Nach Bravesentry noch immer TrojanerThema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
23.02.2007, 06:57
Member
Themenstarter Beiträge: 17 |
||
 
|
|
|
|
23.02.2007, 10:18
Ehrenmitglied
 Beiträge: 29434 |
#17
mapson
irgendwas ist schief gelaufen - heisst, du hast keine saubere winlogon.exe mehr auf dem rechner. --------------- Vorgehensweise zur Ersetzung der Datei: 1. Mit eingelegter Windows XP CD starten Sie Ihren Rechner neu und drücken in den ersten Sekunden des Startprozesses die Taste ENTF (oder F2), um ins BIOS zu gelangen. Suchen Sie unter BIOS Featues Setup nach den Einträgen First Boot Device oder Boot from - diese Einträge bestimmen die Reihenfolge der Startlaufwerke. Setzen Sie diese nun auf CD-ROM, gehen Sie ins Hauptmenü zurück und wählen Sie Save & Exit Setup - die Bestätigung erfolgt per Z, was für Y beim US-Tastaturlayout, das im BIOS herrscht, steht. Diese Vorgehensweis unterscheidet sich von Hauptplatine zu Hauptplatine, so dass Sie z.B. auch (wie im Screenshot zu sehen) in die Sektion Boot gehen und per + die Reihenfolge der Einträge ändern können. Nähere Infos finden Sie im Handbuch zum Computer oder zur Hauptplatine (Mainboard). 2. Sie erhalten nach dem Neustart die Meldung Drücken Sie eine beliebige Taste, um von der CD zu starten..., der Sie per Tastendruck nachkommen. Die Windows XP Installation startet und Sie finden sich vor einem Willkommensbildschirm, den Sie per Enter zur Kenntnis nehmen. Im nachfolgenden Bildschirm werden Sie (u.a.) gefragt, ob Sie die Reparaturkonsole starten möchten - dies tun Sie nun mit R. 3. Sie finden sich nun einer DOS-ähnlichen Oberfläche wieder, die Sie zur Bestätigung Ihrer Windows-Installation auf einem bestimmten Laufwerk (oder Verzeichnis) auffordert und Sie dann um ein Kennwort zur Anmeldung bittet. 4. Windows XP Service Pack 1 (oder 2) Vorgehensweise: Sobald dies geschehen ist, sehen Sie C:\Windows (c = Laufwerksbuchstabe) vor sich. Legen Sie nun die Diskette (oder CD) mit winlogon.exe ins Laufwerk und tippen Sie folgende Befehle ein: cd system32 (Wechsel ins Verzeichnis System32) ren winlogon.exe winlogon.old Dies sorgt dafür, dass die zu überschreibenden Dateien auch ordnungsgemäß unter .old-Dateiendungen gesichert sind. Tippen Sie den Laufwerksbuchstaben (wie C: , gefolgt von Enter) und danach folgende Befehle ein: copy winlogon.exe C:\Windows\System32 C steht hierbei für den Laufwerksbuchstaben der Windows-Installation. «« Vergewissern Sie sich, dass die XP-CD im Laufwerk ist und wechseln Sie mit dem Befehl C: (C = Laufwerksbuchstabe) und Enter auf dieses. Tippen Sie nun cd i386 ein, um in den Ordner mit den Windows XP Archivdateien zu gelangen. Folgenden Befehl geben Sie nun ein: expand winlogon.ex_ C:\Windows\System32 ---------------------------- dann starte den rechner neu, lasse alles gefundene mit AVG Anti-Spyware loeschen und scanne noch mal mit kaspersky, um sicherzustellen, dass die winlogon.exe nicht mehr als infiziert angezeigt wird. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.02.2007, 13:19
Member
Themenstarter Beiträge: 17 |
#18
So, hat etwas gedauert, aber nachdem ich die winlogon.ex_ expandiert habe und mit AVG einiges gelöscht habe, wollte ich den Kaspersky laufen lassen. Direkt nachdem ich das Netzwerkkabel eingesteckt habe, hat AVG gemeldet, dass er im Ordner c:\windows\system32\ die Dateien totour.exe und msnetax.dll gefunden hat. Die habe ich dann unter Quarantäne gestellt. Dann Kaspersky gestartet und seitdem keine Meldung mehr von AVG gehabt.
Kaspersky: ------------------------------------------------------------------------------- PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Freitag, 23. Februar 2007 13:12:25 Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Version von Kaspersky Online Scanner: 5.0.83.0 Letztes Update der Antiviren-Datenbanken: 23/02/2007 Anzahl der Einträge in den Antiviren-Datenbanken: 257352 ------------------------------------------------------------------------------- Scan-Einstellungen: Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard Archive untersuchen: ja Mail-Datenbanken untersuchen: ja Untersuchungsobjekt - Kritische Objekte: C:\WINDOWS C:\DOKUME~1\Matthias\LOKALE~1\Temp\ Untersuchungsergebnisse: Untersuchte Objekte insgesamt: 18777 Viren gefunden: 2 Infizierte Objekte gefunden: 2 / 0 Verdächtige Objekte gefunden: 0 Untersuchungszeit: 00:16:54 Name des infizierten Objekts / Virusname / Letzte Aktion C:\WINDOWS\CSC\00000001 Das Objekt ist gesperrt übersprungen C:\WINDOWS\CSC\00000002 Das Objekt ist gesperrt übersprungen C:\WINDOWS\CSC\00000003 Das Objekt ist gesperrt übersprungen C:\WINDOWS\CSC\d1\00000530 Das Objekt ist gesperrt übersprungen C:\WINDOWS\CSC\d2\00000039 Das Objekt ist gesperrt übersprungen C:\WINDOWS\CSC\d2\00000379 Das Objekt ist gesperrt übersprungen C:\WINDOWS\CSC\d3\0000026A Das Objekt ist gesperrt übersprungen C:\WINDOWS\CSC\d3\0000047A Das Objekt ist gesperrt übersprungen C:\WINDOWS\CSC\d4\0000003B Das Objekt ist gesperrt übersprungen C:\WINDOWS\CSC\d4\000003AB Das Objekt ist gesperrt übersprungen C:\WINDOWS\CSC\d7\0000003E Das Objekt ist gesperrt übersprungen C:\WINDOWS\CSC\d8\00000357 Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\ndis.sys Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\winlogon.old Infizierte Objekte: Trojan.Win32.Patched.g übersprungen C:\WINDOWS\system32\__delete_on_reboot__m_s_n_e_t_a_x_._d_l_l_ Infizierte Objekte: Trojan.Win32.Agent.afg übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen C:\DOKUME~1\Matthias\LOKALE~1\Temp\~DF149B.tmp Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. ############## und hier von AVG: --------------------------------------------------------- AVG Anti-Spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 12:47:53 23.02.2007 + Scan-Ergebnis: C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/BraveSentry/BraveSentry0.dll -> Adware.SpySheriff : Gesäubert. C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/BraveSentry/BraveSentry1.dll -> Adware.SpySheriff : Gesäubert. C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/BraveSentry/BraveSentry2.dll -> Adware.SpySheriff : Gesäubert. C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/BraveSentry/BraveSentry3.dll -> Adware.SpySheriff : Gesäubert. C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/BraveSentry/Uninstall.exe -> Adware.Spysheriff : Gesäubert. C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/vxga8me6.exe -> Adware.Toolbar888 : Gesäubert. C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/max1d641.exe -> Dialer.GBDialer.i : Gesäubert. C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/vxg6ame4.exe -> Downloader.Small : Gesäubert. D:\downloads\Musik\MediaMonkey.v2.5.4.978-HERiTAGE.rar/run.exe -> Downloader.Zlob.ate : Gesäubert. D:\downloads\tools\netzwerk\Mobile.Net.Switch.v3.48.WinALL.Incl.Keygen-ViRiLiTY.rar.rar/patch_.exe -> Hijacker.VB.qb : Gesäubert. D:\downloads\StreamBox!VCR\StreamBox VCR 1.0 Beta 3.1 Stealth Mulder Fix\fr_svcr1b31smf_crack.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Gesäubert. D:\downloads\StreamBox!VCR\StreamBox!VCR.zip/StreamBoxVCR1.0Beta3.1StealthMulderFix.zip/StreamBox VCR 1.0 Beta 3.1 Stealth Mulder Fix/fr_svcr1b31smf_crack.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Gesäubert. D:\downloads\StreamBox!VCR\StreamBox!VCR.zip/fr_svcr1b31_crack.zip/fr_svcr1b31_crack.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Gesäubert. D:\downloads\StreamBox!VCR\StreamBoxVCR1.0Beta3.1StealthMulderFix.zip/StreamBox VCR 1.0 Beta 3.1 Stealth Mulder Fix/fr_svcr1b31smf_crack.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Gesäubert. D:\downloads\StreamBox!VCR\fr_svcr1b31_crack.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Gesäubert. D:\downloads\StreamBox!VCR\fr_svcr1b31_crack.zip/fr_svcr1b31_crack.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Gesäubert. D:\downloads\tools\Shrink\DvD Shrink\Sprachpatch Deutsch für DVD Shrink 3.2.0.15.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Gesäubert. D:\downloads\tools\StreamBox!VCR\StreamBox VCR 1.0 Beta 3.1 Stealth Mulder Fix\fr_svcr1b31smf_crack.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Gesäubert. D:\downloads\tools\StreamBox!VCR\StreamBox!VCR.zip/StreamBoxVCR1.0Beta3.1StealthMulderFix.zip/StreamBox VCR 1.0 Beta 3.1 Stealth Mulder Fix/fr_svcr1b31smf_crack.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Gesäubert. D:\downloads\tools\StreamBox!VCR\StreamBox!VCR.zip/fr_svcr1b31_crack.zip/fr_svcr1b31_crack.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Gesäubert. D:\downloads\tools\StreamBox!VCR\StreamBoxVCR1.0Beta3.1StealthMulderFix.zip/StreamBox VCR 1.0 Beta 3.1 Stealth Mulder Fix/fr_svcr1b31smf_crack.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Gesäubert. D:\downloads\tools\StreamBox!VCR\fr_svcr1b31_crack.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Gesäubert. D:\downloads\tools\StreamBox!VCR\fr_svcr1b31_crack.zip/fr_svcr1b31_crack.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Gesäubert. D:\downloads\tools\winrarv3.xxmultilanguegenericcrackfff.zip/WINRAR.V3.XX.MULTILANGUE_GENERIC-CRK-FFF.RAR/Crack.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Gesäubert. C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/winsys2f.dll -> Proxy.Xorpix : Gesäubert. C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/cel90xbe.sys -> Rootkit.Agent.dp : Gesäubert. C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/runtime.sys -> Rootkit.Agent.dw : Gesäubert. C:\WINDOWS\system32\msnetax.dll -> Trojan.Agent.afg : Gesäubert. C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/vxga4me1.exe -> Trojan.Agent.oh : Gesäubert. C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/dlh9jkd1q5.exe -> Trojan.Small : Gesäubert. C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/dlh9jkd1q2.exe -> Worm.Zhelatin.ai : Gesäubert. C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/dlh9jkd1q6.exe -> Worm.Zhelatin.ai : Gesäubert. C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/dlh9jkd1q7.exe -> Worm.Zhelatin.ai : Gesäubert. C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/kernels88.exe -> Worm.Zhelatin.ai : Gesäubert. C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/vxg4am1et2.exe -> Worm.Zhelatin.ai : Gesäubert. ::Berichtende Viele Grüße Matthias |
|
|
|
|
|
|
23.02.2007, 13:38
Ehrenmitglied
Beiträge: 29434 |
#19
««
Avenger Zitat Files to delete:** virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\drivers\ndis.sys C:\WINDOWS\system32\winlogon.old poste die reporte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.02.2007, 14:40
Member
Themenstarter Beiträge: 17 |
#20
Wegen eines Fehlers habe ich den Avenger zweimal laufen lassen:
1. Versuch: ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Error: could not create zip file. Error code: 0 ////////////////////////////////////////// Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\eotgaebc ******************* Script file located at: \??\C:\Program Files\eyvqgtcx.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\__delete_on_reboot__m_s_n_e_t_a_x_._d_l_l_ deleted successfully. File C:\WINDOWS\system32\msnetax.dll not found! Deletion of file C:\WINDOWS\system32\msnetax.dll failed! Could not process line: C:\WINDOWS\system32\msnetax.dll Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate.////////////////////////////////////////// Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\suoqsvyc ******************* Script file located at: \??\C:\Program Files\hxqtmqwi.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\__delete_on_reboot__m_s_n_e_t_a_x_._d_l_l_ not found! Deletion of file C:\WINDOWS\system32\__delete_on_reboot__m_s_n_e_t_a_x_._d_l_l_ failed! Could not process line: C:\WINDOWS\system32\__delete_on_reboot__m_s_n_e_t_a_x_._d_l_l_ Status: 0xc0000034 File C:\WINDOWS\system32\msnetax.dll not found! Deletion of file C:\WINDOWS\system32\msnetax.dll failed! Could not process line: C:\WINDOWS\system32\msnetax.dll Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. 2. Versuch Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\rfgsbwgn ******************* Script file located at: \??\C:\WINDOWS\gbqjkdal.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\__delete_on_reboot__m_s_n_e_t_a_x_._d_l_l_ not found! Deletion of file C:\WINDOWS\system32\__delete_on_reboot__m_s_n_e_t_a_x_._d_l_l_ failed! Could not process line: C:\WINDOWS\system32\__delete_on_reboot__m_s_n_e_t_a_x_._d_l_l_ Status: 0xc0000034 File C:\WINDOWS\system32\msnetax.dll deleted successfully. Completed script processing. ******************* Finished! Terminate. Complete scanning result of "winlogon.exe", received in VirusTotal at 02.23.2007, 14:12:10 (CET). Antivirus Version Update Result AntiVir 7.3.1.38 02.23.2007 no virus found Authentium 4.93.8 02.23.2007 no virus found Avast 4.7.936.0 02.23.2007 no virus found AVG 386 02.23.2007 no virus found BitDefender 7.2 02.23.2007 no virus found CAT-QuickHeal 9.00 02.22.2007 no virus found ClamAV devel-20060426 02.22.2007 no virus found DrWeb 4.33 02.23.2007 no virus found eSafe 7.0.14.0 02.23.2007 no virus found eTrust-Vet 30.4.3424 02.23.2007 no virus found Ewido 4.0 02.22.2007 no virus found FileAdvisor 1 02.23.2007 No Thread detected Fortinet 2.85.0.0 02.23.2007 no virus found F-Prot 4.3.1.45 02.22.2007 no virus found F-Secure 6.70.13030.0 02.23.2007 no virus found Ikarus T3.1.0.31 02.23.2007 no virus found Kaspersky 4.0.2.24 02.23.2007 no virus found McAfee 4969 02.22.2007 no virus found Microsoft 1.2204 02.23.2007 no virus found NOD32v2 2077 02.23.2007 no virus found Norman 5.80.02 02.23.2007 no virus found Panda 9.0.0.4 02.23.2007 no virus found Prevx1 V2 02.23.2007 no virus found Sophos 4.14.0 02.21.2007 no virus found Sunbelt 2.2.907.0 02.22.2007 no virus found Symantec 10 02.23.2007 no virus found TheHacker 6.1.6.063 02.23.2007 no virus found UNA 1.83 02.22.2007 no virus found VBA32 3.11.2 02.22.2007 no virus found VirusBuster 4.3.19:9 02.22.2007 no virus found Aditional Information File size: 507392 bytes MD5: 2b6a0baf33a9918f09442d873848ff72 SHA1: e94549181cc6cdf9f5373e86c857049b73baee66 Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=2b6a0baf33a9918f09442d873848ff72 Complete scanning result of "winlogon.old", received in VirusTotal at 02.23.2007, 14:29:19 (CET). Antivirus Version Update Result AntiVir 7.3.1.38 02.23.2007 no virus found Authentium 4.93.8 02.23.2007 no virus found Avast 4.7.936.0 02.23.2007 no virus found AVG 386 02.23.2007 Win32/PEPatch.U BitDefender 7.2 02.23.2007 Trojan.Keylogger.iOpus.A CAT-QuickHeal 9.00 02.22.2007 no virus found ClamAV devel-20060426 02.22.2007 no virus found DrWeb 4.33 02.23.2007 no virus found eSafe 7.0.14.0 02.23.2007 no virus found eTrust-Vet 30.4.3424 02.23.2007 no virus found Ewido 4.0 02.22.2007 no virus found FileAdvisor 1 02.23.2007 no virus found Fortinet 2.85.0.0 02.23.2007 suspicious F-Prot 4.3.1.45 02.22.2007 no virus found F-Secure 6.70.13030.0 02.23.2007 Trojan.Win32.Patched.g Ikarus T3.1.0.31 02.23.2007 no virus found Kaspersky 4.0.2.24 02.23.2007 Trojan.Win32.Patched.g McAfee 4969 02.22.2007 no virus found Microsoft 1.2204 02.23.2007 no virus found NOD32v2 2077 02.23.2007 no virus found Norman 5.80.02 02.23.2007 no virus found Panda 9.0.0.4 02.23.2007 no virus found Prevx1 V2 02.23.2007 no virus found Sophos 4.14.0 02.21.2007 no virus found Sunbelt 2.2.907.0 02.22.2007 VIPRE.Suspicious Symantec 10 02.23.2007 Trojan.Pandex!inf TheHacker 6.1.6.063 02.23.2007 no virus found UNA 1.83 02.22.2007 no virus found VBA32 3.11.2 02.22.2007 no virus found VirusBuster 4.3.19:9 02.23.2007 no virus found Aditional Information File size: 507392 bytes MD5: e07d532109a4492ace33bfe9b3dfcbf6 SHA1: c913fceade9681a8a514d397cc59c7dad3ed11a2 Sunbelt info: VIPRE.Suspicious is a generic detection for potential Thread that are deemed suspicious through heuristics. Bei der Datei C:\WINDOWS\system32\drivers\ndis.sys hängt virustotal und schreibt, dass sie gerade hochgeladen wird. Es passiert allerdings nichts. Ich habe sowohl den Weg mit reinkopieren als auch mit auswählen probiert. Viele Grüße Matthias |
|
|
|
|
|
|
23.02.2007, 14:53
Ehrenmitglied
Beiträge: 29434 |
#21
mapson
berichte, inwieweit diese Profile korrekt sind - vor allem das: Administrator (new local, admin) -- User Profiles ---------------------------------------------------------------- Matthias (admin) wollnik (profile directory not found) wollnik.FULLIAUTOMATIX (profile directory not found) Administrator (new local, admin) ---------------------------------- 0. loesche: winlogon.old 1. ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren ----------------------------- http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) .............. - (je nachdem, was man sucht) in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. ------- um das zu finden: 4S RshdS (Remote Shell (RSH) Service) - C:\WINDOWS\system32\rshd.exe Remote Shell RshdS rshd.exe msnetax post die reporte -------------- poste bitte noch mal beide reporte von comboscan http://virus-protect.org/artikel/tools/comboscan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.02.2007, 15:07
Member
Themenstarter Beiträge: 17 |
#22
The script did not recognize the services listed below.
This does not mean that they are a problem. To copy the entire contents of this document for posting: At the top of this window click "Edit" then "Select All" Next click "Edit" again then "Copy" Now right click in the forum post box then click "Paste" ######################################## ServiceFilter 1.1 by rand1038 Microsoft Windows XP Professional Version: 5.1.2600 Service Pack 2 Feb 23, 2007 14:54:45 ---> Begin Service Listing <--- Unknown Service # 1 Service Name: ANSYS FLEXlm license manager Display Name: ANSYS FLEXlm license manager Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\progra~1\ansysi~1\shared~1\licens~1\intel\lmgrd.exe State: Running Process ID: 2028 Started: Wahr Exit Code: 0 Accept Pause: Wahr Accept Stop: Wahr Unknown Service #2 Service Name: aspnet_state Display Name: ASP.NET-Zustandsdienst Start Mode: Manual Start Name: NT AUTHORITY\NetworkService Description: Stellt die Unterstützung für nicht aktive Sitzungszustände von ASP.NET bereit. Wenn der Dienst ... Service Type: Own Process Path: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 3 Service Name: AVG Anti-Spyware Guard Display Name: AVG Anti-Spyware Guard Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\programme\grisoft\avg anti-spyware 7.5\guard.exe State: Running Process ID: 136 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 4 Service Name: BBDemon Display Name: Backbone Service Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\programme\dassault systemes\b10\intel_a\code\bin\catsysdemon.exe -service State: Running Process ID: 260 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 5 Service Name: BthServ Display Name: Bluetooth Support Service Start Mode: Auto Start Name: NT AUTHORITY\LocalService Description: ... Service Type: Share Process Path: c:\windows\system32\svchost.exe -k bthsvcs State: Running Process ID: 560 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 6 Service Name: btwdins Display Name: Bluetooth Service Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\programme\widcomm\bluetooth software\bin\btwdins.exe State: Running Process ID: 572 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 7 Service Name: clr_optimization_v2.0.50727_32 Display Name: .NET Runtime Optimization Service v2.0.50727_X86 Start Mode: Manual Start Name: LocalSystem Description: Microsoft .NET Framework ... Service Type: Own Process Path: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #8 Service Name: CVPND Display Name: Cisco Systems, Inc. VPN Service Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: "c:\programme\vpn client\cvpnd.exe" State: Running Process ID: 596 Started: Wahr Exit Code: 0 Accept Pause: Wahr Accept Stop: Wahr Unknown Service # 9 Service Name: EvtEng Display Name: Intel(R) PROSet/Wireless Event Log Start Mode: Auto Start Name: LocalSystem Description: Manages the event trace messages for all the components of Intel(R) PROSet/Wireless ... Service Type: Own Process Path: c:\programme\intel\wireless\bin\evteng.exe State: Running Process ID: 1452 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 10 Service Name: FontCache3.0.0.0 Display Name: Windows Presentation Foundation Font Cache 3.0.0.0 Start Mode: Manual Start Name: NT AUTHORITY\LocalService Description: Optimizes performance of Windows Presentation Foundation (WPF) applications by caching commonly ... Service Type: Own Process Path: c:\windows\microsoft.net\framework\v3.0\wpf\presentationfontcache.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 11 Service Name: gusvc Display Name: Google Updater Service Start Mode: Manual Start Name: LocalSystem Description: ... Service Type: Own Process Path: "c:\programme\google\common\google updater\googleupdaterservice.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 12 Service Name: IDriverT Display Name: InstallDriver Table Manager Start Mode: Manual Start Name: LocalSystem Description: Provides support for the Running Object Table for InstallShield ... Service Type: Own Process Path: c:\programme\gemeinsame dateien\installshield\driver\11\intel 32\idrivert.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 13 Service Name: idsvc Display Name: Windows CardSpace Start Mode: Manual Start Name: LocalSystem Description: Securely enables the creation, management, and disclosure of digital ... Service Type: Share Process Path: "c:\windows\microsoft.net\framework\v3.0\windows communication foundation\infocard.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 14 Service Name: iPod Service Display Name: iPod Service Start Mode: Manual Start Name: LocalSystem Description: iPod hardware management ... Service Type: Own Process Path: "c:\programme\ipod\bin\ipodservice.exe" State: Running Process ID: 2452 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 15 Service Name: NetTcpPortSharing Display Name: Net.Tcp Port Sharing Service Start Mode: Disabled Start Name: NT AUTHORITY\LocalService Description: Provides ability to share TCP ports over the net.tcp ... Service Type: Share Process Path: "c:\windows\microsoft.net\framework\v3.0\windows communication foundation\smsvchost.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 16 Service Name: O&O Defrag Display Name: O&O Defrag Start Mode: Auto Start Name: LocalSystem Description: O&O Defragmentation ... Service Type: Own Process Path: c:\windows\system32\oodag.exe State: Running Process ID: 648 Started: Wahr Exit Code: 0 Accept Pause: Wahr Accept Stop: Wahr Unknown Service #17 Service Name: ose Display Name: Office Source Engine Start Mode: Manual Start Name: LocalSystem Description: Speichert Installationsdateien, die für Updates und Reparieren verwendet werden, und ist für den ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\microsoft shared\source engine\ose.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 18 Service Name: RegSrvc Display Name: Intel(R) PROSet/Wireless Registry Service Start Mode: Auto Start Name: LocalSystem Description: Intel(R) PROSet/Wireless Registry ... Service Type: Own Process Path: c:\programme\intel\wireless\bin\regsrvc.exe State: Running Process ID: 700 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 19 Service Name: RshdS Display Name: Remote Shell (RSH) Service Start Mode: Disabled Start Name: .\wollnik Description: ... Service Type: Own Process Path: c:\windows\system32\rshd.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 20 Service Name: S24EventMonitor Display Name: Intel(R) PROSet/Wireless Service Start Mode: Auto Start Name: LocalSystem Description: Wireless Management Service for Intel(R) ... Service Type: Own Process Path: c:\programme\intel\wireless\bin\s24evmon.exe State: Running Process ID: 1492 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 21 Service Name: Samsung Update Plus Display Name: Samsung Update Plus Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\programme\samsung\samsung update plus\slubackgroundservice.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 22 Service Name: SAVAdminService Display Name: Sophos Anti-Virus Statusreporter Start Mode: Auto Start Name: LocalSystem Description: Macht Informationen über den Virenschutz für das Windows Control Center ... Service Type: Own Process Path: "c:\programme\sophos\sophos anti-virus\savadminservice.exe" State: Running Process ID: 1076 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 23 Service Name: SAVService Display Name: Sophos Anti-Virus Start Mode: Auto Start Name: NT AUTHORITY\LocalService Description: Führt Virenüberprüfungs- und Desinfektionsfunktionen ... Service Type: Own Process Path: "c:\programme\sophos\sophos anti-virus\savservice.exe" State: Running Process ID: 1260 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 24 Service Name: Sophos AutoUpdate Service Display Name: Sophos AutoUpdate Service Start Mode: Auto Start Name: LocalSystem Description: Teil der Dienst-Erläuterung für das Update-System für ... Service Type: Own Process Path: c:\programme\sophos\autoupdate\alsvc.exe State: Running Process ID: 1460 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #25 Service Name: SoundMAX Agent Service (default) Display Name: SoundMAX Agent Service Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\programme\analog devices\soundmax\smagent.exe State: Running Process ID: 1604 Started: Wahr Exit Code: 0 Accept Pause: Wahr Accept Stop: Wahr Unknown Service #26 Service Name: SwPrv Display Name: MS Software Shadow Copy Provider Start Mode: Manual Start Name: LocalSystem Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ... Service Type: Own Process Path: c:\windows\system32\dllhost.exe /processid:{d96544c7-3114-4775-ac5d-254f49454e3f} State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 27 Service Name: WMPNetworkSvc Display Name: Windows Media Player-Netzwerkfreigabedienst Start Mode: Manual Start Name: NT AUTHORITY\NetworkService Description: Gibt Windows Media Player-Bibliotheken mithilfe des universellen Plug & Play für andere Players ... Service Type: Own Process Path: "c:\programme\windows media player\wmpnetwk.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 28 Service Name: WudfSvc Display Name: Windows Driver Foundation - User-mode Driver Framework Start Mode: Manual Start Name: LocalSystem Description: Manages user-mode driver host ... Service Type: Share Process Path: c:\windows\system32\svchost.exe -k wudfservicegroup State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch ---> End Service Listing <--- There are 104 Win32 services on this machine. 28 were unrecognized. Script Execution Time: 1,515625 seconds. Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.2.0 ; Results at 23.02.2007 14:58:29 for strings: ; '4s rshds (remote shell (rsh) service) - c:\windows\system32\rshd.exe' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.2.0 ; Results at 23.02.2007 15:00:17 for strings: ; 'remote shell' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RSHDS\0000] "DeviceDesc"="Remote Shell (RSH) Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RshdS] "DisplayName"="Remote Shell (RSH) Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_RSHDS\0000] "DeviceDesc"="Remote Shell (RSH) Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\RshdS] "DisplayName"="Remote Shell (RSH) Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RSHDS\0000] "DeviceDesc"="Remote Shell (RSH) Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RshdS] "DisplayName"="Remote Shell (RSH) Service" ; End Of The Log... Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.2.0 ; Results at 23.02.2007 15:02:21 for strings: ; 'rshds' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RSHDS] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RSHDS\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RSHDS\0000] "Service"="RshdS" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RshdS] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RshdS\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RshdS\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RshdS\Enum] "0"="Root\\LEGACY_RSHDS\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_RSHDS] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_RSHDS\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_RSHDS\0000] "Service"="RshdS" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\RshdS] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\RshdS\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RSHDS] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RSHDS\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RSHDS\0000] "Service"="RshdS" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RshdS] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RshdS\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RshdS\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RshdS\Enum] "0"="Root\\LEGACY_RSHDS\\0000" ; End Of The Log... Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.2.0 ; Results at 23.02.2007 15:04:20 for strings: ; 'rshd.exe' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.2.0 ; Results at 23.02.2007 15:06:09 for strings: ; 'msnetax.dll' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... |
|
|
|
|
|
|
23.02.2007, 15:20
Ehrenmitglied
Beiträge: 29434 |
#23
berichte, inwieweit diese Profile korrekt sind - vor allem das: Administrator (new local, admin)
-- User Profiles ---------------------------------------------------------------- Matthias (admin) wollnik (profile directory not found) wollnik.FULLIAUTOMATIX (profile directory not found) Administrator (new local, admin) «« poste bitte noch mal beide reporte von comboscan http://virus-protect.org/artikel/tools/comboscan.html __________ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.02.2007, 15:26
Member
Themenstarter Beiträge: 17 |
#24
Das ComboScan-Log:
ComboScan v20070221.16 run by Matthias on 2007-02-23 at 15:22:31 Computer is in Normal Mode. -------------------------------------------------------------------------------- -- HijackThis (run as Matthias.exe) --------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 15:22:34, on 23.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16414) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\ANSYSI~1\SHARED~1\LICENS~1\Intel\lmgrd.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\Ansys Inc\Shared Files\Licensing\intel\ansyslmd.exe C:\Programme\Dassault Systemes\B10\intel_a\code\bin\CATSysDemon.exe C:\WINDOWS\Explorer.EXE C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\VPN Client\cvpnd.exe C:\WINDOWS\System32\oodag.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe C:\Programme\Sophos\AutoUpdate\ALsvc.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Microsoft IntelliType Pro\type32.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe C:\Programme\Backupslave\BackupSlave.exe C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Java\jre1.5.0_10\bin\jusched.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Programme\Free Desktop Clock\DesktopClock.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Sophos\AutoUpdate\ALMon.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\Rainlendar\Rainlendar.exe C:\Programme\SpamPal\spampal.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Opera\Opera.exe C:\Dokumente und Einstellungen\Matthias\Desktop\comboscan.exe D:\downloads\antivir_antispy\Matthias.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://codecs.r8.org/ F2 - REG:system.ini: UserInit=userinit.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [BackupSlave] C:\Programme\Backupslave\BackupSlave.exe /min O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [SkinClock] C:\Programme\Free Desktop Clock\DesktopClock.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: MNS.lnk = C:\Programme\Mobile Net Switch\MNS.exe O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\VPN Client\vpngui.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6320051D-FC10-4753-8B3B-AF5A178E784E}: NameServer = 134.147.32.40,134.147.222.4 O17 - HKLM\System\CCS\Services\Tcpip\..\{C737B6D4-98C7-4BEE-B47D-289E6533F849}: NameServer = 134.147.32.4,134.147.222.4 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: ANSYS FLEXlm license manager - Macrovision Corporation - C:\PROGRA~1\ANSYSI~1\SHARED~1\LICENS~1\Intel\lmgrd.exe O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B10\intel_a\code\bin\CATSysDemon.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\VPN Client\cvpnd.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- Files created between 2007-01-23 and 2007-02-23 ------------------------------ 2007-02-23 14:10:31 20480 --a------ C:\WINDOWS\system32\msnetax.dll 2007-02-23 14:07:49 0 d-------- C:\avenger 2007-02-23 13:40:31 60416 --a------ C:\WINDOWS\system32\drivers\ovbiseqq.sys 2007-02-23 13:40:31 1080 --a------ C:\gqxongpo.bat 2007-02-23 11:39:28 507392 --a------ C:\WINDOWS\system32\winlogon.exe 2007-02-22 18:16:59 0 d-------- C:\WINDOWS\system32\Kaspersky Lab<KASPER~1> 2007-02-22 17:26:41 79360 --a------ C:\WINDOWS\system32\swxcacls.exe 2007-02-22 17:26:40 40960 --a------ C:\WINDOWS\system32\swsc.exe 2007-02-22 17:26:40 135168 --a------ C:\WINDOWS\system32\swreg.exe 2007-02-22 17:26:40 288417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-02-22 17:26:40 53248 --a------ C:\WINDOWS\system32\Process.exe 2007-02-22 17:26:40 51200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-02-22 16:38:30 0 d-------- C:\!KillBox 2007-02-22 15:52:12 102800 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys 2007-02-21 19:20:28 0 d-------- C:\Programme\Enigma Software Group<ENIGMA~1> 2007-02-21 15:54:59 3720 --a------ C:\WINDOWS\system32\tmp.reg 2007-02-21 15:51:53 3968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-02-21 15:51:42 0 d-------- C:\Programme\Grisoft 2007-02-19 15:23:47 0 d-------- C:\Programme\FastStone Image Viewer<FASTST~1> 2007-02-14 18:07:37 0 d-------- C:\Programme\Windows Media Connect 2<WINDOW~4> 2007-02-14 18:05:49 0 d-------- C:\WINDOWS\system32\LogFiles 2007-02-14 18:05:49 0 d-------- C:\WINDOWS\system32\drivers\UMDF 2007-02-14 14:27:46 288768 -----n--- C:\WINDOWS\system32\rhttpaa.dll 2007-02-14 14:27:45 36352 -----n--- C:\WINDOWS\system32\tsgqec.dll 2007-02-14 14:27:45 116736 -----n--- C:\WINDOWS\system32\aaclient.dll 2007-02-06 15:48:11 0 d-------- C:\Programme\Free YouTube to iPod Converter<FREEYO~1> 2007-01-30 11:24:46 0 d-------- C:\Programme\MSBuild 2007-01-30 11:21:42 0 d-------- C:\WINDOWS\system32\XPSViewer<XPSVIE~1> 2007-01-30 11:21:39 0 d-------- C:\WINDOWS\system32\en-us 2007-01-30 11:20:50 0 d-------- C:\Programme\Reference Assemblies<REFERE~1> 2007-01-30 11:19:51 14048 -----n--- C:\WINDOWS\system32\spmsg2.dll 2007-01-26 10:51:03 44544 --a------ C:\WINDOWS\system32\msxml4a.dll 2007-01-23 18:54:07 0 d-------- C:\Programme\SpamPal -- Find3M Report ---------------------------------------------------------------- 2007-02-23 14:07:49 0 d-------- C:\Programme\Backupslave<BACKUP~1> 2007-02-23 14:04:38 0 d-------- C:\Programme\Mozilla Thunderbird<MOZILL~1> 2007-02-22 17:23:44 0 d-------- C:\Programme\Mozilla Firefox<MOZILL~2> 2007-02-22 15:42:53 0 d-------- C:\Programme\Gemeinsame Dateien<GEMEIN~1> 2007-02-22 10:00:07 334968 --a------ C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\CleanUp!.log 2007-02-20 11:35:38 0 d-------- C:\Programme\Cathy 2007-02-19 15:24:09 0 d-------- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\FastStone<FASTST~1> 2007-02-17 14:45:53 446844 --a------ C:\WINDOWS\system32\perfh007.dat 2007-02-17 14:45:53 79774 --a------ C:\WINDOWS\system32\perfc007.dat 2007-02-16 19:04:06 0 d-------- C:\Programme\Apple Software Update<APPLES~1> 2007-02-14 18:08:40 0 d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared<MICROS~1> 2007-01-30 22:13:50 201400 --a------ C:\WINDOWS\system32\wuweb.dll 2007-01-30 22:12:16 1698136 --a------ C:\WINDOWS\system32\wuaueng.dll 2007-01-30 22:12:06 545112 --a------ C:\WINDOWS\system32\wuapi.dll 2007-01-30 22:12:04 323928 --a------ C:\WINDOWS\system32\wucltui.dll 2007-01-30 22:11:52 90968 --a------ C:\WINDOWS\system32\cdm.dll 2007-01-30 22:11:46 52568 --a------ C:\WINDOWS\system32\wuauclt.exe 2007-01-30 22:11:44 43352 --a------ C:\WINDOWS\system32\wups2.dll 2007-01-30 22:11:06 33624 --a------ C:\WINDOWS\system32\wups.dll 2007-01-29 09:58:06 60416 -----n--- C:\WINDOWS\system32\tzchange.exe 2007-01-26 11:30:24 0 d-------- C:\Programme\latex 2007-01-24 12:39:03 0 d-------- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\SpamPal 2007-01-22 09:04:21 0 d-------- C:\Programme\Picasa2 2007-01-22 09:04:17 0 d-------- C:\Programme\Google 2007-01-14 22:24:30 0 d-------- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\AAV 2007-01-14 22:12:07 0 d-------- C:\Programme\Gemeinsame Dateien\AAV 2007-01-12 09:27:42 232960 --a------ C:\WINDOWS\system32\webcheck.dll 2007-01-12 09:27:42 51712 -----n--- C:\WINDOWS\system32\msfeedsbs.dll<MSFEED~1.DLL> 2007-01-12 09:27:42 458752 -----n--- C:\WINDOWS\system32\msfeeds.dll 2007-01-12 09:27:42 6054400 --a------ C:\WINDOWS\system32\ieframe.dll 2007-01-08 19:04:54 105984 --a------ C:\WINDOWS\system32\url.dll 2007-01-08 19:04:08 102400 --a------ C:\WINDOWS\system32\occache.dll 2007-01-08 19:02:04 266752 --a------ C:\WINDOWS\system32\iertutil.dll 2007-01-08 19:02:04 44544 --a------ C:\WINDOWS\system32\iernonce.dll 2007-01-08 19:02:02 384000 --a------ C:\WINDOWS\system32\iedkcs32.dll 2007-01-08 19:02:02 383488 -----n--- C:\WINDOWS\system32\ieapfltr.dll 2007-01-08 19:02:02 161792 --a------ C:\WINDOWS\system32\ieakui.dll 2007-01-08 19:02:02 230400 --a------ C:\WINDOWS\system32\ieaksie.dll 2007-01-08 19:02:02 153088 --a------ C:\WINDOWS\system32\ieakeng.dll 2007-01-08 19:00:48 124928 --a------ C:\WINDOWS\system32\advpack.dll 2007-01-08 18:08:14 56832 --a------ C:\WINDOWS\system32\ie4uinit.exe 2007-01-08 18:08:10 13824 --a------ C:\WINDOWS\system32\ieudinit.exe 2007-01-06 17:20:42 0 d-------- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\MyPhoneExplorer<MYPHON~1> 2007-01-06 17:01:18 0 d-------- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Teleca 2007-01-06 17:00:00 0 d-------- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Sony Ericsson<SONYER~1> 2007-01-03 17:38:26 0 d-------- C:\Programme\MyPhoneExplorer<MYPHON~1> 2006-12-19 22:49:41 135168 --a------ C:\WINDOWS\system32\shsvcs.dll 2006-12-19 19:17:03 334336 --a------ C:\WINDOWS\system32\wiaservc.dll 2006-12-14 14:45:53 981760 --a------ C:\WINDOWS\system32\mfc42u.dll 2006-12-11 14:45:22 1866240 --a------ C:\WINDOWS\system32\mstscax.dll 2006-11-27 15:54:15 433152 --a------ C:\WINDOWS\system32\riched20.dll 2006-11-27 15:54:15 539136 -----n--- C:\WINDOWS\system32\msftedit.dll -- Registry Dump ---------------------------------------------------------------- [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "SkinClock"="C:\\Programme\\Free Desktop Clock\\DesktopClock.exe" "ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "IgfxTray"="C:\\WINDOWS\\System32\\igfxtray.exe" "HotKeysCmds"="C:\\WINDOWS\\System32\\hkcmd.exe" "SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe" "SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe" "AGRSMMSG"="AGRSMMSG.exe" "FreePDF Assistant"="C:\\Programme\\FreePDF_XP\\fpassist.exe" "type32"="\"C:\\Programme\\Microsoft IntelliType Pro\\type32.exe\"" "BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" "MagicKeyboard"="C:\\Programme\\SAMSUNG\\MagicKBD\\PreMKBD.exe" "Synchronization Manager"="%SystemRoot%\\system32\\mobsync.exe /logon" "SoundMAXPnP"="C:\\Programme\\Analog Devices\\SoundMAX\\SMax4PNP.exe" "SoundMAX"="C:\\Programme\\Analog Devices\\SoundMAX\\Smax4.exe /tray" "BackupSlave"="C:\\Programme\\Backupslave\\BackupSlave.exe /min" "IntelZeroConfig"="\"C:\\Programme\\Intel\\Wireless\\bin\\ZCfgSvc.exe\"" "IntelWireless"="\"C:\\Programme\\Intel\\Wireless\\Bin\\ifrmewrk.exe\" /tf Intel PROSet/Wireless" "QuickTime Task"="\"C:\\Programme\\K-Lite Codec Pack\\QuickTime\\qttask.exe\" -atboottime" "iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\"" "SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\"" "!AVG Anti-Spyware"="\"C:\\Programme\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}" [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableRegistryTools"=dword:00000000 [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\SAVService [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 bthsvcs REG_MULTI_SZ BthServ\0\0 WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0 [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{87a6c703-a601-11db-8a0e-0000f07be2a5}] Shell\AutoRun\command H:\LaunchU3.exe -- End of ComboScan: finished at 2007-02-23 at 15:22:52 ------------------------- zu den Profilen: Matthias (admin) ist das, was ich selber nutze wollnik (profile directory not found) hatte ich mal eingerichtet, aber nie richtig benutzt, kann eigentlich weg wollnik.FULLIAUTOMATIX (profile directory not found) hatte ich mal eingerichtet, aber nie richtig benutzt, kann eigentlich weg Administrator (new local, admin) habe ich nicht (bewusst) eingerichtet |
|
|
|
|
|
|
23.02.2007, 15:39
Ehrenmitglied
Beiträge: 29434 |
#25
mapson
gehe in den abgesicherten Modus und losche das Konto - Administrator (new local, admin) - denn das ist vom Hacker eingerichtet - und hat volle Administratoren rechte ueber deinen Rechner ----------------- «« LSPfix http://www.spychecker.com/program/lspfix.html - hake an: "I know what Im doing" -- Remove - und lösche die msnetax.dll (eventuell musst du die dll von links nach rechts bringen) + Remove Anschließend auf den 'Finished' Button klicken «« Avenger Zitat registry keys to delete:`` poste HijackThis (StartupListe) HijackThis starten, "Open the misc tools section" klicken, die beiden Kästchen "List also minor sections" und "List empty sections" markieren und dann "Generate StartupList log" klicken. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.02.2007, 15:50
Member
Themenstarter Beiträge: 17 |
#26
Ich habe den Rechner jetzt im abgesicherten Modus und habe in der Systemsteuerung die Benutzerkonten angeklickt. Da taucht aber kein Administrator auf, nur Matthias und Gast (ist nicht aktiv).
Ich schreibe gerade von einem anderen Rechner, der befallene ist noch im abgesicherten Modus. |
|
|
|
|
|
|
23.02.2007, 16:37
Ehrenmitglied
Beiträge: 29434 |
#27
««
Klicke mit der rechten Maustaste auf Arbeitsplatz, klicken auf Eigenschaften und klicken anschließend auf der Registerkarte Erweitert unter Benutzerprofile auf Einstellungen, um die Liste der lokalen Benutzerprofile zu anzuzeigen. «« versuche , ob du ueber Start - Ausfuehren - gpedit.msc - das konto findest Start --> Ausführen - secpol.msc »» versuche es damit (ich habe es noch nicht angewendet) http://www.microsoft.com/downloads/details.aspx?FamilyID=1B286E6D-8912-4E18-B570-42470E2F3582&displaylang=en#QuickInfoContainer __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.02.2007, 17:02
Member
Themenstarter Beiträge: 17 |
#28
In der Computerverwaltung habe ich was gefunden:
Administrator Vordefiniertes Konto für die Verwaltung des Computers bzw. der Domäne ASPNET ASP.NET Machine Account Account used for running the ASP.NET worker process Gast Hilfeassistent Hilfeassistentkonto für den Remotedesktop Matthias SophosAUFULLIAUTO1 SUPPORT_388945a0 Soll ich den Administrator wirklich löschen?! Habe da ein wenig Respekt vor... |
|
|
|
|
|
|
23.02.2007, 17:07
Ehrenmitglied
Beiträge: 29434 |
#29
Start / Ausführen / regedit
HKEY_LOCAL_MACHINE / Software / Microsoft / Windows NT / CurrentVersion / Winlogon / SpecialAccounts / UserList schau, ob du findest: Administrator (new local, admin) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.02.2007, 17:11
Member
Themenstarter Beiträge: 17 |
#30
Nein, da gibt es nur
HelpAssistant (0) Hilfeassistent (0) IUSR_ (65536) IWAM_ (65536) NetShowServices (0) SQLAgentCmdExec (0) TsInternetUser (0) VUSR_ (65536) |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ist es eigentlich normal, dass, wenn man im normalen Modus die Datenträger überwachung ausschaltet, sie im abgesicherten Modus aktiv ist? Das ist nämlich bei mir der Fall.
Um jetzt nichts mehr falsch zu machen, habe ich den Rechner vom Netz genommen, in den abgesicherten Modus hochgefahren und den AVG-Scanner laufen lassen. Das Protokoll ist unten. Da steht überall ignoriert, aber das ist nicht richtig, weil ich nur das Protokoll erzeugt und sonst noch nichts gemacht habe. Die Datenträgerüberwachung ist noch aktiv und die Datei msnetx.dll habe ich auch noch nicht gelöscht. Aber das Skript habe ich ausgeführt.
---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------
+ Erstellt um: 06:25:31 23.02.2007
+ Scan-Ergebnis:
C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/BraveSentry/BraveSentry0.dll -> Adware.SpySheriff : Ignoriert.
C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/BraveSentry/BraveSentry1.dll -> Adware.SpySheriff : Ignoriert.
C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/BraveSentry/BraveSentry2.dll -> Adware.SpySheriff : Ignoriert.
C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/BraveSentry/BraveSentry3.dll -> Adware.SpySheriff : Ignoriert.
C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/BraveSentry/Uninstall.exe -> Adware.Spysheriff : Ignoriert.
C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/vxga8me6.exe -> Adware.Toolbar888 : Ignoriert.
C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/max1d641.exe -> Dialer.GBDialer.i : Ignoriert.
C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/vxg6ame4.exe -> Downloader.Small : Ignoriert.
D:\downloads\Musik\MediaMonkey.v2.5.4.978-HERiTAGE.rar/run.exe -> Downloader.Zlob.ate : Ignoriert.
D:\downloads\tools\netzwerk\Mobile.Net.Switch.v3.48.WinALL.Incl.Keygen-ViRiLiTY.rar.rar/patch_.exe -> Hijacker.VB.qb : Ignoriert.
D:\downloads\StreamBox!VCR\StreamBox VCR 1.0 Beta 3.1 Stealth Mulder Fix\fr_svcr1b31smf_crack.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Ignoriert.
D:\downloads\StreamBox!VCR\StreamBox!VCR.zip/StreamBoxVCR1.0Beta3.1StealthMulderFix.zip/StreamBox VCR 1.0 Beta 3.1 Stealth Mulder Fix/fr_svcr1b31smf_crack.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Ignoriert.
D:\downloads\StreamBox!VCR\StreamBox!VCR.zip/fr_svcr1b31_crack.zip/fr_svcr1b31_crack.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Ignoriert.
D:\downloads\StreamBox!VCR\StreamBoxVCR1.0Beta3.1StealthMulderFix.zip/StreamBox VCR 1.0 Beta 3.1 Stealth Mulder Fix/fr_svcr1b31smf_crack.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Ignoriert.
D:\downloads\StreamBox!VCR\fr_svcr1b31_crack.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Ignoriert.
D:\downloads\StreamBox!VCR\fr_svcr1b31_crack.zip/fr_svcr1b31_crack.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Ignoriert.
D:\downloads\tools\Shrink\DvD Shrink\Sprachpatch Deutsch für DVD Shrink 3.2.0.15.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Ignoriert.
D:\downloads\tools\StreamBox!VCR\StreamBox VCR 1.0 Beta 3.1 Stealth Mulder Fix\fr_svcr1b31smf_crack.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Ignoriert.
D:\downloads\tools\StreamBox!VCR\StreamBox!VCR.zip/StreamBoxVCR1.0Beta3.1StealthMulderFix.zip/StreamBox VCR 1.0 Beta 3.1 Stealth Mulder Fix/fr_svcr1b31smf_crack.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Ignoriert.
D:\downloads\tools\StreamBox!VCR\StreamBox!VCR.zip/fr_svcr1b31_crack.zip/fr_svcr1b31_crack.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Ignoriert.
D:\downloads\tools\StreamBox!VCR\StreamBoxVCR1.0Beta3.1StealthMulderFix.zip/StreamBox VCR 1.0 Beta 3.1 Stealth Mulder Fix/fr_svcr1b31smf_crack.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Ignoriert.
D:\downloads\tools\StreamBox!VCR\fr_svcr1b31_crack.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Ignoriert.
D:\downloads\tools\StreamBox!VCR\fr_svcr1b31_crack.zip/fr_svcr1b31_crack.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Ignoriert.
D:\downloads\tools\winrarv3.xxmultilanguegenericcrackfff.zip/WINRAR.V3.XX.MULTILANGUE_GENERIC-CRK-FFF.RAR/Crack.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Ignoriert.
C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/winsys2f.dll -> Proxy.Xorpix : Ignoriert.
C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/cel90xbe.sys -> Rootkit.Agent.dp : Ignoriert.
C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/runtime.sys -> Rootkit.Agent.dw : Ignoriert.
C:\System Volume Information\_restore{72D35FB5-4A17-442D-BC04-7774E7702AA9}\RP1\A0000141.dll -> Trojan.Agent.afg : Ignoriert.
C:\System Volume Information\_restore{72D35FB5-4A17-442D-BC04-7774E7702AA9}\RP1\A0000159.dll -> Trojan.Agent.afg : Ignoriert.
C:\System Volume Information\_restore{72D35FB5-4A17-442D-BC04-7774E7702AA9}\RP1\A0000189.dll -> Trojan.Agent.afg : Ignoriert.
C:\System Volume Information\_restore{72D35FB5-4A17-442D-BC04-7774E7702AA9}\RP1\A0002194.dll -> Trojan.Agent.afg : Ignoriert.
C:\WINDOWS\system32\msnetax.dll -> Trojan.Agent.afg : Ignoriert.
C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/vxga4me1.exe -> Trojan.Agent.oh : Ignoriert.
C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/dlh9jkd1q5.exe -> Trojan.Small : Ignoriert.
C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/dlh9jkd1q2.exe -> Worm.Zhelatin.ai : Ignoriert.
C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/dlh9jkd1q6.exe -> Worm.Zhelatin.ai : Ignoriert.
C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/dlh9jkd1q7.exe -> Worm.Zhelatin.ai : Ignoriert.
C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/kernels88.exe -> Worm.Zhelatin.ai : Ignoriert.
C:\avenger\backup-22.02.2007-15.43.46,15.zip/avenger/vxg4am1et2.exe -> Worm.Zhelatin.ai : Ignoriert.
::Berichtende
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: 98A8-A68F
Verzeichnis von c:\!KillBox
21.02.2007 13:46 507.392 winlogon.exe
1 Datei(en) 507.392 Bytes
Verzeichnis von c:\WINDOWS\system32
21.02.2007 13:46 507.392 winlogon.exe
1 Datei(en) 507.392 Bytes
Anzahl der angezeigten Dateien:
2 Datei(en) 1.014.784 Bytes
0 Verzeichnis(se), 9.091.551.232 Bytes frei
Jetzt harre ich der Dinge und mache ersteinmal nichts.