Viren/Trojanerbefall eraseme_... Datei mit Backdoor.Win32-Virus |
||
---|---|---|
#0
| ||
25.07.2006, 20:03
...neu hier
Beiträge: 4 |
||
|
||
26.07.2006, 14:37
Ehrenmitglied
Beiträge: 29434 |
#2
der virus hat dienste erstellt...die muessen geloescht werden:
Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) TskScheduler in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. gleiches mit: WmDmPsp DLTC nlsys32.exe taskshed.exe sysdtc32.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.07.2006, 19:55
...neu hier
Themenstarter Beiträge: 4 |
#3
Hi Sabina,
erst einmal vielen Dank für deine Antwort. Hier sind die gewünschten Logs: REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 26.07.2006 19:42:27 for strings: ; 'tskscheduler' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TSKSCHEDULER] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TSKSCHEDULER\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TSKSCHEDULER\0000] "Service"="TskScheduler" "DeviceDesc"="TskScheduler" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TskScheduler] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TskScheduler] "DisplayName"="TskScheduler" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TskScheduler\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TskScheduler\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TskScheduler\Enum] "0"="Root\\LEGACY_TSKSCHEDULER\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TSKSCHEDULER] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TSKSCHEDULER\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TSKSCHEDULER\0000] "Service"="TskScheduler" "DeviceDesc"="TskScheduler" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TskScheduler] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TskScheduler] "DisplayName"="TskScheduler" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TskScheduler\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSKSCHEDULER] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSKSCHEDULER\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSKSCHEDULER\0000] "Service"="TskScheduler" "DeviceDesc"="TskScheduler" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TskScheduler] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TskScheduler] "DisplayName"="TskScheduler" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TskScheduler\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TskScheduler\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TskScheduler\Enum] "0"="Root\\LEGACY_TSKSCHEDULER\\0000" ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 26.07.2006 19:47:15 for strings: ; 'wmdmpsp' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMDMPSP] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMDMPSP\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMDMPSP\0000] "Service"="WmDmPsp" "DeviceDesc"="WmDmPsp" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmDmPsp] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmDmPsp] "DisplayName"="WmDmPsp" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmDmPsp\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmDmPsp\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmDmPsp\Enum] "0"="Root\\LEGACY_WMDMPSP\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WMDMPSP] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WMDMPSP\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WMDMPSP\0000] "Service"="WmDmPsp" "DeviceDesc"="WmDmPsp" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WmDmPsp] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WmDmPsp] "DisplayName"="WmDmPsp" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WmDmPsp\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPSP] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPSP\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPSP\0000] "Service"="WmDmPsp" "DeviceDesc"="WmDmPsp" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmDmPsp] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmDmPsp] "DisplayName"="WmDmPsp" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmDmPsp\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmDmPsp\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmDmPsp\Enum] "0"="Root\\LEGACY_WMDMPSP\\0000" ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 26.07.2006 19:49:56 for strings: ; 'dltc' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DLTC] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DLTC\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DLTC\0000] "Service"="DLTC" "DeviceDesc"="DLTC(dltc)" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DLTC] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DLTC] "DisplayName"="DLTC(dltc)" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DLTC\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DLTC\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DLTC\Enum] "0"="Root\\LEGACY_DLTC\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DLTC] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DLTC\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DLTC\0000] "Service"="DLTC" "DeviceDesc"="DLTC(dltc)" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DLTC] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DLTC] "DisplayName"="DLTC(dltc)" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DLTC\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLTC] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLTC\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLTC\0000] "Service"="DLTC" "DeviceDesc"="DLTC(dltc)" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DLTC] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DLTC] "DisplayName"="DLTC(dltc)" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DLTC\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DLTC\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DLTC\Enum] "0"="Root\\LEGACY_DLTC\\0000" ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 26.07.2006 19:52:54 for strings: ; 'nlsys32.exe' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DLTC] ; Contents of value: ; "c:\winnt\system32\nlsys32.exe" "ImagePath"=hex(2):22,43,3a,5c,57,49,4e,4e,54,5c,73,79,73,74,65,6d,33,32,5c,6e,\ 6c,73,79,73,33,32,2e,65,78,65,22,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DLTC] ; Contents of value: ; "c:\winnt\system32\nlsys32.exe" "ImagePath"=hex(2):22,43,3a,5c,57,49,4e,4e,54,5c,73,79,73,74,65,6d,33,32,5c,6e,\ 6c,73,79,73,33,32,2e,65,78,65,22,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DLTC] ; Contents of value: ; "c:\winnt\system32\nlsys32.exe" "ImagePath"=hex(2):22,43,3a,5c,57,49,4e,4e,54,5c,73,79,73,74,65,6d,33,32,5c,6e,\ 6c,73,79,73,33,32,2e,65,78,65,22,00 ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 26.07.2006 19:55:29 for strings: ; 'taskshed.exe' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TskScheduler] ; Contents of value: ; "c:\winnt\taskshed.exe" "ImagePath"=hex(2):22,43,3a,5c,57,49,4e,4e,54,5c,74,61,73,6b,73,68,65,64,2e,65,\ 78,65,22,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TskScheduler] ; Contents of value: ; "c:\winnt\taskshed.exe" "ImagePath"=hex(2):22,43,3a,5c,57,49,4e,4e,54,5c,74,61,73,6b,73,68,65,64,2e,65,\ 78,65,22,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TskScheduler] ; Contents of value: ; "c:\winnt\taskshed.exe" "ImagePath"=hex(2):22,43,3a,5c,57,49,4e,4e,54,5c,74,61,73,6b,73,68,65,64,2e,65,\ 78,65,22,00 ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 26.07.2006 19:58:02 for strings: ; 'sysdtc32.exe' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmDmPsp] ; Contents of value: ; "c:\winnt\system32\sysdtc32.exe" "ImagePath"=hex(2):22,43,3a,5c,57,49,4e,4e,54,5c,73,79,73,74,65,6d,33,32,5c,73,\ 79,73,64,74,63,33,32,2e,65,78,65,22,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WmDmPsp] ; Contents of value: ; "c:\winnt\system32\sysdtc32.exe" "ImagePath"=hex(2):22,43,3a,5c,57,49,4e,4e,54,5c,73,79,73,74,65,6d,33,32,5c,73,\ 79,73,64,74,63,33,32,2e,65,78,65,22,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmDmPsp] ; Contents of value: ; "c:\winnt\system32\sysdtc32.exe" "ImagePath"=hex(2):22,43,3a,5c,57,49,4e,4e,54,5c,73,79,73,74,65,6d,33,32,5c,73,\ 79,73,64,74,63,33,32,2e,65,78,65,22,00 ; End Of The Log... Viele Grüße, Frank |
|
|
||
26.07.2006, 20:02
Ehrenmitglied
Beiträge: 29434 |
#4
Zitat O23 - Service: DLTC(dltc) (DLTC) - Unknown owner - C:\WINNT\system32\nlsys32.exe (file missing)wahrscheinlich sind die exe schon nicht mehr vorhanden - dennoch versuche es: virustotal Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten http://www.virustotal.com/flash/index_en.html C:\WINNT\system32\nlsys32.exe C:\WINNT\taskshed.exe C:\WINNT\system32\sysdtc32.exe berichte................ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.07.2006, 20:19
...neu hier
Themenstarter Beiträge: 4 |
#5
Die Dateien sind in der Tat nicht mehr da.
Soll ich noch irgendetwas unternehmen oder ist der Spuk jetzt ausgestanden? Viele Grüße, Frank |
|
|
||
27.07.2006, 15:53
Ehrenmitglied
Beiträge: 29434 |
#6
wappi
Information http://virus-protect.org/artikel/dienste/taskshed_nlsys32_sysdtc32.html --------------------------------------------------------------------- 1. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log vom avenger, was nach neustart erscheint 2. scanne mit kaspersky und poste hier den scanreport http://virus-protect.org/onlinescan.html ---------------------------------------------------------------- 3. Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) remon in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.07.2006, 14:14
...neu hier
Themenstarter Beiträge: 4 |
#7
Hallo sabina,
hier das Log vom Avenger: ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\hdpshrpe ******************* Script file located at: \??\C:\WINNT\amsesyfi.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TSKSCHEDULER deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TskScheduler deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TSKSCHEDULER deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TskScheduler deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSKSCHEDULER not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSKSCHEDULER failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSKSCHEDULER Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TskScheduler not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TskScheduler failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TskScheduler Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMDMPSP deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmDmPsp deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WMDMPSP deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WmDmPsp deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPSP not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPSP failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPSP Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmDmPsp not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmDmPsp failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmDmPsp Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DLTC deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DLTC deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DLTC deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DLTC deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLTC\0000 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLTC\0000 failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLTC\0000 Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DLTC not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DLTC failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DLTC Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. Kaspersky: ------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER REPORT Saturday, July 29, 2006 2:13:46 PM Operating System: Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195) Kaspersky Online Scanner version: 5.0.83.0 Kaspersky Anti-Virus database last update: 29/07/2006 Kaspersky Anti-Virus database records: 197244 ------------------------------------------------------------------------------- Scan Settings: Scan using the following antivirus database: standard Scan Archives: true Scan Mail Bases: true Scan Target - Critical Areas: C:\WINNT C:\DOKUME~1\Gesche1\LOKALE~1\Temp\ Scan Statistics: Total number of scanned objects: 11652 Number of viruses found: 0 Number of infected objects: 0 / 0 Number of suspicious objects: 0 Duration of the scan process: 00:38:38 Infected Object Name / Virus Name / Last Action C:\WINNT\Debug\ipsecpa.log Object is locked skipped C:\WINNT\Debug\oakley.log Object is locked skipped C:\WINNT\Debug\PASSWD.LOG Object is locked skipped C:\WINNT\SoftwareDistribution\ReportingEvents.log Object is locked skipped C:\WINNT\Sti_Trace.log Object is locked skipped C:\WINNT\system32\config\AppEvent.Evt Object is locked skipped C:\WINNT\system32\config\default Object is locked skipped C:\WINNT\system32\config\default.LOG Object is locked skipped C:\WINNT\system32\config\SAM Object is locked skipped C:\WINNT\system32\config\SAM.LOG Object is locked skipped C:\WINNT\system32\config\SecEvent.Evt Object is locked skipped C:\WINNT\system32\config\SECURITY Object is locked skipped C:\WINNT\system32\config\SECURITY.LOG Object is locked skipped C:\WINNT\system32\config\software Object is locked skipped C:\WINNT\system32\config\software.LOG Object is locked skipped C:\WINNT\system32\config\SysEvent.Evt Object is locked skipped C:\WINNT\system32\config\system Object is locked skipped C:\WINNT\system32\config\SYSTEM.ALT Object is locked skipped C:\WINNT\Temp\tmp000078ef\tmp00000000 Object is locked skipped C:\WINNT\WindowsUpdate.log Object is locked skipped Scan process completed. log regsearch: REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 29.07.2006 14:16:11 for strings: ; 'remon' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... |
|
|
||
29.07.2006, 16:03
Ehrenmitglied
Beiträge: 29434 |
#8
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml 1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta". 2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren 3. Installiere diese ActiveX-Komponente 4. Lies die Anleitung und klicke: "Accept" 5. Klicke "Full System Scan" 6. klicke "Show report" - kopiere den Scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.08.2006, 12:43
...neu hier
Beiträge: 3 |
#9
hallo,
da mein problem ähnlich ist, versuche ich hier meine frage loszuwerden. muss vorausschicken, dass ich wirklich keine ahnung von computern oder irgendwelchen registrierungen habe. ich mache regelmäßig die windows updates und die meiner firewall (zone alarm) und meines antivirusprogrammes (avira antivirpersonaledition). zum problem: war drei wochen nicht an meinem rechner, komme gerade wieder, schalte ihn an, internet geht dann auch automatisch an und eine tabelle erscheint, wo ich backdoor.win lese und er sei in der quarantäne und ich solle ihn löschen, was ich gemacht habe. leider weiß ich nicht, ob zone alarm oder antivir anging, da ich so überstürzt auf löschen gedrückt habe. in keinem von beiden programme konnte ich den vorgang nachvollziehen, als hätte er nie stattgefunden. jetzt habe ich verschiedene programme mir runtergeladen und gescannt, aber keiner findet was (adaware und spybot). meine frage: war der trojaner auf meinem rechner oder wurde er gleich abgefangen? wie soll ich mich verhalten, kann ich unbeschadet weiter ins internet gehen, kann ich noch online banking machen. vermutlich sagt die bezeichnung backdoor. win nicht viel aus, habe schon gesehen, dass heir immer noch namensanhänge auftauchen, aber ich habe leider nur diese informationen. wenn ihr mir netterweise antwortet, bedenkt bitt, ich bin absolut unwissen ;-) danke und herzliche grüße. ps: gerade scanne ich noch mit windowsdefender und stinger und spywarefigther, aber die finden wohl auch nichts... |
|
|
||
24.08.2006, 12:51
Ehrenmitglied
Beiträge: 29434 |
#10
Leeloo
poste hier diese logs, dann sehe ich nach http://board.protecus.de/t23188.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.08.2006, 22:49
...neu hier
Beiträge: 3 |
#11
hallo sabina,
vielen dank. habe der ersten punkt aus diesem post gemacht, hoffentlich richtig. Logfile of HijackThis v1.99.1 Scan saved at 22:50:24, on 24.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE C:\WINDOWS\Mixer.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe C:\Programme\Logitech\SetPoint\KEM.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE D:\Fotoprogramme\Casio\Plauto.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\SPYWAREfighter\spfprc.exe C:\Programme\Windows Defender\MsMpEng.exe C:\Programme\Windows Defender\MSASCui.exe C:\Programme\Opera8\Opera.exe C:\Eigene Programme\WinZip\WINZIP32.EXE C:\unzipped\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spfprc.exe O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O4 - Global Startup: Photo Loader resident.lnk = D:\Fotoprogramme\Casio\Plauto.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe grüße, leeloo so, schritt zwei ausgeführt, allerdings weiß ich nicht, ob die temporären dateien gelöscht wurden, da kein fenster aufging, um das system neu zu starten, habe gescannt, dann kam wieder sowas wie eine logdatei und dann bin ich auf schließen und habe danach den rechner selber manuell neu gestartet. zum punkt drei: hier ist das scan-ergebnis: Anja K - 06-08-24 23:15:25,46 ComboFix 06.08.24 - Running from: C:\Programme\Opera8 (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\winsys.exe ((((((((((((((((((((((((((((((( Files Created from 2006-07-24 to 2006-08-24 )))))))))))))))))))))))))))))))))) No new files created in this timespan (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-08-24 23:14 -------- d-------- C:\Programme\Opera8 2006-08-24 23:04 -------- d-------- C:\Programme\CleanUp! 2006-08-24 12:22 -------- d-------- C:\Programme\Windows Defender 2006-08-24 12:22 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared 2006-08-24 12:14 -------- d-------- C:\Programme\SPYWAREfighter 2006-08-24 12:13 -------- d-------- C:\Programme\Gemeinsame Dateien\Application 2006-08-24 12:13 -------- d-------- C:\Programme\Gemeinsame Dateien 2006-08-24 11:50 -------- d-------- C:\Programme\Kaspersky Lab 2006-08-20 20:02 -------- d-------- C:\Programme\Lavasoft 2006-08-20 20:02 -------- d-------- C:\Dokumente und Einstellungen\Anja K\Anwendungsdaten\Lavasoft 2006-08-20 09:58 -------- d-------- C:\Programme\Internet Explorer 2006-07-29 23:50 28256 --a------ C:\WINDOWS\system32\drivers\MxlW2k.sys 2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll 2006-07-26 19:28 -------- d-------- C:\Programme\Yahoo! 2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll 2006-07-21 10:18 -------- d-------- C:\Programme\CASIO 2006-07-02 16:43 -------- d-------- C:\Dokumente und Einstellungen\Anja K\Anwendungsdaten\AdobeUM 2006-06-26 20:20 -------- d--h----- C:\Programme\InstallShield Installation Information 2006-06-26 20:20 -------- d-------- C:\Programme\Google 2006-06-24 09:40 57384 --a------ C:\WINDOWS\system32\avsda.dll 2006-06-20 23:33 42920 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll 2006-06-12 13:03 17078 --a------ C:\Dokumente und Einstellungen\Anja K\Anwendungsdaten\ViewerTN2.tn 2006-06-12 13:02 836 --a------ C:\Dokumente und Einstellungen\Anja K\Anwendungsdaten\ViewerApp.dat (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb04.exe" "PRISMSVR.EXE"="\"C:\\Programme\\Siemens\\Gigaset USB Adapter 54\\PRISMSVR.EXE\" /APPLY" "C-Media Mixer"="Mixer.exe /startup" "KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\ 65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00 "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup" "NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit" "Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\"" "MSConfig"="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\MSConfig.exe /auto" "spywarefighterguard"="C:\\Programme\\SPYWAREfighter\\spfprc.exe" @="" "Windows Defender"="\"C:\\Programme\\Windows Defender\\MSASCui.exe\" -hide" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000005 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,e6,00,00,00,00,00,00,00,9a,03,00,00,42,03,\ 00,00,04,00,00,40 "RestoredStateInfo"=hex:18,00,00,00,e6,00,00,00,00,00,00,00,9a,03,00,00,42,03,\ 00,00,01,00,00,00 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"="Microsoft AntiMalware ShellExecuteHook" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Gamma Loader.lnk" "backup"="C:\\WINDOWS\\pss\\Adobe Gamma Loader.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE " "item"="Adobe Gamma Loader" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk" "backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\Adobe\\ACROBA~2.0\\Reader\\READER~1.EXE " "item"="Adobe Reader - Schnellstart" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AOL 8.0 Tray-Symbol.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\AOL 8.0 Tray-Symbol.lnk" "backup"="C:\\WINDOWS\\pss\\AOL 8.0 Tray-Symbol.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\AOL8~1.0\\aoltray.exe -check" "item"="AOL 8.0 Tray-Symbol" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Logitech Desktop Messenger.lnk" "backup"="C:\\WINDOWS\\pss\\Logitech Desktop Messenger.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\Logitech\\DESKTO~1\\8876480\\Program\\LDMConf.exe /start" "item"="Logitech Desktop Messenger" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk" "backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\MICROS~3\\Office10\\OSA.EXE -b -l" "item"="Microsoft Office" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Photo Loader resident.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Photo Loader resident.lnk" "backup"="C:\\WINDOWS\\pss\\Photo Loader resident.lnkCommon Startup" "location"="Common Startup" "command"="D:\\FOTOPR~1\\Casio\\Plauto.exe " "item"="Photo Loader resident" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Picture Package Menu.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Picture Package Menu.lnk" "backup"="C:\\WINDOWS\\pss\\Picture Package Menu.lnkCommon Startup" "location"="Common Startup" "command"="D:\\FOTOPR~1\\Sony\\PICTUR~3\\SonyTray.exe " "item"="Picture Package Menu" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Picture Package VCD Maker.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Picture Package VCD Maker.lnk" "backup"="C:\\WINDOWS\\pss\\Picture Package VCD Maker.lnkCommon Startup" "location"="Common Startup" "command"="D:\\FOTOPR~1\\Sony\\PICTUR~1\\RESIDE~1.EXE -h" "item"="Picture Package VCD Maker" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^Anja K^Startmenü^Programme^Autostart^SmartSurfer.lnk] "path"="C:\\Dokumente und Einstellungen\\Anja K\\Startmenü\\Programme\\Autostart\\SmartSurfer.lnk" "backup"="C:\\WINDOWS\\pss\\SmartSurfer.lnkStartup" "location"="Startup" "command"="C:\\PROGRA~1\\WEBDE\\SMARTS~1.1\\SMARTS~1.EXE -m" "item"="SmartSurfer" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ASUS Probe] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="AsusProb" "hkey"="HKLM" "command"="C:\\Program Files\\ASUS\\Probe\\AsusProb.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ATIPTA] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="atiptaxx" "hkey"="HKLM" "command"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ccRegVfy] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ccRegVfy" "hkey"="HKLM" "command"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccRegVfy.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\CTFMON.EXE] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ctfmon" "hkey"="HKCU" "command"="C:\\WINDOWS\\System32\\ctfmon.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Device Detector] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="DevDetect" "hkey"="HKLM" "command"="\"C:\\Programme\\Gemeinsame Dateien\\ACD Systems\\DE\\DevDetect.exe\" -autorun" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\GhostStartTrayApp] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="GhostStartTrayApp" "hkey"="HKLM" "command"="C:\\Eigene Programme\\Norton SystemWorks\\Norton Ghost\\GhostStartTrayApp.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\IntelliType] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="type32" "hkey"="HKLM" "command"="\"C:\\Programme\\Microsoft Hardware\\Keyboard\\type32.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\LDM] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="BackWeb-8876480" "hkey"="HKCU" "command"="C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\BackWeb-8876480.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Logitech Hardware Abstraction Layer] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="KHALMNPR" "hkey"="HKLM" "command"="KHALMNPR.EXE" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Message-Bob] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="Message-Bob" "hkey"="HKCU" "command"="C:\\Programme\\Message-Bob\\Message-Bob.exe /a" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\mmtask] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="mmtask" "hkey"="HKLM" "command"="C:\\Programme\\MUSICMATCH\\MUSICMATCH Jukebox\\mmtask.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MMTray] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="mm_tray" "hkey"="HKLM" "command"="C:\\Programme\\MUSICMATCH\\MUSICMATCH Jukebox\\mm_tray.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NeroFilterCheck] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="NeroCheck" "hkey"="HKLM" "command"="C:\\WINDOWS\\system32\\NeroCheck.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NVMixerTray] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="NVMixerTray" "hkey"="HKLM" "command"="\"C:\\Programme\\NVIDIA Corporation\\NvMixer\\NVMixerTray.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\nwiz] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="nwiz" "hkey"="HKLM" "command"="nwiz.exe /install" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\POINTER] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="point32" "hkey"="HKLM" "command"="point32.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\QuickTime Task] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="qttask" "hkey"="HKLM" "command"="\"C:\\Eigene Programme\\QuickTime\\qttask.exe\" -atboottime" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\RealTray] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="RealPlay" "hkey"="HKLM" "command"="C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SW20] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="sw20" "hkey"="HKLM" "command"="C:\\WINDOWS\\system32\\sw20.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SW24] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="sw24" "hkey"="HKLM" "command"="C:\\WINDOWS\\system32\\sw24.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Symantec NetDriver Monitor] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="SNDMon" "hkey"="HKLM" "command"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\TkBellExe] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="realsched" "hkey"="HKLM" "command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\services] "Speed Disk service"=dword:00000002 "SNDSrvc"=dword:00000003 "NProtectService"=dword:00000002 "IDriverT"=dword:00000003 "GhostStartService"=dword:00000002 "ATI Smart"=dword:00000002 "Ati HotKey Poller"=dword:00000002 Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\MP Scheduled Scan.job C:\WINDOWS\tasks\Norton SystemWorks One Button Checkup.job C:\WINDOWS\tasks\Symantec NetDetect.job Completion time: 24.08.2006 23:18:19.92 ComboFix.txt gruß, leeloo so, und zuletzt noch schritt vier: hier die ergebnisse: 1. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A03F-055A Verzeichnis von C:\WINDOWS\system32 24.08.2006 23:06 311.604 perfh009.dat 24.08.2006 23:06 39.992 perfc009.dat 24.08.2006 23:06 48.156 perfc007.dat 24.08.2006 23:06 316.594 perfh007.dat 24.08.2006 23:06 723.744 PerfStringBackup.INI 24.08.2006 23:03 12.598 wpa.dbl 24.08.2006 23:02 54.107 vsconfig.xml 09.08.2006 21:03 8.325.544 MRT.exe 28.07.2006 13:28 3.075.072 mshtml.dll 27.07.2006 15:25 679.424 inetcomm.dll 26.07.2006 10:34 4.212 zllictbl.dat 25.07.2006 22:33 615.936 urlmon.dll 21.07.2006 10:29 72.704 hlink.dll 15.07.2006 16:29 173.966 x.bmp 14.07.2006 17:38 332.288 netapi32.dll 14.07.2006 17:25 546.304 hhctrl.ocx 13.07.2006 15:34 8.494.592 shell32.dll 11.07.2006 15:01 150.604 AdobeFnt.lst 11.07.2006 14:26 348.774 druck.bmp 05.07.2006 12:55 1.057.792 kernel32.dll 26.06.2006 19:40 148.480 dnsapi.dll 26.06.2006 19:40 8.192 rasadhlp.dll 24.06.2006 09:40 57.384 avsda.dll 23.06.2006 17:21 50.257 nvapps.xml 23.06.2006 13:10 664.576 wininet.dll 23.06.2006 13:10 474.624 shlwapi.dll 23.06.2006 13:10 532.480 mstime.dll 23.06.2006 13:10 146.432 msrating.dll 23.06.2006 13:10 1.494.016 shdocvw.dll 23.06.2006 13:10 39.424 pngfilt.dll 23.06.2006 13:10 448.512 mshtmled.dll 23.06.2006 13:10 357.888 dxtmsft.dll 23.06.2006 13:10 152.064 cdfview.dll 23.06.2006 13:10 205.312 dxtrans.dll 23.06.2006 13:10 16.384 jsproxy.dll 23.06.2006 13:10 251.392 iepeers.dll 23.06.2006 13:10 55.808 extmgr.dll 23.06.2006 13:10 96.768 inseng.dll 23.06.2006 13:10 1.056.256 danim.dll 23.06.2006 13:10 1.022.976 browseui.dll 23.06.2006 10:53 27.136 xpsp3res.dll 20.06.2006 23:33 42.920 vsutil_loc0407.dll 20.06.2006 23:33 394.872 vsdatant.sys 20.06.2006 23:32 71.672 zlcommdb.dll 20.06.2006 23:32 83.960 zlcomm.dll 20.06.2006 23:32 440.312 vsutil.dll 20.06.2006 23:32 59.384 vswmi.dll 20.06.2006 23:32 100.344 vsxml.dll 20.06.2006 23:32 268.280 vspubapi.dll 20.06.2006 23:32 71.672 vsregexp.dll 20.06.2006 23:32 157.688 vsinit.dll 20.06.2006 23:32 104.440 vsmonapi.dll 20.06.2006 23:32 83.960 vsdata.dll 20.06.2006 23:32 796.584 libeay32_0.9.6l.dll 19.06.2006 16:20 702.768 WgaLogon.dll 19.06.2006 16:19 571.184 LegitCheckControl.dll 19.06.2006 16:19 304.944 WgaTray.exe 01.06.2006 20:47 27.648 jgpl400.dll 01.06.2006 20:47 163.840 jgdw400.dll 19.05.2006 15:09 112.128 dhcpcsvc.dll 19.05.2006 15:09 95.744 iphlpapi.dll 18.05.2006 07:36 450.560 jscript.dll 14.05.2006 10:48 181.248 rasmans.dll 2. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A03F-055A Verzeichnis von C:\DOKUME~1\ANJAK~1\LOKALE~1\Temp 24.08.2006 23:02 16.384 ~DF52A6.tmp 24.08.2006 23:02 49.152 ~DF9546.tmp 24.08.2006 23:02 196.608 ~DF98D2.tmp 3 Datei(en) 262.144 Bytes 0 Verzeichnis(se), 9.395.261.440 Bytes frei 3. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A03F-055A Verzeichnis von C:\WINDOWS 24.08.2006 23:06 32.526 SchedLgU.Txt 24.08.2006 23:02 736 win.ini 24.08.2006 23:02 227 system.ini 24.08.2006 23:02 0 0.log 24.08.2006 23:02 1.983.256 WindowsUpdate.log 24.08.2006 23:02 159 wiadebug.log 24.08.2006 23:02 50 wiaservc.log 24.08.2006 23:02 2.048 bootstat.dat 23.08.2006 18:46 49 NeroDigital.ini 22.08.2006 19:57 33.934 ModemLog_MicroLink 56k PCI.txt 20.08.2006 10:01 99.653 iis6.log 20.08.2006 10:01 234.236 comsetup.log 20.08.2006 10:01 147.485 ntdtcsetup.log 20.08.2006 10:01 37.719 ocmsn.log 20.08.2006 10:01 280.507 tsoc.log 20.08.2006 10:01 1.374 imsins.log 20.08.2006 10:01 18.675 KB920214.log 20.08.2006 10:01 403.756 ocgen.log 20.08.2006 10:01 35.417 msgsocm.log 20.08.2006 10:01 666.911 FaxSetup.log 20.08.2006 10:01 887.746 setupapi.log 20.08.2006 10:01 1.374 imsins.BAK 20.08.2006 10:01 18.328 KB921883.log 20.08.2006 10:01 33.774 updspapi.log 20.08.2006 10:01 18.491 KB922616.log 20.08.2006 10:01 18.708 WgaNotify.log 20.08.2006 09:59 18.129 KB921398.log 20.08.2006 09:59 21.298 KB918899.log 20.08.2006 09:58 13.499 KB920670.log 20.08.2006 09:58 13.725 KB917422.log 20.08.2006 09:58 13.915 KB920683.log 26.07.2006 19:30 952 Active Setup Log.txt 26.07.2006 19:23 12.012 WGA.log 12.07.2006 21:59 11.796 KB917159.log 12.07.2006 21:59 12.309 KB914388.log 12.07.2006 21:59 10.301 KB916595.log 17.06.2006 06:48 31.067 spupdsvc.log 16.06.2006 15:53 16.180 KB917734.log 16.06.2006 15:53 31.741 wmsetup.log 16.06.2006 15:51 14.211 KB918439.log 16.06.2006 15:51 14.572 KB917344.log 16.06.2006 15:50 14.345 KB917953.log 16.06.2006 15:50 14.321 KB911280.log 16.06.2006 15:49 17.597 KB916281.log 16.06.2006 15:48 11.431 KB914389.log 14.05.2006 19:18 19.221 KB913580.log 04.05.2006 20:48 81.779 DirectX.log 04.05.2006 18:47 226.907 C18X1009.zip 04.05.2006 18:44 3.624.765 AsusUpdt70401.zip 04.05.2006 17:59 1.674 wininit.ini 4. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A03F-055A Verzeichnis von C:\ 24.08.2006 23:32 0 sys.txt 24.08.2006 23:31 12.874 system.txt 24.08.2006 23:29 392 systemtemp.txt 24.08.2006 23:26 107.553 system32.txt 24.08.2006 23:18 16.759 ComboFix.txt 24.08.2006 23:02 211 boot.ini 24.08.2006 23:02 402.653.184 pagefile.sys 23.08.2006 18:49 40 biosinfo 23.08.2006 18:48 0 msicpl-getdataint.log 23.08.2006 18:48 0 msicpl-getdispinfo.log 16.07.2006 22:44 17.072 drwtsn32.log 15.02.2006 11:00 1.024 $@sdntvt_optimize.tmp 05.01.2006 18:39 50 AUTOEXEC.BAT liebe sabina, ich hoffe, ich habe alles richtig gemacht und dass du nicht zuviel arbeit hast. ich danke dir sehr für dein engagement. leeloo Dieser Beitrag wurde am 24.08.2006 um 23:26 Uhr von Leeloo editiert.
|
|
|
||
25.08.2006, 15:17
Ehrenmitglied
Beiträge: 29434 |
#12
Leeloo
man sieht, dass dein Rechner schon abgestuerzt ist, aber das scheint ein Hard/Software-Konflikt zu sein.. Ansonsten, vom Backdoor ist nichts zu sehen, wahrscheinlich hat deine Batterie an Virenscannern das schon geloescht __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.08.2006, 16:30
...neu hier
Beiträge: 3 |
#13
hallo sabina, tausend dank für deine mühe. ja, ich habe mir sofort alles mögliche aus dem internet an virenscannern installiert. jetzt kann ich also wieder unbeschadet online-banking machen?
was meinst du mit "rechner abgestürzt ist"? und um welchen hard-software-konflikt handelt es sich? nochmals danke. lfg leeloo ps: und woran sieht man dass, das der rechner abgestürzt ist? |
|
|
||
25.08.2006, 21:16
Ehrenmitglied
Beiträge: 29434 |
#14
daran sieht man es ;
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k warum nun der Rechner abgestuerzt ist, weiss ich nicht, eventuell ein treiber-Problem oder aehnliches __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ich habe seit ein paar Tagen Probleme mit meinem Rechner. Mein Virusprogramm findet seit ein paar Tagen immer verschiedene Versionen des Backdoor.Win32-Virus/Trojaner auf meinem Rechner, allerdings nur wenn ich online bin. Die Datei in der der Virus liegen soll fängt immer mit eraseme_ an und soll im Verzeichnis C:\WINNT liegen. Wenn das Virenprogramm die Datei löschen möchte existiert sie schon nicht mehr.
Hier einige Beispiele: Datei eraseme_31562.exe Virus: Backdoor.Win32.SdBot.atg
Datei eraseme_04235.exe Virus: Backdoor.Win32.Aimbot.ae
Datei eraseme_61021.exe Virus: Backdoor.Win32.SdBot.aoz
Mein Betriebssystem ist Window2000 und ich installiere mir regelmäßig die neuen Patches. Als Virenprogramm benutze ich das AntiVirenKit von GDATA. Dort lade ich mir immer bevor ich meinen Browser aufrufe die aktuellen Virendefinitionen.
Nachdem die Probleme aufgetreten sind habe ich auf meinem Rechner Lavasoft Ad aware und Spybot in den aktuellen Versionen laufen lassen. Gefunden wurde nichts. Ich habe mir zusätzlich zu meinem Anti-Virenprogramm noch F-Secure installiert und laufen lassen. Ebenfalls ohne Ergebnis.
Heute kurz vor dem schreiben dieses Beitrags meldete mein Virenscanner den Virus Backdoor.Win32.SdBot.aoz in der Datei C:\WINNT\system32\sysdtc32.exe. Die Datei konnte nicht gelöscht oder desinfiziert werdden, da ein Prozess lief. Dieser lies sich auch nicht stoppen. Ich habe also meinen Rechner in den abgesicherten Modus gefahren und die Datei umbenannt und in ein anderes Verzeichnis verschoben. Kann dies der Grund für meine Probleme sein?
Hier das Log von Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 19:35:59, on 25.07.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
E:\Programme\AntiVirenKit 2004\AVKService.exe
E:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\WINNT\system32\DeltTray.exe
C:\WINNT\system32\internat.exe
E:\Programme\AntiVirenKit 2004\avk.exe
E:\Programme\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://express.bilderservice.de/static/download/iedropupload.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/23e425b32041de030816/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123691896742
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123691881079
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp02.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O23 - Service: AVK Service (AVKService) - Unknown owner - E:\Programme\AntiVirenKit 2004\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - E:\Programme\AntiVirenKit 2004\AVKWCtl.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTsvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: DLTC(dltc) (DLTC) - Unknown owner - C:\WINNT\system32\nlsys32.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TskScheduler - Unknown owner - C:\WINNT\taskshed.exe (file missing)
O23 - Service: WmDmPsp - Unknown owner - C:\WINNT\system32\sysdtc32.exe (file missing)
sys.txt:
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: DC44-762F
Verzeichnis von C:\
25.07.2006 19:38 0 sys.txt
25.07.2006 19:38 14.971 system.txt
25.07.2006 19:38 304 systemtemp.txt
25.07.2006 19:38 100.573 system32.txt
25.07.2006 19:29 201.326.592 pagefile.sys
23.07.2006 11:38 192 boot.ini
system.txt:
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: DC44-762F
Verzeichnis von C:\WINNT
25.07.2006 19:38 4.266 UEDIT32.INI
25.07.2006 19:37 2.524 UltraEdit
25.07.2006 19:30 1.560.559 WindowsUpdate.log
25.07.2006 19:25 63.720 ntbtlog.txt
25.07.2006 19:21 743.866 ShellIconCache
23.07.2006 12:05 561 daasunin.LOG
23.07.2006 12:05 1.301 fsdgunst.log
23.07.2006 12:05 2.981 fsmaunin.log
23.07.2006 12:05 458 FSGUIINS.LOG
23.07.2006 12:05 494 fstnbins.LOG
23.07.2006 12:05 46.938 fsavunin.log
23.07.2006 12:04 1.966 FSASWUNI.LOG
23.07.2006 12:04 26.902 FSASWSIN.log
23.07.2006 12:04 689 HELPINST.LOG
23.07.2006 12:04 22.360 fwesinst.log
23.07.2006 12:04 5.331 fsbwinst.log
23.07.2006 11:38 875 win.ini
23.07.2006 11:38 393 system.ini
20.07.2006 21:19 115.048 setupapi.log
20.07.2006 19:59 3.656 fsiuupd.log
20.07.2006 19:30 5.151.773 FSISU.log
20.07.2006 19:30 2.962.954 FSSFM.log
20.07.2006 19:30 304.728 RunSetup.log
20.07.2006 19:30 150.431 FSPROD.log
20.07.2006 19:30 950.209 FSSETUP.log
20.07.2006 19:30 5.114 FSSYSUPD.LOG
20.07.2006 19:30 16.989 fsmainst.log
20.07.2006 19:30 4.194 NEWSINST.LOG
20.07.2006 19:30 7.970 FSAVCSIN.LOG
20.07.2006 19:30 13.580 FSASWINS.LOG
20.07.2006 19:30 2.030 fsdginst.log
20.07.2006 19:30 7.680 fsrif.log
20.07.2006 19:30 35.363 FSAVINST.LOG
20.07.2006 19:29 2.183 DAASINST.LOG
20.07.2006 19:28 83.676 FSDEPH.log
20.07.2006 19:28 10.898 FSSGSUP.LOG
20.07.2006 19:28 386.545 fssgpex.LOG
20.07.2006 19:27 2.438 FSPRODRM.LOG
20.07.2006 19:16 1.992 Q-Klez.log
17.07.2006 11:06 724.429 iis5.log
17.07.2006 11:06 294.732 comsetup.log
17.07.2006 11:06 1.410 imsins.log
17.07.2006 11:06 14.356 KB917159.log
17.07.2006 11:06 273.963 ocgen.log
17.07.2006 11:06 21.381 ockodak.log
17.07.2006 11:06 1.410 imsins.BAK
17.07.2006 11:06 14.840 KB914388.log
17.07.2006 11:06 66.688 updspapi.log
15.06.2006 14:03 3.793 spupdsvc.log
15.06.2006 13:58 22.202 KB917953.log
15.06.2006 13:58 23.605 KB913580.log
15.06.2006 13:57 11.779 KB916281-IE6SP1-20060526.162249.log
15.06.2006 13:57 17.638 KB917736.log
15.06.2006 13:52 17.095 KB911280.log
15.06.2006 13:52 14.119 KB914389.log
15.06.2006 13:52 4.512 KB917734.log
15.06.2006 13:52 102.683 wmsetup.log
27.05.2006 20:31 10.288 Sti_Trace.log
08.05.2006 21:48 296 hpipcopy.INI
08.05.2006 21:48 1.080 AUTOLNCH.REG
13.04.2006 12:06 7.575 KB912812-IE6SP1-20060322.182418.log
13.04.2006 12:05 21.029 MDAC25SP3-KB911562-x86-DEU.log
13.04.2006 12:05 13.309 KB908531.log
13.04.2006 12:04 5.478 KB911567-OE6SP1-20060316.165634.log
02.04.2006 18:10 929 WISO.INI
02.04.2006 17:27 213 BUHL.INI
20.02.2006 22:12 2.868 mozver.dat
20.02.2006 21:42 107.134 UninstallFirefox.exe
17.02.2006 21:07 3.851 KB911564.log
17.02.2006 21:07 4.407 KB911565.log
28.01.2006 20:37 44.042 Logic 5.prf
24.01.2006 23:51 1.562 COM+.log
12.01.2006 21:42 4.915 KB908519.log
12.01.2006 20:28 32.632 SchedLgU.Txt
09.01.2006 21:08 19.462 KB912919.log
09.01.2006 21:06 10.111 KB905915-IE6SP1-20051122.175908.log
09.01.2006 21:05 16.396 KB908523.log
system32:
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: DC44-762F
Verzeichnis von C:\WINNT\system32
17.07.2006 19:36 303.282 perfh009.dat
17.07.2006 19:36 38.880 perfc009.dat
17.07.2006 19:36 292.656 perfh007.dat
17.07.2006 19:36 47.250 perfc007.dat
17.07.2006 19:36 681.766 PerfStringBackup.INI
07.07.2006 03:21 6.757.792 MRT.exe
16.06.2006 20:32 16.384 Perflib_Perfdata_2a8.dat
26.05.2006 15:49 1.339.904 SHDOCVW.DLL
19.05.2006 16:08 2.702.848 MSHTML.DLL
19.05.2006 11:18 68.880 IPHLPAPI.DLL
19.05.2006 11:18 90.384 DHCPCSVC.DLL
19.05.2006 11:18 136.976 dnsapi.dll
17.05.2006 11:43 465.864 jscript.dll
15.05.2006 11:14 161.040 rasmans.dll
08.05.2006 12:30 463.360 URLMON.DLL
03.05.2006 08:57 291.840 sp3res.dll
28.04.2006 15:08 582.144 WININET.DLL
28.04.2006 10:58 12.288 JSPROXY.DLL
28.04.2006 10:57 351.744 DXTMSFT.DLL
24.04.2006 15:40 4.730.880 wmp.dll
23.04.2006 10:00 153.872 msdtcui.dll
23.04.2006 10:00 1.202.448 msdtctm.dll
23.04.2006 10:00 52.496 mtxclu.dll
23.04.2006 10:00 740.112 msdtcprx.dll
23.04.2006 10:00 123.152 mtxoci.dll
23.04.2006 10:00 20.240 xolehlp.dll
23.04.2006 10:00 96.016 msdtclog.dll
21.04.2006 00:07 15.072 spmsg.dll
13.04.2006 07:16 437.008 rpcrt4.dll
30.03.2006 12:56 212.992 odbc32.dll
23.03.2006 08:53 2.386.192 SHELL32.DLL
18.03.2006 11:51 21.264 verclsid.exe
03.03.2006 15:46 498.176 MSTIME.DLL
27.02.2006 14:25 44.032 MSIDENT.DLL
27.02.2006 14:25 229.376 MSOEACCT.DLL
27.02.2006 14:25 50.688 INETRES.DLL
27.02.2006 13:31 596.480 INETCOMM.DLL
27.02.2006 13:31 91.136 MSOERT2.DLL
24.02.2006 15:20 236.032 IEPEERS.DLL
24.02.2006 14:24 192.512 DXTRANS.DLL
22.02.2006 11:12 1.838.576 dtcsetup.exe
21.02.2006 11:11 532.752 sqlsrv32.dll
21.02.2006 11:11 57.616 odbcji32.dll
21.02.2006 09:58 20.752 odfox32.dll
21.02.2006 09:58 20.752 odexl32.dll
21.02.2006 09:58 278.800 odbcjt32.dll
21.02.2006 09:58 20.752 odpdx32.dll
21.02.2006 09:58 20.752 odtext32.dll
21.02.2006 09:58 20.752 oddbse32.dll
21.02.2006 09:58 102.672 ODBCCP32.dll
systemp:
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: DC44-762F
Verzeichnis von C:\DOKUME~1\Gesche1\LOKALE~1\Temp
25.07.2006 19:38 100.573 system32.tx0
1 Datei(en) 100.573 Bytes
0 Verzeichnis(se), 942.100.480 Bytes frei
Ich wäre euch für REatschläge, Tipps und Hilfe sehr dankbar.
Viele Grüße,
Frank