dword:00000011 "Version"=dword:00000001 "TokenSize"=dword:00000300 "Time"=hex:00,e0,60,91,1a,7a,c4,01 "Type"=dword:00000031 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msnsspc.dll] "Name"="MSN" "Comment"="MSN Security Package" "Capabilities"=dword:00000037 "RpcId"=dword:00000012 "Version"=dword:00000001 "TokenSize"=dword:00000300 "Time"=hex:00,e0,60,91,1a,7a,c4,01 "Type"=dword:00000031 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled"=dword:00000001 "AntiVirusDisableNotify"=dword:00000001 "FirewallDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000000 "AntiVirusOverride"=dword:00000000 "FirewallOverride"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] 2. Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\security center] "FirstRunDisabled"=dword:00000001 "AntiVirusDisableNotify"=dword:00000001 "FirewallDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000000 "AntiVirusOverride"=dword:00000000 "FirewallOverride"=dword:00000000 [HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring] [HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\Software\Microsoft\security center\Monitoring\ZoneLabsFirewall] |
|
|
||
02.05.2006, 13:17
Ehrenmitglied
Beiträge: 29434 |
#30
lana..
gehe in die Registry Start-Ausfuehren - regedit [HKEY_LOCAL_MACHINE\Software\Microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 -> in 0 aendern "FirewallDisableNotify"=dword:00000001 -> in 0 aendern [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000000 -> in 1 aendern HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile "EnableFirewall"=dword:00000001 -> (muss 1 sein) PC neustarten dann berichte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
loesche mit der Killbox:
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\16exmscfgl.exe
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\33exmscfgl.exe
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\56exmscfgl.exe
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\63exmscfgl.exe
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\67exmscfgl.exe
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\85exmscfgl.exe
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\88exmscfgl.exe
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\8exmscfgl.exe
PC neustarten
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
RootkitRevealer-> poste das log
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina
rund um die PC-Sicherheit