Trojan.Proxy.Horst.AX infizier?. Kann nicht gesäubert werden!

#16 ich lass ihn grad nochmal laufen


so bevor ich angefangen habe die sachen aus dem thread zu befolgen hat er dies geschrieben


//-----------------------------------------------------------------
//
// Product: BitDefender 9 Standard
// Version: 9.5
//
// Erstellt am: 03/09/2006 07:24:13
//
//-----------------------------------------------------------------


Statistik

Pfad : C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\19exmodul32s.6.exe
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\25exssd32.3.exe
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\91exhdd.5.exe
Ordner : 0
Dateien : 3
Archive : 0
Komprimierte Dateien : 0
Erkannte Viren : 3
Infizierte Dateien : 3
Warnungen : 0
Verdächtige Dateien : 0
Desinfizierte Dateien : 0
Gelöschte Dateien : 0
Kopierte Dateien : 0
Verschobene Dateien : 3
Umbenannte Dateien : 0
I/O Fehler : 0
Prüfzeit : 00:00:01
Prüfgeschwindigkeit (Dateien/Sekunde) : 3

Virusdefinitionen : 28920
Scan Plug-Ins : 15
Archiv Plug-Ins : 41
Archiv Plug-Ins : 6
E-Mail Plug-Ins : 6
System Plug-Ins : 5

Prüf-Optionen

Erkennung
[ ] Boot-Sektoren prüfen
[X] Archive prüfen
[X] Komprimierte Dateien prüfen
[X] E-Mails prüfen

Dateimaske
[ ] Programme
[X] Alle Dateien
[ ] Benutzerdefinierte Erweiterungen:
[ ] Ausgeschlossene Erweiterungen: ;

Aktion

Infizierte Objekte
[ ] Ignorieren
[X] Desinfizieren
[ ] Löschen
[ ] In die Quarantäne kopieren
[ ] In die Quarantäne verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Zweite Aktion
[ ] Ignorieren
[ ] Löschen
[ ] In die Quarantäne kopieren
[X] In die Quarantäne verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Prüf-Optionen
[X] Warnungen aktiviert
[X] Heuristik aktiviert
[X] Alle Dateien im Bericht anzeigen
[X] Berichtsdatei: C:\Programme\Softwin\BitDefender9\Logs\vscan_1157261053.log


Zusammenfassung:

C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\19exmodul32s.6.exe Infiziert mit: Trojan.Zlob.Gen
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\19exmodul32s.6.exe Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\19exmodul32s.6.exe Verschoben
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\25exssd32.3.exe Infiziert mit: Trojan.Proxy.Horst.AN
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\25exssd32.3.exe Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\25exssd32.3.exe Verschoben
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\91exhdd.5.exe Infiziert mit: Trojan.Zlob.Gen
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\91exhdd.5.exe Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\91exhdd.5.exe Verschoben

Geprüfte Dateien

C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\19exmodul32s.6.exe Infiziert mit: Trojan.Zlob.Gen
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\19exmodul32s.6.exe Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\19exmodul32s.6.exe Verschoben
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\25exssd32.3.exe Infiziert mit: Trojan.Proxy.Horst.AN
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\25exssd32.3.exe Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\25exssd32.3.exe Verschoben
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\91exhdd.5.exe Infiziert mit: Trojan.Zlob.Gen
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\91exhdd.5.exe Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\91exhdd.5.exe Verschoben




danach dies hier



//-----------------------------------------------------------------
//
// Product: BitDefender 9 Standard
// Version: 9.5
//
// Erstellt am: 03/09/2006 08:09:24
//
//-----------------------------------------------------------------


Statistik

Pfad : C:\
Ordner : 2087
Dateien : 199546
Archive : 967
Komprimierte Dateien : 28325
Erkannte Viren : 1
Infizierte Dateien : 1
Warnungen : 0
Verdächtige Dateien : 0
Desinfizierte Dateien : 0
Gelöschte Dateien : 0
Kopierte Dateien : 0
Verschobene Dateien : 0
Umbenannte Dateien : 0
I/O Fehler : 31
Prüfzeit : 00:31:28
Prüfgeschwindigkeit (Dateien/Sekunde) : 105

Spyware Statistiken

Geprüfte Speicher-Prozesse: 19
Infizierte Speicher-Prozesse: 0
Geprüste Registrierungsschlüssel: 1501
Infizierte Registrierungsschlüssel: 0
Geprüfte Cookies: 5
Infizierte Cookies: 0
Infizierte Spyware-Dateien: 0
Erkannte Spyware-Prozesse: 0


Virusdefinitionen : 482815
Scan Plug-Ins : 15
Archiv Plug-Ins : 41
Archiv Plug-Ins : 6
E-Mail Plug-Ins : 6
System Plug-Ins : 5

Prüf-Optionen

Erkennung
[X] Boot-Sektoren prüfen
[X] Archive prüfen
[X] Komprimierte Dateien prüfen
[X] E-Mails prüfen

Dateimaske
[ ] Programme
[X] Alle Dateien
[ ] Benutzerdefinierte Erweiterungen:
[ ] Ausgeschlossene Erweiterungen: ;

Aktion

Infizierte Objekte
[ ] Ignorieren
[X] Desinfizieren
[ ] Löschen
[ ] In die Quarantäne kopieren
[ ] In die Quarantäne verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Zweite Aktion
[ ] Ignorieren
[ ] Löschen
[ ] In die Quarantäne kopieren
[X] In die Quarantäne verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Prüf-Optionen
[X] Warnungen aktiviert
[X] Heuristik aktiviert
[ ] Alle Dateien im Bericht anzeigen
[X] Berichtsdatei: C:\Programme\Softwin\BitDefender9\Logs\vscan_1157263764.log

Prüfoptionen für Spyware

[X] Speicher-Prozesse
[X] Registrierungsschlüssel
[X] Cookies


Zusammenfassung:

C:\Programme\Softwin\BitDefender9\Quarantine\1exinjs.5.exe Infiziert mit: Trojan.Zlob.Gen
C:\Programme\Softwin\BitDefender9\Quarantine\1exinjs.5.exe Desinfizieren fehlgeschlagen



heißt es ich habs doch mit deiner hilfe geschafft?

#17 Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log

Files to delete:
C:\WINDOWS\system32\netf.dll
C:\WINDOWS\system32\nvsvcd.exe
C:\WINDOWS\system\smss.exe
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\19exmodul32s.6.exe
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\25exssd32.3.exe
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\91exhdd.5.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

poste das log vom avenger
__________
MfG Sabina

rund um die PC-Sicherheit

#18 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\oveklkkn

*******************

Script file located at: \??\C:\Program Files\ycrx^flr.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_LOG\0000 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log
Status: 0xc0000034



File C:\WINDOWS\system32\netf.dll not found!
Deletion of file C:\WINDOWS\system32\netf.dll failed!

Could not process line:
C:\WINDOWS\system32\netf.dll
Status: 0xc0000034



File C:\WINDOWS\system32\nvsvcd.exe not found!
Deletion of file C:\WINDOWS\system32\nvsvcd.exe failed!

Could not process line:
C:\WINDOWS\system32\nvsvcd.exe
Status: 0xc0000034



File C:\WINDOWS\system\smss.exe not found!
Deletion of file C:\WINDOWS\system\smss.exe failed!

Could not process line:
C:\WINDOWS\system\smss.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\19exmodul32s.6.exe not found!
Deletion of file C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\19exmodul32s.6.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\19exmodul32s.6.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\25exssd32.3.exe not found!
Deletion of file C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\25exssd32.3.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\25exssd32.3.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\91exhdd.5.exe not found!
Deletion of file C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\91exhdd.5.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\91exhdd.5.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

#19 poste das log
http://virus-protect.org/artikel/tools/javasun.html
__________
MfG Sabina

rund um die PC-Sicherheit

#20 öhm da is doch nur was zum installieren und zum chache löschen ?!? oder überseh ich dort etwas?

#21 ich bin muede... das war der Link vom user davor, ich werd bald schluss machen, die konzentration laesst nach
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit

#22 ach np


doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
doesn't exist HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry
doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00
"DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00
"Description"="Bietet allen Computern in Heim- und kleinen Firmennetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz."
"DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00000278

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001
"DoNotAllowExceptions"=dword:00000001
"DisableNotifications"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Programme\\HLSW\\hlsw.exe"="C:\\Programme\\HLSW\\hlsw.exe:*:Enabled:HLSW"
"C:\\Programme\\Gamers.IRC\\mirc.exe"="C:\\Programme\\Gamers.IRC\\mirc.exe:*:Enabled:mIRC"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:Eine DLL-Datei als Anwendung ausführen"
"C:\\Programme\\Steam\\steamapps\\laserine@foni.net\\counter-strike\\hl.exe"="C:\\Programme\\Steam\\steamapps\\laserine@foni.net\\counter-strike\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:Microsoft Update"
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*isabled:@xpsp2res.dll,-22019"
"C:\\DOKUME~1\\las0rine\\LOKALE~1\\Temp\\77exinjs.3.exe"="C:\\DOKUME~1\\las0rine\\LOKALE~1\\Temp\\77exinjs.3.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\las0rine\\LOKALE~1\\Temp\\2exinjs.4.exe"="C:\\DOKUME~1\\las0rine\\LOKALE~1\\Temp\\2exinjs.4.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\las0rine\\LOKALE~1\\Temp\\15exinjs.4.exe"="C:\\DOKUME~1\\las0rine\\LOKALE~1\\Temp\\15exinjs.4.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\las0rine\\LOKALE~1\\Temp\\9exinjs.5.exe"="C:\\DOKUME~1\\las0rine\\LOKALE~1\\Temp\\9exinjs.5.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\las0rine\\LOKALE~1\\Temp\\55exinjs.5.exe"="C:\\DOKUME~1\\las0rine\\LOKALE~1\\Temp\\55exinjs.5.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\las0rine\\LOKALE~1\\Temp\\96exinjs.5.exe"="C:\\DOKUME~1\\las0rine\\LOKALE~1\\Temp\\96exinjs.5.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\las0rine\\LOKALE~1\\Temp\\64exinjs.5.exe"="C:\\DOKUME~1\\las0rine\\LOKALE~1\\Temp\\64exinjs.5.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\las0rine\\LOKALE~1\\Temp\\1exinjs.5.exe"="C:\\DOKUME~1\\las0rine\\LOKALE~1\\Temp\\1exinjs.5.exe:*:Enabled:Microsoft Update"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP"="1900:UDP:LocalSubNetisabled:@xpsp2res.dll,-22007"
"2869:TCP"="2869:TCP:LocalSubNetisabled:@xpsp2res.dll,-22008"
"139:TCP"="139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Sicherheitscenter"
"DependOnService"=hex(7):52,70,63,53,73,00,77,69,6e,6d,67,6d,74,00,00
"ObjectName"="LocalSystem"
"Description"="Überwacht Systemsicherheitseinstellungen und -konfigurationen."


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]



#23 Gehe in die registry
Start - Ausfuehren - regedit


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

rausloeschen:

"C:\\WINDOWS\\system32\\rundll32.exe"
"C:\\WINDOWS\\system32\\svchost.exe"

"C:\\DOKUME~1\\las0rine\\LOKALE~1\\Temp\\77exinjs.3.exe"
"C:\\DOKUME~1\\las0rine\\LOKALE~1\\Temp\\2exinjs.4.exe"
"C:\\DOKUME~1\\las0rine\\LOKALE~1\\Temp\\15exinjs.4.exe"
"C:\\DOKUME~1\\las0rine\\LOKALE~1\\Temp\\9exinjs.5.exe"
"C:\\DOKUME~1\\las0rine\\LOKALE~1\\Temp\\55exinjs.5.exe"
"C:\\DOKUME~1\\las0rine\\LOKALE~1\\Temp\\96exinjs.5.exe"
"C:\\DOKUME~1\\las0rine\\LOKALE~1\\Temp\\64exinjs.5.exe"
"C:\\DOKUME~1\\las0rine\\LOKALE~1\\Temp\\1exinjs.5.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled"=dword:00000001 - auf 0 aendern
"AntiVirusOverride"=dword:00000001 - auf 0 aendern

PC neustarten

**
dann sollte wieder alles o.k. sein.

**
scanne noch mit kaspersky und poste den report
http://virus-protect.org/onlinescan.html

**
Windows-Dienste abschalten!
http://www.dingens.org
__________
MfG Sabina

rund um die PC-Sicherheit

#24 immernoch da wie es scheint

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Montag, 4. September 2006 17:10:14
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 3/09/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 207581
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 24997
Viren gefunden: 1
Infizierte Objekte gefunden: 2 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:32:19

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\las0rine\Anwendungsdaten\Mozilla\Firefox\Profiles\pcn51z73.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\las0rine\Anwendungsdaten\Mozilla\Firefox\Profiles\pcn51z73.default\history.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\las0rine\Anwendungsdaten\Mozilla\Firefox\Profiles\pcn51z73.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\las0rine\Anwendungsdaten\Mozilla\Firefox\Profiles\pcn51z73.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\las0rine\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\pcn51z73.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\pcn51z73.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\pcn51z73.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\pcn51z73.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\hpodvd09.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\~DF3D48.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\~DF3D99.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temp\~DF4C95.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006082820060904\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\las0rine\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006090420060905\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\las0rine\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\las0rine\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Steam\Steam.log Das Objekt ist gesperrt übersprungen
C:\Programme\Steam\steamapps\winui.gcf Das Objekt ist gesperrt übersprungen
C:\Programme\Steam\SteamLogs\SteamStats.log Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{796B61F6-CA45-4CDD-9B54-DD304A5DC286}\RP34\A0001758.exe Infizierte Objekte: Trojan-Proxy.Win32.Horst.av übersprungen
C:\System Volume Information\_restore{796B61F6-CA45-4CDD-9B54-DD304A5DC286}\RP34\A0001759.exe Infizierte Objekte: Trojan-Proxy.Win32.Horst.av übersprungen
C:\System Volume Information\_restore{796B61F6-CA45-4CDD-9B54-DD304A5DC286}\RP34\A0001760.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{796B61F6-CA45-4CDD-9B54-DD304A5DC286}\RP36\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{114783BF-2220-4A1A-9049-9AA910F864B3}.bin Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\tmp000046ee\tmp00000000 Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

#25 Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann wieder aktivieren.

dann ist alles wieder o.k.
__________
MfG Sabina

rund um die PC-Sicherheit

#26 dank dir !!!! is alles wieder sauber

konnte vorher nich online kommen