Keine ahnung von HijackThis + datfindbat u.s.w

#1 Da ich wie oben beschrieben keinerlei Ahnung von Dingen habe wie HijackThis + datfindbat (oben Thema) wollte ich mal Fragen ob es ein Programm gibt das das alles für mich macht
Ich komm nicht mal 1 Schritt weit (in der Beschreibung vom löschen von)SpyFalcon u.s.w. den habe ich jetzt zum Teil mit dem Programm a-squared wegbekommen nur noch ein Teil ist da das schreibt etwas auf englisch.

"System has dedectet 4 active Sprayware application"

Oder so das verschwindet immer so schnell auf jeden fall sind weiter hin auf meinem Desktop 2 Icons und zwar Online Security Guide in blau und Security Troubleshooting in grün . Diese 2 Symbole (Programme) sind auch noch unter Start zu finden.

Deshalb bitte ich hier mal um Hilfe aber bitte nicht so kompliziert da ich mit "schaue in C unter A und gehe dann nach Y und lösche dort xxw2 nichts anfangen kann"

Ich danke schon mal

#2 pilepale

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

ich suche die Malware raus und erklaere alles weitere....
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hier das erste viel Spass beim suchen

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 882E-B518

Verzeichnis von C:\WINDOWS\system32

15.05.2006 17:10 5.004 stdole3.tlb
15.05.2006 16:40 25.941 NULL
15.05.2006 16:40 52.900 perfc009.dat
15.05.2006 16:40 380.486 perfh009.dat
15.05.2006 16:40 391.330 perfh007.dat
15.05.2006 16:40 63.778 perfc007.dat
15.05.2006 16:40 872.856 PerfStringBackup.INI
15.05.2006 15:26 384 DVCStateBkp-{00000000-00000000-0000000A-00001102-00000004-20021102}.dat
15.05.2006 15:26 1.080 settings.sfm
15.05.2006 15:26 32.592 BMXStateBkp-{00000000-00000000-0000000A-00001102-00000004-20021102}.rfx
15.05.2006 15:26 32.088 BMXBkpCtrlState-{00000000-00000000-0000000A-00001102-00000004-20021102}.rfx
15.05.2006 15:26 32.088 BMXCtrlState-{00000000-00000000-0000000A-00001102-00000004-20021102}.rfx
15.05.2006 15:26 384 DVCState-{00000000-00000000-0000000A-00001102-00000004-20021102}.dat
15.05.2006 15:26 32.592 BMXState-{00000000-00000000-0000000A-00001102-00000004-20021102}.rfx
15.05.2006 15:26 1.080 settingsbkup.sfm
15.05.2006 14:38 13.674 wpa.dbl
15.05.2006 14:37 269 spupdwxp.log
15.05.2006 14:37 126.912 FNTCACHE.DAT
15.05.2006 14:17 43.573 nvapps.xml
15.05.2006 09:03 34.064 lhacm.acm
15.05.2006 06:40 52.858 interceptor.sys
15.05.2006 05:56 6.144 simpole.tlb
15.05.2006 05:56 29.696 hp38AE.tmp
15.05.2006 05:56 48.128 dcomcfg.exe
15.05.2006 05:56 9.948 atmclk.exe
15.05.2006 05:56 4.286 ot.ico
15.05.2006 05:48 23.392 nscompat.tlb
15.05.2006 05:48 16.832 amcompat.tlb
15.05.2006 04:37 13.674 wpa.bak
15.05.2006 04:31 0 h323log.txt
15.05.2006 04:25 2.272 w95inf16.dll
15.05.2006 04:25 4.608 w95inf32.dll
15.05.2006 04:13 184 e000001.dat
15.05.2006 03:37 25.065 wmpscheme.xml
15.05.2006 03:35 1.821 $winnt$.inf
15.05.2006 03:34 2.951 CONFIG.NT
15.05.2006 03:33 488 logonui.exe.manifest
15.05.2006 03:33 488 WindowsLogon.manifest
15.05.2006 03:33 749 wuaucpl.cpl.manifest
15.05.2006 03:33 749 sapi.cpl.manifest
15.05.2006 03:33 749 nwc.cpl.manifest
15.05.2006 03:33 749 cdplayer.exe.manifest
15.05.2006 03:33 749 ncpa.cpl.manifest
15.05.2006 03:32 21.740 emptyregdb.dat
03.05.2006 21:26 5.818.784 MRT.exe
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 66.560 mtxclu.dll
18.01.2006 14:05 57.344 avsda.dll
04.01.2006 05:35 68.096 webclnt.dll



Und hier

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 882E-B518

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

15.05.2006 17:20 277 BWInstall.log
15.05.2006 16:44 878 dslmupdate.ini
15.05.2006 16:44 0 endok.txt
15.05.2006 16:43 0 strtfile.txt
15.05.2006 16:43 0 start.txt
15.05.2006 16:43 16.384 Perflib_Perfdata_b8c.dat
15.05.2006 16:41 3.670 netfxupdate.log
15.05.2006 16:40 189 tosup.log
15.05.2006 16:40 1.173 langpackSetup.log
15.05.2006 16:40 385.108 langpackMsi.log
15.05.2006 16:40 10.982 netfxsl.log
15.05.2006 16:40 7.734 ASPNETSetup.log
15.05.2006 16:39 2.268 dotNetFx.log
15.05.2006 16:39 2.885.550 netfx.log
15.05.2006 04:51 24.613 IadHide5.dll

Und noch das


Verzeichnis von C:\WINDOWS

15.05.2006 17:19 116 NeroDigital.ini
15.05.2006 16:48 87.592 wmsetup.log
15.05.2006 16:37 211 uno.ini
15.05.2006 16:37 516 win.ini
15.05.2006 16:37 991.507 setupapi.log
15.05.2006 15:27 799.158 WindowsUpdate.log
15.05.2006 15:27 0 0.log
15.05.2006 15:27 2.048 bootstat.dat
15.05.2006 15:26 5.852 SchedLgU.Txt
15.05.2006 14:40 30.776 KB904706.log
15.05.2006 14:38 29.857 spupdsvc.log
15.05.2006 14:38 360 DtcInstall.log
15.05.2006 14:38 1.174 OEWABLog.txt
15.05.2006 14:38 316.640 WMSysPr9.prx
15.05.2006 14:38 580.872 iis6.log
15.05.2006 14:38 108.183 comsetup.log
15.05.2006 14:38 227.340 tsoc.log
15.05.2006 14:38 25.149 tabletoc.log
15.05.2006 14:38 11.196 ocmsn.log
15.05.2006 14:38 64.896 ntdtcsetup.log
15.05.2006 14:38 4.696 imsins.log
15.05.2006 14:38 24.381 msgsocm.log
15.05.2006 14:38 16.902 medctroc.Log
15.05.2006 14:38 252.725 ocgen.log
15.05.2006 14:38 480.127 FaxSetup.log
15.05.2006 14:38 85.093 netfxocm.log
15.05.2006 14:38 158.604 msmqinst.log
15.05.2006 14:37 853.663 setuplog.txt
15.05.2006 14:35 439.150 svcpack.log
15.05.2006 14:35 1.374 imsins.BAK
15.05.2006 14:35 200.828 KB913580.log
15.05.2006 14:35 30.950 updspapi.log
15.05.2006 14:35 192.257 KB913446.log
15.05.2006 14:35 204.333 KB912919.log
15.05.2006 14:35 225.254 KB911927.log
15.05.2006 14:34 221.618 KB911562.log
15.05.2006 14:34 209.866 KB910437.log
15.05.2006 14:34 203.223 KB908531.log
15.05.2006 14:34 195.599 KB908519.log
15.05.2006 14:34 199.475 KB905749.log
15.05.2006 14:33 206.629 KB905414.log
15.05.2006 14:33 222.329 KB902400.log
15.05.2006 14:33 205.163 KB901214.log
15.05.2006 14:33 218.666 KB901017.log
15.05.2006 14:33 209.481 KB900725.log
15.05.2006 14:32 218.138 KB899591.log
15.05.2006 14:32 204.927 KB899589.log
15.05.2006 14:32 227.065 KB899587.log
15.05.2006 14:32 195.373 KB896428.log
15.05.2006 14:32 221.567 KB896424.log
15.05.2006 14:31 217.257 KB896423.log
15.05.2006 14:31 225.486 KB896422.log
15.05.2006 14:31 215.506 KB896358.log
15.05.2006 14:31 219.121 KB893756.log
15.05.2006 14:31 204.963 KB891781.log
15.05.2006 14:30 201.504 KB890859.log
15.05.2006 14:30 206.713 KB890046.log
15.05.2006 14:30 200.861 KB888302.log
15.05.2006 14:30 212.000 KB888113.log
15.05.2006 14:30 220.291 KB885836.log
15.05.2006 14:29 224.840 KB885835.log
15.05.2006 14:29 211.887 KB873339.log
15.05.2006 14:27 200 cmsetacl.log
15.05.2006 14:27 1.330 sessmgr.setup.log
15.05.2006 14:19 4.933.320 {00000000-00000000-0000000A-00001102-00000004-20021102}.CDF
15.05.2006 14:19 227 system.ini
15.05.2006 06:41 66.277 dasetup.log
15.05.2006 06:41 105 ODBC.INI
15.05.2006 06:41 4.161 ODBCINST.INI
15.05.2006 06:39 7.309 KB829558.log
15.05.2006 06:00 635 xpsp1hfm.log
15.05.2006 06:00 37.900 KB835732.log
15.05.2006 05:58 31.359 KB912812-IE6SP1-20060322.182418.log
15.05.2006 05:58 29.169 KB914798.log
15.05.2006 05:57 32.695 KB905495.log
15.05.2006 05:57 29.423 KB911564.log
15.05.2006 05:55 24.144 KB892944.log
15.05.2006 05:55 14.042 KB911567-OE6SP1-20060316.165634.log
15.05.2006 05:54 15.202 KB835409.log
15.05.2006 05:51 1.409 QTFont.for
15.05.2006 05:51 54.156 QTFont.qfn
15.05.2006 05:51 335 GEARInstall.log
15.05.2006 05:48 242 wmsetup10.log
15.05.2006 05:40 5.670 KB842773.log
15.05.2006 05:40 185.331 setupact.log
15.05.2006 05:40 9.957 KB893803v2.log
15.05.2006 05:40 7.003 KB898461.log
15.05.2006 05:18 2.423 NewRecorder.reg
15.05.2006 05:18 1.816.779 Recorder.reg
15.05.2006 04:59 0 LCDMedia.INI
15.05.2006 04:51 179 LDM.log
15.05.2006 04:51 118.784 bwUnin-7.2.0.137-8876480SL.exe
15.05.2006 04:51 86 KE.log
15.05.2006 04:31 50 wiaservc.log
15.05.2006 04:31 509 wiadebug.log
15.05.2006 04:31 0 Sti_Trace.log
15.05.2006 04:29 0 setuperr.log
15.05.2006 04:17 4.933.320 {00000000-00000000-0000000A-00001102-00000004-20021102}.BAK
15.05.2006 04:16 98 Ô
15.05.2006 04:16 90 setup.log
15.05.2006 04:14 136 SBWIN.INI
15.05.2006 04:04 52 wb.ini
15.05.2006 04:02 1.114 Windows Update.log
15.05.2006 03:56 78.733 DirectX.log
15.05.2006 03:37 2.930 regopt.log
15.05.2006 03:36 8.192 REGLOCS.OLD
15.05.2006 03:34 0 control.ini
15.05.2006 03:34 299.552 WMSysPrx.prx
15.05.2006 03:33 749 WindowsShell.Manifest
15.05.2006 03:32 36 vb.ini
15.05.2006 03:32 37 vbaddin.ini

Und hier noch das letzte

Verzeichnis von C:\

15.05.2006 17:23 0 sys.txt
15.05.2006 17:22 9.588 system.txt
15.05.2006 17:21 1.268 systemtemp.txt
15.05.2006 17:20 105.584 system32.txt
15.05.2006 16:40 564 TO_InstallLog.txt
15.05.2006 15:27 2.145.386.496 pagefile.sys
15.05.2006 14:27 211 boot.ini
15.05.2006 14:25 47.564 NTDETECT.COM
15.05.2006 14:25 251.184 ntldr
15.05.2006 03:34 0 IO.SYS
15.05.2006 03:34 0 CONFIG.SYS
15.05.2006 03:34 0 AUTOEXEC.BAT
15.05.2006 03:34 0 MSDOS.SYS

#4 pilepale

Laden und alles auf dem Desktop entpacken:

*) spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg

*) Killbox http://www.bleepingcomputer.com/files/killbox.php -> [Anleitung: http://virus-protect.org/killbox.html

*) SmitRem2.8 --> http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok
----------------------------------------------------------------------

2.
killbox
Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\nscompat.tlb
C:\WINDOWS\system32\amcompat.tlb

PC neustarten

---------------------------------
**
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). http://www.bsi.bund.de/av/texte/wiederher.htm

**
Die Datei "spyfalcon.reg" auf dem Desktop doppelklicken --> und mit "ja"/"yes" der Registry beifügen

**
öffne smitRem --> Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

boote wieder in den Normalmodus

**
deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

**
scanne mit superantispyware (free)
http://virus-protect.org/artikel/tools/superantispyware.html

**
berichte
__________
MfG Sabina

rund um die PC-Sicherheit

#5 1.log:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C0D5-140F

Verzeichnis von C:\WINDOWS\system32

27.05.2006 19:42 26.682 nvapps.xml
27.05.2006 19:42 163.328 wsock32.sys
26.05.2006 17:35 184.402 scvhost.exe
26.05.2006 17:35 184.402 RZE582c5xz.ini
26.05.2006 00:55 2.206 wpa.dbl
26.05.2006 00:53 727.359 msiexec16.exe
20.04.2006 19:00 34 oeminfo.ini
13.04.2006 16:01 43.520 CmdLineExt03.dll
02.04.2006 17:55 197.120 RAIN_1024.scr
30.03.2006 19:32 3.284 ANIWZCS{F2D82F01-D25E-4EAD-999A-C2C6C55B69B3}
30.03.2006 19:13 380.350 perfh009.dat
30.03.2006 19:13 52.764 perfc009.dat
30.03.2006 19:13 391.000 perfh007.dat
30.03.2006 19:13 63.580 perfc007.dat
30.03.2006 19:13 897.954 PerfStringBackup.INI
19.03.2006 21:46 1.919 AUTOEXEC.NT
07.02.2006 08:10 110.192 FNTCACHE.DAT


2.log:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C0D5-140F

Verzeichnis von C:\DOKUME~1\MANUEL~1.MAN\LOKALE~1\Temp

27.05.2006 11:47 1.648 jusched.log
27.05.2006 01:56 798.234 IMTA.xml
27.05.2006 01:56 426 IMT9.xml
27.05.2006 01:56 2.036 IMT8.xml
27.05.2006 00:52 0 xx47
27.05.2006 00:52 0 xx44
27.05.2006 00:52 0 xx45
27.05.2006 00:52 0 xx46
27.05.2006 00:52 0 xx48
27.05.2006 00:51 0 xx43
27.05.2006 00:51 0 xx42
27.05.2006 00:51 0 xx41
27.05.2006 00:51 0 xx40
27.05.2006 00:51 0 xx39
27.05.2006 00:50 14.004 xx7
27.05.2006 00:50 2.249 xx8
27.05.2006 00:50 0 xx11
27.05.2006 00:50 0 xx10
27.05.2006 00:50 0 xx9
27.05.2006 00:21 0 xx2
27.05.2006 00:21 0 xx4
27.05.2006 00:21 0 xx6
27.05.2006 00:21 0 xx5
27.05.2006 00:21 0 xx3
26.05.2006 23:48 416 java_install_reg.log
26.05.2006 23:45 426 Acr3.tmp
26.05.2006 12:20 549.228 Gua10.tmp
26.05.2006 12:20 798.234 IMTC.xml
26.05.2006 12:20 426 IMTB.xml
26.05.2006 12:20 16.384 ~DFD086.tmp
26.05.2006 12:20 426 IMT7.xml
26.05.2006 12:20 2.002 IMT6.xml
24.05.2006 00:54 232 1F1205F7.TMP
17.02.2006 16:58 344.064 eauninstall.exe


3.log:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C0D5-140F

Verzeichnis von C:\WINDOWS

27.05.2006 19:43 1.756.882 WindowsUpdate.log
27.05.2006 19:43 0 0.log
27.05.2006 19:42 2.048 bootstat.dat
27.05.2006 19:42 31.802 SchedLgU.Txt
27.05.2006 01:58 49.719 setupapi.log
27.05.2006 01:58 5.682 WGA.log
26.05.2006 01:27 219 uno.ini
26.05.2006 01:27 506 win.ini
26.05.2006 00:28 22.606 DirectX.log
25.05.2006 18:12 50 wiaservc.log
25.05.2006 18:11 216 wiadebug.log
25.05.2006 15:43 116 NeroDigital.ini
23.05.2006 23:35 3.700 wmsetup.log
01.05.2006 17:11 0 setuperr.log
01.05.2006 17:11 0 setupact.log
11.04.2006 20:02 314 nsw.log
19.03.2006 21:46 397 system.ini
04.03.2006 20:43 459 wmsetup10.log
03.03.2006 21:37 3.303 GPlrLanc.dat
03.03.2006 00:50 0 iPlayer.INI


4.log:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C0D5-140F

Verzeichnis von C:\

27.05.2006 19:58 0 sys.txt
27.05.2006 19:57 6.202 system.txt
27.05.2006 19:51 2.033 systemtemp.txt
27.05.2006 19:49 99.143 system32.txt
27.05.2006 19:42 805.306.368 pagefile.sys
02.05.2006 20:23 577.435.648 KANOTIX-2005-04-LITE.iso
01.05.2006 00:14 728.190.976 KNOPPIX_V4.0.2CD-2005-09-23-DE.iso
30.03.2006 18:24 26.884 100PMSLM.EXE
30.03.2006 15:39 8.080.458 SP19066.exe
30.03.2006 15:20 266.715 unzipper.exe
28.03.2006 20:25 8.299.932 dos71cd.zip
23.01.2006 20:57 309 ToCaclLg.txt


so das wars!! vielen dank schomma im voraus für die großartige hilfe!!^^ dikkes lob

#6 peter1234

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

Zitat

C:\WINDOWS\system32\nvapps.xml
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\system32\scvhost.exe
C:\DOKUME~1\MANUEL~1.MAN\LOKALE~1\Temp\xx47
C:\DOKUME~1\MANUEL~1.MAN\LOKALE~1\Temp\xx44
C:\DOKUME~1\MANUEL~1.MAN\LOKALE~1\Temp\xx45
C:\DOKUME~1\MANUEL~1.MAN\LOKALE~1\Temp\xx46
C:\DOKUME~1\MANUEL~1.MAN\LOKALE~1\Temp\xx48
C:\DOKUME~1\MANUEL~1.MAN\LOKALE~1\Temp\xx43
C:\DOKUME~1\MANUEL~1.MAN\LOKALE~1\Temp\xx42
C:\DOKUME~1\MANUEL~1.MAN\LOKALE~1\Temp\xx41
C:\DOKUME~1\MANUEL~1.MAN\LOKALE~1\Temp\xx40
C:\DOKUME~1\MANUEL~1.MAN\LOKALE~1\Temp\xx39
C:\DOKUME~1\MANUEL~1.MAN\LOKALE~1\Temp\xx7
C:\DOKUME~1\MANUEL~1.MAN\LOKALE~1\Temp\xx8
C:\DOKUME~1\MANUEL~1.MAN\LOKALE~1\Temp\xx11
C:\DOKUME~1\MANUEL~1.MAN\LOKALE~1\Temp\xx10
C:\DOKUME~1\MANUEL~1.MAN\LOKALE~1\Temp\xx9
C:\DOKUME~1\MANUEL~1.MAN\LOKALE~1\Temp\xx2
C:\DOKUME~1\MANUEL~1.MAN\LOKALE~1\Temp\xx4
C:\DOKUME~1\MANUEL~1.MAN\LOKALE~1\Temp\xx6
C:\DOKUME~1\MANUEL~1.MAN\LOKALE~1\Temp\xx5
C:\DOKUME~1\MANUEL~1.MAN\LOKALE~1\Temp\xx3
C:\WINDOWS\system32\RZE582c5xz.ini
C:\WINDOWS\system32\msiexec16.exe

PC neustarten

Hijackthis -
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Logfile of HijackThis v1.99.1
Scan saved at 23:57:22, on 27.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\netdde.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\clipsrv.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Advanced Registry Doctor\RegManServ.exe
C:\WINDOWS\system32\SLEE11.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\tlntsvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: PopUpBlocker ; XpTuner2004 - {49E0E0F0-5C30-11D4-945D-000000000010} - C:\PROGRA~1\SIMONT~1\XP-TUN~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [GLSetIT32] C:\windows\system32\msiexec16.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
O16 - DPF: {B3E0F81F-73F8-470B-A56B-D895EFF19260} (ATLF3D Class) - http://www.famous3d.com/viewer/latest/axf3d.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Advanced Registry Doctor\RegManServ.exe
O23 - Service: Windows Firewall/Internet Connection Sharing (ICS) (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Steganos Live Encryption Engine 11 [Service] (SLEE_11_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE11.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe



gut so?? ist das auch normal, dass wenn ich den computer dann wieder hochfahre, eine meldung kommt, dass ich das: C:\WINDOWS\system32\scvhost.exe, gelöscht habe?? und was ist jetzt?? was soll ich jetzt tun? danke ma wieder^^ sabina is die beste!!

#8 peter1234

1.
klick Start -> Ausführen>> schreibe rein: Services.msc und Klick OK!
"Eigenschaften" >> klick "Stop" >> Starttyp "deaktiviert"

Windows Firewall/Internet Connection Sharing (ICS) (SharedAccess)

-----------------------------------------------------------------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}]
[-HKEY_CURRENT_USER\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}]
[-HKEY_CURRENT_USER\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}]
[-HKEY_CURRENT_USER\N.Cs4]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"Generic Host Process"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SHAREDACCESS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SHAREDACCESS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHAREDACCESS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]

Die Datei "fixme.reg" auf dem Desktop doppelklicken - und mit ja/yes der Registry beifuegen

---------------------------------------------------------------------

3.
gehe in die Registry
Start - Ausfuehren - regedit

bearbeiten --> suchen

* Generic Host Process
* scvhost (nicht verwechseln mit svchost.exe !!!!!!!!!!!!!)
* RZE582c5xz.ini

loesche alles , was noch vorhanden ist.

Zitat

[HKEY_CURRENT_USER\Software\VB and VBA Program Settings]
set\
set\
set\
RZE582c5xz.ini

--------------------------------------------------------------------------

4..
öffne das HijackThis -- Button "scan" -- vor dieEinträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [GLSetIT32] C:\windows\system32\msiexec16.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O23 - Service: Windows Firewall/Internet Connection Sharing (ICS) (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\system32\svchost.exe (file missing)

PC neustarten

5.
poste dieses Log
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 habe alles erledigt, außer dass: O4 - HKLM\..\Run:
[Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O23 - Service: Windows Firewall/Internet Connection Sharing (ICS) (SharedAccess) - Unknown owner -
C:\WINDOWS\C:\WINDOWS\system32\svchost.exe (file missing)
nicht in der liste von hijackthis waren und ich diese nicht anklicken konnte.
was soll ich posten? soll ich nochmal einen scan mit hijack machen oder soll ich auf diese adresse:http://virus-protect.org/registry_stuff.html ??
und wenn, was soll ich auf der site posten?

hier mal vorsichtshalber der log von hijack:

Logfile of HijackThis v1.99.1
Scan saved at 11:50:36, on 28.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\netdde.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\clipsrv.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\sessmgr.exe
C:\Programme\Advanced Registry Doctor\RegManServ.exe
C:\WINDOWS\system32\SLEE11.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\tlntsvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: PopUpBlocker ; XpTuner2004 - {49E0E0F0-5C30-11D4-945D-000000000010} - C:\PROGRA~1\SIMONT~1\XP-TUN~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
O16 - DPF: {B3E0F81F-73F8-470B-A56B-D895EFF19260} (ATLF3D Class) - http://www.famous3d.com/viewer/latest/axf3d.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Advanced Registry Doctor\RegManServ.exe
O23 - Service: Steganos Live Encryption Engine 11 [Service] (SLEE_11_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE11.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

#10 lade von dieser seite die zip, entpacke sie, Find_Stuff.bat -> klicken und poste das log
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
doesn't exist HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
doesn't exist HKEY_CURRENT_USER\Software\Microsoft\OLE
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Sicherheitscenter"
"DependOnService"=hex(7):52,70,63,53,73,00,77,69,6e,6d,67,6d,74,00,00
"ObjectName"="LocalSystem"
"Description"="Überwacht Systemsicherheitseinstellungen und -konfigurationen."
"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,53,59,53,54,45,4d,52,4f,4f,54,25,5c,73,79,73,74,65,6d,\
33,32,5c,77,73,63,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"autodisconnect"=dword:0000000f
"enableforcedlogoff"=dword:00000001
"enablesecuritysignature"=dword:00000000
"requiresecuritysignature"=dword:00000000
"NullSessionPipes"=hex(7):43,4f,4d,4e,41,50,00,43,4f,4d,4e,4f,44,45,00,53,51,\
4c,5c,51,55,45,52,59,00,53,50,4f,4f,4c,53,53,00,4c,4c,53,52,50,43,00,62,72,\
6f,77,73,65,72,00,00
"NullSessionShares"=hex(7):43,4f,4d,43,46,47,00,44,46,53,24,00,00
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,73,72,76,73,76,63,2e,64,6c,6c,00
"Lmannounce"=dword:00000000
"Guid"=hex:99,cb,1d,06,5e,91,d0,46,bd,c4,17,34,9d,e4,a6,d4
"AdjustedNullSessionPipes"=dword:00000001
"size"=dword:00000001
"srvcomment"=""


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters]
"enableplaintextpassword"=dword:00000000
"enablesecuritysignature"=dword:00000001
"requiresecuritysignature"=dword:00000000
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,77,6b,73,73,76,63,2e,64,6c,6c,00
"OtherDomains"=hex(7):00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger]
"Type"=dword:00000020
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Nachrichtendienst"
"DependOnService"=hex(7):4c,61,6e,6d,61,6e,57,6f,72,6b,73,74,61,74,69,6f,6e,00,\
4e,65,74,42,49,4f,53,00,50,6c,75,67,50,6c,61,79,00,52,70,63,53,53,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"="Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern. Dieser Dienst ist nicht mit Windows Messenger verwandt. Der Warndienst überträgt keine Nachrichten, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden."
"Start"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,6d,73,67,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\
23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\
02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Enum]
"0"="Root\\LEGACY_MESSENGER\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry]
"Description"="Ermöglicht Remotebenutzern, Registrierungseinstellungen dieses Computers zu verändern. Wenn dieser Dienst beendet wird, kann die Registrierung nur von lokalen Benutzern dieses Computers verändert werden. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können."
"DependOnService"=hex(7):52,50,43,53,53,00,00
"DisplayName"="Remote-Registrierung"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,4c,6f,63,61,6c,53,65,72,\
76,69,63,65,00
"ObjectName"="NT AUTHORITY\\LocalService"
"Group"=""
"Type"=dword:00000020
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,e0,ad,08,\
00,01,00,00,00,e8,03,00,00
"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,\
33,32,5c,72,65,67,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\
23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\
02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry\Enum]
"0"="Root\\LEGACY_REMOTEREGISTRY\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr]
"Type"=dword:00000010
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,\
74,6c,6e,74,73,76,72,2e,65,78,65,00
"DisplayName"="Telnet"
"DependOnService"=hex(7):52,50,43,53,53,00,54,43,50,49,50,00,4e,54,4c,4d,53,53,\
50,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"=hex(2):45,72,6d,f6,67,6c,69,63,68,74,20,65,69,6e,65,6d,20,52,65,\
6d,6f,74,65,62,65,6e,75,74,7a,65,72,2c,20,73,69,63,68,20,61,6e,20,64,69,65,\
73,65,6d,20,43,6f,6d,70,75,74,65,72,20,61,6e,7a,75,6d,65,6c,64,65,6e,20,75,\
6e,64,20,50,72,6f,67,72,61,6d,6d,65,20,61,75,73,7a,75,66,fc,68,72,65,6e,2e,\
20,55,6e,74,65,72,73,74,fc,74,7a,74,20,76,65,72,73,63,68,69,65,64,65,6e,65,\
20,54,43,50,2f,49,50,2d,54,65,6c,6e,65,74,63,6c,69,65,6e,74,73,2c,20,65,69,\
6e,73,63,68,6c,69,65,df,6c,69,63,68,20,55,4e,49,58,2d,62,61,73,69,65,72,74,\
65,6e,20,75,6e,64,20,57,69,6e,64,6f,77,73,2d,62,61,73,69,65,72,74,65,6e,20,\
43,6f,6d,70,75,74,65,72,6e,2e,20,57,65,6e,6e,20,64,69,65,73,65,72,20,44,69,\
65,6e,73,74,20,61,6e,67,65,68,61,6c,74,65,6e,20,77,69,72,64,2c,20,69,73,74,\
20,64,65,72,20,52,65,6d,6f,74,65,7a,75,67,72,69,66,66,20,6d,f6,67,6c,69,63,\
68,65,72,77,65,69,73,65,20,6e,69,63,68,74,20,6d,65,68,72,20,76,65,72,66,fc,\
67,62,61,72,2e,20,57,65,6e,6e,20,64,69,65,73,65,72,20,44,69,65,6e,73,74,20,\
64,65,61,6b,74,69,76,69,65,72,74,20,77,69,72,64,2c,20,6b,f6,6e,6e,65,6e,20,\
61,6c,6c,65,20,44,69,65,6e,73,74,65,2c,20,64,69,65,20,65,78,70,6c,69,7a,69,\
74,20,76,6f,6e,20,64,69,65,73,65,6d,20,44,69,65,6e,73,74,20,61,62,68,e4,6e,\
67,65,6e,2c,20,6e,69,63,68,74,20,6d,65,68,72,20,67,65,73,74,61,72,74,65,74,\
20,77,65,72,64,65,6e,2e,00
"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr\Enum]
"0"="Root\\LEGACY_TLNTSVR\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"DefaultLaunchPermission"=hex:01,00,04,80,5c,00,00,00,6c,00,00,00,00,00,00,00,\
14,00,00,00,02,00,48,00,03,00,00,00,00,00,18,00,1f,00,00,00,01,02,00,00,00,\
00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,\
00,05,04,00,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\
00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,\
20,00,00,00,20,02,00,00
"MachineLaunchRestriction"=hex:01,00,04,80,48,00,00,00,58,00,00,00,00,00,00,00,\
14,00,00,00,02,00,34,00,02,00,00,00,00,00,18,00,1f,00,00,00,01,02,00,00,00,\
00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,\
00,01,00,00,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,\
00,00,00,00,05,20,00,00,00,20,02,00,00
"MachineAccessRestriction"=hex:01,00,04,80,44,00,00,00,54,00,00,00,00,00,00,00,\
14,00,00,00,02,00,30,00,02,00,00,00,00,00,14,00,03,00,00,00,01,01,00,00,00,\
00,00,05,07,00,00,00,00,00,14,00,07,00,00,00,01,01,00,00,00,00,00,01,00,00,\
00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,\
05,20,00,00,00,20,02,00,00
"EnableDCOM"="Y"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat\ActivationSecurityCheckExemptionList]
"{A50398B8-9075-4FBF-A7A1-456BF21937AD}"="1"
"{AD65A69D-3831-40D7-9629-9B0B50A93843}"="1"
"{0040D221-54A1-11D1-9DE0-006097042D69}"="1"
"{2A6D72F1-6E7E-4702-B99C-E40D3DED33C3}"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\NONREDIST]
"System.EnterpriseServices.Thunk.dll"=""


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,6e,77,70,72,6f,76,61,75,\
00,00
"Bounds"=hex:00,30,00,00,00,20,00,00
"Security Packages"=hex(7):6b,65,72,62,65,72,6f,73,00,6d,73,76,31,5f,30,00,73,\
63,68,61,6e,6e,65,6c,00,77,64,69,67,65,73,74,00,00
"ImpersonatePrivilegeUpgradeToolHasRun"=dword:00000001
"LsaPid"=dword:00000348
"SecureBoot"=dword:00000001
"auditbaseobjects"=dword:00000000
"crashonauditfail"=dword:00000000
"disabledomaincreds"=dword:00000000
"everyoneincludesanonymous"=dword:00000000
"fipsalgorithmpolicy"=dword:00000000
"fullprivilegeauditing"=hex:00
"limitblankpassworduse"=dword:00000001
"lmcompatibilitylevel"=dword:00000000
"nodefaultadminowner"=dword:00000001
"nolmhash"=dword:00000000
"restrictanonymous"=dword:00000000
"restrictanonymoussam"=dword:00000001
"Notification Packages"=hex(7):73,63,65,63,6c,69,00,00
"ForceGuest"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders]
"ProviderOrder"=hex(7):57,69,6e,64,6f,77,73,20,4e,54,20,41,63,63,65,73,73,20,\
50,72,6f,76,69,64,65,72,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders\Windows NT Access Provider]
"ProviderPath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,\
33,32,5c,6e,74,6d,61,72,74,61,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing\System]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Data]
"Pattern"=hex:2b,8b,dd,60,56,0f,b7,c2,4d,d8,8c,2e,4e,b1,a7,ee,38,65,34,39,36,\
30,66,34,00,fd,07,00,68,20,00,00,34,fa,07,00,56,82,46,75,20,fa,07,00,40,fd,\
07,00,4c,fd,07,00,94,e4,c1,2b,14,98,49,0a,02,4f,da,8e

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\GBG]
"GrafBlumGroup"=hex:40,a8,52,34,21,32,fa,cd,c3

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\JD]
"Lookup"=hex:02,fc,69,22,01,1e

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Domains]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\SidCache]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]
"Auth132"="IISSUBA"
"ntlmminclientsec"=dword:00000000
"ntlmminserversec"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Skew1]
"SkewMatrix"=hex:c4,ab,85,af,1d,0a,d9,ad,b7,f3,9c,fb,5c,5d,27,fd

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO\Passport1.4]
"SSOURL"="http://www.passport.com"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache]
"Time"=hex:12,ed,2b,5a,f5,1c,c6,01

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\digest.dll]
"Name"="Digest"
"Comment"="Digest SSPI Authentication Package"
"Capabilities"=dword:00004050
"RpcId"=dword:0000ffff
"Version"=dword:00000001
"TokenSize"=dword:0000ffff
"Time"=hex:00,5b,d8,39,ad,79,c4,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msapsspc.dll]
"Name"="DPA"
"Comment"="DPA Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000011
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,0f,9d,3e,ad,79,c4,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msnsspc.dll]
"Name"="MSN"
"Comment"="MSN Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000012
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,3c,ce,3f,ad,79,c4,01
"Type"=dword:00000031


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]



das wars^^ jetz?

#12 1.
gehe in die registry
start -Ausfuehren - regedit

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001 - in 0 aendern

2.
Die XP-Firewall wieder aktivieren [Windows-Firewall/Gemeinsame Nutzung der Internetverbindung]
http://www.wintotal.de/Tipps/Eintrag.php?TID=1157

PC neustarten

3.
poste den report
Onlinescan - Kaspersky
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 firewall wieder aktiviert!! hier der kaspersky report:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Sunday, May 28, 2006 6:04:02 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 28/05/2006
Kaspersky Anti-Virus database records: 185012
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - Folders:
C:\

Scan Statistics:
Total number of scanned objects: 76562
Number of viruses found: 4
Number of infected objects: 59
Number of suspicious objects: 0
Duration of the scan process: 01:30:36

Infected Object Name / Virus Name / Last Action
C:\!KillBox\RZE582c5xz.ini Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\!KillBox\scvhost.exe Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\Dokumente und Einstellungen\Manuel.MANUSPC\Eigene Dateien\ICQ Lite\295597616\bachi_318233696\Fußball 4 ever.exe Infected: not-virus:Hoax.Win32.ComputerSchock skipped
C:\Programme\MediaPipe\api.exe/data0002 Infected: Backdoor.Win32.Agent.so skipped
C:\Programme\MediaPipe\api.exe NSIS: infected - 1 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP93\A0034549.sys Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP93\A0034550.ini Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP93\A0034557.exe Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP93\A0034817.sys Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP93\A0034818.ini Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP93\A0034821.exe Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP93\A0034837.sys Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP93\A0034838.ini Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP93\A0034841.exe Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP93\A0034846.sys Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP93\A0034847.ini Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP93\A0034850.exe Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP93\A0034893.sys Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP93\A0034894.ini Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP93\A0034897.exe Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP93\A0034911.sys Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP93\A0034912.ini Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP93\A0034915.exe Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP94\A0034929.sys Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP94\A0034930.ini Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP94\A0034933.exe Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP94\A0034943.sys Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP94\A0034944.ini Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP94\A0034946.exe Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP94\A0034952.sys Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP94\A0034953.ini Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP94\A0034955.exe Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP94\A0034965.sys Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP94\A0034966.ini Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP94\A0034968.exe Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP94\A0034984.sys Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP94\A0034985.ini Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP94\A0034987.exe Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP95\A0035080.sys Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP95\A0035081.ini Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP95\A0035085.exe Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP95\A0035092.sys Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP95\A0035093.ini Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP95\A0035095.exe Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP95\A0035101.sys Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP95\A0035102.ini Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP95\A0035104.exe Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP95\A0041731.sys Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP95\A0041732.ini Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP95\A0041737.exe Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP95\A0041748.sys Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP95\A0041749.ini Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP95\A0041751.exe Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP95\A0041792.sys Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP95\A0041793.exe Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP95\A0041794.ini Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP95\A0041795.exe Infected: Backdoor.Win32.Optix.Pro.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP95\A0041803.sys Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\_restore{8193C586-3F04-4915-ADE3-531F60303C5C}\RP95\A0041804.exe Infected: Backdoor.Win32.Optix.Pro.13 skipped

Scan process completed.



wie lösche ich jetzt noch die viren, was soll ich danach tun??

#14 1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

2.
C:\!KillBox\RZE582c5xz.ini <-- loeschen ..und alle anderen Dateien, die du in der KillBox findest
C:\!KillBox\scvhost.exe <-- loeschen
C:\Programme\MediaPipe<-- deinstallieren /loeschen

3.
scanne noch mal mit Kaspersky + berichte

4.
aktiviere die systemwiederherstellung wieder
__________
MfG Sabina

rund um die PC-Sicherheit

#15 hier ist nochmal der report von kaspersky, aber ich habe noch ein problem: ich finde diese viren auf meiner festplatte nicht:
C:\!KillBox\RZE582c5xz.ini Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\!KillBox\scvhost.exe Infected: Backdoor.Win32.Ciadoor.13 skipped

wenn ich unter c:/!killbox gehe und öffne, erscheint der ordner leer, aber im log sind diese dateien enthalten...

der report:
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Sunday, May 28, 2006 8:48:03 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 28/05/2006
Kaspersky Anti-Virus database records: 185020
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - Folders:
C:\

Scan Statistics:
Total number of scanned objects: 55268
Number of viruses found: 2
Number of infected objects: 3
Number of suspicious objects: 0
Duration of the scan process: 01:47:47

Infected Object Name / Virus Name / Last Action
C:\!KillBox\RZE582c5xz.ini Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\!KillBox\scvhost.exe Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\Dokumente und Einstellungen\Manuel.MANUSPC\Eigene Dateien\ICQ Lite\295597616\bachi_318233696\Fußball 4 ever.exe Infected: not-virus:Hoax.Win32.ComputerSchock skipped

Scan process completed.