O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll

#0
07.02.2007, 12:10
...neu hier

Beiträge: 7
#1 Hallo zusammen

Ich erhalte ständig eine Fehlermeldung: Generic Host Process for Win32 services hat ein Problem festgestelt und muss beendet werden.

Ich habe ein Hijack this logfile auf der Web seite Hijackthis.de auswerten lassen. Mir wurde empfohlen die Datei C\windows\system32\rpcc.dll zu löschen.
Wenn ich fixed check drücke werde ich darauf hingewiesen, dass die Dateien und Daten gelöscht werden. Mach ich einen nächsten Scan erscheint diese Datei aber wieder. Und die Fehlermeldung kriege ich auch nicht weg.

Kennt vielleicht jemand die Lösung zu diesem Problem?

Vielen Dank

Dani alias Salim

---

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 10:57:41, on 07.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\GPS TrackMaker\Trackmaker.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Marti\Eigene Dateien\Desktop\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [Services] C:\WINDOWS\system32\trsunjog.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1168682103497
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1169032186812
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Programme\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe



Seitenanfang Seitenende
07.02.2007, 13:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 salim


Information
TR/Proxy.Dlena.AT - Trojan
http://www.avira.com/de/threats/section/fulldetails/id_vir/3437/tr_proxy.dlena.at.html

-----------------------------------------------------------------------

««
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.02.2007, 21:05
...neu hier

Themenstarter

Beiträge: 7
#3 Liebe Sabina

Besten Dank für die schnelle Hilfe. Ich versuche deinen Anweisungen zu folgen. Leider habe ich nur wenig Ahnung. Aber es wird schon klappen.

"Marti" - 07-02-07 20:06:16 Service Pack 2
ComboFix 07-02-07 - Running from: "C:\Dokumente und Einstellungen\Marti\Eigene Dateien\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\.exe
C:\WINDOWS\system32\rpcc.dll


((((((((((((((((((((((((((((((( Files Created from 2007-01-07 to 2007-02-07 ))))))))))))))))))))))))))))))))))


2007-02-06 22:24 <DIR> d-------- C:\Programme\Waypoint
2007-02-06 20:28 26,280 --a------ C:\WINDOWS\system32\28124072ld.exe
2007-02-05 11:48 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ODBC
2007-01-30 11:09 <DIR> d-------- C:\Programme\Windows Media Connect 2
2007-01-30 11:07 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2007-01-30 11:07 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2007-01-23 08:18 <DIR> d-------- C:\WINDOWS\b5306b723ccb77812c2369f5d0e1
2007-01-23 08:18 <DIR> d-------- C:\WINDOWS\09a7190c1e390acc3614
2007-01-18 16:47 128,232 --a------ C:\WINDOWS\system32\mucltui.dll
2007-01-17 13:51 <DIR> d-------- C:\Programme\Kopie von microsoft frontpage
2007-01-17 13:23 <DIR> d-------- C:\WINDOWS\ie7updates
2007-01-17 12:31 <DIR> d-------- C:\WINDOWS\WBEM
2007-01-17 12:31 <DIR> d-------- C:\WINDOWS\system32\de-de
2007-01-17 12:28 <DIR> d--h-c--- C:\WINDOWS\ie7
2007-01-17 12:26 121,856 --------- C:\WINDOWS\system32\xmllite.dll
2007-01-17 12:25 262,144 --a------ C:\DOKUME~1\ALLUSE~1\ntuser.dat
2007-01-17 12:25 <DIR> d-------- C:\WINDOWS\network diagnostic
2007-01-17 12:15 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Windows Genuine Advantage
2007-01-17 11:21 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2007-01-17 11:21 <DIR> d-------- C:\WINDOWS\system32\PreInstall
2007-01-17 10:59 <DIR> d-------- C:\DOKUME~1\LOCALS~1\Startmen
2007-01-17 10:58 <DIR> d-------- C:\WINDOWS\Prefetch
2007-01-17 10:50 95,424 --------- C:\WINDOWS\system32\drivers\slnthal.sys
2007-01-17 10:50 9,728 --------- C:\WINDOWS\system32\comsdupd.exe
2007-01-17 10:50 88,064 --------- C:\WINDOWS\system32\p2pnetsh.dll
2007-01-17 10:50 870,784 --------- C:\WINDOWS\system32\ati3d1ag.dll
2007-01-17 10:50 86,016 --------- C:\WINDOWS\system32\p2pgasvc.dll
2007-01-17 10:50 86,016 --------- C:\WINDOWS\system32\mdmxsdk.dll
2007-01-17 10:50 81,408 --------- C:\WINDOWS\system32\wscsvc.dll
2007-01-17 10:50 8,192 --------- C:\WINDOWS\system32\smbinst.exe
2007-01-17 10:50 8,192 --------- C:\WINDOWS\system32\bitsprx2.dll
2007-01-17 10:50 78,464 --------- C:\WINDOWS\system32\drivers\usbvideo.sys
2007-01-17 10:50 78,336 --a------ C:\WINDOWS\system32\ieencode.dll
2007-01-17 10:50 75,776 --------- C:\WINDOWS\system32\strmfilt.dll
2007-01-17 10:50 73,832 --------- C:\WINDOWS\system32\slcoinst.dll
2007-01-17 10:50 73,796 --------- C:\WINDOWS\system32\slserv.exe
2007-01-17 10:50 73,216 --------- C:\WINDOWS\system32\drivers\atintuxx.sys
2007-01-17 10:50 71,680 --------- C:\WINDOWS\system32\blastcln.exe
2007-01-17 10:50 701,952 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys
2007-01-17 10:50 7,680 --------- C:\WINDOWS\system32\kbdsmsno.dll
2007-01-17 10:50 7,680 --------- C:\WINDOWS\system32\kbdsmsfi.dll
2007-01-17 10:50 7,168 --------- C:\WINDOWS\system32\kbdukx.dll
2007-01-17 10:50 7,168 --------- C:\WINDOWS\system32\kbdno1.dll
2007-01-17 10:50 7,168 --------- C:\WINDOWS\system32\kbdfi1.dll
2007-01-17 10:50 7,168 --------- C:\WINDOWS\system32\hccoin.dll
2007-01-17 10:50 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2007-01-17 10:50 685,056 --------- C:\WINDOWS\system32\drivers\hsfcxts2.sys
2007-01-17 10:50 67,584 --------- C:\WINDOWS\system32\drivers\sdbus.sys
2007-01-17 10:50 63,663 --------- C:\WINDOWS\system32\drivers\ati1rvxx.sys
2007-01-17 10:50 63,488 --------- C:\WINDOWS\system32\drivers\atinxsxx.sys
2007-01-17 10:50 60,416 --------- C:\WINDOWS\system32\fwcfg.dll
2007-01-17 10:50 6,656 --------- C:\WINDOWS\system32\kbdinmal.dll
2007-01-17 10:50 6,656 --------- C:\WINDOWS\system32\kbdinben.dll
2007-01-17 10:50 6,144 --------- C:\WINDOWS\system32\kbdmlt48.dll
2007-01-17 10:50 6,144 --------- C:\WINDOWS\system32\kbdmlt47.dll
2007-01-17 10:50 6,144 --------- C:\WINDOWS\system32\kbdinbe1.dll
2007-01-17 10:50 6,016 --------- C:\WINDOWS\system32\drivers\smbali.sys
2007-01-17 10:50 59,648 --------- C:\WINDOWS\system32\drivers\rfcomm.sys
2007-01-17 10:50 57,856 --------- C:\WINDOWS\system32\drivers\atinbtxx.sys
2007-01-17 10:50 56,623 --------- C:\WINDOWS\system32\drivers\ati1btxx.sys
2007-01-17 10:50 526,848 --------- C:\WINDOWS\system32\p2psvc.dll
2007-01-17 10:50 52,224 --------- C:\WINDOWS\system32\drivers\atinraxx.sys
2007-01-17 10:50 516,768 --------- C:\WINDOWS\system32\ativvaxx.dll
2007-01-17 10:50 50,688 --------- C:\WINDOWS\system32\btpanui.dll
2007-01-17 10:50 50,176 --------- C:\WINDOWS\system32\xmlprovi.dll
2007-01-17 10:50 5,632 --------- C:\WINDOWS\system32\kbdmaori.dll
2007-01-17 10:50 49,152 --------- C:\WINDOWS\system32\powercfg.exe
2007-01-17 10:50 48,640 --------- C:\WINDOWS\system32\pnrpnsp.dll
2007-01-17 10:50 46,464 --------- C:\WINDOWS\system32\drivers\gagp30kx.sys
2007-01-17 10:50 452,736 --------- C:\WINDOWS\system32\drivers\mtxparhm.sys
2007-01-17 10:50 44,928 --------- C:\WINDOWS\system32\drivers\agpcpq.sys
2007-01-17 10:50 44,672 --------- C:\WINDOWS\system32\drivers\uagp35.sys
2007-01-17 10:50 44,032 --------- C:\WINDOWS\system32\twext.dll
2007-01-17 10:50 438,784 --------- C:\WINDOWS\system32\xpob2res.dll
2007-01-17 10:50 43,008 --------- C:\WINDOWS\system32\drivers\amdagp.sys
2007-01-17 10:50 42,752 --------- C:\WINDOWS\system32\drivers\alim1541.sys
2007-01-17 10:50 42,368 --------- C:\WINDOWS\system32\drivers\agp440.sys
2007-01-17 10:50 41,088 --------- C:\WINDOWS\system32\drivers\sisagp.sys
2007-01-17 10:50 404,990 --------- C:\WINDOWS\system32\drivers\slntamr.sys
2007-01-17 10:50 40,832 --------- C:\WINDOWS\system32\drivers\irbus.sys
2007-01-17 10:50 40,192 --------- C:\WINDOWS\system32\drivers\intelppm.sys
2007-01-17 10:50 4,274,816 --------- C:\WINDOWS\system32\nv4_disp.dll
2007-01-17 10:50 4,255 --------- C:\WINDOWS\system32\drivers\adv01nt5.dll
2007-01-17 10:50 397,056 --------- C:\WINDOWS\system32\s3gnb.dll
2007-01-17 10:50 38,016 --------- C:\WINDOWS\system32\drivers\bthmodem.sys
2007-01-17 10:50 36,463 --------- C:\WINDOWS\system32\drivers\ati1tuxx.sys
2007-01-17 10:50 35,456 --------- C:\WINDOWS\system32\drivers\bthprint.sys
2007-01-17 10:50 34,735 --------- C:\WINDOWS\system32\drivers\ati1xsxx.sys
2007-01-17 10:50 32,866 --------- C:\WINDOWS\system32\slrundll.exe
2007-01-17 10:50 32,866 --------- C:\WINDOWS\slrundll.exe
2007-01-17 10:50 32,768 --------- C:\WINDOWS\system32\ativtmxx.dll
2007-01-17 10:50 32,285 --------- C:\WINDOWS\system32\hsfcisp2.dll
2007-01-17 10:50 314,880 --------- C:\WINDOWS\system32\wmpdxm.dll
2007-01-17 10:50 312,320 --------- C:\WINDOWS\system32\p2pgraph.dll
2007-01-17 10:50 31,744 --------- C:\WINDOWS\system32\drivers\atinxbxx.sys
2007-01-17 10:50 30,671 --------- C:\WINDOWS\system32\drivers\ati1raxx.sys
2007-01-17 10:50 30,208 --------- C:\WINDOWS\system32\bthserv.dll
2007-01-17 10:50 30,080 --------- C:\WINDOWS\system32\drivers\rndismpx.sys
2007-01-17 10:50 3,967 --------- C:\WINDOWS\system32\drivers\adv02nt5.dll
2007-01-17 10:50 3,901 --------- C:\WINDOWS\system32\drivers\siint5.dll
2007-01-17 10:50 3,775 --------- C:\WINDOWS\system32\drivers\adv11nt5.dll
2007-01-17 10:50 3,711 --------- C:\WINDOWS\system32\drivers\adv09nt5.dll
2007-01-17 10:50 3,647 --------- C:\WINDOWS\system32\drivers\adv07nt5.dll
2007-01-17 10:50 3,615 --------- C:\WINDOWS\system32\drivers\adv05nt5.dll
2007-01-17 10:50 3,135 --------- C:\WINDOWS\system32\drivers\adv08nt5.dll
2007-01-17 10:50 29,455 --------- C:\WINDOWS\system32\drivers\ati1xbxx.sys
2007-01-17 10:50 29,184 --------- C:\WINDOWS\system32\sdhcinst.dll
2007-01-17 10:50 29,056 --------- C:\WINDOWS\system32\drivers\ip6fw.sys
2007-01-17 10:50 286,792 --------- C:\WINDOWS\system32\slextspk.dll
2007-01-17 10:50 28,672 --------- C:\WINDOWS\system32\drivers\atinsnxx.sys
2007-01-17 10:50 275,968 --------- C:\WINDOWS\system32\wmerror.dll
2007-01-17 10:50 275,200 --------- C:\WINDOWS\system32\drivers\bthport.sys
2007-01-17 10:50 27,136 --------- C:\WINDOWS\system32\mspmsnsv.dll
2007-01-17 10:50 262,784 --------- C:\WINDOWS\system32\drivers\http.sys
2007-01-17 10:50 26,624 --------- C:\WINDOWS\system32\drivers\usbehci.sys
2007-01-17 10:50 26,367 --------- C:\WINDOWS\system32\drivers\ati1snxx.sys
2007-01-17 10:50 25,856 --------- C:\WINDOWS\system32\drivers\hidbth.sys
2007-01-17 10:50 25,471 --------- C:\WINDOWS\system32\drivers\watv10nt.sys
2007-01-17 10:50 25,471 --------- C:\WINDOWS\system32\drivers\atv04nt5.dll
2007-01-17 10:50 242,688 --------- C:\WINDOWS\system32\wmpasf.dll
2007-01-17 10:50 24,576 --------- C:\WINDOWS\system32\httpapi.dll
2007-01-17 10:50 23,040 --a------ C:\WINDOWS\system32\fltmc.exe
2007-01-17 10:50 229,376 --------- C:\WINDOWS\system32\ati2cqag.dll
2007-01-17 10:50 220,032 --------- C:\WINDOWS\system32\drivers\hsfbs2s2.sys
2007-01-17 10:50 22,271 --------- C:\WINDOWS\system32\drivers\watv06nt.sys
2007-01-17 10:50 21,343 --------- C:\WINDOWS\system32\drivers\ati1ttxx.sys
2007-01-17 10:50 21,183 --------- C:\WINDOWS\system32\drivers\atv01nt5.dll
2007-01-17 10:50 201,728 --------- C:\WINDOWS\system32\ati2dvag.dll
2007-01-17 10:50 20,992 --------- C:\WINDOWS\system32\bthci.dll
2007-01-17 10:50 2,981,888 --------- C:\WINDOWS\system32\xpsp2res.dll
2007-01-17 10:50 2,113,536 --------- C:\WINDOWS\system32\dxdiagn.dll
2007-01-17 10:50 193,024 --------- C:\WINDOWS\system32\fsquirt.exe
2007-01-17 10:50 188,508 --------- C:\WINDOWS\system32\slgen.dll
2007-01-17 10:50 180,360 --------- C:\WINDOWS\system32\drivers\ntmtlfax.sys
2007-01-17 10:50 18,944 --------- C:\WINDOWS\system32\drivers\bthusb.sys
2007-01-17 10:50 17,408 --------- C:\WINDOWS\system32\winshfhc.dll
2007-01-17 10:50 17,279 --------- C:\WINDOWS\system32\drivers\atv10nt5.dll
2007-01-17 10:50 17,024 --------- C:\WINDOWS\system32\drivers\bthenum.sys
2007-01-17 10:50 166,912 --------- C:\WINDOWS\system32\drivers\s3gnbm.sys
2007-01-17 10:50 16,896 --a------ C:\WINDOWS\system32\fltlib.dll
2007-01-17 10:50 15,872 --------- C:\WINDOWS\system32\w3ssl.dll
2007-01-17 10:50 15,488 --------- C:\WINDOWS\system32\drivers\mssmbios.sys
2007-01-17 10:50 15,423 --------- C:\WINDOWS\system32\drivers\ch7xxnt5.dll
2007-01-17 10:50 15,104 --------- C:\WINDOWS\system32\drivers\hidir.sys
2007-01-17 10:50 14,336 --------- C:\WINDOWS\system32\drivers\atinpdxx.sys
2007-01-17 10:50 14,336 --------- C:\WINDOWS\system32\auditusr.exe
2007-01-17 10:50 14,143 --------- C:\WINDOWS\system32\drivers\atv06nt5.dll
2007-01-17 10:50 13,824 --------- C:\WINDOWS\system32\wscntfy.exe
2007-01-17 10:50 13,824 --------- C:\WINDOWS\system32\drivers\atinttxx.sys
2007-01-17 10:50 13,824 --------- C:\WINDOWS\system32\drivers\atinmdxx.sys
2007-01-17 10:50 13,824 --------- C:\WINDOWS\system32\cmsetacl.dll
2007-01-17 10:50 13,776 --------- C:\WINDOWS\system32\drivers\recagent.sys
2007-01-17 10:50 13,568 --------- C:\WINDOWS\system32\drivers\wacompen.sys
2007-01-17 10:50 13,240 --------- C:\WINDOWS\system32\drivers\slwdmsup.sys
2007-01-17 10:50 129,536 --------- C:\WINDOWS\system32\xmlprov.dll
2007-01-17 10:50 129,535 --------- C:\WINDOWS\system32\drivers\slnt7554.sys
2007-01-17 10:50 128,896 --------- C:\WINDOWS\system32\drivers\fltmgr.sys
2007-01-17 10:50 126,686 --------- C:\WINDOWS\system32\drivers\mtlmnt5.sys
2007-01-17 10:50 12,672 --------- C:\WINDOWS\system32\drivers\usb8023x.sys
2007-01-17 10:50 12,672 --------- C:\WINDOWS\system32\drivers\mutohpen.sys
2007-01-17 10:50 12,047 --------- C:\WINDOWS\system32\drivers\ati1pdxx.sys
2007-01-17 10:50 118,784 --------- C:\WINDOWS\system32\msdadiag.dll
2007-01-17 10:50 116,224 --------- C:\WINDOWS\system32\p2p.dll
2007-01-17 10:50 11,935 --------- C:\WINDOWS\system32\drivers\wadv11nt.sys
2007-01-17 10:50 11,871 --------- C:\WINDOWS\system32\drivers\wadv09nt.sys
2007-01-17 10:50 11,868 --------- C:\WINDOWS\system32\drivers\mdmxsdk.sys
2007-01-17 10:50 11,807 --------- C:\WINDOWS\system32\drivers\wadv07nt.sys
2007-01-17 10:50 11,615 --------- C:\WINDOWS\system32\drivers\ati1mdxx.sys
2007-01-17 10:50 11,359 --------- C:\WINDOWS\system32\drivers\atv02nt5.dll
2007-01-17 10:50 11,325 --------- C:\WINDOWS\system32\drivers\vchnt5.dll
2007-01-17 10:50 11,295 --------- C:\WINDOWS\system32\drivers\wadv08nt.sys
2007-01-17 10:50 11,136 --------- C:\WINDOWS\system32\drivers\sffdisk.sys
2007-01-17 10:50 108,032 --------- C:\WINDOWS\system32\wshbth.dll
2007-01-17 10:50 104,960 --------- C:\WINDOWS\system32\drivers\atinrvxx.sys
2007-01-17 10:50 100,992 --------- C:\WINDOWS\system32\drivers\bthpan.sys
2007-01-17 10:50 10,240 --------- C:\WINDOWS\system32\drivers\sffp_sd.sys
2007-01-17 10:50 1,897,408 --------- C:\WINDOWS\system32\drivers\nv4_mini.sys
2007-01-17 10:50 1,888,992 --------- C:\WINDOWS\system32\ati3duag.dll
2007-01-17 10:50 1,737,856 --------- C:\WINDOWS\system32\mtxparhd.dll
2007-01-17 10:50 1,689,088 --------- C:\WINDOWS\system32\d3d9.dll
2007-01-17 10:50 1,309,184 --------- C:\WINDOWS\system32\drivers\mtlstrm.sys
2007-01-17 10:50 1,041,536 --------- C:\WINDOWS\system32\drivers\hsfdpsp2.sys
2007-01-17 10:50 <DIR> d-------- C:\WINDOWS\provisioning
2007-01-17 10:50 <DIR> d-------- C:\WINDOWS\peernet
2007-01-17 10:46 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2007-01-17 10:43 242,176 --a------ C:\WINDOWS\system32\srrstr.dll
2007-01-17 10:39 23,856 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-01-17 10:33 <DIR> d-------- C:\WINDOWS\EHome
2007-01-17 10:31 <DIR> d-------- C:\WINDOWS\pss
2007-01-17 10:09 40,448 -ra------ C:\WINDOWS\system32\drivers\dlkfet5b.sys
2007-01-17 09:08 <DIR> d-------- C:\WINDOWS\F0856D1B11EE46528174EAF3D5AB6C66.TMP
2007-01-17 09:07 58,464 --a------ C:\WINDOWS\system32\drivers\mvstdi5x.sys
2007-01-17 09:07 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Cisco Systems
2007-01-17 09:02 <DIR> d-------- C:\Quarant„ne
2007-01-13 10:56 41,240 --a------ C:\WINDOWS\system32\wups.dll
2007-01-13 10:56 194,840 --a------ C:\WINDOWS\system32\wuaueng1.dll
2007-01-13 10:56 18,200 --a------ C:\WINDOWS\system32\wups2.dll
2007-01-13 10:56 128,280 --a------ C:\WINDOWS\system32\wucltui.dll
2007-01-13 10:55 466,200 --a------ C:\WINDOWS\system32\wuapi.dll
2007-01-13 10:55 174,872 --a------ C:\WINDOWS\system32\wuauclt1.exe
2007-01-13 10:55 <DIR> d-------- C:\WINDOWS\SoftwareDistribution
2007-01-12 23:02 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-01-12 21:45 <DIR> d-------- C:\Programme\Cablecom Assistant
2007-01-12 21:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Motive
2007-01-09 17:43 <DIR> d-------- C:\Programme\GPS TrackMaker
2007-01-09 17:42 73,216 --a------ C:\WINDOWS\ST6UNST.EXE
2007-01-09 17:42 253,952 --------- C:\WINDOWS\Setup1.exe
2007-01-08 15:12 <DIR> d-------- C:\Programme\Xerox WorkCentre PE16
2007-01-08 14:49 <DIR> d-------- C:\WINDOWS\EPSON PhotoStarter Essential
2007-01-08 14:49 <DIR> d-------- C:\WINDOWS\EPSON CardMonitor Essential
2007-01-08 14:48 131,072 --a------ C:\WINDOWS\system32\Epcmlib.dll
2007-01-08 14:48 <DIR> d-------- C:\Programme\EPSON Print CD
2007-01-08 14:48 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\UDL
2007-01-08 14:47 75,501 --a------ C:\WINDOWS\system32\EBPMON24.DLL
2007-01-08 14:47 64,000 --a------ C:\WINDOWS\system32\ECBTEG.DLL
2007-01-08 14:47 34,304 --a------ C:\WINDOWS\system32\EBPCHP.DLL
2007-01-08 14:47 31,744 --a------ C:\WINDOWS\system32\E_DCINST.DLL
2007-01-08 14:47 182 --a------ C:\WINDOWS\system32\EBPPORT4.DAT
2007-01-08 14:45 <DIR> d-------- C:\Programme\EPSON


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-02-07 13:06 -------- d-------- C:\Dokumente und Einstellungen\Marti\Anwendungsdaten\adobe
2007-02-06 17:58 -------- d-------- C:\Dokumente und Einstellungen\Marti\Anwendungsdaten\adobeum
2007-01-23 20:56 22840 --a------ C:\Dokumente und Einstellungen\Marti\Anwendungsdaten\gdipfontcachev1.dat
2007-01-17 14:05 -------- d--h----- C:\Programme\installshield installation information
2007-01-17 13:59 -------- d-------- C:\Programme\Gemeinsame Dateien\adobe
2007-01-17 13:08 -------- d-------- C:\Programme\messenger
2007-01-17 11:17 -------- d---s---- C:\Dokumente und Einstellungen\Marti\Anwendungsdaten\microsoft
2007-01-17 10:50 -------- d-------- C:\Programme\movie maker
2007-01-17 10:45 -------- d-------- C:\Programme\windows nt
2007-01-17 09:06 -------- d-------- C:\Programme\Gemeinsame Dateien\network associates
2007-01-13 10:56 -------- d--h----- C:\Programme\windowsupdate
2007-01-08 22:00 -------- d-------- C:\Programme\Gemeinsame Dateien\scansoft shared
2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-11-07 21:03 6049280 --------- C:\WINDOWS\system32\ieframe.dll
2006-11-07 21:03 50688 --------- C:\WINDOWS\system32\msfeedsbs.dll
2006-11-07 21:03 458752 --------- C:\WINDOWS\system32\msfeeds.dll
2006-11-07 21:03 413696 --a------ C:\WINDOWS\system32\vbscript.dll
2006-11-07 21:03 231424 --a------ C:\WINDOWS\system32\webcheck.dll
2006-11-07 21:03 180736 --------- C:\WINDOWS\system32\ieui.dll
2006-11-07 21:03 156160 --a------ C:\WINDOWS\system32\msls31.dll
2006-11-07 03:27 382976 --a------ C:\WINDOWS\system32\iedkcs32.dll
2006-11-07 03:27 229376 --a------ C:\WINDOWS\system32\ieaksie.dll
2006-11-07 03:26 71680 --a------ C:\WINDOWS\system32\admparse.dll
2006-11-07 03:26 55296 --a------ C:\WINDOWS\system32\iesetup.dll
2006-11-07 03:26 54784 --a------ C:\WINDOWS\system32\ie4uinit.exe
2006-11-07 03:26 43008 --a------ C:\WINDOWS\system32\iernonce.dll
2006-11-07 03:26 152064 --a------ C:\WINDOWS\system32\ieakeng.dll
2006-11-07 03:26 13312 --a------ C:\WINDOWS\system32\ieudinit.exe
2006-11-07 03:26 123904 --a------ C:\WINDOWS\system32\advpack.dll
2006-11-07 03:25 161792 --a------ C:\WINDOWS\system32\ieakui.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ShStatEXE"="\"C:\\Programme\\Network Associates\\VirusScan\\SHSTAT.EXE\" /STANDALONE"
"McAfeeUpdaterUI"="\"C:\\Programme\\Network Associates\\Common Framework\\UpdaterUI.exe\" /StartedFromRunKey"
"AdobeVersionCue"="C:\\Programme\\Adobe\\Adobe Version Cue\\ControlPanel\\VersionCueTray.exe"
"Omnipage"="C:\\Programme\\ScanSoft\\OmniPageSE\\opware32.exe"
"Network Associates Error Reporting Service"="\"C:\\Programme\\Gemeinsame Dateien\\Network Associates\\TalkBack\\TBMon.exe\""
"Services"="C:\\WINDOWS\\system32\\trsunjog.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce\Setup]
"Registrando Panda ActiveX"="C:\\WINDOWS\\System32\\regsvr32.exe /s C:\\WINDOWS\\System32\\ActiveScan\\as.dll"
"Registrando Panda Almacen"="C:\\WINDOWS\\System32\\regsvr32.exe /s C:\\WINDOWS\\System32\\ActiveScan\\pavpz.dll"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonceex]
"flags"=dword:00000008

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonceex\000]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus Photo R300 Series]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="E_S4I0F2"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_S4I0F2.EXE /P30 \"EPSON Stylus Photo R300 Series\" /O6 \"USB003\" /M \"Stylus Photo R300\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ISStart"
"hkey"="HKLM"
"command"="C:\\Programme\\Logitech\\Video\\ISStart.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MsnMsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Services]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="zvhzdfto"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\zvhzdfto.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Logon Application]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="logon"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\logon.exe"
"inimapping"="0"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0



********************************************************************

catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-02-07 20:14:49
Datentr„ger in Laufwerk C: ist Systm
Volumeseriennummer: 3C16-9813

Verzeichnis von C:\

07.02.2007 20:56 0 sys.txt
07.02.2007 20:55 660 down.txt
07.02.2007 20:55 109 tmp.txt
07.02.2007 20:53 10'555 system.txt
07.02.2007 20:52 101 systemtemp.txt
07.02.2007 20:50 100'440 system32.txt
07.02.2007 20:14 23'049 ComboFix.txt
07.02.2007 20:09 1'073'258'496 hiberfil.sys
07.02.2007 20:09 805'306'368 pagefile.sys
17.01.2007 11:13 211 boot.ini
17.01.2007 10:42 47'564 NTDETECT.COM
17.01.2007 10:42 251'184 ntldr
Datentr„ger in Laufwerk C: ist Systm
Volumeseriennummer: 3C16-9813

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.12.2006 16:44 367 LegitCheckControl.inf
13.11.2006 19:48 946'296 asquared.ocx
09.11.2006 14:36 5'019 swflash.inf
Datentr„ger in Laufwerk C: ist Systm
Volumeseriennummer: 3C16-9813

Verzeichnis von C:\WINDOWS\temp
Datentr„ger in Laufwerk C: ist Systm
Volumeseriennummer: 3C16-9813

Verzeichnis von C:\WINDOWS

07.02.2007 20:50 512 randseed.rnd
07.02.2007 20:15 2'029'356 WindowsUpdate.log
07.02.2007 20:10 0 0.log
07.02.2007 20:09 159 wiadebug.log
07.02.2007 20:09 0 wiaservc.log
07.02.2007 20:09 2'048 bootstat.dat
07.02.2007 14:02 32'626 SchedLgU.Txt
30.01.2007 13:49 8'452 wmsetup.log
30.01.2007 12:09 36'710 spupdsvc.log
30.01.2007 11:41 372 wmsetup10.log
30.01.2007 11:10 106'216 ntdtcsetup.log
30.01.2007 11:10 596'244 iis6.log
30.01.2007 11:10 174'331 comsetup.log
30.01.2007 11:10 25'771 tabletoc.log
30.01.2007 11:10 234'545 tsoc.log

Datentr„ger in Laufwerk C: ist Systm
Volumeseriennummer: 3C16-9813

Verzeichnis von C:\Temp
Datentr„ger in Laufwerk C: ist Systm
Volumeseriennummer: 3C16-9813

Verzeichnis von C:\WINDOWS\system32

06.02.2007 20:29 26'280 28124072ld.exe
05.02.2007 08:03 13'646 wpa.dbl
30.01.2007 11:10 16'832 amcompat.tlb
30.01.2007 11:10 23'392 nscompat.tlb
17.01.2007 13:16 1'606 PerfStringBackup.TMP
17.01.2007 13:14 247'944 FNTCACHE.DAT
17.01.2007 11:19 13'588 wpa.bak
02.01.2007 15:19 10'980'776 MRT.exe
12.12.2006 10:45 1'474'864 LegitCheckControl.DLL
17.11.2006 18:54 1'040'384 ieframe.dll.mui
17.11.2006 18:53 12'288 advpack.dll.mui
08.11.2006 06:06 679'424 inetcomm.dll
07.11.2006 21:03 670'720 mstime.dll
07.11.2006 21:03 6'049'280 ieframe.dll
07.11.2006 21:03 1'162'240 urlmon.dll
07.11.2006 21:03 191'488 iepeers.dll
07.11.2006 21:03 458'752 msfeeds.dll
07.11.2006 21:03 50'688 msfeedsbs.dll
07.11.2006 21:03 27'136 jsproxy.dll
07.11.2006 21:03 180'736 ieui.dll
07.11.2006 21:03 131'584 extmgr.dll
07.11.2006 21:03 475'648 mshtmled.dll
07.11.2006 21:03 413'696 vbscript.dll
07.11.2006 21:03 156'160 msls31.dll
07.11.2006 21:03 231'424 webcheck.dll
07.11.2006 21:03 818'688 wininet.dll
07.11.2006 21:03 3'577'856 mshtml.dll
07.11.2006 03:27 382'976 iedkcs32.dll

Liebe Grüsse

Daniel
Seitenanfang Seitenende
08.02.2007, 10:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Services

registry keys to delete:
HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\rpcc
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Services
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Logon Application

Files to delete:
C:\WINDOWS\system32\.exe
C:\WINDOWS\system32\logon.exe
C:\WINDOWS\system32\trsunjog.exe
C:\WINDOWS\System32\zvhzdfto.exe
C:\WINDOWS\system32\rpcc.dll
C:\WINDOWS\system32\28124072ld.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

----------------

im Normalmodus
http://virus-protect.org/artikel/tools/sdfix.html
RunThis.bat doppelt klicken
reinschreiben: 1 oder 2 oder 3
3 : wird Sophos geladen - waehle 6 - scanne und poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.02.2007, 15:07
...neu hier

Themenstarter

Beiträge: 7
#5 Hallo Sabina

Bin beeindruckt von Deiner Effizienz und Deinem Fachwissen. Danke danke danke
Im Anhang ist die gewünschte sophos txt. Datei

MfG Salim

Seitenanfang Seitenende
08.02.2007, 16:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 salim

das sieht schon mal gut aus ;)
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.02.2007, 19:02
...neu hier

Themenstarter

Beiträge: 7
#7 Hallo Sabina

Das sieht dann wieder ganz anders aus. Wie kommt das nur alles in meinen Computer?

Seitenanfang Seitenende
09.02.2007, 00:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 es ist alles, wie es sein soll ;)

1.
loesche
C:\avenger\backup.zip + leere den papierkorb

2.
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

3.
Scanne mit a-squared (option 1) - und poste den report
http://virus-protect.org/artikel/tools/sdfix.html

-----------------------

4.
poste dieses log
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.02.2007, 10:27
...neu hier

Themenstarter

Beiträge: 7
#9 Guten Tag Sabina

Ich hoffe du musst nicht jeden Tag um 00:10 noch mails für unwissende schreiben.
Hier also das Logfile von asquared und find stuff. Weiss gar nicht wie ich mich bei dir bedanken soll. Danke

Zitat

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\zvhzdfto.exe"="C:\\WINDOWS\\system32\\zvhzdfto.exe:*;)isabled:zvhzdfto"
"C:\\WINDOWS\\system32\\logon.exe"="C:\\WINDOWS\\system32\\logon.exe:*:Enabled:logon"
"C:\\WINDOWS\\system32\\trsunjog.exe"="C:\\WINDOWS\\system32\\trsunjog.exe:*;)isabled:trsunjog"

Zitat

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM"="N"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts

Anhang: look1.txt
Seitenanfang Seitenende
09.02.2007, 12:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 salim

wo ist das log vom a-squared ?

----------------------------------------------------------------

««
gehe in die Registry - Start - Ausführen - regedit

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM
N - in Y ändern










------------------------------------------------------------------------

kopiere in den Avenger folgendes Script:

Zitat

Registry values to delete:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\system32\zvhzdfto.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\system32\logon.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\system32\trsunjog.exe
»»
wende an Windows Worms Doors Cleaner - stelle alles auf gruen
http://virus-protect.org/windsdoorcleaner.html

»»
dann berichte, ob die Fehelrmeldung
Generic Host Process for Win32 services hat ein Problem festgestellt
noch erscheint

««
Oeffne den Texteditor (Notepad) und kopiere diesen Text rein. mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. abspeichern als: 018.bat
Doppeltklicken und kopiere den Text ab, der angezeigt wird. - c:\key4.txt

Zitat

regedit /e c:\key4.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts"
start notepad.exe c:\key4.txt
exit

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.02.2007, 18:23
...neu hier

Themenstarter

Beiträge: 7
#11 Sorry,

Man kann wohl nur eine Datei anhängen.
Hier also das Logfile von a - Squared:

Scan settings:

Objects: Memory, Traces, Cookies, C:
Scan archives: On
Heuristics: On
ADS Scan: On

Scan start: 09.02.2007 08:40:43

C:\Dokumente und Einstellungen\Marti\Eigene Dateien\Desktop\uninstall.exe detected: Trace.File.EXactAdvertisingCashback
C:\Dokumente und Einstellungen\Marti\Cookies\marti@atdmt[2].txt detected: Trace.TrackingCookie

Scanned

Files: 97094
Traces: 175716
Cookies: 25
Processes: 30

Found

Files: 0
Traces: 1
Cookies: 1
Processes: 0

Quarantined

Files: 0
Traces: 1
Cookies: 1
Processes: 0

Scan end: 09.02.2007 09:45:40
Scan time: 01:04:57

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\doqccurk

*******************

Script file located at: \??\C:\eogstkpc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry value HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\system32\zvhzdfto.exe deleted successfully.
Registry value HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\system32\logon.exe deleted successfully.
Registry value HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\system32\trsunjog.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Ist es möglich, dass es bei mir der HKLM Ordner HKEY heisst. Bei mir erscheint etwas anderes, wenn ich ausführen- regedit- eingebe. Ich habe ein Word - Dokument mit Ansichten angehängt.

Probiere nun gleich den windsdoorcleaner aus und werde anschliessend dieses Komando in den Texediter tippen und dir alles berichten.

Die Fehlermeldung erscheint übrigens bereits jetzt nicht mehr.

Ich habe nun den Text in den Editor kopiert und so abgespeichert wie du das beschrieben hast. Es entstand das Programm 018.bat (Stapelverarbeitungsdatei). Doppelklicken, es entsteht Datei key4.txt. Diese Datei ist leer.

MfG Daniel

Anhang: Bild.doc
Dieser Beitrag wurde am 09.02.2007 um 20:14 Uhr von salim editiert.
Seitenanfang Seitenende
10.02.2007, 00:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 1.
suche die WinOpts in der registry - findest du sie ?

Zitat

http://www.avira.com/de/threats/section/fulldetails/id_vir/3437/tr_proxy.dlena.at.html

Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
rpcc]
• "DllName"="%SYSDIR%\rpcc.dll"
• "Asynchronous"=dword:00000001
• "Impersonate"=dword:00000001
• "Startup"="Startup"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts]
• "Id"=dword:787d1157
• "Lid"=dword:0000001a
2.
ich kann keine doc-Dokumente auf meinem Rechner sehen

3.
Avenger

Zitat

Files to delete:
C:\Dokumente und Einstellungen\Marti\Eigene Dateien\Desktop\uninstall.exe

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.02.2007, 18:18
...neu hier

Themenstarter

Beiträge: 7
#13 1. Komisch, dass du das angehängte .doc nicht finden kannst. Bei mir ist's noch drauf. Ich schreibs drum halt auf.

2. Wenn ich -Ausführen - regedit - eingebe, erscheint folgendes:

- Arbeitsplatz
+ HKEY_CLASSES_ROOT
+ HKEY_LOCAL_MACHINE
+ HKEY_USERS
+ HKEY_CURRENT_CONFIG

Im Ordner

HKEY_LOCAL_MACHINE ist der Ordner Ole.

Wenn ich Ole öffne dann erscheint dies:

Name Typ Wert

(Standard) REG_SZ (Wert nicht gesetzt)
DefaultLaunchPe... REG_BINARY 01 00 04 80 usw...
EnableDCOM REG:SZ Y (vorher N)
EnableRemoteCo... REG_SZ N
MachineAcessR... REG_BINARY 01 00 04 80 44 usw..
MachineLaunchR... REG_BINARY 01 00 04 80 48 usw...


3. Ich finde keine Datei mit dem Namen Winpots in der Registry

4. Wenn ich den Avenger starte wähle ich -Input script manualy- und kopiere das Zitat -
Files to delete:
C:\Dokumente und Einstellungen\Marti\Eigene Dateien\Desktop\uninstall.exe

rein. Der Avenger fragt Done? - Ich klicke Yes und anschliessend die grüne Ampel.

Unter System(C) - Avenger finde ich ein ZIP mit einer Backup - Datei drin.
Ebenfalls unter System(C) ist eine avenger.txt - Datei, welche lehr ist.

5. Ich habe gestern offenbar nicht gut nachgeschaut. Unter System(C) im Ordner Avenger ist ein ZIP mit Backup Datei und einer avenger.txt Datei mit folgendem Inhalt drin:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\doqccurk

*******************

Script file located at: \??\C:\eogstkpc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry value HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\system32\zvhzdfto.exe deleted successfully.
Registry value HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\system32\logon.exe deleted successfully.
Registry value HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\system32\trsunjog.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Ich hoffe, das nützt dir etwas

Schönes Wochenende


--------

Liebe Sabina

Natürlich habe ich die BackUp ZIP's geöffnet, aber nicht die BackUp Dateien. Habe nun sicherheitshalber den Avenger nochmals benützt.

Bei mir scheint alles wieder zu funktionieren. Für mich war's ein erster Blick in ein unbekanntes Universum der Software.

Vielen Dank für die schnelle und kompetente Hilfe.

Liebe Grüsse Daniel alias Salim
Dieser Beitrag wurde am 10.02.2007 um 18:33 Uhr von salim editiert.
Seitenanfang Seitenende