"Warning: System Security Alert" u.ä. in Taskbar |
||
---|---|---|
#0
| ||
26.10.2006, 07:13
Member
Beiträge: 14 |
||
|
||
26.10.2006, 11:15
Ehrenmitglied
Beiträge: 29434 |
#2
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html poste dieses log http://virus-protect.org/artikel/tools/combofix.html Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.10.2006, 08:04
Member
Themenstarter Beiträge: 14 |
#3
Hi Sabina,
erstmal vielen Dank, dass Du dich mit unerschöpflicher Geduld auch der 4711ten Infizierung dieser Art annimmst! Bevor ich die Ergebnisse poste, muss ich sagen, dass ich die Anweisungen mit dem infizierten Rechner gemacht habe. Währenddessen kamen halt dauernd die Popups. 1. Clean-Up ausgeführt 2. Combofix Log (anonymisiert): **** - 06-10-27 7:22:20,72 Service Pack 2 ComboFix 06.10.19 - Running from: "E:\virus_found" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\vxgamet1.exe ((((((((((((((((((((((((((((((( Files Created from 2006-09-27 to 2006-10-27 )))))))))))))))))))))))))))))))))) 2006-10-24 23:35 9,472 --a------ C:\WINDOWS\waol.exe 2006-10-24 23:35 8,960 --a------ C:\WINDOWS\users32.exe 2006-10-24 23:35 8,704 --a------ C:\WINDOWS\olehelp.exe 2006-10-24 23:35 8,448 --a------ C:\WINDOWS\SYSTEM32\netstat2.exe 2006-10-24 23:35 32,000 --a------ C:\WINDOWS\winmgnt.exe 2006-10-24 23:35 31,744 --a------ C:\WINDOWS\systemcritical.exe 2006-10-24 23:35 31,744 --a------ C:\WINDOWS\dialup.exe 2006-10-24 23:35 31,488 --a------ C:\WINDOWS\SYSTEM32\mpsegment.exe 2006-10-24 23:35 31,232 --a------ C:\WINDOWS\wininet32.exe 2006-10-24 23:35 30,464 --a------ C:\WINDOWS\SYSTEM32\VXH8JKDQ2.EXE 2006-10-24 23:35 29,952 --a------ C:\WINDOWS\win32e.exe 2006-10-24 23:35 29,440 --a------ C:\WINDOWS\SYSTEM32\msmsn.exe 2006-10-24 23:35 29,184 --a------ C:\WINDOWS\runwin32.exe 2006-10-24 23:35 28,672 --a------ C:\WINDOWS\window.exe 2006-10-24 23:35 28,160 --a------ C:\WINDOWS\SYSTEM32\POPCORN72.EXE 2006-10-24 23:35 27,904 --a------ C:\WINDOWS\SYSTEM32\iewd.exe 2006-10-24 23:35 27,648 --a------ C:\WINDOWS\SYSTEM32\winmuse.exe 2006-10-24 23:35 26,880 --a------ C:\WINDOWS\systeem.exe 2006-10-24 23:35 26,112 --a------ C:\WINDOWS\accesss.exe 2006-10-24 23:35 25,088 --a------ C:\WINDOWS\SYSTEM32\proqlaim.exe 2006-10-24 23:35 24,832 --a------ C:\WINDOWS\cpan.dll 2006-10-24 23:35 24,064 --a------ C:\WINDOWS\SYSTEM32\kernels64.exe 2006-10-24 23:35 22,528 --a------ C:\WINDOWS\avpcc.dll 2006-10-24 23:35 22,272 --a------ C:\WINDOWS\SYSTEM32\performent202.dll 2006-10-24 23:35 22,016 --a------ C:\WINDOWS\SYSTEM32\VXH8JKDQ6.EXE 2006-10-24 23:35 21,760 --a------ C:\WINDOWS\SYSTEM32\win32hp.dll 2006-10-24 23:35 21,760 --a------ C:\WINDOWS\SYSTEM32\perfont.exe 2006-10-24 23:35 21,504 --a------ C:\WINDOWS\SYSTEM32\vxgamet1.exe 2006-10-24 23:35 19,712 --a------ C:\WINDOWS\x.exe 2006-10-24 23:35 18,688 --a------ C:\WINDOWS\y.exe 2006-10-24 23:35 18,432 --a------ C:\WINDOWS\notepad32.exe 2006-10-24 23:35 17,664 --a------ C:\WINDOWS\xplugin.dll 2006-10-24 23:35 17,408 --a------ C:\WINDOWS\mtwirl32.dll 2006-10-24 23:35 14,848 --a------ C:\WINDOWS\winajbm.dll 2006-10-24 23:35 14,848 --a------ C:\WINDOWS\inetdctr.dll 2006-10-24 23:35 14,592 --a------ C:\WINDOWS\win64.exe 2006-10-24 23:35 13,056 --a------ C:\WINDOWS\SYSTEM32\dload.exe 2006-10-24 23:35 12,544 --a------ C:\WINDOWS\SYSTEM32\anti_troj.exe 2006-10-24 23:35 12,032 --a------ C:\WINDOWS\SYSTEM32\ace16win.dll 2006-10-24 23:35 11,264 --a------ C:\WINDOWS\spp3.dll 2006-10-24 23:35 10,496 --a------ C:\WINDOWS\clrssn.exe 2006-10-24 23:35 10,240 --a------ C:\WINDOWS\time.exe 2006-10-24 23:34 9,216 --a------ C:\WINDOWS\SYSTEM32\hsxrvell.exe 2006-10-24 23:34 8,192 --a------ C:\WINDOWS\SYSTEM32\sklmnf.exe 2006-10-24 23:34 45,056 --a------ C:\WINDOWS\SYSTEM32\msmapi32.exe 2006-10-24 23:34 18,432 --a------ C:\WINDOWS\SYSTEM32\asgp32.dll 2006-10-24 23:34 13,824 --a------ C:\WINDOWS\SYSTEM32\intr32.dll 2006-10-24 23:34 10,752 --a------ C:\WINDOWS\SYSTEM32\instreg_tmp.exe (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-10-27 07:16 -------- d-------- C:\Programme\Symantec AntiVirus 2006-10-26 05:16 -------- d-------- C:\Programme\CleanUp! 2006-10-25 18:41 -------- d--h----- C:\Programme\WindowsUpdate 2006-10-24 18:52 -------- d-------- C:\Dokumente und Einstellungen\****\Anwendungsdaten\VMware 2006-08-27 17:33 -------- d-------- C:\Dokumente und Einstellungen\****\Anwendungsdaten\dvdcss (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup" "nwiz"="nwiz.exe /installquiet" "Apoint"="C:\\Programme\\Apoint\\Apoint.exe" "bascstray"="BascsTray.exe" "PRONoMgr.exe"="C:\\Programme\\Intel\\NCS\\PROSet\\PRONoMgr.exe" "Dell QuickSet"="C:\\Programme\\Dell\\QuickSet\\quickset.exe" "DVDSentry"="C:\\WINDOWS\\System32\\DSentry.exe" "NDPS"="C:\\WINDOWS\\System32\\dpmw32.exe" "NWTRAY"="NWTRAY.EXE" "FreePDFAssistent"="C:\\Programme\\FreePDF\\FreePDFA.exe" "ATIModeChange"="Ati2mdxx.exe" "ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "ZENRC Tray Icon"="C:\\WINDOWS\\system32\\zentray.exe" "FreePDF Assistant"="C:\\Programme\\FreePDF_XP\\fpassist.exe" "SunJavaUpdateSched"="C:\\Programme\\Java\\j2re1.4.2_06\\bin\\jusched.exe" "ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\"" "vptray"="C:\\PROGRA~1\\SYMANT~1\\VPTray.exe" "PCSuiteTrayApplication"="C:\\PROGRA~1\\Nokia\\NOKIAP~1\\LAUNCH~1.EXE -onlytray" "T-DSL SpeedMgr"="\"C:\\PROGRA~1\\T-DSLS~1\\SpeedMgr.exe\"" @="" "Sony Ericsson PC Suite"="\"C:\\Programme\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions" "KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\ 65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "NoChange"="1" "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000001 [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,20,03,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\ ff,ff,04,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\ 00,00,01,00,00,00 [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{763370C4-268E-4308-A60C-D8DA0342BE32}"="" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 "CompatibleRUPSecurity"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoWindowsUpdate"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\NetIdentity Notification HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" Completion time: 06-10-27 7:23:57.76 C:\ComboFix.txt ... 06-10-27 07:23 *********************** 3. Datfind.bat Logs: **************** Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E888-99CD Verzeichnis von C:\WINDOWS\SYSTEM32 27.10.2006 07:23 21.504 vxgamet1.exe 27.10.2006 07:16 45.136 nvModes.001 27.10.2006 07:13 12.598 WPA.DBL 27.10.2006 06:56 4 stfv.bin 27.10.2006 06:52 12 oiso.bin 27.10.2006 06:52 0 lfd.dat 27.10.2006 06:52 0 pcf.pdf 26.10.2006 05:39 29.952 ncompat.tlb 25.10.2006 18:46 45.136 nvModes.dat 24.10.2006 23:35 29.440 msmsn.exe 24.10.2006 23:35 27.648 winmuse.exe 24.10.2006 23:35 21.760 perfont.exe 24.10.2006 23:35 8.448 netstat2.exe 24.10.2006 23:35 24.064 kernels64.exe 24.10.2006 23:35 12.544 anti_troj.exe 24.10.2006 23:35 28.160 POPCORN72.EXE 24.10.2006 23:35 25.088 proqlaim.exe 24.10.2006 23:35 31.488 mpsegment.exe 24.10.2006 23:35 22.272 performent202.dll 24.10.2006 23:35 27.904 iewd.exe 24.10.2006 23:35 13.056 dload.exe 24.10.2006 23:35 21.760 win32hp.dll 24.10.2006 23:35 30.464 VXH8JKDQ2.EXE 24.10.2006 23:35 22.016 VXH8JKDQ6.EXE 24.10.2006 23:35 28.672 ts.ico 24.10.2006 23:35 9.728 ot.ico 24.10.2006 23:35 25.344 msvol.tlb 24.10.2006 23:35 12.032 ace16win.dll 24.10.2006 23:34 18.432 asgp32.dll 24.10.2006 23:34 10.752 instreg_tmp.exe 24.10.2006 23:34 8.192 sklmnf.exe 24.10.2006 23:34 607 msmapi32.exe.MANIFEST 24.10.2006 23:34 45.056 msmapi32.exe 24.10.2006 23:34 13.824 intr32.dll 24.10.2006 23:34 9.216 hsxrvell.exe 23.07.2006 18:21 41 Filzip.ini ************ Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E888-99CD Verzeichnis von C:\Temp 27.10.2006 07:16 16.384 ~DF466E.tmp 27.10.2006 07:16 32.768 ~DFE4A7.tmp 2 Datei(en) 49.152 Bytes 0 Verzeichnis(se), 1.218.908.160 Bytes frei ************* Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E888-99CD Verzeichnis von C:\WINDOWS 27.10.2006 07:53 399.169 pfirewall.log 27.10.2006 07:52 41 Filzip.ini 27.10.2006 07:20 410.389 WindowsUpdate.log 27.10.2006 07:13 32.572 SchedLgU.Txt 27.10.2006 07:13 0 0.LOG 27.10.2006 07:13 2.048 BOOTSTAT.DAT 26.10.2006 05:02 195.398 Windows Update.log 25.10.2006 12:10 1.048.624 pfirewall.log.old 24.10.2006 23:35 11.264 spp3.dll 24.10.2006 23:35 31.232 wininet32.exe 24.10.2006 23:35 29.184 runwin32.exe 24.10.2006 23:35 31.744 dialup.exe 24.10.2006 23:35 18.688 y.exe 24.10.2006 23:35 17.664 xplugin.dll 24.10.2006 23:35 19.712 x.exe 24.10.2006 23:35 32.000 winmgnt.exe 24.10.2006 23:35 28.672 window.exe 24.10.2006 23:35 14.848 winajbm.dll 24.10.2006 23:35 14.592 win64.exe 24.10.2006 23:35 29.952 win32e.exe 24.10.2006 23:35 9.472 waol.exe 24.10.2006 23:35 8.960 users32.exe 24.10.2006 23:35 10.240 time.exe 24.10.2006 23:35 31.744 systemcritical.exe 24.10.2006 23:35 26.880 systeem.exe 24.10.2006 23:35 8.704 olehelp.exe 24.10.2006 23:35 18.432 notepad32.exe 24.10.2006 23:35 17.408 mtwirl32.dll 24.10.2006 23:35 24.832 cpan.dll 24.10.2006 23:35 10.496 clrssn.exe 24.10.2006 23:35 22.528 avpcc.dll 24.10.2006 23:35 23.296 astctl32.ocx 24.10.2006 23:35 26.112 accesss.exe 24.10.2006 23:35 14.848 inetdctr.dll 24.10.2006 23:04 168.490 wmsetup.log 24.10.2006 14:53 530 WIASERVC.LOG 24.10.2006 14:53 159 WIADEBUG.LOG 23.10.2006 13:19 662.939 setupapi.log 20.10.2006 20:04 109 cdlli41.INI 20.09.2006 15:10 754 WORDPAD.INI 01.09.2006 09:48 231.759 SETUPACT.LOG 08.06.2006 13:37 54.156 QTFont.qfn ************** Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E888-99CD Verzeichnis von C:\WINDOWS\Temp 27.10.2006 07:17 16.384 Perflib_Perfdata_6ac.dat 27.10.2006 07:16 16.384 Perflib_Perfdata_fc.dat 27.10.2006 07:14 85 vmware-vmount.log 3 Datei(en) 32.853 Bytes 0 Verzeichnis(se), 1.218.777.088 Bytes frei **************** Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E888-99CD Verzeichnis von C:\WINDOWS\Downloaded Program Files 11.09.2002 13:20 65 DESKTOP.INI 20.01.2000 17:25 1.162 Microsoft XML Parser for Java.osd 14.10.1997 20:52 697 DirectAnimation Java Classes.osd 3 Datei(en) 1.924 Bytes 0 Verzeichnis(se), 1.218.711.552 Bytes frei ******************* Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E888-99CD Verzeichnis von C:\ 27.10.2006 08:02 0 sys.txt 27.10.2006 07:12 2.146.435.072 pagefile.sys 23.10.2006 07:35 39 .bash_history 04.10.2006 09:23 668 datFind.bat 19.09.2006 17:32 600 winscp.RND 21.06.2006 15:57 600 PUTTY.RND 04.05.2006 05:58 3.885 TDSLCheck.txt 23 Datei(en) 2.682.881.573 Bytes 0 Verzeichnis(se), 1.218.707.456 Bytes frei Vielen Dank für die Hilfe, Granny Hier nochmal ne blöde Frage: Bei mir ist die Systemwiederherstellung aktiviert (für alle Laufwerke) und ich bekomme einen Wiederherstellungspunkt vom 24.10. 08:51.22 (Systemprüfpunkt) angezeigt. Manuelle Wiederherstellungspunkte habe ich nie erzeugt. Eigentlich habe ich das Feature nie benutzt. Ich habe keine Ahnung wie zuverlässig es arbeitet. Der Zeitpunkt würde aber passen. Außer Mails sollten keine aktuelleren Dinge in den Filesystemen passiert sein. Wie man ja im Log sieht, gibt es in C:\Windows jede Menge Files vom 24.10. Uhr 23:35 - und ungefähr seit der Zeit habe ich die Probleme. Würde es also Sinn machen, auf den 24.10. zurückzusetzen? Bin ich dann meine Probleme los? *fragend* Granny ********* Edit: 27.10. 11:36 (schon gewöhnungsbedürftig, dass man nicht auf seinen eigenen Beitrag antworten darf) Ich habe mittlerweile etwas weiter geforscht und "probiert". Habe den Online Scan von Pandasoft versucht. ActiveX Control installiert uns scannen lassen; leider ist mir kurz vor Ende die Verbindung unterbrochen worden und beim Restart hat er mir verschiedene Optionen angeboten (My Computer, etc) (war beim 1. Mal nicht so). Außerdem bezog er sich nur auf Viren, nicht "andere Schädlinge". Symantec mit der neuesten Signatur findet schon nix. Da hab ich mir Panda lieber gespart. Smitfraudfix habe ich laufen lassen. Hier das Log vor dem Clean. Allerdings findet Adaware nach dem Reboot wieder die üblichen Verdächtigen, die Popups sind auch noch da. Sagt mal, kann es sein, dass virus-protect.org down ist oder ist das schon Teil meines Problems...? Viele Grüße, Granny ********** SmitFraudFix v2.114 Scan done at 10:31:08,93, 27.10.2006 Run from E:\virus_found\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 C:\WINDOWS\system32\kernels64.exe FOUND ! C:\WINDOWS\system32\lfd.dat FOUND ! C:\WINDOWS\system32\msvol.tlb FOUND ! C:\WINDOWS\system32\ncompat.tlb FOUND ! C:\WINDOWS\system32\oiso.bin FOUND ! C:\WINDOWS\system32\ot.ico FOUND ! C:\WINDOWS\system32\ts.ico FOUND ! C:\WINDOWS\system32\vxgamet?.exe FOUND ! C:\WINDOWS\system32\vxh8jkdq?.exe FOUND ! C:\WINDOWS\system32\winmuse.exe FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\**** »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\****\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\****\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32 »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End Dieser Beitrag wurde am 27.10.2006 um 11:45 Uhr von Granny editiert.
|
|
|
||
27.10.2006, 13:41
Ehrenmitglied
Beiträge: 29434 |
#4
meine seite war down, im Rechenzentrum gab es wohl einen Stromausfall
Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat Files to delete:Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O1 - Hosts: *****PC neustarten «« Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. «« poste noch mal die 6 logs von datfindbat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.10.2006, 13:46
Member
Beiträge: 3716 |
#5
hallo, du kannst schon mal die ganzen o1-einträge fixen.
weiterhin: stelle deine ordneroptionen ein: arbeitsplatz öffnen das menü extras öffnen dann auf ordneroptionen. dort die registerkarte ansicht wählen. stelle dort folgendes ein: dateinamenerweiterungen bei bekannten Dateitypen ausblenden off Inhalte von systemordnern ausblenden off Geschützte Systemdateien ausblenden off Und bei versteckte Dateien alle einblenden on. lade dir nun bitte die filelist.zip runter: http://members.linzag.net/680262/filelist.zip entpacke sie auf deinem Desktop. öffne nun die filelist.bat. Nun öffnet sich dein editor, dort wirst du mehrere verzeichnisse sehen. Kopiere nun von jedem dieser Verzeichnisse die jeweils letzten 30 tage hier her. |
|
|
||
27.10.2006, 14:10
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo virenfinder
ein bisschen verpaetet, siehst du nicht auch ? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.10.2006, 14:18
Member
Beiträge: 3716 |
#7
sorry, als ich angefangen hatte zu schreiben war dein beitrag noch nicht da... ich wurde auch zwischendurch "aufgehalten".
ich hoffe tipps etc. sind hier erwünscht und nicht störend? |
|
|
||
27.10.2006, 17:18
Member
Themenstarter Beiträge: 14 |
#8
Hallo Sabina, hallo Virenfinder,
ich hatte dann noch ein wenig weitergeforscht und experimentiert. Ja, es ist ein Dienstlaptop und ich musste so schnell wie möglich wieder arbeitsfähig sein. Ich habe derzeit keine Gelegenheit, den Rechner wieder komplett aufzubauen. Probiert hatte ich noch Vundofix, hat aber nichts gefunden. Dann habe ich roguescanfix benutzt und danach war alles weg!! Die Popups und die Trojaner, Dialer, etc. Seit dem findet Adaware nichts mehr. Na ja stimmt nicht ganz: gerade hat es ein Trackig Cookie von doubleclick.net gefunden... (aber die hat's immer, die finde ich und lösche sie aber beim nächsten Scan sind wieder Tracking Cookies da). Ich möchte nun aber einigermassen sicher gehen, dass der Rechner wieder sauber ist (wie gesagt dienstlich genutzt, ein wenig Home Banking, Ebay, all diese gefährlichen Sachen...) Habe gerade nochmal Cleanup und Smitfraudfix laufen lassen. Komisch finde ich wieder diese Files gefunden und durch Smitfraudfix Clean gelöscht wurden: C:\WINDOWS\system32\kernels64.exe Deleted C:\WINDOWS\system32\lfd.dat Deleted C:\WINDOWS\system32\msvol.tlb Deleted C:\WINDOWS\system32\oiso.bin Deleted C:\WINDOWS\system32\ot.ico Deleted C:\WINDOWS\system32\ts.ico Deleted C:\WINDOWS\system32\vxgamet?.exe Deleted C:\WINDOWS\system32\vxh8jkdq?.exe Deleted C:\WINDOWS\system32\winmuse.exe Deleted So, habe dann angefangen Sabina's Tips abzuarbeiten. In Avenger habe ich Deine Liste einkopiert, wobei schon einige Files entfernt waren. Ebenso bei der Liste von HiJackThis. Schließlich noch die Hosts umgesetzt. Hier nun ein aktuelles HiJackThis Log: Logfile of HijackThis v1.99.1 Scan saved at 17:15:22, on 27.10.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\S24EvMon.exe C:\Programme\Juniper\NetScreen-Remote\IreIKE.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\basfipm.exe C:\Programme\Symantec AntiVirus\DefWatch.exe C:\Programme\Juniper\NetScreen-Remote\IPSecMon.exe C:\Programme\Novell\ZENworks\nalntsrv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\RegSrvc.exe C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe C:\Programme\Symantec AntiVirus\Rtvscan.exe C:\Programme\VMware\VMware Workstation\vmware-authd.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINDOWS\system32\vmnat.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\WINDOWS\System32\Novell\XTAgent.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\System32\1XConfig.exe C:\WINDOWS\Explorer.EXE C:\Programme\Apoint\Apoint.exe C:\Programme\Dell\QuickSet\quickset.exe C:\WINDOWS\System32\DSentry.exe C:\WINDOWS\System32\dpmw32.exe C:\WINDOWS\system32\NWTRAY.EXE C:\Programme\Apoint\Apntex.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~1\VPTray.exe C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Juniper\NetScreen-Remote\SafeCfg.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\WINDOWS\system32\notepad.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\WINDOWS\Explorer.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Microsoft Office\Office\WINWORD.EXE E:\virus_found\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://*********** O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [bascstray] BascsTray.exe O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe O4 - HKLM\..\Run: [NDPS] C:\WINDOWS\System32\dpmw32.exe O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ZENRC Tray Icon] C:\WINDOWS\system32\zentray.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [wixtfgaa] C:\gckbniva.bat O4 - Global Startup: NetScreen-Remote.lnk = C:\Programme\Juniper\NetScreen-Remote\SafeCfg.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing) O9 - Extra button: Novell delivered applications - {C1994287-422F-47aa-8E5E-6323E210A125} - C:\Programme\Novell\ZENworks\AxNalServer.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: ***** O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7F5F2194-9FF2-44EB-857F-9372711F690E}: NameServer = ********* O17 - HKLM\System\CCS\Services\Tcpip\..\{88FA1535-810B-4186-89A1-0BDDC5201473}: NameServer = ******** O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = ***** O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = **** O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = **** O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll O20 - Winlogon Notify: NetIdentity Notification - C:\WINDOWS\system32\Novell\XtNotify.dll O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Broadcom ASF IP monitoring service v6.0.3 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\System32\basfipm.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\System32\cusrvc.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\Programme\Juniper\NetScreen-Remote\IPSecMon.exe O23 - Service: SafeNet IKE Service (IREIKE) - SafeNet - C:\Programme\Juniper\NetScreen-Remote\IreIKE.exe O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\Programme\Novell\ZENworks\nalntsrv.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Oracle9iHOMEClientCache - Unknown owner - c:\oracle\9i\BIN\ONRSD.EXE O23 - Service: OracleClientCache80 - Unknown owner - C:\ORACLE\805CLNT\BIN\ONRSD80.EXE O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe O23 - Service: Novell ZfD Remote Management (Remote Management Agent) - Novell Inc. - C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe O23 - Service: Novell XTier Agent Services (XTAgent) - Novell, Inc. - C:\WINDOWS\System32\Novell\XTAgent.exe O23 - Service: Arbeitsstations-Manager (ZFDWM) - Novell, Inc. - C:\Programme\Novell\ZENworks\wm.exe ******* Hier noch die Datfind.bat Logs: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E888-99CD Verzeichnis von C:\WINDOWS\SYSTEM32 27.10.2006 17:03 45.136 nvModes.001 27.10.2006 17:01 45.136 nvModes.dat 27.10.2006 10:01 2.550 Uninstall.ico 27.10.2006 10:01 1.406 Help.ico 27.10.2006 10:01 30.590 pavas.ico 27.10.2006 07:13 12.598 WPA.DBL 02.08.2006 12:39 73.728 asuninst.exe 23.07.2006 18:21 41 Filzip.ini ******** Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E888-99CD Verzeichnis von C:\Temp 27.10.2006 17:15 16.384 ~DF95B4.tmp 27.10.2006 17:11 40.960 ~WRS0000.tmp 27.10.2006 17:11 512 ~DFC04F.tmp 27.10.2006 17:03 16.384 ~DFF904.tmp 4 Datei(en) 74.240 Bytes 0 Verzeichnis(se), 1.153.798.144 Bytes frei ************ Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E888-99CD Verzeichnis von C:\WINDOWS 27.10.2006 17:21 10.102 pfirewall.log 27.10.2006 17:07 423.801 WindowsUpdate.log 27.10.2006 17:00 0 0.LOG 27.10.2006 16:59 2.048 BOOTSTAT.DAT 27.10.2006 16:58 32.572 SchedLgU.Txt 27.10.2006 16:32 41 Filzip.ini 27.10.2006 15:50 232.119 SETUPACT.LOG 27.10.2006 15:44 109 cdlli41.INI 27.10.2006 13:45 147.452 Windows Update.log 27.10.2006 10:43 771.794 ntbtlog.txt 27.10.2006 10:39 50 WIASERVC.LOG 27.10.2006 10:39 216 WIADEBUG.LOG 27.10.2006 10:17 546 WIN.INI 27.10.2006 10:17 32 pavsig.txt 27.10.2006 10:05 684.577 setupapi.log 27.10.2006 07:58 19.456 xxxvideo.hta 24.10.2006 23:04 168.490 wmsetup.log 20.09.2006 15:10 754 WORDPAD.INI 08.06.2006 13:37 54.156 QTFont.qfn *********** Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E888-99CD Verzeichnis von C:\WINDOWS\Temp 27.10.2006 17:03 16.384 Perflib_Perfdata_d20.dat 27.10.2006 17:02 16.384 Perflib_Perfdata_4a0.dat 27.10.2006 17:01 85 vmware-vmount.log 27.10.2006 13:10 16.384 Perflib_Perfdata_f38.dat 27.10.2006 13:09 16.384 Perflib_Perfdata_634.dat 27.10.2006 13:08 85 vmware-vmount-1.log 6 Datei(en) 65.706 Bytes 0 Verzeichnis(se), 1.153.785.856 Bytes frei *********** Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E888-99CD Verzeichnis von C:\WINDOWS\Downloaded Program Files 24.08.2006 08:28 141.424 asinst.dll 22.08.2006 09:06 537 asinst.inf 11.09.2002 13:20 65 DESKTOP.INI 20.01.2000 17:25 1.162 Microsoft XML Parser for Java.osd 14.10.1997 20:52 697 DirectAnimation Java Classes.osd 5 Datei(en) 143.885 Bytes 0 Verzeichnis(se), 1.153.785.856 Bytes frei ************* Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E888-99CD Verzeichnis von C:\ 27.10.2006 17:23 0 sys.txt 27.10.2006 17:23 533 down.txt 27.10.2006 17:23 587 tmp.txt 27.10.2006 17:22 9.438 system.txt 27.10.2006 17:21 416 systemtemp.txt 27.10.2006 17:20 112.817 system32.txt 27.10.2006 16:59 2.146.435.072 pagefile.sys 27.10.2006 16:59 34.410 avenger.txt 27.10.2006 15:53 8.050 ComboFix.txt 27.10.2006 15:51 1.206 rapport.txt 27.10.2006 12:08 186 VundoFix.txt 23.10.2006 07:35 39 .bash_history 04.10.2006 09:23 668 datFind.bat 19.09.2006 17:32 600 winscp.RND 21.06.2006 15:57 600 PUTTY.RND Was braucht Ihr noch, um Euch ein Bild zu machen? Bin ich wieder sauber? Lieben Dank, Granny Dieser Beitrag wurde am 27.10.2006 um 17:27 Uhr von Granny editiert.
|
|
|
||
27.10.2006, 17:24
Member
Beiträge: 3716 |
#9
poste doch mal wie von mir gewünscht die filelist. du bist dir auch sicher, das die o17-einträge alle zu dir gehören? weil du sie editirt hast meine ich...
|
|
|
||
27.10.2006, 17:41
Member
Themenstarter Beiträge: 14 |
#10
Hallo Virenfinder,
sorry hatte die Filelist vergessen. Die O17 Einträge gehören zu mir, ebenso wie die Hosts, die ich editiert hatte. Die müssen auch irgendwann wieder in das Hosts File rein... ----- Root ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E888-99CD Verzeichnis von C:\ 27.10.2006 17:33 43 filelist.txt 27.10.2006 17:23 1.762 sys.txt 27.10.2006 17:23 533 down.txt 27.10.2006 17:23 587 tmp.txt 27.10.2006 17:22 9.438 system.txt 27.10.2006 17:21 416 systemtemp.txt 27.10.2006 17:20 112.817 system32.txt 27.10.2006 16:59 2.146.435.072 pagefile.sys 27.10.2006 16:59 34.410 avenger.txt 27.10.2006 15:53 8.050 ComboFix.txt 27.10.2006 15:51 1.206 rapport.txt 27.10.2006 12:08 186 VundoFix.txt 23.10.2006 07:35 39 .bash_history 04.10.2006 09:23 668 datFind.bat ----- Windows -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E888-99CD Verzeichnis von C:\WINDOWS 27.10.2006 17:33 12.367 pfirewall.log 27.10.2006 17:07 423.801 WindowsUpdate.log 27.10.2006 17:00 0 0.LOG 27.10.2006 16:59 2.048 BOOTSTAT.DAT 27.10.2006 16:58 32.572 SchedLgU.Txt 27.10.2006 16:32 41 Filzip.ini 27.10.2006 15:50 232.119 SETUPACT.LOG 27.10.2006 15:44 109 cdlli41.INI 27.10.2006 13:45 147.452 Windows Update.log 27.10.2006 10:43 771.794 ntbtlog.txt 27.10.2006 10:39 50 WIASERVC.LOG 27.10.2006 10:39 216 WIADEBUG.LOG 27.10.2006 10:17 546 WIN.INI 27.10.2006 10:17 32 pavsig.txt 27.10.2006 10:05 684.577 setupapi.log 27.10.2006 07:58 19.456 xxxvideo.hta 24.10.2006 23:04 168.490 wmsetup.log 20.09.2006 15:10 754 WORDPAD.INI ----- System 32 (Achtung: Zeitfenster beachten!) --- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E888-99CD Verzeichnis von C:\WINDOWS\system 04.08.2004 00:58 146.944 winspool.drv 04.08.2004 00:37 69.632 mmsystem.dll 29.08.2002 07:00 109.504 AVIFILE.DLL ... (und älter) 45 Datei(en) 3.417.897 Bytes 0 Verzeichnis(se), 1.153.536.000 Bytes frei ----- System 32 (Achtung: Zeitfenster beachten!) --- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E888-99CD Verzeichnis von C:\WINDOWS\system32 27.10.2006 17:03 45.136 nvModes.001 27.10.2006 17:01 45.136 nvModes.dat 27.10.2006 10:01 2.550 Uninstall.ico 27.10.2006 10:01 1.406 Help.ico 27.10.2006 10:01 30.590 pavas.ico 27.10.2006 07:13 12.598 WPA.DBL 02.08.2006 12:39 73.728 asuninst.exe ----- Prefetch ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E888-99CD Verzeichnis von C:\WINDOWS\Prefetch 27.10.2006 17:33 10.406 FIND.EXE-0EEAD1A7.pf 27.10.2006 17:33 19.624 CMD.EXE-034B0549.pf 27.10.2006 17:33 77.542 IEXPLORE.EXE-360BBB5C.pf 27.10.2006 17:31 25.922 FILZIP.EXE-044A902A.pf 27.10.2006 17:29 13.260 NOTEPAD.EXE-2F2D61E1.pf 27.10.2006 17:15 13.280 HIJACKTHIS.EXE-32D3D015.pf 27.10.2006 17:11 44.466 WINWORD.EXE-39A7680E.pf 27.10.2006 17:10 76.278 EXPLORER.EXE-02121B1A.pf 27.10.2006 17:08 11.346 HOSTER.EXE-193B30C0.pf 27.10.2006 17:07 21.252 WORDPAD.EXE-159A81F2.pf 27.10.2006 17:07 28.772 RUNDLL32.EXE-6DCE48DE.pf 27.10.2006 17:06 23.902 NLNHOOK.EXE-32E5C275.pf 27.10.2006 17:05 13.118 TELNET.EXE-151A63B2.pf 27.10.2006 17:05 10.792 VPN.EXE-27677D17.pf 27.10.2006 17:03 29.744 EPMWORKER.EXE-2F955D77.pf 27.10.2006 17:03 36.844 GENERIC.EXE-0D0328B3.pf 27.10.2006 17:03 16.832 CONNECTIONWIZARD.EXE-2D7F07D6.pf 27.10.2006 17:03 20.872 WMIPRVSE.EXE-0D449B4F.pf 27.10.2006 17:03 17.688 WMIAPSRV.EXE-02740A4B.pf 27.10.2006 17:03 8.788 SERVIC~1.EXE-11356F7E.pf 27.10.2006 17:03 60.524 CAPABILITYMANAGER.EXE-15EE2405.pf 27.10.2006 17:03 11.310 REGEDIT.EXE-2AE3423E.pf 27.10.2006 17:03 18.980 REGSVR32.EXE-396DEA2C.pf 27.10.2006 17:03 27.586 VPTRAY.EXE-34C1F6CD.pf 27.10.2006 17:03 9.646 FPASSIST.EXE-0FA62707.pf 27.10.2006 17:03 7.102 APNTEX.EXE-2C8A001B.pf 27.10.2006 17:03 12.764 NWTRAY.EXE-311F94A6.pf 27.10.2006 17:03 14.458 DPMW32.EXE-1B8B3356.pf 27.10.2006 17:03 6.412 DSENTRY.EXE-28A3C4CF.pf 27.10.2006 17:03 15.828 QUICKSET.EXE-0836EF39.pf 27.10.2006 17:03 18.786 APOINT.EXE-1ACC1F58.pf 27.10.2006 17:03 9.824 ATIPTAXX.EXE-105D301A.pf 27.10.2006 17:03 3.406 ZENTRAY.EXE-2F1F0722.pf 27.10.2006 17:03 3.468 ATI2MDXX.EXE-2A5FBD2A.pf 27.10.2006 17:03 13.862 PRONOMGR.EXE-198A99D4.pf 27.10.2006 17:03 11.260 NWIZ.EXE-2D374245.pf 27.10.2006 17:03 13.380 USERINIT.EXE-0743FDA9.pf 27.10.2006 17:03 14.270 RUNDLL32.EXE-4DED6A50.pf 27.10.2006 17:03 15.970 1XCONFIG.EXE-23EC3955.pf 27.10.2006 17:03 24.408 ZCFGSVC.EXE-38074293.pf 27.10.2006 17:03 7.726 WSCNTFY.EXE-0B14C27D.pf 27.10.2006 17:03 14.878 ALG.EXE-275708CF.pf 27.10.2006 17:02 48.786 XTAGENT.EXE-07BF47D4.pf 27.10.2006 17:02 19.080 MPNOTIFY.EXE-240461D6.pf 27.10.2006 17:02 23.272 WUAUCLT.EXE-1360D60A.pf 27.10.2006 17:02 482.742 NTOSBOOT-B00DFAAD.pf 27.10.2006 15:47 11.610 DUMPREP.EXE-0AF2BF67.pf 27.10.2006 15:47 5.902 ATI2EVXX.EXE-07A42849.pf 48 Datei(en) 1.447.968 Bytes 0 Verzeichnis(se), 1.153.421.312 Bytes frei ----- Tasks ---------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E888-99CD Verzeichnis von C:\WINDOWS\tasks 27.10.2006 17:00 6 SA.DAT 29.08.2002 07:00 65 DESKTOP.INI 2 Datei(en) 71 Bytes 0 Verzeichnis(se), 1.153.421.312 Bytes frei ----- Windows/Temp ----------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E888-99CD Verzeichnis von C:\WINDOWS\Temp 27.10.2006 17:03 16.384 Perflib_Perfdata_d20.dat 27.10.2006 17:02 16.384 Perflib_Perfdata_4a0.dat 27.10.2006 17:01 85 vmware-vmount.log 27.10.2006 13:10 16.384 Perflib_Perfdata_f38.dat 27.10.2006 13:09 16.384 Perflib_Perfdata_634.dat 27.10.2006 13:08 85 vmware-vmount-1.log 6 Datei(en) 65.706 Bytes 0 Verzeichnis(se), 1.153.421.312 Bytes frei ----- Temp ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E888-99CD Verzeichnis von C:\Temp 27.10.2006 17:15 16.384 ~DF95B4.tmp 27.10.2006 17:03 16.384 ~DFF904.tmp 2 Datei(en) 32.768 Bytes 0 Verzeichnis(se), 1.153.417.216 Bytes frei Viele Grüße, Granny |
|
|
||
27.10.2006, 17:55
Member
Themenstarter Beiträge: 14 |
#11
was meinst Du mit 18k und 20k?
*blödfrag*, Granny *grins* Ich hab's - die sind aus google mitkopiert Dieser Beitrag wurde am 27.10.2006 um 18:00 Uhr von Granny editiert.
|
|
|
||
27.10.2006, 18:00
Member
Beiträge: 3716 |
#12
der ganze link hat nicht auf die zeile gepasst ;-) ist aber net weiter schlimm müsst auch so gehen...
|
|
|
||
27.10.2006, 20:06
Member
Themenstarter Beiträge: 14 |
#13
so, mittlerweile habe ich den Rechner scannen lassen:
Panda: Adware:Adware/SpySheriff Nicht desinfiziert C:\Avenger\backup.zip[avenger/hsxrvell.exe] Adware:Adware/AntispywareSoldier Nicht desinfiziert C:\Avenger\backup.zip[avenger/instreg_tmp.exe] Adware:Adware/SecurityError Nicht desinfiziert C:\Avenger\backup.zip[avenger/intr32.dll] Adware:Adware/AntispywareSoldier Nicht desinfiziert C:\Avenger\backup.zip[avenger/msmapi32.exe] Adware:Adware/AntispywareSoldier Nicht desinfiziert C:\Avenger\backup.zip[avenger/sklmnf.exe] Spyware:Cookie/Falkag Nicht desinfiziert C:\Dokumente und Einstellungen\*****\Cookies\**********@as1.falkag[2].txt Spyware:Cookie/Doubleclick Nicht desinfiziert C:\Dokumente und Einstellungen\****\Cookies\*****@doubleclick[2].txt Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Programme\Roguescanfix\Process.exe Mögliches Virus. Nicht desinfiziert E:\****\ttt_Temp\UFS\Lostech_DigiCorder_Rip_Pack_V28.zip[Ping.exe] Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert E:\virus_found\SmitfraudFix\Process.exe Mögliches Virus. Nicht desinfiziert E:\virus_found\SmitfraudFix\swsc.exe Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert E:\virus_found\SmitfraudFix.zip[SmitfraudFix/Process.exe] Mögliches Virus. Nicht desinfiziert E:\virus_found\SmitfraudFix.zip[SmitfraudFix/swsc.exe] Ich glaube, dass ist nicht so schlimm. Die backup.zip vom Avenger habe ich gelöscht? Kaspersky: hänge ich an Habe ich noch Probleme? Sabina, was meinst Du? Viele Grüße, Granny Anhang: kaspersky.zip
|
|
|
||
28.10.2006, 08:39
Ehrenmitglied
Beiträge: 29434 |
#14
http://virus-protect.org/artikel/tools/agentransack.html
suche: xxxvideo - poste, was du findest. -------------------------------------------------- C:\WINDOWS\system32\xxxvideo.hta __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.10.2006, 09:50
Member
Themenstarter Beiträge: 14 |
#15
Hallo Sabina,
gefunden wurde nur xxxvideo.hta in C:\WINDOWS. Soll ich die löschen (kann ih das überhaupt einfach so?)? Viele Grüße, Granny |
|
|
||
Neben den nervigen Popups in der Taskbar und den Redirects auf das System Security Center oder http://antispyweb.net, meldet Adware u.a.
2020Search
ClientMan
Coolwebsearch
Dialerplatform
Submithook.BHO
Surfsidekick
ToolbarCC
Win32.Trojandownloader.zlob
WinRes Hijacker
Win32.Trojandownloader.Delf
CleanUp habe ich schon ausgeführt und danach folgendes HijackThis Log erstellt (anonymisiert):
Logfile of HijackThis v1.99.1
Scan saved at 05:47:53, on 26.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Programme\Juniper\NetScreen-Remote\IreIKE.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\basfipm.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Juniper\NetScreen-Remote\IPSecMon.exe
C:\Programme\Novell\ZENworks\nalntsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\System32\Novell\XTAgent.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\msmapi32.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\System32\dpmw32.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Juniper\NetScreen-Remote\SafeCfg.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\virus_found\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://www.euro.dell.com/countries/de/deu/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://*****/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/de/deu/gen/default.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://******.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxy-i.*****/proxy.pac
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O1 - Hosts: *****
O2 - BHO: (no name) - {00110011-4b0b-44d5-9718-90c88817369b} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat
7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {086ae192-23a6-48d6-96ec-715f53797e85} - (no file)
O2 - BHO: (no name) - {11904ce8-632a-4856-a7cc-00b33fe71bd8} - (no file)
O2 - BHO: (no name) - {150fa160-130d-451f-b863-b655061432ba} - (no file)
O2 - BHO: (no name) - {15ACE85C-0BB1-42d1-9E32-07EB0506675A} - (no file)
O2 - BHO: (no name) - {17da0c9e-4a27-4ac5-bb75-5d24b8cdb972} - (no file)
O2 - BHO: (no name) - {1b68470c-2def-493b-8a4a-8e2d81be4ea5} - (no file)
O2 - BHO: (no name) - {1c4da27d-4d52-4465-a089-98e01bb725ca} - (no file)
O2 - BHO: (no name) - {1f48aa48-c53a-4e21-85e7-ac7cc6b5ffb1} - (no file)
O2 - BHO: (no name) - {1f48aa48-c53a-4e21-85e7-ac7cc6b5ffb2} - (no file)
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - (no file)
O2 - BHO: (no name) - {2d38a51a-23c9-48a1-a33c-48675aa2b494} - (no file)
O2 - BHO: (no name) - {2e246fae-8420-11d9-870d-000c2917de7f} - (no file)
O2 - BHO: (no name) - {2e9caff6-30c7-4208-8807-e79d4ec6f806} - (no file)
O2 - BHO: (no name) - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - (no file)
O2 - BHO: (no name) - {5753791b-f607-48ca-814e-91c14d081f9e} - (no file)
O2 - BHO: (no name) - {7070a8f9-08a4-ca47-0ab0-1eb9e4ee1f3b} - (no file)
O2 - BHO: (no name) - {746455fe-d059-47e7-af0e-140e03f5a447} - (no file)
O2 - BHO: (no name) - {7a7e6d97-b492-4884-9abb-c31281dcc4f2} - (no file)
O2 - BHO: (no name) - {860c2f6b-ca82-4282-9187-beccbb66f0af} - (no file)
O2 - BHO: (no name) - {87185e78-a61b-4db3-965a-3235bbd7a622} - (no file)
O2 - BHO: ASGP32.ASGP - {89923A78-1DEA-41DC-A323-88DA2DE7B5AE} - C:\WINDOWS\system32\asgp32.dll
O2 - BHO: (no name) - {8dc8f96d-34f7-1501-a2a4-631341aa3ac1} - (no file)
O2 - BHO: (no name) - {9c5875b8-93f3-429d-ff34-660b206d897a} - (no file)
O2 - BHO: (no name) - {a2595f37-48d0-46a1-9b51-478591a97764} - (no file)
O2 - BHO: (no name) - {a6f42cad-2559-48df-af30-89e480af5dfa} - (no file)
O2 - BHO: (no name) - {b212d577-05b7-4963-911e-4a8588160dfa} - (no file)
O2 - BHO: (no name) - {CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076} - (no file)
O2 - BHO: (no name) - {cf021f40-3e14-23a5-cba2-717765721306} - (no file)
O2 - BHO: (no name) - {d1ac752e-883f-4ed8-8828-b618c3a72152} - (no file)
O2 - BHO: (no name) - {e2b2b5a1-b48c-4886-a318-723916a01024} - (no file)
O2 - BHO: (no name) - {e2ddf680-9905-4dee-8c64-0a5de7fe133c} - (no file)
O2 - BHO: (no name) - {e3eebbe8-9cab-4c76-b26a-747e25ebb4c6} - (no file)
O2 - BHO: (no name) - {e6d5237d-a6c7-4c83-a67f-f9f15586fa62} - (no file)
O2 - BHO: (no name) - {e7afff2a-1b57-49c7-bf6b-e5123394c970} - (no file)
O2 - BHO: (no name) - {fcaddc14-bd46-408a-9842-cdbe1c6d37eb} - (no file)
O2 - BHO: (no name) - {fd9bc004-8331-4457-b830-4759ff704c22} - (no file)
O2 - BHO: (no name) - {fe2d25c1-c1db-4b5e-9390-af1cb5302f32} - (no file)
O2 - BHO: (no name) - {ff1bf4c7-4e08-4a28-a43f-9d60a9f7a880} - (no file)
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [bascstray] BascsTray.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [NDPS] C:\WINDOWS\System32\dpmw32.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ZENRC Tray Icon] C:\WINDOWS\system32\zentray.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe"
/startoptions
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Global Startup: NetScreen-Remote.lnk = C:\Programme\Juniper\NetScreen-Remote\SafeCfg.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file
missing)
O9 - Extra button: Novell delivered applications - {C1994287-422F-47aa-8E5E-6323E210A125} -
C:\Programme\Novell\ZENworks\AxNalServer.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.*****
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F5F2194-9FF2-44EB-857F-9372711F690E}: NameServer = *****
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = *****
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = *****
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = *****
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: NetIdentity Notification - C:\WINDOWS\system32\Novell\XtNotify.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Broadcom ASF IP monitoring service v6.0.3 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\System32\basfipm.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec
Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec
Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec
Shared\ccSetMgr.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\System32\cusrvc.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec
AntiVirus\DefWatch.exe
O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\Programme\Juniper\NetScreen-Remote\IPSecMon.exe
O23 - Service: SafeNet IKE Service (IREIKE) - SafeNet - C:\Programme\Juniper\NetScreen-Remote\IreIKE.exe
O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\Programme\Novell\ZENworks\nalntsrv.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Oracle9iHOMEClientCache - Unknown owner - c:\oracle\9i\BIN\ONRSD.EXE
O23 - Service: OracleClientCache80 - Unknown owner - C:\ORACLE\805CLNT\BIN\ONRSD80.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Novell ZfD Remote Management (Remote Management Agent) - Novell Inc. -
C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec
Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec
Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware
Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware
Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: Novell XTier Agent Services (XTAgent) - Novell, Inc. - C:\WINDOWS\System32\Novell\XTAgent.exe
O23 - Service: Arbeitsstations-Manager (ZFDWM) - Novell, Inc. - C:\Programme\Novell\ZENworks\wm.exe
Ich hoffe auf Eure Hilfe.
Granny