Home » Viren, Trojaner & Malware Forum » generic host process for win32 services hat problem festgestellt... » Themenansicht

generic host process for win32 services hat problem festgestellt...
#0
13.10.2006, 00:38
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 falls du es angewendet hast - deinstalliere es wieder (laut Anleitung)
http://www.dingens.org

scanne und poste den report
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.10.2006, 08:34
tina_manu
Member

Beiträge: 16
#17 guten morgen sabina

habe dingens.org dienstentferner nicht angewendet.

was kann der grund sein dass http anfrage an kasperski nicht durchkommt

mit kasperski (habe ich jetzt installiert) habe ich keinen scan gemacht, da ich virensignaturen vom Juli 2006 habe.

wie bekomme ich die signaturen auf meinen rechner runter?

"generic host..." ist immer noch da, iexplorer sagt jetzt auch "muß beendet werden..." als ich neue security-updates von MS installieren wollte.
rechner fährt wieder nicht runter, sondern bleibt hängen!

rootkitrevealer lasse ich heute abend laufen


danke und gruß kh
Seitenanfang Seitenende
13.10.2006, 08:58
Heron
Member

Beiträge: 1132
#18 Welche Version von Kaspersky hast Du installiert (KAV 6.0 oder andere)?
Eigentlich müsste der Update funktionieren wenn Du
1. Inet Verbindung herstellst
2. Rechtsklick auf das "K" in der Taskleiste und dann "Update" wählst.

Gruß
Heron

edit

Zitat

was kann der grund sein dass http anfrage an kasperski nicht durchkommt
Deine Firewall?!
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 13.10.2006 um 09:03 Uhr von Heron editiert.
Seitenanfang Seitenende
13.10.2006, 11:09
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19

Zitat

deinstalliere den Antivirus und auch Symantec, dass ist wichtig, denn du sollst
Kaspersky Anti-Virus 6.0 laden.
man erst mal alle anderen Antivirenproggies deinstallieren muss, bevor man den kaspersky installiert, sonst haengt sich das system wegen ueberlastung auf.
Auf dem rechner sind anscheinend rootkits...
versuche den rootkitrevealer anzuwenden und poste das log.
deinstalliere den kaspersky wieder, indem du in den abgesicherten modus gehst, dort muesste er leicht wieder zu deinstallieren sein.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.10.2006, 13:49
tina_manu
Member

Beiträge: 16
#20 Hallo
ich fasse nochmals kurz zusammen: ((habe alle anregungen der posts schon gemacht)

1. hab gestern abend antivir und norton internet security vom rechner entfernt, norton war nicht so einfach, mußte erst einige dienste von norton deaktivieren dann konnte ich prog entfernen. hab keine anderen antivir

2. dann habe ich kasperski 6.0 deutsch installiert, kann aber keine virensignatur runterladen; habe aber jetzt auf dem rechner nur kasp. V6
warum soll ich diesen wieder entfernen? er läuft ja, nur mit alten signaturen stand Juli 2006

3. internet läuft aber ständig, konnte auch parallel surfen

4. firewall jetzt nur XP-SP2, aber ist dzt. deaktiviert !

irgendwas blockt bei mir ports, weiß aber nicht was?

grüße kh
Seitenanfang Seitenende
13.10.2006, 13:51
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 scanne und poste den report
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.10.2006, 20:32
tina_manu
Member

Beiträge: 16
#22 Hallo Sabina

hab geschaft kasperski signaturen zu laden.
Habe kasperski scan des kompletten systems gemacht --> keine infektion gefunden

Hab cyperdefender laufen lassen, folgende meldungen:

Spyware Details

Name: Adware
Type: Registry
Level: HIGH RISK
Location: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\blazefind.com


Description: Spyware may monitor your activity on the Internet and transmits that information, in the background, to someone else. Spyware can also gather information about e-mail addresses, passwords and credit card numbers.


Advice: CyberDefender AntiSpyware recommends you remove this risk item. If this is not a risk item for you, select it and click Ignore Selected Item button to keep it. It will not be detected again.

Spyware Details

Name: SearchSquire
Type: Toolbar
Level: HIGH RISK
Location: HKEY_CURRENT_USER\software\microsoft\windows\currentversion\internet settings\zonemap\domains\searchsquire.com


Description: SearchSquire is an Internet Explorer sidebar containing paid links that opens when you use search engines. When using a search engine known to the software, the search terms are forwarded to SearchSquire's own search feature, returning advertisers' links in a sidebar.


Advice: CyberDefender AntiSpyware recommends you remove this risk item. If this is not a risk item for you, select it and click Ignore Selected Item button to keep it. It will not be detected again.

Name: 2o7.net Cookie
Type: Tracking Cookie
Level: LOW RISK
Cookie file location: charly@msnservices.112.2o7[1].txt


Description: A tracking cookie may gather and share private user information or be used for demographic based advertising.


Advice: CyberDefender AntiSpyware recommends removal of this cookie file. If this is not a risk item for you, select it and click Ignore Selected Item button to keep it. It will not be detected again.






lasse gerade rootkitrevealer laufen...macht schon seit 1 stunde ..cleaning up...
in der statuszeile unten links angegeben

bin mir nicht sicher ob da nochwas passiert!?

Habe zentnerweise folgende Einträge im rootkitrevealer: (ist nur ein Auszug davon, datei ist viel länger, aber immer die gleichen Einträge)

Hat das was zu bedeuten?

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP6\PdmHist\f40.D773869C01C6EEEE.history\000003e0.bak 17.12.2003 14:32 431 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP6\PdmHist\f40.D773869C01C6EEEE.history\000003e1.bak 11.11.2003 16:48 2.08 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP6\PdmHist\f40.D773869C01C6EEEE.history\000003e2.bak 11.11.2003 16:48 2.08 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP6\PdmHist\f40.D773869C01C6EEEE.history\000003e3.bak 11.11.2003 16:48 2.08 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP6\PdmHist\f40.D773869C01C6EEEE.history\000003e4.bak 11.11.2003 16:48 2.08 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP6\PdmHist\f40.D773869C01C6EEEE.history\000003e5.bak 11.11.2003 16:48 410 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP6\PdmHist\f40.D773869C01C6EEEE.history\000003e6.bak 11.11.2003 16:48 1018 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP6\PdmHist\f40.D773869C01C6EEEE.history\000003e7.bak 10.11.2003 12:46 553 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP6\PdmHist\ff0.1A2972DA01C6EEEF.history 13.10.2006 19:43 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Der Hobbit \Ein begeisterter Empfang - 1.hobbit 23.12.2004 13:07 52.13 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Der Hobbit \Ein begeisterter Empfang - 1.xbmp 23.12.2004 13:07 117.22 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Der Hobbit \Ein begeisterter Empfang - 2.hobbit 22.12.2004 17:24 52.14 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Der Hobbit \Ein begeisterter Empfang - 2.xbmp 22.12.2004 17:24 117.22 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Der Hobbit \Ein begeisterter Empfang - 3.hobbit 22.07.2006 10:49 52.14 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Der Hobbit \Ein begeisterter Empfang - 3.xbmp 22.07.2006 10:49 117.22 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Der Hobbit \Ein begeisterter Empfang - 4.hobbit 22.07.2006 20:15 34.95 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Der Hobbit \Ein begeisterter Empfang - 4.xbmp 22.07.2006 20:15 117.22 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Der Hobbit \Rätsel im Dunkeln - 2.hobbit 22.12.2004 17:24 52.14 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Der Hobbit \Rätsel im Dunkeln - 2.xbmp 22.12.2004 17:24 117.22 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Der Hobbit \Rätsel im Dunkeln - 3.hobbit 22.12.2004 17:24 52.14 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Der Hobbit \Rätsel im Dunkeln - 3.xbmp 22.12.2004 17:24 117.22 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Der Hobbit\Ein begeisterter Empfang - 1.hobbit 23.12.2004 14:07 52.13 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Der Hobbit\Ein begeisterter Empfang - 1.xbmp 23.12.2004 14:07 117.22 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Der Hobbit\Ein begeisterter Empfang - 2.hobbit 22.12.2004 18:24 52.14 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Der Hobbit\Ein begeisterter Empfang - 2.xbmp 22.12.2004 18:24 117.22 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Der Hobbit\Ein begeisterter Empfang - 3.hobbit 22.07.2006 10:49 52.14 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Der Hobbit\Ein begeisterter Empfang - 3.xbmp 22.07.2006 10:49 117.22 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Der Hobbit\Ein begeisterter Empfang - 4.hobbit 22.07.2006 20:15 34.95 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Der Hobbit\Ein begeisterter Empfang - 4.xbmp 22.07.2006 20:15 117.22 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Der Hobbit\Rätsel im Dunkeln - 2.hobbit 22.12.2004 18:24 52.14 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Der Hobbit\Rätsel im Dunkeln - 2.xbmp 22.12.2004 18:24 117.22 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Der Hobbit\Rätsel im Dunkeln - 3.hobbit 22.12.2004 18:24 52.14 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Der Hobbit\Rätsel im Dunkeln - 3.xbmp 22.12.2004 18:24 117.22 KB Visible in Windows API, but not in MFT or directory index.

Grüße KH, was weiter GHP ist immer noch da!
Dieser Beitrag wurde am 13.10.2006 um 20:48 Uhr von tina_manu editiert.
Seitenanfang Seitenende
14.10.2006, 00:30
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 Start - Ausfuehren - regedit

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\internet settings\zonemap\domains\searchsquire.com - loeschen
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\blazefind.com - loeschen

**
stelle mit dem Windows Worms Doors Cleaner noch mal alles auf gruen.

**
poste dieses log
http://virus-protect.org/registry_stuff.html

verdammt noch mal, ich vestehe nicht, warum wir das Prob. nicht in den Griff bekommen !!!!!!!!!!!!!!! ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.10.2006, 16:13
tina_manu
Member

Beiträge: 16
#24 Hallo Sabina

habe alles wie beschrieben gemacht:

hier der post von registry stuff:

doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry
doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
doesn't exist HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
doesn't exist HKEY_CURRENT_USER\Software\Microsoft\OLE
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00
"DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00
"Description"="Bietet allen Computern in Heim- und kleinen Firmennetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz."
"DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00003729

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000
"DoNotAllowExceptions"=dword:00000000
"DisableNotifications"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\LEXPPS.EXE"="C:\\WINDOWS\\system32\\LEXPPS.EXE:*;)isabled:LEXPPS.EXE"
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat"="C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat:*:Enabled;)ie Schlacht um Mittelerde™ II"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\CyberDefender\\AntiSpyware\\cdas1e.exe"="C:\\Programme\\CyberDefender\\AntiSpyware\\cdas1e.exe:*:Enabled:CyberDefender AntiSpyware"
"C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe"="C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe:*:Enabled:Kaspersky Anti-Virus 6.0"
"C:\\Programme\\AntiVir PersonalEdition Classic\\avcenter.exe"="C:\\Programme\\AntiVir PersonalEdition Classic\\avcenter.exe:*:Enabled:AntiVir PersonalEdition Classic starten"
"C:\\Programme\\HVB eFIN 2.6\\efix.exe"="C:\\Programme\\HVB eFIN 2.6\\efix.exe:*:Enabled:HVB eFIN 2.6"
"C:\\Programme\\CyberDefender\\AntiSpyware\\cdas7.exe"="C:\\Programme\\CyberDefender\\AntiSpyware\\cdas7.exe:*:Enabled:CyberDefender AntiSpyware"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP"="1900:UDP:LocalSubNet;)isabled:@xpsp2res.dll,-22007"
"2869:TCP"="2869:TCP:LocalSubNet;)isabled:@xpsp2res.dll,-22008"
"3000:TCP"="3000:TCP:*:Enabled:efix"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger]
"Type"=dword:00000020
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Nachrichtendienst"
"DependOnService"=hex(7):4c,61,6e,6d,61,6e,57,6f,72,6b,73,74,61,74,69,6f,6e,00,\
4e,65,74,42,49,4f,53,00,50,6c,75,67,50,6c,61,79,00,52,70,63,53,53,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"="Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern. Dieser Dienst ist nicht mit Windows Messenger verwandt. Der Warndienst überträgt keine Nachrichten, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,6d,73,67,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Security]
"Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,48,00,03,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Sicherheitscenter"
"DependOnService"=hex(7):52,70,63,53,73,00,77,69,6e,6d,67,6d,74,00,00
"ObjectName"="LocalSystem"
"Description"="Überwacht Systemsicherheitseinstellungen und -konfigurationen."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,53,59,53,54,45,4d,52,4f,4f,54,25,5c,73,79,73,74,65,6d,\
33,32,5c,77,73,63,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"autodisconnect"=dword:0000000f
"enableforcedlogoff"=dword:00000001
"enablesecuritysignature"=dword:00000000
"requiresecuritysignature"=dword:00000000
"NullSessionPipes"=hex(7):43,4f,4d,4e,41,50,00,43,4f,4d,4e,4f,44,45,00,53,51,\
4c,5c,51,55,45,52,59,00,53,50,4f,4f,4c,53,53,00,4c,4c,53,52,50,43,00,62,72,\
6f,77,73,65,72,00,00
"NullSessionShares"=hex(7):43,4f,4d,43,46,47,00,44,46,53,24,00,00
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,73,72,76,73,76,63,2e,64,6c,6c,00
"Lmannounce"=dword:00000000
"Size"=dword:00000001
"Guid"=hex:0e,d6,a1,48,ad,b8,b4,40,82,f3,29,fd,71,09,e0,65
"AdjustedNullSessionPipes"=dword:00000001
"CachedOpenLimit"=dword:00000000


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters]
"enableplaintextpassword"=dword:00000000
"enablesecuritysignature"=dword:00000001
"requiresecuritysignature"=dword:00000000
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,77,6b,73,73,76,63,2e,64,6c,6c,00
"OtherDomains"=hex(7):00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"DefaultLaunchPermission"=hex:01,00,04,80,5c,00,00,00,6c,00,00,00,00,00,00,00,\
14,00,00,00,02,00,48,00,03,00,00,00,00,00,18,00,1f,00,00,00,01,02,00,00,00,\
00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,\
00,05,04,00,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\
00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,\
20,00,00,00,20,02,00,00
"MachineLaunchRestriction"=hex:01,00,04,80,48,00,00,00,58,00,00,00,00,00,00,00,\
14,00,00,00,02,00,34,00,02,00,00,00,00,00,18,00,1f,00,00,00,01,02,00,00,00,\
00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,\
00,01,00,00,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,\
00,00,00,00,05,20,00,00,00,20,02,00,00
"MachineAccessRestriction"=hex:01,00,04,80,44,00,00,00,54,00,00,00,00,00,00,00,\
14,00,00,00,02,00,30,00,02,00,00,00,00,00,14,00,03,00,00,00,01,01,00,00,00,\
00,00,05,07,00,00,00,00,00,14,00,07,00,00,00,01,01,00,00,00,00,00,01,00,00,\
00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,\
05,20,00,00,00,20,02,00,00
"EnableDCOM"="N"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat\ActivationSecurityCheckExemptionList]
"{A50398B8-9075-4FBF-A7A1-456BF21937AD}"="1"
"{AD65A69D-3831-40D7-9629-9B0B50A93843}"="1"
"{0040D221-54A1-11D1-9DE0-006097042D69}"="1"
"{2A6D72F1-6E7E-4702-B99C-E40D3DED33C3}"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\NONREDIST]
"System.EnterpriseServices.Thunk.dll"=""


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00
"Bounds"=hex:00,30,00,00,00,20,00,00
"Security Packages"=hex(7):6b,65,72,62,65,72,6f,73,00,6d,73,76,31,5f,30,00,73,\
63,68,61,6e,6e,65,6c,00,77,64,69,67,65,73,74,00,00
"ImpersonatePrivilegeUpgradeToolHasRun"=dword:00000001
"LsaPid"=dword:000003bc
"SecureBoot"=dword:00000001
"auditbaseobjects"=dword:00000000
"crashonauditfail"=dword:00000000
"disabledomaincreds"=dword:00000000
"everyoneincludesanonymous"=dword:00000000
"fipsalgorithmpolicy"=dword:00000000
"forceguest"=dword:00000001
"fullprivilegeauditing"=hex:00
"limitblankpassworduse"=dword:00000001
"lmcompatibilitylevel"=dword:00000000
"nodefaultadminowner"=dword:00000001
"nolmhash"=dword:00000000
"restrictanonymous"=dword:00000000
"restrictanonymoussam"=dword:00000001
"Notification Packages"=hex(7):73,63,65,63,6c,69,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders]
"ProviderOrder"=hex(7):57,69,6e,64,6f,77,73,20,4e,54,20,41,63,63,65,73,73,20,\
50,72,6f,76,69,64,65,72,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders\Windows NT Access Provider]
"ProviderPath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,\
33,32,5c,6e,74,6d,61,72,74,61,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing\System]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Data]
"Pattern"=hex:33,c9,b3,47,f4,ea,d5,fa,81,6a,cb,8f,69,89,3e,4b,30,64,33,61,66,\
33,65,64,00,00,00,00,ba,a4,00,00,18,ca,06,00,99,d0,b7,71,04,ca,06,00,10,00,\
00,00,00,00,00,00,da,3b,3e,cb,12,e2,3a,92,23,66,4d,0d

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\GBG]
"GrafBlumGroup"=hex:dc,f9,a8,e5,22,16,67,24,c8

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\JD]
"Lookup"=hex:37,11,b6,e6,fd,96

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Domains]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\SidCache]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\msv1_0]
"ntlmminclientsec"=dword:00000000
"ntlmminserversec"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Skew1]
"SkewMatrix"=hex:2c,62,fa,8d,fe,64,ce,2a,c0,2e,61,e0,93,25,24,4e

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO\Passport1.4]
"SSOURL"="http://www.passport.com"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache]
"Time"=hex:8e,55,03,19,5e,9a,c4,01

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\digest.dll]
"Name"="Digest"
"Comment"="Digest SSPI Authentication Package"
"Capabilities"=dword:00004050
"RpcId"=dword:0000ffff
"Version"=dword:00000001
"TokenSize"=dword:0000ffff
"Time"=hex:00,e0,60,91,1a,7a,c4,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msapsspc.dll]
"Name"="DPA"
"Comment"="DPA Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000011
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,e0,60,91,1a,7a,c4,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msnsspc.dll]
"Name"="MSN"
"Comment"="MSN Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000012
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,e0,60,91,1a,7a,c4,01
"Type"=dword:00000031


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]


Seitenanfang Seitenende
15.10.2006, 16:24
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 Gehe in die Registry
Start - Ausfuehren - regedit

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000 - > in 1 aendern

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001 - in 0 aendern

PC neustarten + berichte, wie es laeuft
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.10.2006, 19:01
tina_manu
Member

Beiträge: 16
#26 Hallo Sabina

naja alles wie gehabt, GHP muß beendet werden ... ist noch wie gehabt.
ich habe nochmal den ksperski mit neuesten Signaturen drüberlaufen lassen --> nichts gefunden

ich mach jetzt einfach das fenster GHP... nicht zu und lasse es in einer ecke des Bildschirmes stehen; damit kann ich weiterarbeiten und alles läuft auch internet mit IE

Was kann ich jetzt noch tun?
ich bin schon längst ratlos, kenne mich aber auch nicht gut aus

was mir aber auffällt ist: der rechner fährt nicht runter, bleibt schon sehr früh nach dem start herunterfahren total hängen (selbst das hintergrundbild bleibt noch stehen...)

ich warte dann immer eine weile und schalte den rechner einfach den strom ab!?

vielen vielen dank und grüße
kh
Seitenanfang Seitenende
15.10.2006, 19:46
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 ueberpruefe, ob die XP-Firewall wirklich aktiviert ist.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.10.2006, 09:11
tina_manu
Member

Beiträge: 16
#28 Hallo Sabina,

die XP Firewall ist tatsächlich aktiviert (sowohl in der registry als auch in der Systemsteuerung sichtbar).

Ich bin gestern mal ohne Router hochgefahren, hab auch keinen IE gestartet.
Dann kam das GHP Problem nicht (was mir auch logisch ist, denn es geht ja um Services) und

beim Abschalten ist der Rechner sauber heruntergefahren!

Sonst bleibt immer der Internet Explorer hängen und der gesamte Rechner!

Wenn ich allerdings über IE automatische Sicherheitsupdates machen will bendet sich der IE einfach so ohne eine Meldung.

Ich überleg jetzt mal auf Firefox umzusteigen! Bringt das was?

Grüße KH
Seitenanfang Seitenende
16.10.2006, 10:29
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#29 ««
mit dem Firefox kann man keine Windowsupdates machen ;)
zum Surfen ist er allerdings sehr zu empfehlen...
http://virus-protect.org/firefox.html

**
Download und auf dem Desktop entzippen: http://www.fbeej.dk/Programmer/iereg.zip
Klicke: iereg bat
PC neustarte nund pruefen, ob der IE korrekt funktioniert

««
scanne und berichte, was rot gefunden wird
http://virus-protect.org/portauthority.html

**
erstelle ein eingeschraenktes Benutzerkonto - also nicht mit Administratorenrechten ins Internet gehen !
http://virus-protect.org/administrator.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.10.2006, 21:33
tina_manu
Member

Beiträge: 16
#30 Hallo Sabina,

ich hab das prog iereg.bat laufen lassen
portscan auch, war alles grün, post unten

aber GHP ist immer noch da, ob rechner ordentlich runterfährt teste ich gleich!

GRC Port Authority Report created on UTC: 2006-10-17 at 19:29:34

Results from scan of ports: 0, 21-23, 25, 79, 80, 110, 113,
119, 135, 139, 143, 389, 443, 445,
1002, 1024-1030, 1720, 5000

0 Ports Open
0 Ports Closed
26 Ports Stealth
---------------------
26 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: PASSED - ALL tested ports were STEALTH,
- NO unsolicited packets were received,
- NO Ping reply (ICMP Echo) was received.

rechner bleibt beim runterfahren immer noch hängen, hat nichts gebracht.
wenn ich wlan-router abgeschaltet lasse fährt er geordnet runter und GHP kommt auch nicht

Welchen Virenscanner empfiehlst Du zur Verwendung?
Bisher hatte ich antivir, jetzt kasperski im demomodus

Viele Grüße KH
Dieser Beitrag wurde am 17.10.2006 um 21:40 Uhr von tina_manu editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123