Bitte um Überprüfung meines Logfiles

#1 anbei meine generierte logfile.
Bitte um Überprüfung auf Spyware, Malware und der gleichen.
Danke, Karl


Logfile of HijackThis v1.99.1
Scan saved at 09:33:30, on 08.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Prevx1\PXConsole.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\DitExp.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Microsoft SQL Server\MSSQL$MESONIC\Binn\sqlservr.exe
C:\WINDOWS\system32\niSvcLoc.exe
C:\Programme\Prevx1\PXAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HHVcdV7Sys\VC7SecS.exe
C:\WINDOWS\system32\nipalsm.exe
C:\WINDOWS\system32\nipalsm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\CHARLY\Eigene Dateien\Eigene Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.stargames.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\CanonIP2000\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PrevxOne] C:\Programme\Prevx1\PXConsole.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\CanonIP2000\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\CanonIP2000\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\CanonIP2000\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\CanonIP2000\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {36669D80-D50C-45FA-9675-2A46C5698A6E} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4CD68939-7352-49B8-9A7B-5D1F5B395D13}: NameServer = 195.34.133.10,195.34.133.11
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: nidevldu - National Instruments Corporation - C:\WINDOWS\system32\nipalsm.exe
O23 - Service: NILM License manager - Macrovision Corporation - C:\National Instruments\Shared\License Manager\Bin\lmgrd.exe
O23 - Service: nipxirmu - National Instruments Corporation - C:\WINDOWS\system32\nipalsm.exe
O23 - Service: NI Service Locator (niSvcLoc) - National Instruments - C:\WINDOWS\system32\niSvcLoc.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programme\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: Virtual CD v7 Management Service (VC7SecS) - H+H Software GmbH - C:\Programme\HHVcdV7Sys\VC7SecS.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

#2 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll

poste den bericht
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Unabhängig vom Ergebnis- würde vorschlagen es zu entfernen
Stammt von http://info.prevx.com/downloadremove.asp .. eine der üblichen Seiten, die Malware als Security-Tools anbieten.
(Bei http://www.spywarewarrior.com/rogue_anti-spyware.htm übrigens nicht gelistet)
S.a. http://castlecops.com/CLSID.html
__________
Durchsuchen --> Aussuchen --> Untersuchen

#4 Nun macht mir aber bitte Prevx nicht schlechter, als es ist! Deren Homepage ist relativ aktuell, was die Dateinamen angeht. Leider habe ich das Programm selber noch nicht getestet.

Ich kenne ein/zwei Leute, die fuer die Firma arbeiten. Es gehoert definitiv nicht zur Kategorie "Rogue Anti Spyware"
__________
MfG Ralf
SEO-Spam Hunter

#5 Will das gar nicht anzweifeln, habe es nur so zugehörig gefunden.
http://castlecops.com/tk27925-pxbho_dll.html
Bitdefender/Antivir melden über den Inhalt der Installprevs.exe zumindest nichts verdächtiges...
__________
Durchsuchen --> Aussuchen --> Untersuchen

#6 Ja, genau

Status L BHO

"L" - Legitimate items


__________
MfG Ralf
SEO-Spam Hunter

#7 Prevx wird in der Besucherbewertung ( 5 Sterne) als "very good spyware scanner" angegeben.
Habe diese Programm gestern installiert. Bis dato hat es bei mir 5 Einträge gefunden, die auch schon im Jail ( Quarantäne ) sind:
1. C/Sytem Volume Information/_Restore........./A0000537.exe 63 KB
2. C/Sytem Volume Information/_Restore........./A0000538.exe 8 KB
3. C/Sytem Volume Information/_Restore........./A0000570.exe 164 KB
4. C/Windows/System32/QXKJMCKY.exe 9 KB
5. C/Windows/IP2000/uninstall.exe

Der 5. Eintrag, die uninstall Datei meines Druckers scheint mir suspekt; was meint Ihr dazu?

die Prüfung der Dateien mit Virus Total ergab no virus found.

Ebenso zeigt Spyboot und mehrere Housecalls bei Trend Micro ein einwandfreies System an.

Prevx zeigt mir aber immer noch 1 infizierte Malware nach automatischer Auswertung meines aktuellen Hijack Logfile: Rouge.AS. Checkflow und Datei %Windir%\system32\shdocvw.dll, obwohl auch diese Datei Virus Total als sicher gewertet hat.

Was tun?
Über diese Malware Rouge.AS. Checkflow finde ich auch im Internet nichts.

Bitte um Hilfe,
badcompany1

#8 Korrekt-alles klar. Habe das "malicious" auf "scanner" und nicht auf "scripts" bezogen.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#9 Das werden wohl Fehlalarme sein, da es halt auch ein Nachteil sein kann, so weitgefasst zu scannen. Schick die Datei zu denen ein. Support haben die doch!?
__________
MfG Ralf
SEO-Spam Hunter

#10 Hallo, darf ich mich hier anhängen? ich hab mir auch den 0exmodul.exe eingefangen... sonst noch was? wie bekomm ich das weg? Bitdefender findet nichts.

Logfile of HijackThis v1.99.1
Scan saved at 04:43:53, on 12.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\progra~1\softwin\bitdef~1\bdswitch.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\RauchFrei\RauchFrei.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\FRITZ!\FriVox32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\DOKUME~1\Liane\LOKALE~1\Temp\0exmodul32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Liane\Desktop\Crac*hier nicht!*\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7140B143-A449-4081-BAF5-1B8FEEB5165C} - C:\WINDOWS\system32\lpk32.dll (file missing)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB002" /M "Stylus DX3800"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [BDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "c:\progra~1\softwin\bitdef~1\bdswitch.exe"
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SWR3RauchFrei] "C:\Programme\RauchFrei\RauchFrei.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: FRITZ!vox.lnk = C:\Programme\FRITZ!\FriVox32.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll,-115 - {BB8A8834-A0A1-4d70-A21A-72FF89AA737A} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O9 - Extra 'Tools' menuitem: ImageShack Toolbar - {BB8A8834-A0A1-4d70-A21A-72FF89AA737A} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O9 - Extra button: SchnapperPro - {D6243B39-211B-440E-B4C5-26D2A579CAC8} - C:\Programme\SchnapperPro\SchnapperPro.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://toolbar.imageshack.us
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120452804125
O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - http://toolbar.imageshack.us/toolbar/ImageShackToolbar.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C53D21AB-F298-41B8-818F-A975152064F8} (FTPUploader Control (Printeria Generic)) - http://tools.printeria.de/ftpuploader_printeriagen.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)



Mein datfindbat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1099-18B9
Verzeichnis von C:\WINDOWS\system32
12.06.2006 04:52 81.984 bdod.bin
11.06.2006 19:15 15 getfile.dat
09.06.2006 13:15 45.056 nvsvcd.exe
09.06.2006 10:07 41.112 vsconfig.xml
09.06.2006 10:05 50.257 nvapps.xml
09.06.2006 10:05 2.206 wpa.dbl
30.05.2006 14:07 62 ssDinerDash2.txt
29.05.2006 13:03 228.000 FNTCACHE.DAT
04.05.2006 06:26 5.818.784 MRT.exe
20.04.2006 02:03 4.212 zllictbl.dat
19.04.2006 10:33 157.696 rmoc3260.dll
19.04.2006 10:33 24.576 prefscpl.cpl
19.04.2006 10:33 5.632 pndx5032.dll
19.04.2006 10:33 6.656 pndx5016.dll
19.04.2006 10:33 278.528 pncrt.dll
17.04.2006 17:26 73.728 sockspy.dll
17.04.2006 17:25 77.824 xcomm.dll
17.04.2006 15:06 106.496 ssDinerDash2.scr


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1099-18B9
Verzeichnis von C:\DOKUME~1\Liane\LOKALE~1\Temp
12.06.2006 03:57 60.416 0exmodul32.exe
11.06.2006 04:24 60.416 94exmodul32.exe
11.06.2006 03:29 60.416 95exmodul32.exe
09.06.2006 10:07 16.384 ~DF630B.tmp
4 Datei(en) 197.632 Bytes
0 Verzeichnis(se), 25.616.265.216 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1099-18B9
Verzeichnis von C:\WINDOWS
11.06.2006 17:54 47 wiaservc.log
11.06.2006 17:54 867 wiadebug.log
11.06.2006 14:05 116 NeroDigital.ini
09.06.2006 21:32 110.439 setupapi.log
09.06.2006 17:09 737.280 iun6002.exe
09.06.2006 13:16 1.109.864 WindowsUpdate.log
09.06.2006 13:15 1.212 win.ini
09.06.2006 10:06 0 0.log
09.06.2006 10:05 2.048 bootstat.dat
09.06.2006 10:02 32.414 SchedLgU.Txt
07.06.2006 14:38 17.619 wmsetup.log
07.06.2006 13:34 30 Iedit_.INI
02.06.2006 14:30 54.156 QTFont.qfn
31.05.2006 22:08 1.409 QTFont.for
30.05.2006 13:52 1.020 MKDEMSG.LOG
30.05.2006 13:52 3.072 MKDEWE.TRN
30.05.2006 13:52 59 tdf.dii
30.05.2006 13:52 3.038 tm.ini
28.05.2006 20:48 115 mandant.ini
25.05.2006 19:15 365 ULEAD32.INI
23.05.2006 19:24 171 chssbase.ini
22.05.2006 13:23 12.862 EPISMG00.SWB
10.05.2006 11:59 510.626 iis6.log
10.05.2006 11:59 157.966 comsetup.log
10.05.2006 11:59 94.363 ntdtcsetup.log
10.05.2006 11:59 206.606 tsoc.log
10.05.2006 11:59 1.374 imsins.log
10.05.2006 11:59 23.178 tabletoc.log
10.05.2006 11:59 24.610 ocmsn.log
10.05.2006 11:59 12.162 KB913580.log
10.05.2006 11:59 78.026 netfxocm.log
10.05.2006 11:59 32.939 MedCtrOC.log
10.05.2006 11:59 218.796 ocgen.log
10.05.2006 11:59 22.362 msgsocm.log
10.05.2006 11:59 438.749 FaxSetup.log
10.05.2006 11:59 140.702 msmqinst.log
10.05.2006 11:59 38.344 updspapi.log
26.04.2006 10:44 1.374 imsins.BAK
26.04.2006 10:44 11.223 KB900485.log
26.04.2006 10:43 28.120 KB908531.log
21.04.2006 22:18 17 Missing.ini
20.04.2006 07:19 30.772 spupdsvc.log
20.04.2006 07:14 17.822 KB911562.log
20.04.2006 07:13 20.392 KB912812.log
20.04.2006 07:12 12.659 KB911565.log
20.04.2006 07:10 14.189 KB911567.log
17.04.2006 19:37 13.115 LUINSTALL.LOG
07.04.2006 16:32 37 popcinfo.dat
06.04.2006 07:50 576 CDPlayer.ini


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1099-18B9
Verzeichnis von C:\
12.06.2006 04:56 0 sys.txt
12.06.2006 04:56 10.949 system.txt
12.06.2006 04:56 450 systemtemp.txt
12.06.2006 04:56 113.865 system32.txt
09.06.2006 10:05 536.399.872 hiberfil.sys
09.06.2006 10:05 805.306.368 pagefile.sys
28.05.2006 20:48 15 mandant.ini
27.05.2006 21:30 81 CTX.DAT
13.03.2006 15:36 211 boot.ini
21.10.2005 23:18 3.695 TDSLCheck.txt
03.09.2005 00:39 9.426.512 Chainz2Install.exe
25.04.2005 17:40 139 streetflyter.sav

#11 Pamina

Information:Backdoor.Win32.IRCBot.nw
http://virus-protect.org/artikel/dienste/nvsvcd.html

-------------------------------------------------------------------------

0.
Start -> Ausführen --> schreib rein: notepad -- klicke OK. oder , falls das Kommando nicht stimmt, öffne den Editor....
Dann kopiere folgenden Text rein:

Zitat

sc stop Windows Log
sc delete Windows Log
del delete.bat

Auf dem Desktop abspeichern [Gebe bei Dateityp 'Alle Dateien' an.] als delete.bat --> Doppeltklicken

----------------------------------------------------------------------------

1.
öffne das HijackThis -- Button "scan" -- vor Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {7140B143-A449-4081-BAF5-1B8FEEB5165C} - C:\WINDOWS\system32\lpk32.dll (file missing)
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

PC neustarten

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log

Files to delete:
C:\Dokumente und Einstellungen\Liane\Lokale Einstellungen\Temp\0exmodul32.exe
C:\Dokumente und Einstellungen\Liane\Lokale Einstellungen\Temp\94exmodul32.exe
C:\Dokumente und Einstellungen\Liane\Lokale Einstellungen\Temp\95exmodul32.exe
C:\WINDOWS\system32\nvsvcd.exe
C:\Temp\data.exe
C:\WINDOWS\system\smss.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste den report vom Avenger, der erscheint


3.
scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

4.
poste das log vom stuff
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Teil 1... Rest folgt nach fertigstellung

Avenger report

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\kqvarcun

*******************

Script file located at: \??\C:\WINDOWS\pxvycljj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_LOG\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_LOG\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_LOG\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Liane\Lokale Einstellungen\Temp\0exmodul32.exe not found!
Deletion of file C:\Dokumente und Einstellungen\Liane\Lokale Einstellungen\Temp\0exmodul32.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\Liane\Lokale Einstellungen\Temp\0exmodul32.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Liane\Lokale Einstellungen\Temp\94exmodul32.exe not found!
Deletion of file C:\Dokumente und Einstellungen\Liane\Lokale Einstellungen\Temp\94exmodul32.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\Liane\Lokale Einstellungen\Temp\94exmodul32.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Liane\Lokale Einstellungen\Temp\95exmodul32.exe not found!
Deletion of file C:\Dokumente und Einstellungen\Liane\Lokale Einstellungen\Temp\95exmodul32.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\Liane\Lokale Einstellungen\Temp\95exmodul32.exe
Status: 0xc0000034

File C:\WINDOWS\system32\nvsvcd.exe deleted successfully.


File C:\Temp\data.exe not found!
Deletion of file C:\Temp\data.exe failed!

Could not process line:
C:\Temp\data.exe
Status: 0xc0000034

File C:\WINDOWS\system\smss.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

#13 Pamina

scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

poste das log vom stuff
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit

#14 ;-) ich sagte ja, Rest folgt. Danke für deine Hilfe!

Monday, June 12, 2006 7:40:55 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 12/06/2006
Kaspersky Anti-Virus database records: 187994


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\

Scan Statistics
Total number of scanned objects 116021
Number of viruses found 5
Number of infected objects 14
Number of suspicious objects 0
Duration of the scan process 03:18:36

Infected Object Name Virus Name Last Action
C:\Dokumente und Einstellungen\Liane\Eigene Dateien\Liane\xxxx_WinALL.exe/data0004 Infected: Trojan-Clicker.Win32.VB.jx skipped

C:\Dokumente und Einstellungen\Liane\Eigene Dateien\Liane\xxxx_WinALL.exe NSIS: infected - 1 skipped hab ich schon gelöscht...

C:\System Volume Information\_restore{CBDE5B80-4F7E-46DF-96F6-3B1DFF93331A}\RP498\A0051651.exe/run.exe Infected: Trojan-Downloader.Win32.Harnig.bg skipped

C:\System Volume Information\_restore{CBDE5B80-4F7E-46DF-96F6-3B1DFF93331A}\RP498\A0051651.exe ZIP: infected - 1 skipped

C:\System Volume Information\_restore{CBDE5B80-4F7E-46DF-96F6-3B1DFF93331A}\RP500\A0051727.exe/stream Infected: Trojan-Downloader.Win32.IstBar.no skipped

C:\System Volume Information\_restore{CBDE5B80-4F7E-46DF-96F6-3B1DFF93331A}\RP500\A0051727.exe NSIS: infected - 1 skipped

C:\System Volume Information\_restore{CBDE5B80-4F7E-46DF-96F6-3B1DFF93331A}\RP500\A0051727.exe UPX: infected - 1 skipped

C:\System Volume Information\_restore{CBDE5B80-4F7E-46DF-96F6-3B1DFF93331A}\RP517\A0054688.exe Infected: Trojan-Downloader.Win32.Agent.aiq skipped

C:\System Volume Information\_restore{CBDE5B80-4F7E-46DF-96F6-3B1DFF93331A}\RP517\A0054690.exe Infected: Trojan-Downloader.Win32.Agent.aiq skipped

C:\System Volume Information\_restore{CBDE5B80-4F7E-46DF-96F6-3B1DFF93331A}\RP517\A0054691.exe Infected: Trojan-Downloader.Win32.Agent.aiq skipped

C:\System Volume Information\_restore{CBDE5B80-4F7E-46DF-96F6-3B1DFF93331A}\RP517\A0054692.exe Infected: Trojan-Downloader.Win32.Agent.aiq skipped

C:\System Volume Information\_restore{CBDE5B80-4F7E-46DF-96F6-3B1DFF93331A}\RP517\A0054693.exe Infected: Trojan-Downloader.Win32.Agent.aiq skipped

C:\System Volume Information\_restore{CBDE5B80-4F7E-46DF-96F6-3B1DFF93331A}\RP518\A0054956.reg Infected: Trojan.Win32.Inject.y skipped

C:\System Volume Information\_restore{CBDE5B80-4F7E-46DF-96F6-3B1DFF93331A}\RP518\A0054958.reg Infected: Trojan.Win32.Inject.y skipped

Scan process completed.




doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
doesn't exist HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
doesn't exist HKEY_CURRENT_USER\Software\Microsoft\OLE
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00
"DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00
"Description"="Bietet allen Computern in Heim- und kleinen Firmennetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz."
"DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00005c78

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000
"DoNotAllowExceptions"=dword:00000000
"DisableNotifications"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Liane\\runblack.exe"="D:\\Liane\\runblack.exe:*:Enabled:lh"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Liane\\LOKALE~1\\Temp\\16exmodul32.exe"="C:\\DOKUME~1\\Liane\\LOKALE~1\\Temp\\16exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Liane\\LOKALE~1\\Temp\\29exmodul32.exe"="C:\\DOKUME~1\\Liane\\LOKALE~1\\Temp\\29exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Liane\\LOKALE~1\\Temp\\15exmodul32.exe"="C:\\DOKUME~1\\Liane\\LOKALE~1\\Temp\\15exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Liane\\LOKALE~1\\Temp\\65exmodul32.exe"="C:\\DOKUME~1\\Liane\\LOKALE~1\\Temp\\65exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Liane\\LOKALE~1\\Temp\\95exmodul32.exe"="C:\\DOKUME~1\\Liane\\LOKALE~1\\Temp\\95exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Liane\\LOKALE~1\\Temp\\94exmodul32.exe"="C:\\DOKUME~1\\Liane\\LOKALE~1\\Temp\\94exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Liane\\LOKALE~1\\Temp\\0exmodul32.exe"="C:\\DOKUME~1\\Liane\\LOKALE~1\\Temp\\0exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


edit



#15 1.
loesche:

C:\Dokumente und Einstellungen\Liane\Eigene Dateien\Liane\xxxx_WinALL.exe

2.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

3.
gehe in die Registry
start - Ausfuehren - regedit

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001 -> auf 0 aendern

------

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000 -> auf 1 aendern

------

bearbeiten - suchen -- alle diese exmodul.. und aus der registry rausloeschen

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List]

C:\DOKUME~1\Liane\LOKALE~1\Temp\29exmodul32.exe
C:\DOKUME~1\Liane\\LOKALE~1\Temp\\15exmodul32.exe
C:\DOKUME~1\Liane\\LOKALE~1\Temp\\65exmodul32.exe
C:\DOKUME~1\Liane\\LOKALE~1\Temp\\95exmodul32.exe
C:\DOKUME~1\Liane\\LOKALE~1\Temp\\94exmodul32.exe
C:\DOKUME~1\Liane\\LOKALE~1\Temp\\0exmodul32.exe

pc neustarten
__________
MfG Sabina

rund um die PC-Sicherheit