"http://www.w32-gen.us/oagain.exe" war in Start/Ausführen

#1 hallo leute... ich habe mir bis heute nie kopfschmerzen um sicherheit am rechner gemacht, da ich mein rechner immer für fortknox gehalten habe...

dazu haben bisher immer gute dienste geleistet:

XP SP2 wöchentlich auf dem neuesten stand
Outlook 2003 SP1 + neustem Update
Mozilla Firefox
Sygate Personal Firewall Pro
Antivir täglich auf dem neuesten Stand
Linksys WRT54GS Router mit DD-WRT (neueste Version)
Regelmäßig Spybot und Ad-Aware Scan
Kein Besuchen von skurilen Seiten
Kein Downloaden von Files, die ich nicht kenne
Keiner kam an der Rechner dran, dem ich nicht vertraute

Nun das hier:

gestern boote ich den rechner und sehe plötzlich eine leere Mozillaseite + leerem Download-Manager-Fenster ... plötzlich ist auf dem Desktop eine .exe namens oagain.exe ...

Ich schau in Start/Ausführen und da ist dieser link drin: "http://www.w32-gen.us/oagain.exe"

Ich scanne gerade meine Platten mit Antivir und finde 3 Trojaner:

Trojanische Pferd TR/Dldr.Agent.awq
Trojanische Pferd TR/Radar.C
Trojanische Pferd TR/Agent.JI

In diesem Forum beschreibt jemand ein ähnliches Problem: http://forums.spywareinfo.com/index.php?showtopic=85035

VNC hab ich direkt wieder runtergeschmissen ... aber es war definitiv per PW geschützt ... Nun stehe ich kurz davor, alles wieder neu aufzusetzen ...

Meine Frage an Euch ist: Hat jemand ein ähnliches Problem gehabt, gesehen oder von gehört ... mir scheint, als dass das nur VNC User betrifft ... da dies vielleicht gehackt wurde!

Bei mir startet VNC direkt beim booten automatisch mit, und ich beende es dann in der Taskleiste, wenn ich vorm Rechner sitze und es nicht brauche ... aber manchmal boote ich den Rechner ausm Internet per Wake-On-Lan und connecte mich zu VNC ... das mache ich aber nur über mein eigenes, sicheres Notebook, nie ausm Internetcafe, falls einer meinen sollte, dass man da mein PW gehackt hat... und das war auch schon sehr lange her, dass ich das mal gemacht habe...

msconfig scheint sauber zu sein ... mir scheint es so, als wäre gestern wirklich jemand per remote auf meinem rechner und hat diesen eintrag in "Ausführen" ausgeführt!!!

Die drei Trojaner haben dann meine IP gemeldet und der VNC-Port war leider Standard 5900, wonach der Hack dann schon relativ einfach aussieht! .... nehme ich mal an ...

#2 wahrscheinlich hat antivirus das prob schon behoben, dennoch, poste folgendes log
http://virus-protect.org/artikel/tools/combofix.html

(der Trojaner kommt vielleicht ueber cmd, also ueber die Konsole auf den Rechner...genau weiss ich es nicht....)
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Ich habe hier noch interessante Links gefunden:
http://www.unreal.ie/forum&c=showthread&ThreadID=2636
http://isc.sans.org/diary.php?storyid=1331

Demnach lag es doch an VNC ... ich lege allen VNC Usern ans Herz, ein Update zu fahren und auf jeden Fall den Port 5900 zu ändern!!!

============================================================

Ich hatte letzte Woche beim XP Update den KB917422 weggelassen, da der sich mit BF2 Patch 1.3 nicht vertragen hat.

Jetzt mit dem Patch 1.4 ist alles ok, und die XP Lücke ist dicht.

Aber nach wie vor denke ich, dass sich jemand über VNC eingeloggt und den Trojaner über "Start/Ausführen" gezogen hat.

============================================================

Admin - 06-09-14 9:35:17,84 Service Pack 2
ComboFix 06.09.14 - Running from: C:\Dokumente und Einstellungen\Admin\Desktop

((((((((((((((((((((((((((((((( Files Created from 2006-08-14 to 2006-09-14 ))))))))))))))))))))))))))))))))))


2006-09-07 13:41 101,888 --a------ C:\WINDOWS\system32\nvtcp.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-14 09:31 -------- d-------- C:\Programme\Mozilla Firefox
2006-09-13 19:04 -------- d-------- C:\Programme\ICQ
2006-09-13 16:05 -------- d-------- C:\Programme\Sclive
2006-09-12 00:05 -------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Skype
2006-09-11 23:01 -------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\teamspeak2
2006-09-06 16:06 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-05 17:37 -------- d-------- C:\Programme\IrfanView
2006-09-04 18:51 -------- d-------- C:\Programme\OfficeUpdate11
2006-09-03 14:36 -------- d-------- C:\Programme\Internet Explorer
2006-09-01 11:26 -------- d-------- C:\Programme\MSN Messenger
2006-08-03 14:28 -------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Sereniti
2006-07-29 19:32 48936 --a------ C:\WINDOWS\system32\sirenacm.dll
2006-07-27 19:56 -------- d-------- C:\Programme\KODAK
2006-07-27 19:56 -------- d-------- C:\Programme\CASIO
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-26 14:40 73216 --a------ C:\WINDOWS\cadkasdeinst01.exe
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-14 13:01 -------- d-------- C:\Programme\NetMeeting
2006-06-27 14:15 796672 --a------ C:\WINDOWS\GPInstall.exe
2006-06-17 18:42 57384 --a------ C:\WINDOWS\system32\avsda.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechSoftwareUpdate"="C:\\Programme\\Logitech\\Video\\ManifestEngine.exe boot"
"H/PC Connection Agent"="\"D:\\progs\\media\\ActiveSync\\WCESCOMM.EXE\""
"Steam"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LVCOMSX"="C:\\WINDOWS\\system32\\LVCOMSX.EXE"
"RemoteControl"="C:\\WINDOWS\\system32\\rmctrl.exe"
"SmcService"="C:\\PROGRA~1\\Sygate\\SPF\\smc.exe -startgui"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_07\\bin\\jusched.exe"
"Acrobat Assistant 7.0"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Distillr\\Acrotray.exe\""
"Logitech Utility"="Logi_MwX.Exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"Realtime Audio Engine"="mmrtkrnl.exe"
"PinnacleDriverCheck"="C:\\WINDOWS\\system32\\PSDrvCheck.exe -CheckReg"
"itype"="\"C:\\Programme\\Microsoft IntelliType Pro\\itype.exe\""
"Profiler"="C:\\Programme\\Saitek\\Software\\Profiler.exe"
"SaiMfd"="C:\\Programme\\Saitek\\Software\\SaiMfd.exe"
"SaiSmart"="C:\\Programme\\Saitek\\Software\\SaiSmart.exe"
"SoundMan"="SOUNDMAN.EXE"
"NVMixerTray"="\"C:\\Programme\\NVIDIA Corporation\\NvMixer\\NVMixerTray.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,e6,00,00,00,00,00,00,00,9a,03,00,00,2b,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"0aMCPClient"="{F5DF91F9-15E9-416B-A7C3-7519B11ECBFC}"
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
"path"="C:\\Dokumente und Einstellungen\\Admin\\Startmenü\\Programme\\Autostart\\Adobe Gamma.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^Joint Operations Typhoon Rising Produktregistrierung.lnk]
"path"="C:\\Dokumente und Einstellungen\\Admin\\Startmenü\\Programme\\Autostart\\Joint Operations Typhoon Rising Produktregistrierung.lnk"
"backup"="C:\\WINDOWS\\pss\\Joint Operations Typhoon Rising Produktregistrierung.lnkStartup"
"location"="Startup"
"command"="C:\\Dokumente und Einstellungen\\Admin\\Lokale Einstellungen\\Temp\\{6C4ADCB3-8A2C-483A-9273-D2A1FB37E33A}\\{0325F1C1-883A-41AB-8981-B27359ABDFAF}\\NOVG.EXE /remind /language=DEU /PRNM=\"Joint Operations Typhoon Rising\""
"item"="Joint Operations Typhoon Rising Produktregistrierung"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Acrobat - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Acrobat - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\WINDOWS\\Installer\\{AC76BA86-1033-F400-7760-000000000002}\\SC_Acrobat.exe "
"item"="Adobe Acrobat - Schnellstart"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader Speed Launch.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader Speed Launch.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader Speed Launch"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Photo Loader resident.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Photo Loader resident.lnk"
"backup"="C:\\WINDOWS\\pss\\Photo Loader resident.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\CASIO\\PHOTOL~1\\Plauto.exe "
"item"="Photo Loader resident"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\CloneCDElbyCDFL]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ElbyCheck"
"hkey"="HKLM"
"command"="\"D:\\Progs\\Media\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\DAEMON Tools-1033]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Launch Ai Booster]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="OverClk"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ASUS\\Ai Booster\\OverClk.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Logitech Utility]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Logi_MwX"
"hkey"="HKLM"
"command"="Logi_MwX.Exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\LogitechVideoRepair]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ISStart"
"hkey"="HKLM"
"command"="C:\\Programme\\Logitech\\Video\\ISStart.exe "
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\LogitechVideoTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LogiTray"
"hkey"="HKLM"
"command"="C:\\Programme\\Logitech\\Video\\LogiTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Mirabilis ICQ]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQNet"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\ICQ\\ICQNet.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Norton Ghost 9.0]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="GhostTray"
"hkey"="HKLM"
"command"="D:\\Progs\\System\\Ghost9\\Agent\\GhostTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NVMixerTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NVMixerTray"
"hkey"="HKLM"
"command"="\"C:\\Programme\\NVIDIA Corporation\\NvMixer\\NVMixerTray.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\PCSuiteTrayApplication]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LAUNCH~1"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\Nokia\\NOKIAP~1\\LAUNCH~1.EXE -startup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SoundMan]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SOUNDMAN"
"hkey"="HKLM"
"command"="SOUNDMAN.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SpybotSD TeaTimer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TeaTimer"
"hkey"="HKCU"
"command"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Steam"
"hkey"="HKCU"
"command"="\"D:\\Games\\Steam\\Steam.exe\" -silent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\VoipStunt]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="VoipStunt"
"hkey"="HKCU"
"command"="\"C:\\Programme\\VoipStunt.com\\VoipStunt\\VoipStunt.exe\" -nosplash -minimized"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\VVSN]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="VVSN"
"hkey"="HKLM"
"command"="C:\\Programme\\VVSN\\VVSN.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\MCPClient

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Completion time: 14.09.2006 9:35:39.48
ComboFix.txt

#4 1.
ist dir 0aMCPClient ein Begriff ?

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\MCPClient
O21 - SSODL: 0aMCPClient - {F5DF91F9-15E9-416B-A7C3-7519B11ECBFC}

2.
ueberpruefe die ports
http://virus-protect.org/artikel/tools/icesword.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 1.
MCPClient ist ein Restbestand von Stardock, als ich mal XP ein bissl designed habe. Ist aber schon längst runter geflogen ... demnach könnte ich diesen Eintrag doch eigentlich löschen ... hier die Frage: soll ich mal mit jv16 Power Tool die Registry säubern?

2.
Verdächtige Ports sind nicht offen ... das müsste dann "rot" angezeigt sein, oder?
Aber unter SSDT habe ich rote Einträge namens:

Vax347b.sys (laut http://www.file.net/prozess/vax347b.sys.html Bestandteil von Alc120
Wpsdrvnt.sys (laut http://www.file.net/process/wpsdrvnt.sys.html Bestandteil von Sygate

die immer wieder in verschiedenen Zeilen auftauchen.

Nach wie vor tendier ich zu einem Format C: ... ich fühle mich nicht mehr so richtig sicher mit dem System ... wobei Sygate Traffic nix verdächtiges anzeigt!

#6 schau mal, ob es rote ports gibt
http://virus-protect.org/portauthority.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 All Service Ports sind stealth.

Common Ports sind stealth.

Ich kannte die Seite schon vorher, und hatte dort auch mal alles getestet, wo VNC noch drauf war ... trotzdem war alles auch damals OK ... nur der Port 8080 war mal "closed" wegen Fernwartung des Routers. Das aber auch nur für ein paar Minuten wegen Test!

#8 scanne mit dem Antivirus noch mal im abgesicherten modus, dann muesste eigentlich alles wieder o.k. sein.
wenn du dir dennoch unsicher bist, denn das System bleibt kompromitiert, ...formatiere
__________
MfG Sabina

rund um die PC-Sicherheit

#9 so, scan im abgesichertem modus war ok ... jetzt noch mal die frage hier, ob ich mit jv16 PowerTool die Registry säubern sollte? Oder gerne auch mit etwas anderem.

#10 jv16 PowerTool ist o.k., ich verwende normalerweise Tuneup
http://virus-protect.org/reinigungstoolsregistry.html
noch besser ist: Registry First Aid
http://virus-protect.org/registrycleaner.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 ich habs jetzt mal mit jv16 gesäubert ... mit dem "registry cleaner" ... backup erstellt und alles gelöscht, was auftauchte ... bisher keine probs ... teuteuteu ... ich werde aber trotzdem bei gelegenheit die platte erneuern ... aber momentan sieht eigentlich alles gut aus ...

btw: ich nutze normalerweise plattenrechte (nenne ich das mal; weiss net, was der fachausdruck dafür ist) wo ich über abgesichertem modus auf der NTFS Partition bestimmte rechte vergebe ... und zB für Gastzugang 0 Rechte vergebe, wo quasi nur Firefox zu starten ist, sonst nix ... taugt sowas?

abschließend ein dickes "THX" an Dich, Sabina!!!

Alles Gute
Grüße
Serce