nvsvcd.exe smss.exe mscfg.dll - brauche noch immer hilfe

#1 liebe mitglieder des forums - möge sich bitte jemand meiner annehmen!

mittlerweile schreibe ich diesen thread das 5. mal um und ich weiss noch immer nicht weiter. *verzweifle* ich weiss, dass dies mein erster thread in diesem forum ist, aber ich brauche wirklich eure hilfe.

ich habe folgendes problem/e: norton ließ sich nicht mehr starten (wollte - obwohl aktiviert - einen produktschlüssel, auch neuinstallation nicht erfolgreich), wie auch firewall (sygate) und mein t-online-einwahl-program starteten nicht mehr automatisch. im abgesichteren modus erkannte norton keine bedrohungen. (hier konnte ich komischerweise norton ausführen).
mit spybot habe ich ein bissl was gefunden und gelöscht. problem noch immer nicht behoben.

habe jetzt mit dem hier empfohlenen clean up programm den rechner gesäubert.
habe mittlerweile norton deinstalliert, da ich mit e scan den rechner untersuchen wollte. problem: bei installierung des programms stürzt der rechner ab. kaspersky online scan funktioniert komischerweise auch nicht !?

die probleme, die ich bei der onlineauswertung von hijack fand:

O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\mscfg.dll

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.mp3-projekt.de/InstallationsAssistent.ocx

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe



UPDATE um 16:21

habe mit hijack die probleme gefixt, die dateien: nvsvcd.exe und smss.exe mit der kill box gelöscht (auch manuell) die systemwiederherstellung ausgestellt. das scheint erfolgreich gewesen zu sein.

ich habe mittlerweile versucht norton komplett zu entfernen (nach anleitung eines threads in diesem forum), allerdings kann ich noch immer nicht ein anderes av-programm installieren. (problem wahrscheinlich: s32evnt1.dll - siehe weiter unten).

ich denke ich muss noch files aus der registry löschen, allerdings traue ich mich das nicht ohne anleitung...;-( habe auch hier http://virus-protect.org/artikel/dienste/nvsvcd.html nachgelesen) wegen:

Start-->Ausfuehren--> regedit

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log

da weiss ich aber nicht, ob ich jeweils den gesamten ordner oder nur seinen inhalt löschen soll - ganz davon abgesehen, dass ich mich nicht traue. (habe die befürchtung ohnehin schon im alleingang zu weit gegangen zu sein)

ich mache mir wirklich sorgen, und habe angst, dass ich mein gesamtes system neu aufsetzen muss...


meine neues log im hijack lautet:

Logfile of HijackThis v1.99.1
Scan saved at 15:04:50, on 10.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\T-Mobile\GPRSpeed Plus Client\NGSpawner.exe
C:\Programme\T-Mobile\GPRSpeed Plus Client\gprspeed_plus.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
c:\Programme\WIDCOMM\Bluetooth Software\btsendto_explorer.exe
D:\download 2006\programme\hijackthis_199\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: GPRSpeed Plus Client.lnk = C:\Programme\T-Mobile\GPRSpeed Plus Client\NGSpawner.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1146581661551
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146581960771
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp04.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4754/mcfscan.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\Smc.exe


UPDATE UM 18.40

tut mir leid, dass das alles schrittweise gepostet ist, aber die arbeit muss auch gemacht werden...

hier meine dat.bat logs:

1. log

Verzeichnis von C:\WINDOWS\system32

10.05.2006 10:42 100 LuResult.txt
09.05.2006 14:11 382.026 perfh009.dat
09.05.2006 14:11 902.476 PerfStringBackup.INI
09.05.2006 14:11 64.848 perfc007.dat
09.05.2006 14:11 53.770 perfc009.dat
09.05.2006 14:11 393.086 perfh007.dat
09.05.2006 14:10 245.536 FNTCACHE.DAT
09.05.2006 14:10 1.158 wpa.dbl
09.05.2006 14:09 90 spupdwxp.log
09.05.2006 08:38 53.248 mscfg.dll
02.05.2006 23:10 53.248 pxhpinst.exe
24.04.2006 20:42 8.464 sporder.dll
19.04.2006 16:28 64.243 jupdate-1.5.0_06-b05.log
19.04.2006 10:04 126.976 javaws.exe
19.04.2006 10:04 86.016 java.exe
19.04.2006 10:04 34.304 javacpl.cpl
19.04.2006 10:04 86.016 javaw.exe
30.03.2006 11:30 10.752 pxwma.dll
30.03.2006 11:30 108.544 pxcpyi64.exe
30.03.2006 11:30 53.248 pxinsa64.exe
30.03.2006 11:30 56.832 pxcpya64.exe
30.03.2006 11:30 103.936 pxinsi64.exe
31.01.2006 14:35 91.904 S32EVNT1.DLL
08.12.2005 13:56 65.536 QuickTimeVR.qtx
08.12.2005 13:56 49.152 QuickTime.qts
09.11.2005 18:13 475.136 mgxoschk.dll
08.11.2005 00:43 45.056 shctxex.dll

2. log

Verzeichnis von C:\DOKUME~1\horst\LOKALE~1\Temp

10.05.2006 16:08 16.384 Perflib_Perfdata_124.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 5.637.505.024 Bytes frei

3. log

Verzeichnis von C:\WINDOWS

10.05.2006 16:08 999 win.ini
10.05.2006 15:02 6.092 ModemLog_Bluetooth Modem.txt
10.05.2006 15:02 6.096 ModemLog_Bluetooth Fax Modem.txt
10.05.2006 15:02 4.234 ModemLog_Agere Systems AC'97 Modem.txt
10.05.2006 15:02 159 wiadebug.log
10.05.2006 15:02 2.048 bootstat.dat
10.05.2006 15:02 0 0.log
10.05.2006 15:01 419.671 WindowsUpdate.log
10.05.2006 15:00 3.666.270 ntbtlog.txt
10.05.2006 14:57 32.520 SchedLgU.Txt
10.05.2006 14:57 50 wiaservc.log
10.05.2006 12:48 696.797 setupapi.log
09.05.2006 14:10 1.864 OEWABLog.txt
09.05.2006 14:10 28.687 spupdsvc.log
09.05.2006 14:10 866.958 setuplog.txt
09.05.2006 14:10 731 DtcInstall.log
09.05.2006 14:09 314.404 wmsetup.log
09.05.2006 14:09 316.640 WMSysPr9.prx
09.05.2006 14:09 2.258 medctroc.Log
09.05.2006 14:06 525.081 iis6.log
09.05.2006 14:06 189.719 tsoc.log
09.05.2006 14:06 139.782 comsetup.log
09.05.2006 14:06 86.970 ntdtcsetup.log
09.05.2006 14:06 19.240 tabletoc.log
09.05.2006 14:06 1.355 imsins.log
09.05.2006 14:06 441.715 svcpack.log
09.05.2006 14:06 14.950 ocmsn.log
09.05.2006 12:04 232.887 ocgen.log
09.05.2006 12:04 19.580 msgsocm.log
09.05.2006 12:04 397.923 FaxSetup.log
09.05.2006 12:04 67.377 netfxocm.log
09.05.2006 12:04 137.596 msmqinst.log
09.05.2006 11:57 200 cmsetacl.log
09.05.2006 11:55 3.085 sessmgr.setup.log
09.05.2006 11:32 227.535 setupact.log
09.05.2006 08:42 116 NeroDigital.ini
02.05.2006 23:22 261.990 DirectX.log
26.04.2006 10:13 7.289 coolkb99.ini
26.04.2006 10:13 0 COOLSYS.INI
26.04.2006 10:13 11.030 COOL.INI
25.04.2006 23:58 133 VobEdit.INI
25.04.2006 13:35 19 transcode.INI
20.04.2006 23:21 971 PVAStrumento.ini
20.04.2006 16:30 32 CD_Start.INI
14.04.2006 10:39 9.216 Thumbs.db
13.04.2006 19:22 0 VideodeLuxe.INI
16.03.2006 22:28 26 Recode.INI
16.03.2006 16:38 924 @SEARCH@.GIF
11.03.2006 19:29 231 system.ini

4. log

Verzeichnis von C:\

10.05.2006 18:44 0 sys.txt
10.05.2006 18:44 11.399 system.txt
10.05.2006 18:43 296 systemtemp.txt
10.05.2006 18:40 106.958 system32.txt
10.05.2006 17:00 442.062 hpfr3600.log
10.05.2006 15:02 535.875.584 hiberfil.sys
10.05.2006 15:01 805.306.368 pagefile.sys
09.05.2006 11:56 211 BOOT.INI
09.05.2006 11:45 251.184 ntldr
09.05.2006 11:45 47.564 NTDETECT.COM
08.05.2006 21:00 5.002 threatalerts.txt
17.04.2006 23:20 184 Setup.log
13.04.2006 20:24 4.096 source.grf
13.04.2006 20:23 6.144 Grab.grf
31.10.2005 16:56 700.416 StubInstaller.exe
30.10.2005 23:36 0 AdobeDebug.txt
04.04.2005 11:11 496 log.txt
08.09.2004 23:15 316 TO_InstallLog.txt
08.02.2004 19:18 13.247 EyeCandyLog.txt
23.02.2003 10:25 0 IO.SYS
23.02.2003 10:25 0 MSDOS.SYS
23.02.2003 09:40 512 BOOTSECT.DOS
23.02.2003 09:33 77 PRELOAD.AAA
29.08.2002 12:00 4.952 bootfont.bin
24 Datei(en) 1.342.777.068 Bytes
0 Verzeichnis(se), 5.637.439.488 Bytes frei


habe aber noch ein paar probleme:

1. ein programm vom ie-explorer möchte sich einwählen: sendto from explorer application.

2., meine firewall startet allerdings noch nicht automatisch, vielleicht muss ich das aber neu eingeben.

3., ich konnte multi-av.exe nicht ausführen, weil offenbar eine symantec-dll datei sie daran hindert (s32evnt1.dll). wie vorgehen?

4., habe noch nicht wieder norton antivirus installiert. soll ich das tun? bzw. soll ich alternative virenschutzprogramme installieren? (hier kommt ja wieder das oben beschriebene problem bei punkt 3. zu tragen...)

5. firefox meldet, dass eine datei dok.u.einstellungen\...\localstore.rdf beschädigt sei. vielleicht muss ich firefox neu installieren?

was sind denn eure empfehlungen beim jetzigen stand der dinge?

und ein herzliches dankeschön an das forum im allgemeinen und an sabina (unbekannterweise) im speziellen. ihre postings haben mir sehr weitergeholfen.

grüsse

horst

ps: habe zwischenzeitlich mit mcafee onlineprüfung (der ging im gegensatz zu kaspersky) auf viren geprüft, der scanner konnte aber keine viren erkennen.

pps: ich wäre wirklich dankbar über hilfe, bzw. falls keine mehr nötig wäre (was ich nicht glaube) über ein kurzes posting von jemandem der/die sich auskennt! DANKE EUCH!!!

#2 rheingold

http://virus-protect.org/artikel/dienste/nvsvcd.html

------------------------------------------------------------------
1.
Start -- Ausführen -- regedit (reinschreiben)

bearbeiten - suchen -> Windows Log

Sollte man Probleme haben, die Einträge zu löschen, Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.

kompletten Schluessel loeschen

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log

------------

2.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ...

C:\WINDOWS\system32\mscfg.dll
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\nvsvcd.exe

PC neustarten

3.
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

--------------
4.
loeschen, was du findest unter:
C:\Temp\

-------------

5.
RootkitRevealer -> poste das log
http://www.sysinternals.com/Utilities/RootkitRevealer.html

------------

wenn dann alles wieder sauber ist....

Systemwiederherstellung deaktivieren (dann wieder aktivieren)
+
Die XP-Firewall wieder aktivieren [Windows-Firewall/Gemeinsame Nutzung der Internetverbindung]
http://www.wintotal.de/Tipps/Eintrag.php?TID=1157
+
Firefox neu installieren
__________
MfG Sabina

rund um die PC-Sicherheit

#3 liebe sabina, zuerst mal herzlichen dank für die zeit und mühe!

nun zu den punkten:

ad1, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log

waren gar nicht mehr da. rest habe ich gelöscht.

ad2,

C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\nvsvcd.exe

gab es auch unter dem pfad nicht mehr, hab sie trotzdem eingegeben.

jetzt ist die datei msfg.dll im kill box ordner, soll ich sie manuell löschen?

ad3, erledigt.
ad4, temp. war leer

ad rootkitrevealer:

hatte damit so meine probleme, es lässt sich damit kein log erstellen. gefunden hätte er ca. 67000(!) dateien. habe das mehrere male probiert, kam aber zu keinem anderen ergebnis. kann das daran liegen, dass es probleme von rkr mit kaspersky gibt und escan kaspersky virendef. verwendet? und bei der multi-av.exe ist er ja auch dabei. (die habe ich ja im zuge dieser aktion auch runtergeladen...)

der erste eintrag von rkr war komisch:

HKLM\s-1-5-21-....(hier viele ziffern)\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData*

aber ich denke, dass ich da irgendetwas falsch gemacht habe, weiss aber leider auch nach recherche nicht warum.

vor deinem posting, habe ich einen virenscan mit escan gemacht. da gab es folgende einträge:

Object "not yet identified malware Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "mediamotor Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "not yet identified malware Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "not yet identified malware Spyware/Adware" found in File System! Action Taken: No Action Taken.
File C:\WINDOWS\system32\ES_SETUP\a infected by "BkCln.Unknown" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\system32\ES_SETUP\s infected by "BkCln.Unknown" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\system32\ES_SETUP\l infected by "BkCln.Unknown" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\system32\ES_SETUP\y infected by "BkCln.Unknown" Virus! Action Taken: No Action Take

danke dir sehr!

zur firewall: ich benutze die sygate firewall.

zum virenschutzprogramm: was empfiehlst du mir? ich habe ja eigentlich den norton 2005 gekauft, wenn der aber spyware oder malware nicht so gut erkennen kann? und v.a. mit anderen virenschutzprogrammen schlecht kompatibel ist? (vgl. von oben: ich konnte multi-av.exe nicht ausführen, weil offenbar eine symantec-dll datei sie daran hindert (s32evnt1.dll).)

was rates du mir?

ein grosses danke nochmals.

bin ganz ohr - ach nein - ganz aug´ was die expertin schreibt.

grüsse horst

ps: wie sicher ist denn mein system nach so einem angriff? in anderen foren wird mal gleich empfohlen den rechner neu aufzusetzen....

#4 rheingold

1.
msfg.dll im kill box ordner -> manuell loeschen

2.
scanne Online mit kasersky und poste den Report (ich kann mit dem escan-Report nicht viel anfangen...deshalb..Kaspersky und dann sehen wir, was wir mit C:\WINDOWS\system32\ES_SETUP machen
http://virus-protect.org/onlinescan.html

3.
poste bitte das log
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 danke dir sabina!

so früh schon munter ()

also ad1, gemacht

ad2, der onlinescan von kaspersky geht noch immer nicht, obwohl mit ie versucht. einen filescan mit kaspersky habe ich versucht und ergibt: "bitte geben sie einen dateinamen an" (im ordner es_setup heissen 5 files nur a l s y ; ) - und den gezippten ordner es_setup.zip geprüft und da hat er nix gefunden...
mit trend micro nicht gescannt, weil der ja gleich entfernt/repariert. was soll ich tun?

ad3; das log, scheint also doch eine komplizierte sache zu sein bei mir? ( falls ja, dann tut es mir jetzt schon leid. das log ist lang.

jedenfalls jetzt schon wieder: DANKE! lg horst

doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
doesn't exist HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
doesn't exist HKEY_CURRENT_USER\Software\Microsoft\OLE
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung"
"DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"="Bietet allen Computern in Privat- und Kleinunternehmensnetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00000153

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:Microsoft Update"
"C:\\Programme\\T-Mobile\\GPRSpeed Plus Client\\gprspeed_plus.exe"="C:\\Programme\\T-Mobile\\GPRSpeed Plus Client\\gprspeed_plus.exe:*:Enabled:NettGain1100_C"
"C:\\WINDOWS\\TEMP\\74exmodul32.exe"="C:\\WINDOWS\\TEMP\\74exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\WINDOWS\\TEMP\\25exmodul32.exe"="C:\\WINDOWS\\TEMP\\25exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\99exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\99exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\25exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\25exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\88exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\88exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\WINDOWS\\TEMP\\38exmodul32.exe"="C:\\WINDOWS\\TEMP\\38exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\WINDOWS\\TEMP\\89exmodul32.exe"="C:\\WINDOWS\\TEMP\\89exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\78exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\78exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\58exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\58exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\84exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\84exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\57exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\57exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\23exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\23exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\71exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\71exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\52exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\52exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\15exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\15exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\90exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\90exmodul32.exe:*:Enabled:Microsoft Update"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"{735DDD3D-6F46-4873-B8DF-CDEA930C1AA3}"=dword:00000001
"{6D95542F-888D-4BA5-A2C5-6176D19D664C}"=dword:00000001
"{C2F2824C-4333-48B3-8B89-5F6B69D9879A}"=dword:00000001
"{46A28D46-F4F3-4A77-80E2-2AA8F259BC36}"=dword:00000001
"{0131F82A-04D7-48FB-AD37-1F703FB10878}"=dword:00000001
"{E24E9AC7-8A2C-4E54-8E13-CD4658CDC6FE}"=dword:00000001
"{8E759C25-D4B0-413C-80DE-70B9721BB7FC}"=dword:00000001
"{846C5221-CF63-4D29-A065-2C486A843DF2}"=dword:00000001
"{57B7D00C-FAF6-48FC-B824-174FB85893C4}"=dword:00000001
"{5C51165D-ADAD-448F-B620-4D9FE03BF695}"=dword:00000001
"{17CF5362-22F8-404D-8625-776F29778E9E}"=dword:00000001
"{07BB668A-3B22-4DCD-A86C-53A374E4E3B7}"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger]
"Type"=dword:00000020
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Nachrichtendienst"
"DependOnService"=hex(7):4c,61,6e,6d,61,6e,57,6f,72,6b,73,74,61,74,69,6f,6e,00,\
4e,65,74,42,49,4f,53,00,50,6c,75,67,50,6c,61,79,00,52,70,63,53,53,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"="Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern. Dieser Dienst ist nicht mit Windows Messenger verwandt. Der Warndienst überträgt keine Nachrichten, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,6d,73,67,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\
23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\
02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Enum]
"0"="Root\\LEGACY_MESSENGER\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry]
"Description"="Ermöglicht Remotebenutzern, Registrierungseinstellungen dieses Computers zu verändern. Wenn dieser Dienst beendet wird, kann die Registrierung nur von lokalen Benutzern dieses Computers verändert werden. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können."
"DependOnService"=hex(7):52,50,43,53,53,00,00
"DisplayName"="Remote-Registrierung"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,4c,6f,63,61,6c,53,65,72,\
76,69,63,65,00
"ObjectName"="NT AUTHORITY\\LocalService"
"Group"=""
"Start"=dword:00000002
"Type"=dword:00000020
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,e0,ad,08,\
00,01,00,00,00,e8,03,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,\
33,32,5c,72,65,67,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\
23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\
02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry\Enum]
"0"="Root\\LEGACY_REMOTEREGISTRY\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr]
"Type"=dword:00000010
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,6d,33,32,5c,\
74,6c,6e,74,73,76,72,2e,65,78,65,00
"DisplayName"="Telnet"
"DependOnService"=hex(7):52,50,43,53,53,00,54,43,50,49,50,00,4e,54,4c,4d,53,53,\
50,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"=hex(2):45,72,6d,f6,67,6c,69,63,68,74,20,65,69,6e,65,6d,20,52,65,\
6d,6f,74,65,62,65,6e,75,74,7a,65,72,2c,20,73,69,63,68,20,61,6e,20,64,69,65,\
73,65,6d,20,43,6f,6d,70,75,74,65,72,20,61,6e,7a,75,6d,65,6c,64,65,6e,20,75,\
6e,64,20,50,72,6f,67,72,61,6d,6d,65,20,61,75,73,7a,75,66,fc,68,72,65,6e,2e,\
20,55,6e,74,65,72,73,74,fc,74,7a,74,20,76,65,72,73,63,68,69,65,64,65,6e,65,\
20,54,43,50,2f,49,50,2d,54,65,6c,6e,65,74,63,6c,69,65,6e,74,73,2c,20,65,69,\
6e,73,63,68,6c,69,65,df,6c,69,63,68,20,55,4e,49,58,2d,62,61,73,69,65,72,74,\
65,6e,20,75,6e,64,20,57,69,6e,64,6f,77,73,2d,62,61,73,69,65,72,74,65,6e,20,\
43,6f,6d,70,75,74,65,72,6e,2e,20,57,65,6e,6e,20,64,69,65,73,65,72,20,44,69,\
65,6e,73,74,20,61,6e,67,65,68,61,6c,74,65,6e,20,77,69,72,64,2c,20,69,73,74,\
20,64,65,72,20,52,65,6d,6f,74,65,7a,75,67,72,69,66,66,20,6d,f6,67,6c,69,63,\
68,65,72,77,65,69,73,65,20,6e,69,63,68,74,20,6d,65,68,72,20,76,65,72,66,fc,\
67,62,61,72,2e,20,57,65,6e,6e,20,64,69,65,73,65,72,20,44,69,65,6e,73,74,20,\
64,65,61,6b,74,69,76,69,65,72,74,20,77,69,72,64,2c,20,6b,f6,6e,6e,65,6e,20,\
61,6c,6c,65,20,44,69,65,6e,73,74,65,2c,20,64,69,65,20,65,78,70,6c,69,7a,69,\
74,20,76,6f,6e,20,64,69,65,73,65,6d,20,44,69,65,6e,73,74,20,61,62,68,e4,6e,\
67,65,6e,2c,20,6e,69,63,68,74,20,6d,65,68,72,20,67,65,73,74,61,72,74,65,74,\
20,77,65,72,64,65,6e,2e,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Sicherheitscenter"
"DependOnService"=hex(7):52,70,63,53,73,00,77,69,6e,6d,67,6d,74,00,00
"ObjectName"="LocalSystem"
"Description"="Überwacht Systemsicherheitseinstellungen und -konfigurationen."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,53,59,53,54,45,4d,52,4f,4f,54,25,5c,73,79,73,74,65,6d,\
33,32,5c,77,73,63,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"autodisconnect"=dword:0000000f
"enableforcedlogoff"=dword:00000001
"enablesecuritysignature"=dword:00000000
"requiresecuritysignature"=dword:00000000
"NullSessionPipes"=hex(7):43,4f,4d,4e,41,50,00,43,4f,4d,4e,4f,44,45,00,53,51,\
4c,5c,51,55,45,52,59,00,53,50,4f,4f,4c,53,53,00,4c,4c,53,52,50,43,00,62,72,\
6f,77,73,65,72,00,00
"NullSessionShares"=hex(7):43,4f,4d,43,46,47,00,44,46,53,24,00,00
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,73,72,76,73,76,63,2e,64,6c,6c,00
"Lmannounce"=dword:00000000
"Size"=dword:00000001
"Guid"=hex:71,1b,77,76,43,79,61,49,80,ee,5a,65,39,6a,83,17
"CachedOpenLimit"=dword:00000000
"AdjustedNullSessionPipes"=dword:00000001
"IRPStackSize"=dword:0000000f
"EnableOplocks"=dword:00000000


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters]
"enableplaintextpassword"=dword:00000000
"enablesecuritysignature"=dword:00000001
"requiresecuritysignature"=dword:00000000
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,77,6b,73,73,76,63,2e,64,6c,6c,00
"OtherDomains"=hex(7):00
"UseOpportunisticLocking"=dword:00000000


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"DefaultLaunchPermission"=hex:01,00,04,80,64,00,00,00,80,00,00,00,00,00,00,00,\
14,00,00,00,02,00,50,00,03,00,00,00,00,00,18,00,01,00,00,00,01,01,00,00,00,\
00,00,05,12,00,00,00,00,00,00,00,00,00,18,00,01,00,00,00,01,01,00,00,00,00,\
00,05,04,00,00,00,00,00,00,00,00,00,18,00,01,00,00,00,01,02,00,00,00,00,00,\
05,20,00,00,00,20,02,00,00,01,05,00,00,00,00,00,05,15,00,00,00,a0,5f,84,1f,\
5e,2e,6b,49,ce,12,03,03,f4,01,00,00,01,05,00,00,00,00,00,05,15,00,00,00,a0,\
5f,84,1f,5e,2e,6b,49,ce,12,03,03,f4,01,00,00
"EnableDCOM"="Y"
"MachineLaunchRestriction"=hex:01,00,04,80,48,00,00,00,58,00,00,00,00,00,00,00,\
14,00,00,00,02,00,34,00,02,00,00,00,00,00,18,00,1f,00,00,00,01,02,00,00,00,\
00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,\
00,01,00,00,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,\
00,00,00,00,05,20,00,00,00,20,02,00,00
"MachineAccessRestriction"=hex:01,00,04,80,44,00,00,00,54,00,00,00,00,00,00,00,\
14,00,00,00,02,00,30,00,02,00,00,00,00,00,14,00,03,00,00,00,01,01,00,00,00,\
00,00,05,07,00,00,00,00,00,14,00,07,00,00,00,01,01,00,00,00,00,00,01,00,00,\
00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,\
05,20,00,00,00,20,02,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat\ActivationSecurityCheckExemptionList]
"{A50398B8-9075-4FBF-A7A1-456BF21937AD}"="1"
"{AD65A69D-3831-40D7-9629-9B0B50A93843}"="1"
"{0040D221-54A1-11D1-9DE0-006097042D69}"="1"
"{2A6D72F1-6E7E-4702-B99C-E40D3DED33C3}"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\NONREDIST]
"System.EnterpriseServices.Thunk.dll"=""


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00
"Bounds"=hex:00,30,00,00,00,20,00,00
"Security Packages"=hex(7):6b,65,72,62,65,72,6f,73,00,6d,73,76,31,5f,30,00,73,\
63,68,61,6e,6e,65,6c,00,77,64,69,67,65,73,74,00,00
"LsaPid"=dword:00000360
"SecureBoot"=dword:00000001
"auditbaseobjects"=dword:00000000
"crashonauditfail"=dword:00000000
"disabledomaincreds"=dword:00000000
"everyoneincludesanonymous"=dword:00000000
"fipsalgorithmpolicy"=dword:00000000
"forceguest"=dword:00000001
"fullprivilegeauditing"=hex:00
"limitblankpassworduse"=dword:00000001
"lmcompatibilitylevel"=dword:00000000
"nodefaultadminowner"=dword:00000001
"nolmhash"=dword:00000000
"restrictanonymous"=dword:00000000
"restrictanonymoussam"=dword:00000001
"Notification Packages"=hex(7):73,63,65,63,6c,69,00,00
"ImpersonatePrivilegeUpgradeToolHasRun"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders]
"ProviderOrder"=hex(7):57,69,6e,64,6f,77,73,20,4e,54,20,41,63,63,65,73,73,20,\
50,72,6f,76,69,64,65,72,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders\Windows NT Access Provider]
"ProviderPath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,\
33,32,5c,6e,74,6d,61,72,74,61,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing\System]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Data]
"Pattern"=hex:40,cd,32,66,4e,d1,06,9b,43,e8,72,64,5b,a1,2c,58,33,39,65,30,38,\
63,36,37,00,68,07,00,01,00,00,00,d8,00,00,00,dc,00,00,00,48,fa,06,00,d6,48,\
52,74,04,00,00,00,a0,fd,06,00,b8,fd,06,00,db,2f,7c,85

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\GBG]
"GrafBlumGroup"=hex:22,b0,94,6a,c0,db,4e,e2,3e

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\JD]
"Lookup"=hex:f5,d3,fa,f8,23,29

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Domains]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\SidCache]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]
"Auth132"="IISSUBA"
"ntlmminclientsec"=dword:00000000
"ntlmminserversec"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Skew1]
"SkewMatrix"=hex:69,bf,51,25,05,94,6b,7c,d0,83,95,fc,4a,90,11,73

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO\Passport1.4]
"SSOURL"="http://www.passport.com"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache]
"Time"=hex:10,85,2d,4b,61,73,c6,01

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\digest.dll]
"Name"="Digest"
"Comment"="Digest SSPI Authentication Package"
"Capabilities"=dword:00004050
"RpcId"=dword:0000ffff
"Version"=dword:00000001
"TokenSize"=dword:0000ffff
"Time"=hex:00,5b,d8,39,ad,79,c4,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msapsspc.dll]
"Name"="DPA"
"Comment"="DPA Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000011
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,0f,9d,3e,ad,79,c4,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msnsspc.dll]
"Name"="MSN"
"Comment"="MSN Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000012
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,3c,ce,3f,ad,79,c4,01
"Type"=dword:00000031


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]



#6 rheingold

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\TEMP\74exmodul32.exe
C:\WINDOWS\TEMP\25exmodul32.exe
C:\WINDOWS\TEMP\38exmodul32.exe
C:\WINDOWS\TEMP\89exmodul32.exe
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\99exmodul32.exe
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\25exmodul32.exe
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\88exmodul32.exe
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\78exmodul32.exe
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\58exmodul32.exe
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\84exmodul32.exe
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\57exmodul32.exe
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\23exmodul32.exe
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\71exmodul32.exe
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\52exmodul32.exe
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\15exmodul32.exe
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\90exmodul32.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

poste das Log vom Avenger
+

Start - Ausfuehren --> schreib rein: cmd
dann kopiere rein: (nach jedem mit "yes" oder "ja" bestaetigen

del c:\ *.tmp

del %temp%\*.tmp /f

del %windir%\prefetch\*.*

del %windir%\temp\*.* /f

del C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\*.* /f

del %temp%

---------------------------------------------------
+
das neue Log von registry_stuff
__________
MfG Sabina

rund um die PC-Sicherheit

#7 hi sabina,

wieder danke ich dir für deine schnelle antwort!

avenger log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ilwmpkrd

*******************

Script file located at: \??\C:\WINDOWS\weigmgas.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\TEMP\74exmodul32.exe not found!
Deletion of file C:\WINDOWS\TEMP\74exmodul32.exe failed!

Could not process line:
C:\WINDOWS\TEMP\74exmodul32.exe
Status: 0xc0000034



File C:\WINDOWS\TEMP\25exmodul32.exe not found!
Deletion of file C:\WINDOWS\TEMP\25exmodul32.exe failed!

Could not process line:
C:\WINDOWS\TEMP\25exmodul32.exe
Status: 0xc0000034



File C:\WINDOWS\TEMP\38exmodul32.exe not found!
Deletion of file C:\WINDOWS\TEMP\38exmodul32.exe failed!

Could not process line:
C:\WINDOWS\TEMP\38exmodul32.exe
Status: 0xc0000034



File C:\WINDOWS\TEMP\89exmodul32.exe not found!
Deletion of file C:\WINDOWS\TEMP\89exmodul32.exe failed!

Could not process line:
C:\WINDOWS\TEMP\89exmodul32.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\99exmodul32.exe not found!
Deletion of file C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\99exmodul32.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\99exmodul32.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\25exmodul32.exe not found!
Deletion of file C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\25exmodul32.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\25exmodul32.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\88exmodul32.exe not found!
Deletion of file C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\88exmodul32.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\88exmodul32.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\78exmodul32.exe not found!
Deletion of file C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\78exmodul32.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\78exmodul32.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\58exmodul32.exe not found!
Deletion of file C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\58exmodul32.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\58exmodul32.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\84exmodul32.exe not found!
Deletion of file C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\84exmodul32.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\84exmodul32.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\57exmodul32.exe not found!
Deletion of file C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\57exmodul32.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\57exmodul32.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\23exmodul32.exe not found!
Deletion of file C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\23exmodul32.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\23exmodul32.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\71exmodul32.exe not found!
Deletion of file C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\71exmodul32.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\71exmodul32.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\52exmodul32.exe not found!
Deletion of file C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\52exmodul32.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\52exmodul32.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\15exmodul32.exe not found!
Deletion of file C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\15exmodul32.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\15exmodul32.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\90exmodul32.exe not found!
Deletion of file C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\90exmodul32.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\90exmodul32.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


beim löschen der dateien war offenbar nicht alles erfolgreich:

del c:\ *.tmp
konnte nicht gefunden werden

del %temp%\*.tmp /f
war offenbar ok

del %windir%\prefetch\*.*
ok

del %windir%\temp\*.* /f
ok

del C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\*.* /f
konnte pfad nicht finden

del %temp%
ok

und hier mein neues log von registry stuff - das wird ja immer länger *verzweifle schon*:


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:Microsoft Update"
"C:\\Programme\\T-Mobile\\GPRSpeed Plus Client\\gprspeed_plus.exe"="C:\\Programme\\T-Mobile\\GPRSpeed Plus Client\\gprspeed_plus.exe:*:Enabled:NettGain1100_C"
"C:\\WINDOWS\\TEMP\\74exmodul32.exe"="C:\\WINDOWS\\TEMP\\74exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\WINDOWS\\TEMP\\25exmodul32.exe"="C:\\WINDOWS\\TEMP\\25exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\99exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\99exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\25exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\25exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\88exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\88exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\WINDOWS\\TEMP\\38exmodul32.exe"="C:\\WINDOWS\\TEMP\\38exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\WINDOWS\\TEMP\\89exmodul32.exe"="C:\\WINDOWS\\TEMP\\89exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\78exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\78exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\58exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\58exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\84exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\84exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\57exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\57exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\23exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\23exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\71exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\71exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\52exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\52exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\15exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\15exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\90exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\90exmodul32.exe:*:Enabled:Microsoft Update"

edit Sabina

#8 KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .........

C:\WINDOWS\TEMP\74exmodul32.exe
C:\WINDOWS\TEMP\25exmodul32.exe
C:\WINDOWS\TEMP\38exmodul32.exe
C:\WINDOWS\TEMP\89exmodul32.exe
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\99exmodul32.exe
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\25exmodul32.exe
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\88exmodul32.exe
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\78exmodul32.exe
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\58exmodul32.exe
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\84exmodul32.exe
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\57exmodul32.exe
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\23exmodul32.exe
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\71exmodul32.exe
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\52exmodul32.exe
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\15exmodul32.exe
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\90exmodul32.exe

PC neustarten

+
das neue Log vom Stuff
__________
MfG Sabina

rund um die PC-Sicherheit

#9 hi sabina, danke für deine antworten!

ich habs versucht mit der kill box, zweimal, war aber fürchte ich nicht erfolgreich

frage: kann ich irgend etwas tun, damit der kaspersky funktioniert, oder soll ich mal mit trend micro online scannen? *verwzeifeltdiehaarerauf*

übrigens, wenn ich unter den genannten pfaden nachschaue, finde ich diese einträge nicht, oder ist es eben gerade das, wo der virus so hundsgemein ist? (kenn mi ja net aus)

hier mein neues log vom stuff

doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
doesn't exist HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
doesn't exist HKEY_CURRENT_USER\Software\Microsoft\OLE
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung"
"DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"="Bietet allen Computern in Privat- und Kleinunternehmensnetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00000174

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:Microsoft Update"
"C:\\Programme\\T-Mobile\\GPRSpeed Plus Client\\gprspeed_plus.exe"="C:\\Programme\\T-Mobile\\GPRSpeed Plus Client\\gprspeed_plus.exe:*:Enabled:NettGain1100_C"
"C:\\WINDOWS\\TEMP\\74exmodul32.exe"="C:\\WINDOWS\\TEMP\\74exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\WINDOWS\\TEMP\\25exmodul32.exe"="C:\\WINDOWS\\TEMP\\25exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\99exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\99exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\25exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\25exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\88exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\88exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\WINDOWS\\TEMP\\38exmodul32.exe"="C:\\WINDOWS\\TEMP\\38exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\WINDOWS\\TEMP\\89exmodul32.exe"="C:\\WINDOWS\\TEMP\\89exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\78exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\78exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\58exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\58exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\84exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\84exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\57exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\57exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\23exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\23exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\71exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\71exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\52exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\52exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\15exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\15exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\90exmodul32.exe"="C:\\DOKUME~1\\horst\\LOKALE~1\\Temp\\90exmodul32.exe:*:Enabled:Microsoft Update"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00


hab jetzt mal den rest auch gelöscht, damits nicht endlos lang wird...

lg horst

#10 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\TEMP\74exmodul32.exe"=-
"C:\WINDOWS\TEMP\25exmodul32.exe"=-
"C:\DOKUME~1\horst\LOKALE~1\Temp\99exmodul32.exe"=-
"C:\DOKUME~1\horst\LOKALE~1\Temp\25exmodul32.exe"=-
"C:\DOKUME~1\horst\LOKALE~1\Temp\88exmodul32.exe"=-
"C:\WINDOWS\TEMP\38exmodul32.exe"=-
"C:\DOKUME~1\horst\LOKALE~1\Temp\78exmodul32.exe"=-
"C:\DOKUME~1\horst\LOKALE~1\Temp\58exmodul32.exe"=-
"C:\DOKUME~1\horst\LOKALE~1\Temp\84exmodul32.exe"=-
"C:\DOKUME~1\horst\LOKALE~1\Temp\57exmodul32.exe"=-
"C:\DOKUME~1\horst\LOKALE~1\Temp\23exmodul32.exe"=-
"C:\DOKUME~1\horst\LOKALE~1\Temp\71exmodul32.exe"=-
"C:\DOKUME~1\horst\LOKALE~1\Temp\52exmodul32.exe"=-
"C:\DOKUME~1\horst\LOKALE~1\Temp\15exmodul32.exe"=-
"C:\DOKUME~1\horst\LOKALE~1\Temp\90exmodul32.exe"=-

PC neustarten

berichte, ob die reg-Datei funktioniert hat und poste den neuen Stuff
__________
MfG Sabina

rund um die PC-Sicherheit

#11 hi sabina,

leider muss ich auch diesen versuch als vergeblich bezeichnen: datei oder dateisystemfehler gibt er mir an...soll ich versuchen die reg. datei im abgesicherten modus doppelzuklicken, oder ist das egal?

muss ich die hacke nehmen, oder soll ich den laptop aus dem fenster werfen? grrrr

danke dir jedenfalls!!

noch ideen?

lg h

#12 es gibt noch eine Moeglichkeit :

Start-Ausfuehren - regedit

bearbeiten - suchen

99exmodul32.exe
25exmodul32.exe
usw....
suche alles diese exe und loesche sie mit rechtsklick, dann starte den PC neu.

du kannst auch diese Tool zur Suche in der Registry verwenden
http://virus-protect.org/registrarlite.html

----------------------------------------------------------------

der PC ist im Grunde sauber, nur die Registry muss auch noch sauber sein.
__________
MfG Sabina

rund um die PC-Sicherheit

#13 und ich dachte ich hab noch wo einen sitzen (einen virus )...ich versuch das jetzt manuell aus der registry zu löschen!

was soll ich denn eigentlich mit dem norton av machen? (und der s32evnt1.dll datei - die mich offenbar hindert andere virenprogramme zu installieren)

gibt es ein av programm das mit dem norton funktioniert? da ich regen mailverkehr habe, da hat mir der norton schon immer geholfen...

was ist deine empfehlung?
und natürlich ein grosses danke!
lg h

#14 das lass erst mal, loesche alles raus, poste den neuen Stuff und scanne + poste den scanreport

multiavtool.
http://virus-protect.org/multiavtool.html
* klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.

bei der Eingabe "3" im MULTIAVTOOL muss eine Internetverbindung vorhanden sein

- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

* klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie
__________
MfG Sabina

rund um die PC-Sicherheit

#15 hi sabina, herzlichen dank, dass du dich meiner so annimmst!

übrigens habe ich das

Zitat

wenn dann alles wieder sauber ist....

Systemwiederherstellung deaktivieren (dann wieder aktivieren)
+
Die XP-Firewall wieder aktivieren [Windows-Firewall/Gemeinsame Nutzung der Internetverbindung]
http://www.wintotal.de/Tipps/Eintrag.php?TID=1157
+
Firefox neu installieren

noch nicht gemacht, da ja noch nicht alles sauber ist, stimmt das? oder hätte ich das schon mal deaktivieren müssen?

habe die registry manuell gelöscht. das ging.

mit mcafee gescannt. anscheinend schreibt der immer über seinen scanreport, daher habe ich nur mehr den letzten von c: (hat bei mir als html gespeichtert)

habe aber gesehen, dass bei
C:\Windows\System32 und
C:\Windows er nix gefunden hat.
(im dos fenster beim testen allerdings stand, dass er u.a. den ordner es_setup nicht öffnen konnte "file could not be opened") der bericht war zweimal negativ also mit 0 treffern aber bei c:

05/12/2006 17:06:10


Options:
"C:\" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: [ACER]
Scanning C:\*.*
C:\Programme\...\Patch2.exe ... Found potentially unwanted program Tool-TPatch.
The file or process has been deleted.
C:\Programme\...\Patch1.exe ... Found potentially unwanted program Tool-TPatch.
The file or process has been deleted.
C:\System Volume Information\_restore{11F32253-DDF1-49E0-BAAD-77B8F6DFC34F}\RP1\A0000012.dll ... Found the Spam-Loot.dll trojan !!!
The file or process has been deleted.
C:\System Volume Information\_restore{11F32253-DDF1-49E0-BAAD-77B8F6DFC34F}\RP1\A0000053.dll ... Found the Spam-Loot.dll trojan !!!
The file or process has been deleted.
C:\System Volume Information\_restore{11F32253-DDF1-49E0-BAAD-77B8F6DFC34F}\RP1\A0000126.exe ... Found potentially unwanted program Tool-TPatch.
The file or process has been deleted.
C:\System Volume Information\_restore{11F32253-DDF1-49E0-BAAD-77B8F6DFC34F}\RP1\A0000127.exe ... Found potentially unwanted program Tool-TPatch.
The file or process has been deleted.

Summary report on C:\*.*
File(s)
Total files: ........... 257710
Clean: ................. 256549
Possibly Infected: ..... 2
Cleaned: ............... 0
Deleted: ............... 6
Non-critical Error(s): 3


Time: 00:53.20



und zur abwechslung mal wieder der ganze stuff report:

doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
doesn't exist HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
doesn't exist HKEY_CURRENT_USER\Software\Microsoft\OLE
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung"
"DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"="Bietet allen Computern in Privat- und Kleinunternehmensnetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:000001a2

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:Microsoft Update"
"C:\\Programme\\T-Mobile\\GPRSpeed Plus Client\\gprspeed_plus.exe"="C:\\Programme\\T-Mobile\\GPRSpeed Plus Client\\gprspeed_plus.exe:*:Enabled:NettGain1100_C"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"{735DDD3D-6F46-4873-B8DF-CDEA930C1AA3}"=dword:00000001
"{6D95542F-888D-4BA5-A2C5-6176D19D664C}"=dword:00000001
"{C2F2824C-4333-48B3-8B89-5F6B69D9879A}"=dword:00000001
"{46A28D46-F4F3-4A77-80E2-2AA8F259BC36}"=dword:00000001
"{0131F82A-04D7-48FB-AD37-1F703FB10878}"=dword:00000001
"{E24E9AC7-8A2C-4E54-8E13-CD4658CDC6FE}"=dword:00000001
"{8E759C25-D4B0-413C-80DE-70B9721BB7FC}"=dword:00000001
"{846C5221-CF63-4D29-A065-2C486A843DF2}"=dword:00000001
"{57B7D00C-FAF6-48FC-B824-174FB85893C4}"=dword:00000001
"{5C51165D-ADAD-448F-B620-4D9FE03BF695}"=dword:00000001
"{17CF5362-22F8-404D-8625-776F29778E9E}"=dword:00000001
"{07BB668A-3B22-4DCD-A86C-53A374E4E3B7}"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger]
"Type"=dword:00000020
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Nachrichtendienst"
"DependOnService"=hex(7):4c,61,6e,6d,61,6e,57,6f,72,6b,73,74,61,74,69,6f,6e,00,\
4e,65,74,42,49,4f,53,00,50,6c,75,67,50,6c,61,79,00,52,70,63,53,53,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"="Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern. Dieser Dienst ist nicht mit Windows Messenger verwandt. Der Warndienst überträgt keine Nachrichten, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,6d,73,67,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\
23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\
02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Enum]
"0"="Root\\LEGACY_MESSENGER\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry]
"Description"="Ermöglicht Remotebenutzern, Registrierungseinstellungen dieses Computers zu verändern. Wenn dieser Dienst beendet wird, kann die Registrierung nur von lokalen Benutzern dieses Computers verändert werden. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können."
"DependOnService"=hex(7):52,50,43,53,53,00,00
"DisplayName"="Remote-Registrierung"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,4c,6f,63,61,6c,53,65,72,\
76,69,63,65,00
"ObjectName"="NT AUTHORITY\\LocalService"
"Group"=""
"Start"=dword:00000002
"Type"=dword:00000020
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,e0,ad,08,\
00,01,00,00,00,e8,03,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,\
33,32,5c,72,65,67,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\
23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\
02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry\Enum]
"0"="Root\\LEGACY_REMOTEREGISTRY\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr]
"Type"=dword:00000010
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,6d,33,32,5c,\
74,6c,6e,74,73,76,72,2e,65,78,65,00
"DisplayName"="Telnet"
"DependOnService"=hex(7):52,50,43,53,53,00,54,43,50,49,50,00,4e,54,4c,4d,53,53,\
50,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"=hex(2):45,72,6d,f6,67,6c,69,63,68,74,20,65,69,6e,65,6d,20,52,65,\
6d,6f,74,65,62,65,6e,75,74,7a,65,72,2c,20,73,69,63,68,20,61,6e,20,64,69,65,\
73,65,6d,20,43,6f,6d,70,75,74,65,72,20,61,6e,7a,75,6d,65,6c,64,65,6e,20,75,\
6e,64,20,50,72,6f,67,72,61,6d,6d,65,20,61,75,73,7a,75,66,fc,68,72,65,6e,2e,\
20,55,6e,74,65,72,73,74,fc,74,7a,74,20,76,65,72,73,63,68,69,65,64,65,6e,65,\
20,54,43,50,2f,49,50,2d,54,65,6c,6e,65,74,63,6c,69,65,6e,74,73,2c,20,65,69,\
6e,73,63,68,6c,69,65,df,6c,69,63,68,20,55,4e,49,58,2d,62,61,73,69,65,72,74,\
65,6e,20,75,6e,64,20,57,69,6e,64,6f,77,73,2d,62,61,73,69,65,72,74,65,6e,20,\
43,6f,6d,70,75,74,65,72,6e,2e,20,57,65,6e,6e,20,64,69,65,73,65,72,20,44,69,\
65,6e,73,74,20,61,6e,67,65,68,61,6c,74,65,6e,20,77,69,72,64,2c,20,69,73,74,\
20,64,65,72,20,52,65,6d,6f,74,65,7a,75,67,72,69,66,66,20,6d,f6,67,6c,69,63,\
68,65,72,77,65,69,73,65,20,6e,69,63,68,74,20,6d,65,68,72,20,76,65,72,66,fc,\
67,62,61,72,2e,20,57,65,6e,6e,20,64,69,65,73,65,72,20,44,69,65,6e,73,74,20,\
64,65,61,6b,74,69,76,69,65,72,74,20,77,69,72,64,2c,20,6b,f6,6e,6e,65,6e,20,\
61,6c,6c,65,20,44,69,65,6e,73,74,65,2c,20,64,69,65,20,65,78,70,6c,69,7a,69,\
74,20,76,6f,6e,20,64,69,65,73,65,6d,20,44,69,65,6e,73,74,20,61,62,68,e4,6e,\
67,65,6e,2c,20,6e,69,63,68,74,20,6d,65,68,72,20,67,65,73,74,61,72,74,65,74,\
20,77,65,72,64,65,6e,2e,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Sicherheitscenter"
"DependOnService"=hex(7):52,70,63,53,73,00,77,69,6e,6d,67,6d,74,00,00
"ObjectName"="LocalSystem"
"Description"="Überwacht Systemsicherheitseinstellungen und -konfigurationen."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,53,59,53,54,45,4d,52,4f,4f,54,25,5c,73,79,73,74,65,6d,\
33,32,5c,77,73,63,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"autodisconnect"=dword:0000000f
"enableforcedlogoff"=dword:00000001
"enablesecuritysignature"=dword:00000000
"requiresecuritysignature"=dword:00000000
"NullSessionPipes"=hex(7):43,4f,4d,4e,41,50,00,43,4f,4d,4e,4f,44,45,00,53,51,\
4c,5c,51,55,45,52,59,00,53,50,4f,4f,4c,53,53,00,4c,4c,53,52,50,43,00,62,72,\
6f,77,73,65,72,00,00
"NullSessionShares"=hex(7):43,4f,4d,43,46,47,00,44,46,53,24,00,00
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,73,72,76,73,76,63,2e,64,6c,6c,00
"Lmannounce"=dword:00000000
"Size"=dword:00000001
"Guid"=hex:ea,32,63,e1,16,ae,5a,4b,8a,10,72,0f,c9,51,93,24
"CachedOpenLimit"=dword:00000000
"AdjustedNullSessionPipes"=dword:00000001
"IRPStackSize"=dword:0000000f
"EnableOplocks"=dword:00000000


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters]
"enableplaintextpassword"=dword:00000000
"enablesecuritysignature"=dword:00000001
"requiresecuritysignature"=dword:00000000
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,77,6b,73,73,76,63,2e,64,6c,6c,00
"OtherDomains"=hex(7):00
"UseOpportunisticLocking"=dword:00000000


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"DefaultLaunchPermission"=hex:01,00,04,80,64,00,00,00,80,00,00,00,00,00,00,00,\
14,00,00,00,02,00,50,00,03,00,00,00,00,00,18,00,01,00,00,00,01,01,00,00,00,\
00,00,05,12,00,00,00,00,00,00,00,00,00,18,00,01,00,00,00,01,01,00,00,00,00,\
00,05,04,00,00,00,00,00,00,00,00,00,18,00,01,00,00,00,01,02,00,00,00,00,00,\
05,20,00,00,00,20,02,00,00,01,05,00,00,00,00,00,05,15,00,00,00,a0,5f,84,1f,\
5e,2e,6b,49,ce,12,03,03,f4,01,00,00,01,05,00,00,00,00,00,05,15,00,00,00,a0,\
5f,84,1f,5e,2e,6b,49,ce,12,03,03,f4,01,00,00
"EnableDCOM"="Y"
"MachineLaunchRestriction"=hex:01,00,04,80,48,00,00,00,58,00,00,00,00,00,00,00,\
14,00,00,00,02,00,34,00,02,00,00,00,00,00,18,00,1f,00,00,00,01,02,00,00,00,\
00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,\
00,01,00,00,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,\
00,00,00,00,05,20,00,00,00,20,02,00,00
"MachineAccessRestriction"=hex:01,00,04,80,44,00,00,00,54,00,00,00,00,00,00,00,\
14,00,00,00,02,00,30,00,02,00,00,00,00,00,14,00,03,00,00,00,01,01,00,00,00,\
00,00,05,07,00,00,00,00,00,14,00,07,00,00,00,01,01,00,00,00,00,00,01,00,00,\
00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,\
05,20,00,00,00,20,02,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat\ActivationSecurityCheckExemptionList]
"{A50398B8-9075-4FBF-A7A1-456BF21937AD}"="1"
"{AD65A69D-3831-40D7-9629-9B0B50A93843}"="1"
"{0040D221-54A1-11D1-9DE0-006097042D69}"="1"
"{2A6D72F1-6E7E-4702-B99C-E40D3DED33C3}"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\NONREDIST]
"System.EnterpriseServices.Thunk.dll"=""


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00
"Bounds"=hex:00,30,00,00,00,20,00,00
"Security Packages"=hex(7):6b,65,72,62,65,72,6f,73,00,6d,73,76,31,5f,30,00,73,\
63,68,61,6e,6e,65,6c,00,77,64,69,67,65,73,74,00,00
"LsaPid"=dword:00000358
"SecureBoot"=dword:00000001
"auditbaseobjects"=dword:00000000
"crashonauditfail"=dword:00000000
"disabledomaincreds"=dword:00000000
"everyoneincludesanonymous"=dword:00000000
"fipsalgorithmpolicy"=dword:00000000
"forceguest"=dword:00000001
"fullprivilegeauditing"=hex:00
"limitblankpassworduse"=dword:00000001
"lmcompatibilitylevel"=dword:00000000
"nodefaultadminowner"=dword:00000001
"nolmhash"=dword:00000000
"restrictanonymous"=dword:00000000
"restrictanonymoussam"=dword:00000001
"Notification Packages"=hex(7):73,63,65,63,6c,69,00,00
"ImpersonatePrivilegeUpgradeToolHasRun"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders]
"ProviderOrder"=hex(7):57,69,6e,64,6f,77,73,20,4e,54,20,41,63,63,65,73,73,20,\
50,72,6f,76,69,64,65,72,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders\Windows NT Access Provider]
"ProviderPath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,\
33,32,5c,6e,74,6d,61,72,74,61,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing\System]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Data]
"Pattern"=hex:40,cd,32,66,4e,d1,06,9b,43,e8,72,64,5b,a1,2c,58,33,39,65,30,38,\
63,36,37,00,68,07,00,01,00,00,00,d8,00,00,00,dc,00,00,00,48,fa,06,00,d6,48,\
52,74,04,00,00,00,a0,fd,06,00,b8,fd,06,00,db,2f,7c,85

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\GBG]
"GrafBlumGroup"=hex:22,b0,94,6a,c0,db,4e,e2,3e

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\JD]
"Lookup"=hex:f5,d3,fa,f8,23,29

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Domains]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\SidCache]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]
"Auth132"="IISSUBA"
"ntlmminclientsec"=dword:00000000
"ntlmminserversec"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Skew1]
"SkewMatrix"=hex:69,bf,51,25,05,94,6b,7c,d0,83,95,fc,4a,90,11,73

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO\Passport1.4]
"SSOURL"="http://www.passport.com"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache]
"Time"=hex:10,85,2d,4b,61,73,c6,01

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\digest.dll]
"Name"="Digest"
"Comment"="Digest SSPI Authentication Package"
"Capabilities"=dword:00004050
"RpcId"=dword:0000ffff
"Version"=dword:00000001
"TokenSize"=dword:0000ffff
"Time"=hex:00,5b,d8,39,ad,79,c4,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msapsspc.dll]
"Name"="DPA"
"Comment"="DPA Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000011
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,0f,9d,3e,ad,79,c4,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msnsspc.dll]
"Name"="MSN"
"Comment"="MSN Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000012
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,3c,ce,3f,ad,79,c4,01
"Type"=dword:00000031


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

ich danke dir.

grüsse

horst