TROJANER: Backdoor.Win32.Agent.aly gelöscht !?! Is da noch mehr?

#1 Kaspersky Anti-Virus 6.0 log über die Löschung des Trojaner´s
Schutz
------
Insgesamt untersucht: 73823
Gefunden: 2
Nicht bearbeitet: 0
Start: 25.03.2007 13:26:42
Dauer: 01:34:09


Gefunden
--------
Status Objekt
------ ------
gelöscht: trojanisches Programm Backdoor.Win32.Agent.aly Datei: C:\Programme\Gemeinsame Dateien\System\msnmssgr.exe
gelöscht: trojanisches Programm Backdoor.Win32.Agent.aly Datei: C:\System Volume Information\_restore{4F0CA2BA-D03A-40E9-A9B2-A4E8573509E0}\RP2\A0000049.exe


Ereignisse
----------
Zeit Ereignis
---- --------
25.03.2007 02:43:49 Es wird empfohlen, den Computer vollständig auf Viren zu untersuchen.
25.03.2007 02:45:32 Die Updateaufgabe wurde erfolgreich abgeschlossen.
25.03.2007 02:47:42 Es wird empfohlen, den Computer vollständig auf Viren zu untersuchen.
25.03.2007 02:50:39 Der Schutz Ihres Computers wurde deaktiviert. Es wird empfohlen, den Schutz zu aktivieren.
25.03.2007 02:57:33 Es wird empfohlen, den Computer vollständig auf Viren zu untersuchen.
25.03.2007 03:56:29 Der Versuch von Prozess mit PID 3424 Zugriff auf den Prozess Kaspersky Anti-Virus 6.0 mit PID 908 zu erhalten wurde blockiert. Dieses Ergebnis geht darauf zurück, dass der Selbstschutzmechanismus ausgelöst wurde.
25.03.2007 03:56:29 Der Versuch von Prozess mit PID 3424 Zugriff auf den Prozess Kaspersky Anti-Virus 6.0 mit PID 340 zu erhalten wurde blockiert. Dieses Ergebnis geht darauf zurück, dass der Selbstschutzmechanismus ausgelöst wurde.
25.03.2007 04:12:23 Der Versuch von Prozess mit PID 1020 Zugriff auf den Prozess Kaspersky Anti-Virus 6.0 mit PID 340 zu erhalten wurde blockiert. Dieses Ergebnis geht darauf zurück, dass der Selbstschutzmechanismus ausgelöst wurde.
25.03.2007 04:12:23 Der Versuch von Prozess mit PID 1020 Zugriff auf den Prozess Kaspersky Anti-Virus 6.0 mit PID 908 zu erhalten wurde blockiert. Dieses Ergebnis geht darauf zurück, dass der Selbstschutzmechanismus ausgelöst wurde.
25.03.2007 05:44:39 Datei C:\Programme\Gemeinsame Dateien\System\msnmssgr.exe, gefunden: trojanisches Programm Backdoor.Win32.Agent.aly
25.03.2007 05:44:40 Es wurden schädliche Objekte gefunden. Die sofortige Desinfektion wird empfohlen.
25.03.2007 05:44:40 Datei C:\Programme\Gemeinsame Dateien\System\msnmssgr.exe wurde nicht desinfiziert: Benutzer hat Bearbeitung aufgeschoben.
25.03.2007 05:59:13 Der Neustart des Computers ist erforderlich, um die Installation neuer oder aktualisierter Schutzkomponenten abzuschließen.
25.03.2007 05:59:14 Der Neustart des Computers ist erforderlich, um die Installation neuer oder aktualisierter Schutzkomponenten abzuschließen.
25.03.2007 05:59:14 Die Updateaufgabe wurde erfolgreich abgeschlossen.
25.03.2007 06:21:47 Datei c:\programme\gemeinsame dateien\system\msnmssgr.exe, gefunden: trojanisches Programm Backdoor.Win32.Agent.aly
25.03.2007 06:43:55 Datei C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MSNMSSGR.EXE, gefunden: trojanisches Programm Backdoor.Win32.Agent.aly
25.03.2007 09:58:45 Die Updateaufgabe wurde erfolgreich abgeschlossen.
25.03.2007 13:19:17 Datei c:\programme\gemeinsame dateien\system\msnmssgr.exe wurde gelöscht.
25.03.2007 13:19:25 Datei C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MSNMSSGR.EXE kann nicht gelöscht werden.
25.03.2007 13:26:54 Fehler bei der Updateaufgabe: externes Netzwerk ist nicht verfügbar.
25.03.2007 13:40:34 Datei C:\System Volume Information\_restore{4F0CA2BA-D03A-40E9-A9B2-A4E8573509E0}\RP2\A0000049.exe, gefunden: trojanisches Programm Backdoor.Win32.Agent.aly
25.03.2007 13:40:34 Es wurden schädliche Objekte gefunden. Die sofortige Desinfektion wird empfohlen.
25.03.2007 13:40:34 Datei C:\System Volume Information\_restore{4F0CA2BA-D03A-40E9-A9B2-A4E8573509E0}\RP2\A0000049.exe wurde nicht desinfiziert: Benutzer hat Bearbeitung aufgeschoben.
25.03.2007 14:56:09 Datei C:\System Volume Information\_restore{4F0CA2BA-D03A-40E9-A9B2-A4E8573509E0}\RP2\A0000049.exe, gefunden: trojanisches Programm Backdoor.Win32.Agent.aly
25.03.2007 14:58:26 Datei C:\System Volume Information\_restore{4F0CA2BA-D03A-40E9-A9B2-A4E8573509E0}\RP2\A0000049.exe wurde gelöscht.


Berichte
--------
Komponente Status Start Ende Größe
---------- ------ ----- ---- -----
Update externes Netzwerk ist nicht verfügbar 25.03.2007 13:26:50 25.03.2007 13:26:53 8.3 KB
Proaktiver Schutz aktiv 25.03.2007 13:26:42 0 Bytes
Datei-Anti-Virus aktiv 25.03.2007 13:26:42 540.6 KB
Mail-Anti-Virus aktiv 25.03.2007 13:26:42 0 Bytes
Web-Anti-Virus aktiv 25.03.2007 13:26:42 4.2 KB
Kritische Bereiche untersuchen abgeschlossen 25.03.2007 13:29:07 25.03.2007 13:38:12 1.3 MB
Autostart-Objekte untersuchen abgeschlossen 25.03.2007 13:29:09 25.03.2007 13:36:10 0 Bytes
Autostart-Objekte untersuchen abgeschlossen 25.03.2007 13:38:26 25.03.2007 13:38:33 666.9 KB
Arbeitsplatz untersuchen aktiv 25.03.2007 13:38:50 13.8 MB


Quarantäne
----------
Status Objekt Größe Hinzugefügt
------ ------ ----- -----------


Backup
------
Status Objekt Größe
------ ------ -----
Infiziert: trojanisches Programm Backdoor.Win32.Agent.aly C:\System Volume Information\_restore{4F0CA2BA-D03A-40E9-A9B2-A4E8573509E0}\RP2\A0000049.exe 75 KB
Infiziert: trojanisches Programm Backdoor.Win32.Agent.aly c:\programme\gemeinsame dateien\system\msnmssgr.exe 75 KB


1. Hijackthis-Logfile

Logfile of HijackThis v1.99.1
Scan saved at 22:42:09, on 27.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\netdde.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HIJACK THIS\Sucher.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CCleaner] "C:\Programme\CCleaner\CCleaner.exe" /AUTO
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123515490140
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1E1880B-0021-46EF-B6D6-EBCA0B1D0F59}: NameServer = 212.7.148.65,212.7.148.97
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sicherheitscenter (wscsvc) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)


2. CleanUp durchgeführt

3. Combofix Log

"D.MONZTAR" - 07-03-27 22:48:06 Service Pack 2
ComboFix 07-03-27.4 - Running from: "C:\Dokumente und Einstellungen\D.MONZTAR\Desktop"


((((((((((((((((((((((((((((((( Files Created from 2007-02-27 to 2007-03-27 ))))))))))))))))))))))))))))))))))


2007-03-27 14:18 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-03-27 12:02 <DIR> d-------- C:\Programme\a-squared Free
2007-03-27 11:49 <DIR> d-------- C:\Programme\a-squared HiJackFree
2007-03-27 09:12 <DIR> d-------- C:\Programme\Kaspersky Lab
2007-03-27 08:40 <DIR> d-------- C:\Programme\L2MRemover
2007-03-25 15:34 <DIR> d-------- C:\DOKUME~1\D3ADD~1.MON\ANWEND~1\dvdcss
2007-03-25 02:43 <DIR> d-------- C:\kav
2007-03-24 23:12 <DIR> d-------- C:\Programme\Interplay
2007-03-22 08:53 86,016 --a------ C:\WINDOWS\system32\OpenAL32.dll
2007-03-22 08:53 262,144 --a------ C:\WINDOWS\system32\wrap_oal.dll
2007-03-22 08:47 <DIR> d-------- C:\Programme\Stubbs The Zombie - Rebel Without A Pulse
2007-03-17 23:04 82,774 --a------ C:\WINDOWS\Uninstall Jade Empire.exe
2007-03-17 20:11 <DIR> d-------- C:\Programme\DAEMON Tools
2007-03-16 09:08 <DIR> d-------- C:\Programme\2K Games
2007-03-16 01:54 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2007-03-16 01:12 646,392 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-03-15 22:19 <DIR> d-------- C:\Programme\Simon the Sorcerer - Chaos ist das halbe Leben
2007-03-15 18:14 <DIR> d-------- C:\DOKUME~1\D3ADD~1.MON\ANWEND~1\simon4
2007-03-15 16:56 68,888 --a------ C:\WINDOWS\system32\xinput1_3.dll
2007-03-15 16:56 251,672 --a------ C:\WINDOWS\system32\xactengine2_5.dll
2007-03-15 16:56 237,848 --a------ C:\WINDOWS\system32\xactengine2_4.dll
2007-03-15 16:56 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2007-03-15 16:56 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll
2007-03-14 13:50 <DIR> d-------- C:\Programme\Valkyrie Studios
2007-03-14 11:33 <DIR> d-------- C:\Programme\illusion
2007-03-14 00:42 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-03-13 17:32 <DIR> d-------- C:\DOKUME~1\D3ADD~1.MON\ANWEND~1\uTorrent
2007-03-10 13:49 <DIR> d-------- C:\WINDOWS\C8BB491212D942AEB571E580D8CD1B5B.TMP
2007-03-10 13:49 <DIR> d-------- C:\Programme\TuneUp Utilities 2007
2007-03-10 12:29 6,815,744 --a------ C:\DOKUME~1\D3ADD~1.MON\ntuser.dat
2007-03-10 12:29 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
2007-03-10 09:06 <DIR> d-------- C:\Programme\CCleaner
2007-03-02 03:59 <DIR> d-------- C:\Programme\Artweaver 0.4
2007-03-02 03:59 <DIR> d-------- C:\DOKUME~1\D3ADD~1.MON\ANWEND~1\Artweaver
2007-03-02 02:49 <DIR> d-------- C:\Programme\Picasa2
2007-03-02 00:38 <DIR> d-------- C:\Programme\Abbyy FineReader 6.0 Sprint
2007-03-02 00:36 98,345 --a------ C:\WINDOWS\system32\IMHOST32.DLL
2007-03-02 00:36 339,968 --a------ C:\WINDOWS\system32\IMGMAN32.DLL
2007-03-02 00:36 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\FaxCtr
2007-03-02 00:34 <DIR> d-------- C:\Temp
2007-03-02 00:30 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2007-02-27 08:12 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-03-27 22:42 -------- d-------- C:\Programme\hijack this
2007-03-27 22:42 -------- d-------- C:\Programme\hijack this
2007-03-25 13:33 75194 --a------ C:\WINDOWS\system32\perfc007.dat
2007-03-25 13:33 415800 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-24 23:12 -------- d-------- C:\Programme\microsoft games
2007-03-24 23:12 -------- d-------- C:\Programme\microsoft games
2007-03-24 06:00 -------- d--h----- C:\Programme\installshield installation information
2007-03-24 06:00 -------- d--h----- C:\Programme\installshield installation information
2007-03-17 22:32 108144 --a------ C:\WINDOWS\system32\cmdlineext.dll
2007-03-17 06:01 -------- d-------- C:\Programme\spywareblaster
2007-03-17 06:01 -------- d-------- C:\Programme\spywareblaster
2007-03-16 01:54 -------- d-------- C:\Programme\skype
2007-03-16 01:54 -------- d-------- C:\Programme\skype
2007-03-12 14:07 135661 --a------ C:\WINDOWS\system32\drivers\dump_wmimmc.sys
2007-03-12 14:07 -------- d-------- C:\Programme\flyff
2007-03-12 14:07 -------- d-------- C:\Programme\flyff
2007-03-10 12:39 -------- d-------- C:\Programme\Gemeinsame Dateien\wise installation wizard
2007-03-02 02:51 -------- d-------- C:\Programme\google
2007-03-02 02:51 -------- d-------- C:\Programme\google
2007-02-22 23:38 -------- d-------- C:\Programme\warcraft iii
2007-02-22 23:38 -------- d-------- C:\Programme\warcraft iii
2007-02-22 00:42 45324 --ah----- C:\WINDOWS\system32\mlfcache.dat
2007-02-21 09:23 271360 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2007-02-21 09:23 18048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2007-02-20 06:32 -------- d-------- C:\Programme\rogueremover
2007-02-20 06:32 -------- d-------- C:\Programme\rogueremover
2007-02-19 18:58 -------- d-------- C:\Programme\java
2007-02-19 18:58 -------- d-------- C:\Programme\java
2007-02-18 06:36 -------- d-------- C:\Programme\ahead
2007-02-18 06:36 -------- d-------- C:\Programme\ahead
2007-02-15 13:15 -------- d-------- C:\Programme\quicktime
2007-02-15 13:15 -------- d-------- C:\Programme\quicktime
2007-02-15 13:11 -------- d-------- C:\Programme\apple software update
2007-02-15 13:11 -------- d-------- C:\Programme\apple software update
2007-02-13 12:42 -------- d-------- C:\Programme\winamp
2007-02-13 12:42 -------- d-------- C:\Programme\winamp
2007-02-07 07:49 -------- d-------- C:\Programme\xnview
2007-02-07 07:49 -------- d-------- C:\Programme\xnview
2007-02-04 20:58 4846 --a------ C:\WINDOWS\mozver.dat
2007-02-04 20:48 -------- d-------- C:\Programme\world of warcraft
2007-02-04 20:48 -------- d-------- C:\Programme\world of warcraft
2007-01-28 02:18 97179 --a------ C:\WINDOWS\war3unin.dat
2007-01-17 08:09 65536 --a------ C:\WINDOWS\ifinst27.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"CCleaner"="\"C:\\Programme\\CCleaner\\CCleaner.exe\" /AUTO"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"IMEKRMIG6.1"="C:\\WINDOWS\\ime\\imkr6_1\\IMEKRMIG.EXE"
"MSPY2002"="C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVG7\\avgcc.exe /STARTUP"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"nwiz"="nwiz.exe /install"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BLASC]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="BLASC"
"hkey"="HKCU"
"command"="\"C:\\Programme\\World of Warcraft\\BLASC\\BLASC.exe\""
"inimapping"="0"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\BPS Spyware Remover Scan Task.job


********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-03-27 22:51:27

4.Logfiles mittels datfind.bat
system32.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B41B-E59A

Verzeichnis von C:\WINDOWS\system32

27.03.2007 20:44 88.566 nvapps.xml
26.03.2007 02:38 1.158 wpa.dbl
25.03.2007 13:33 401.200 perfh009.dat
25.03.2007 13:33 62.480 perfc009.dat
25.03.2007 13:33 415.800 perfh007.dat
25.03.2007 13:33 75.194 perfc007.dat
25.03.2007 13:33 966.074 PerfStringBackup.INI
22.03.2007 08:53 262.144 wrap_oal.dll
22.03.2007 08:53 86.016 OpenAL32.dll
17.03.2007 22:32 108.144 CmdLineExt.dll
15.03.2007 23:00 188.200 FNTCACHE.DAT
07.03.2007 22:36 12.619.736 MRT.exe
02.03.2007 01:23 45.764 lxcchelp.GID
22.02.2007 00:42 45.324 mlfcache.dat
19.02.2007 18:58 9.799 jupdate-1.5.0_11-b03.log
15.02.2007 19:01 337.280 WgaTray.exe
15.02.2007 19:01 1.476.992 LegitCheckControl.dll
15.02.2007 19:00 236.928 WgaLogon.dll
14.02.2007 00:52 122.142 TZLog.log
29.01.2007 10:58 60.416 tzchange.exe
23.01.2007 21:30 546.304 hhctrl.ocx
18.01.2007 19:04 9.074 jupdate-1.5.0_10-b03.log
12.01.2007 10:27 822.784 wininet.dll
12.01.2007 10:27 3.580.416 mshtml.dll
12.01.2007 10:27 458.752 msfeeds.dll
12.01.2007 10:27 477.696 mshtmled.dll
12.01.2007 10:27 51.712 msfeedsbs.dll
12.01.2007 10:27 27.136 jsproxy.dll
12.01.2007 10:27 6.054.400 ieframe.dll
12.01.2007 10:27 670.720 mstime.dll
12.01.2007 10:27 232.960 webcheck.dll
12.01.2007 10:27 1.149.952 urlmon.dll
12.01.2007 10:27 132.608 extmgr.dll
10.01.2007 18:42 1.040.384 ieframe.dll.mui
08.01.2007 20:04 105.984 url.dll
08.01.2007 20:04 102.400 occache.dll
08.01.2007 20:03 193.024 msrating.dll
08.01.2007 20:02 1.823.744 inetcpl.cpl
08.01.2007 20:02 266.752 iertutil.dll
08.01.2007 20:02 44.544 iernonce.dll
08.01.2007 20:02 161.792 ieakui.dll
08.01.2007 20:02 230.400 ieaksie.dll
08.01.2007 20:02 384.000 iedkcs32.dll
08.01.2007 20:02 383.488 ieapfltr.dll
08.01.2007 20:02 153.088 ieakeng.dll
08.01.2007 20:00 124.928 advpack.dll
08.01.2007 19:08 56.832 ie4uinit.exe
08.01.2007 19:08 13.824 ieudinit.exe
04.01.2007 16:02 474.624 shlwapi.dll
04.01.2007 16:02 1.498.112 shdocvw.dll
04.01.2007 16:01 1.056.256 danim.dll
04.01.2007 16:01 152.064 cdfview.dll
04.01.2007 16:01 1.022.976 browseui.dll
04.01.2007 13:52 270.336 xpsp3res.dll

systemtemp.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B41B-E59A

Verzeichnis von C:\DOKUME~1\D3ADD~1.MON\LOKALE~1\Temp


windows.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B41B-E59A

Verzeichnis von C:\WINDOWS

27.03.2007 23:01 94.222 pfirewall.log
27.03.2007 20:44 0 0.log
27.03.2007 20:44 8.259 WindowsUpdate.log
27.03.2007 20:44 50 wiaservc.log
27.03.2007 20:44 159 wiadebug.log
27.03.2007 20:44 0 Sti_Trace.log
27.03.2007 20:44 2.048 bootstat.dat
27.03.2007 20:43 31.876 SchedLgU.Txt
27.03.2007 11:35 1.409 QTFont.for
27.03.2007 11:35 54.156 QTFont.qfn
26.03.2007 20:06 227 system.ini
26.03.2007 20:06 862 win.ini
25.03.2007 15:29 229 NeroDigital.ini
24.03.2007 23:35 109 oodcnt.INI
17.03.2007 23:04 82.774 Uninstall Jade Empire.exe
01.03.2007 01:55 4.194.349 pfirewall.log.old
20.02.2007 05:47 1.026.724 setupapi.log.0.old
07.02.2007 06:46 151 PhotoSnapViewer.INI
04.02.2007 20:58 4.846 mozver.dat
28.01.2007 02:18 97.179 War3Unin.dat
17.01.2007 08:09 65.536 IFinst27.exe
22.04.2006 00:48 1.168 winamp.ini
05.04.2006 09:04 528 PCGWIN32.LI4
15.03.2006 20:00 2.829 War3Unin.pif
15.03.2006 20:00 139.264 War3Unin.exe
14.01.2006 09:59 35.658 DIIUnin.dat

temp.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B41B-E59A

Verzeichnis von C:\WINDOWS\temp

down.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B41B-E59A

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.08.2005 16:30 417.792 isusweb.dll
02.08.2005 16:48 495 LegitCheckControl.inf
26.05.2005 04:19 291 wuweb.inf
14.01.2005 22:53 65 desktop.ini
08.12.2003 13:58 3.759 swflash.inf
25.07.2002 18:13 24.576 dwusplay.dll
25.07.2002 18:13 196.608 dwusplay.exe
7 Datei(en) 643.586 Bytes
0 Verzeichnis(se), 59.649.146.880 Bytes frei

c.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B41B-E59A

Verzeichnis von C:\

27.03.2007 23:08 0 sys.txt
27.03.2007 23:07 600 down.txt
27.03.2007 23:04 117 tmp.txt
27.03.2007 23:02 6.044 system.txt
27.03.2007 22:58 139 systemtemp.txt
27.03.2007 22:56 107.775 system32.txt
27.03.2007 22:51 9.478 ComboFix.txt
27.03.2007 20:47 108 index.ini
27.03.2007 20:44 1.073.270.784 hiberfil.sys
27.03.2007 20:44 1.610.612.736 pagefile.sys
26.03.2007 20:06 211 boot.ini
02.03.2007 01:40 1.334.936 lxccUNST.csv
02.03.2007 00:53 2.190 lxccscan.log
02.03.2007 00:34 416 LXCCINST.csv
02.03.2007 00:34 240 CDFE.log
02.03.2007 00:34 0 lxccfire.csv
11.01.2006 20:01 125 DelUS.bat
11.08.2005 03:38 2.155 tracert.txt
04.08.2005 01:20 180.224 PlayerHost.dll
14.01.2005 22:54 0 MSDOS.SYS
14.01.2005 22:54 0 CONFIG.SYS
14.01.2005 22:54 0 IO.SYS
14.01.2005 22:54 0 AUTOEXEC.BAT
04.08.2004 14:00 47.564 NTDETECT.COM
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 251.184 ntldr
24.05.2001 13:59 162.304 UNWISE.EXE
27 Datei(en) 2.685.994.282 Bytes
0 Verzeichnis(se), 59.649.142.784 Bytes frei

5: Sodele ich hab einen Leistungseinbruch beim öffnen von Fenstern/Programmen usw. bemerkt. Hatte auch schwierigkeiten ins i-net zu gelangen sprich Startseite nich gefunden usw. Bin über einen Router Online.
Nutze Mozilla Firefox Browser.
Hab mir Kaspersky Anti-Virus 6.0 gezogen und s.o. gefunden und gelöscht nun bin ich aber misstrauisch geworden, ob da nich doch noch etwas Spioniert oda schlimmer per Remote control meinen Pc für sich nutzt!
Danke für eure Hilfe, hoffe da schlumpf nich nochmehr rum ,)

Nachtrag habe Windows Worms Doors Cleaner Aktiv nur das NetBios wird nicht deaktiviert ?? edit2 auch nach Neustart nich :( (Normal oda nich Jut?)

Is das normal das die Temp.txt und Systemtemp.txt derart leer sind ??

Hab leida nich das nötige wissen *heul* deswegen der Eintrag hier, Sorry ich hab den kompletten namen "Backdoor.Win32.Agent.aly" eingegeben bei der suche wenn die Lösung woanders schon Steht bitte mich darauf hin verweisen.
Nicht wundern wegen dem C:\Programme\HIJACK THIS\Sucher.exe eintrag hab ich selbst so verändert.
Systemwiederherstellung is auch immernoch aus damit der rest wenn, vom Dreck, noch aktiv und vorhanden is sich nachm neustart nicht weiter einnistet und verschleiert.

Hoffe ihr helft mir damit ich nich wirklich Format:c durchziehn muss,wenns geht, wenn ihr der meinung seid ich sollte das machen wie kann ich sicherstellen das die Daten die ich sichern will nicht infiziert sind um nach dem neu aufsetzen nich das selbe Prob zu haben ?
(:( nee nich Format:C bitte nich :( )
Danke

#2 DerClyde

««
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren

-----------------------------

««
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Sicherheitscenter

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

wscsvc

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

------------------------------------------------------------------------------------------------

Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein

dir /s /a "c:\svchost*.*" > c:\find.txt & start notepad c:\find.txt

poste hier, was im texteditor erscheint
__________
MfG Sabina

rund um die PC-Sicherheit

#3 POST_This.txt

The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Home Edition
Version: 5.1.2600 Service Pack 2
Mrz 29, 2007 01:10:50


===> Begin Service Listing <===

Unknown Service #1
Service Name: aspnet_state
Display Name: ASP.NET-Zustandsdienst
Start Mode: Manual
Start Name: NT AUTHORITY\NetworkService
Description: Stellt die Unterstützung für nicht aktive Sitzungszustände von ASP.NET bereit. Wenn der Dienst ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 2
Service Name: AVG Anti-Spyware Guard
Display Name: AVG Anti-Spyware Guard
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\grisoft\avg anti-spyware 7.5\guard.exe
State: Running
Process ID: 464
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 3
Service Name: AVGEMS
Display Name: AVG E-mail Scanner
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\progra~1\grisoft\avg7\avgemc.exe
State: Running
Process ID: 540
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 4
Service Name: clr_optimization_v2.0.50727_32
Display Name: .NET Runtime Optimization Service v2.0.50727_X86
Start Mode: Manual
Start Name: LocalSystem
Description: Microsoft .NET Framework ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 5
Service Name: gusvc
Display Name: Google Updater Service
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\google\common\google updater\googleupdaterservice.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #6
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{87f0ca23-ad98-4423-a949-a7d0030905e4}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 7
Service Name: UserAccess7
Display Name: SecuROM User Access Service (V7)
Start Mode: Disabled
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\windows\system32\uaservice7.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #8
Service Name: WmcCdsLs
Display Name: Windows Media Connect-Hilfsprogramm
Start Mode: Manual
Start Name: LocalSystem
Description: Überwacht das Netzwerk auf neue ...
Service Type: Own Process
Path: c:\programme\windows media connect\mswmcls.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 9
Service Name: WMPNetworkSvc
Display Name: Windows Media Player-Netzwerkfreigabedienst
Start Mode: Auto
Start Name: NT AUTHORITY\NetworkService
Description: Gibt Windows Media Player-Bibliotheken mithilfe des universellen Plug & Play für andere Players ...
Service Type: Own Process
Path: "c:\programme\windows media player\wmpnetwk.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1068
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #10
Service Name: wscsvc
Display Name: Sicherheitscenter
Start Mode: Auto
Start Name: LocalSystem
Description: Überwacht Systemsicherheitseinstellungen und ...
Service Type: Share Process
Path: \systemroot\c:\windows\system32\svchost.exe -k netsvcs
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 11
Service Name: WudfSvc
Display Name: Windows Driver Foundation - User-mode Driver Framework
Start Mode: Manual
Start Name: LocalSystem
Description: Manages user-mode driver host ...
Service Type: Share Process
Path: c:\windows\system32\svchost.exe -k wudfservicegroup
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 90 Win32 services on this machine.
11 were unrecognized.

Script Execution Time: 1,030762 seconds.


Regsearch.Sicherheitscenter.log

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 29.03.2007 00:09:13 for strings:
; 'sicherheitscenter'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WSCSVC\0000]
"DeviceDesc"="Sicherheitscenter"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc]
"DisplayName"="Sicherheitscenter"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WSCSVC\0000]
"DeviceDesc"="Sicherheitscenter"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wscsvc]
"DisplayName"="Sicherheitscenter"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WSCSVC\0000]
"DeviceDesc"="Sicherheitscenter"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\wscsvc]
"DisplayName"="Sicherheitscenter"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC\0000]
"DeviceDesc"="Sicherheitscenter"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"DisplayName"="Sicherheitscenter"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"@C:\\WINDOWS\\System32\\xpsp2res.dll,-6103"="Sicherheitscenter"

; End Of The Log...


Regsearch.wscsvc.Log

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 29.03.2007 00:12:23 for strings:
; 'wscsvc'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
; Contents of value:
; 6to4
; AppMgmt
; AudioSrv
; Browser
; CryptSvc
; DMServer
; DHCP
; ERSvc
; EventSystem
; FastUserSwitchingCompatibility
; HidServ
; Ias
; Iprip
; Irmon
; LanmanServer
; LanmanWorkstation
; Messenger
; Netman
; Nla
; Ntmssvc
; NWCWorkstation
; Nwsapagent
; Rasauto
; Rasman
; Remoteaccess
; Schedule
; Seclogon
; SENS
; Sharedaccess
; SRService
; Tapisrv
; Themes
; TrkWks
; W32Time
; WZCSVC
; Wmi
; WmdmPmSp
; winmgmt
; wscsvc
; xmlprov
; BITS
; wuauserv
; ShellHWDetection
; helpsvc
; WmdmPmSN
;
"netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\
6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\
00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\
53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\
00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\
76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\
00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\
69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\
00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\
49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\
00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\
76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\
00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\
73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\
00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\
00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\
00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\
74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\
00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\
63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\
00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\
4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\
00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\
00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\
00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\
32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\
00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\
00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,77,00,73,00,63,00,73,\
00,76,00,63,00,00,00,78,00,6d,00,6c,00,70,00,72,00,6f,00,76,00,00,00,42,00,\
49,00,54,00,53,00,00,00,77,00,75,00,61,00,75,00,73,00,65,00,72,00,76,00,00,\
00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,44,00,65,00,74,00,65,00,63,00,\
74,00,69,00,6f,00,6e,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,\
00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WSCSVC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WSCSVC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WSCSVC\0000]
"Service"="wscsvc"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WSCSVC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WSCSVC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WSCSVC\0000]
"Service"="wscsvc"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wscsvc]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wscsvc\Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wscsvc\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WSCSVC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WSCSVC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WSCSVC\0000]
"Service"="wscsvc"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\wscsvc]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\wscsvc\Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\wscsvc\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\wscsvc\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC\0000]
"Service"="wscsvc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"

; End Of The Log...


find.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B41B-E59A

Verzeichnis von c:\WINDOWS\I386

04.08.2004 14:00 7.278 SVCHOST.EX_
1 Datei(en) 7.278 Bytes

Verzeichnis von c:\WINDOWS\system32

04.08.2004 14:00 14.336 svchost.exe
1 Datei(en) 14.336 Bytes

Verzeichnis von c:\WINDOWS\system32\dllcache

04.08.2004 14:00 14.336 svchost.exe
1 Datei(en) 14.336 Bytes

Anzahl der angezeigten Dateien:
3 Datei(en) 35.950 Bytes
0 Verzeichnis(se), 59.564.912.640 Bytes frei

#4 License: Freeware/Getservices http://www.bleepingcomputer.com/files/getservices.php

Note: Administrator
- klicke auf "getservice.bat und poste, was im Editor erscheint.
- get_active_services_179.zip -- entpacken

- öffnen --"get active services.vbs"--scannen--Active.txt--es öffnet sich der [Texteditor]
- nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#5 getservice.bat.Log


PsService v1.1 - local and remote services viewer/controller
Copyright (C) 2001-2003 Mark Russinovich
Sysinternals - www.sysinternals.com

SERVICE_NAME: 6to4
Bietet DDNS-Namensregistrierung und automatische IPv6-Konnektivität über ein IPv4-Netzwerk. Wenn dieser Dienst beendet wird, werden andere Computer diesen Computer ggf. nicht mehr über dessen Namen erreichen können und er wird nur über IPv6-Konnektivität zu IPv6-Netzwerken verfügen. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : IPv6-Hilfsdienst
DEPENDENCIES : RpcSS
: tcpip6
: winmgmt
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Alerter
Benachrichtigt bestimmte Benutzer und Computer bezüglich administrativer Warnungen. Falls der Dienst beendet wird, können Programme, die administrative Warnungen verwenden, diese Warnungen nicht mehr empfangen. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k LocalService
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Warndienst
DEPENDENCIES : LanmanWorkstation
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: ALG
Bietet Unterstützung für Protokoll-Plug-Ins von Drittanbietern für die gemeinsame Nutzung der Internetverbindung und den Windows-Firewall.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\alg.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Gatewaydienst auf Anwendungsebene
DEPENDENCIES :
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: AppMgmt
Bietet Softwareinstallationsdienste wie Zuweisung, Veröffentlichung, und Deinstallation.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Anwendungsverwaltung
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: aspnet_state
Stellt die Unterstützung für nicht aktive Sitzungszustände von ASP.NET bereit. Wenn der Dienst angehalten wird, werden nicht aktive Anforderungen nicht verarbeitet. Wenn der Dienst deaktiviert ist, können die explizit abhängigen Dienste nicht gestartet werden.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : ASP.NET-Zustandsdienst
DEPENDENCIES :
SERVICE_START_NAME: NT AUTHORITY\NetworkService

SERVICE_NAME: AudioSrv
Verwaltet Audiogeräte für Windows-basierte Programme. Wenn dieser Dienst beendet wird, werden Audiogeräte und -effekte nicht korrekt funktionieren. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : AudioGroup
TAG : 0
DISPLAY_NAME : Windows Audio
DEPENDENCIES : PlugPlay
: RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: AVG Anti-Spyware Guard
(null)
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : AVG Anti-Spyware Guard
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Avg7Alrt
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : AVG7 Alert Manager Server
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Avg7UpdSvc
(null)
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : AVG7 Update Service
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: AVGEMS
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : AVG E-mail Scanner
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: BITS
Überträgt Daten zwischen Clients und Servern im Hintergrund. Falls BITS deaktiviert ist, können Funktionen, wie z. B. Windows Update, nicht ordnungsgemäß ausgeführt werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Intelligenter Hintergrundübertragungsdienst
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 0 seconds
FAILURE_ACTIONS : Restart DELAY: 60000 seconds
: Restart DELAY: 60000 seconds
: Restart DELAY: 60000 seconds

SERVICE_NAME: Browser
Führt eine aktuelle Liste der Computer im Netzwerk und gibt diese an als Browser fungierende Computer weiter. Diese Liste wird nicht aktualisiert oder gewartet, falls der Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem ausschließlich Dienst abhängig sind, nicht mehr gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Computerbrowser
DEPENDENCIES : LanmanWorkstation
: LanmanServer
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: CiSvc
Indexes contents and properties of files on local and remote computers; provides rapid access to files through flexible querying language.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\cisvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Indexing Service
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ClipSrv
Ermöglicht der Ablagemappe, Informationen zu speichern und mit Remotecomputern auszutauschen. Wenn dieser Dienst beendet wird, wird die Ablagemappe keine Informationen mehr mit Remotecomputern austauschen können. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\clipsrv.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Ablagemappe
DEPENDENCIES : NetDDE
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: clr_optimization_v2.0.50727_32
Microsoft .NET Framework NGEN
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : .NET Runtime Optimization Service v2.0.50727_X86
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 86400 seconds
FAILURE_ACTIONS : Restart DELAY: 60000 seconds
: Restart DELAY: 960000 seconds
: Restart DELAY: 15360000 seconds
: None DELAY: 0 seconds

SERVICE_NAME: COMSysApp
Verwaltet die Komponentenkonfiguration und -überwachung von COM+-basierten Komponenten. Nach dem Beenden des Dienstes sind die meisten COM+-basierten Komponenten nicht ordnungsgemäß funktionsfähig. Nach dem Deaktivieren dieses Dienstes werden alle Dienste nicht gestartet, die explizit auf diesem Dienst basieren.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : COM+-Systemanwendung
DEPENDENCIES : rpcss
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 30 seconds
FAILURE_ACTIONS : Restart DELAY: 1000 seconds
: Restart DELAY: 5000 seconds
: None DELAY: 1000 seconds

SERVICE_NAME: CryptSvc
Stellt drei Verwaltungsdienste bereit: den Katalogdatenbankdienst, der die Signaturen von Windows-Dateien bestätigt; den Dienst für geschützten Stammspeicher, der Zertifikate vertrauenswürdiger Stammzertifizierungsstellen zu diesem Computer hinzufügt und entfernt und den Schlüsseldienst, der diesen Computer bei Einschreibungen in Zertifikate unterstützt. Wenn dieser Dienst beendet wird, werden diese Verwaltungsdienste nicht korrekt funktionieren. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Kryptografiedienste
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: DcomLaunch
Bietet Startfunktionalität für DCOM-Dienste.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost -k DcomLaunch
LOAD_ORDER_GROUP : Event Log
TAG : 0
DISPLAY_NAME : DCOM-Server-Prozessstart
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 0 seconds
FAILURE_ACTIONS : Reboot DELAY: 60000 seconds

SERVICE_NAME: Dhcp
Verwaltet die Netzwerkkonfiguration, indem IP-Adressen und DNS-Namen registriert und aktualisiert werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : DHCP-Client
DEPENDENCIES : Tcpip
: Afd
: NetBT
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: dmadmin
Konfiguriert Festplattenlaufwerke und -volumes. Dieser Dienst wird nur zu Konfigurationszwecken ausgeführt und anschließend beendet.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\dmadmin.exe /com
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Verwaltungsdienst für die Verwaltung logischer Datenträger
DEPENDENCIES : RpcSs
: PlugPlay
: DmServer
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: dmserver
Erkennt und überwacht neue Festplattenlaufwerke und sendet Festplatteninformationen zur Konfiguration an den Verwaltungsdienst für die Verwaltung logischer Datenträger. Wenn dieser Dienst beendet wird, können Statusinformationen für dynamische Festplatten und Konfigurationsinformationen veraltet oder ungültig werden. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Verwaltung logischer Datenträger
DEPENDENCIES : RpcSs
: PlugPlay
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Dnscache
Wertet DNS-Namen (Domain Name System) für diesen Computer aus und speichert sie zwischen. Falls dieser Dienst beendet wird, kann der Computer keine DNS-Namen auflösen und Active Directory-Domänencontroller ermitteln. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k NetworkService
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : DNS-Client
DEPENDENCIES : Tcpip
SERVICE_START_NAME: NT AUTHORITY\NetworkService

SERVICE_NAME: ERSvc
Allows error reporting for services and applictions running in non-standard environments.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Error Reporting Service
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Eventlog
Ermöglicht die Ansicht von Ereignisprotokollmeldungen von Windows-basierten Programmen und Komponenten in der Ereignisanzeige. Dieser Dienst kann nicht beendet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\services.exe
LOAD_ORDER_GROUP : Event log
TAG : 0
DISPLAY_NAME : Ereignisprotokoll
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: EventSystem
Unterstützt den Systemereignis-Benachrichtigungsdienst (SENS, System Event Notification Service), der die automatische Verteilung von Ereignissen an abonnierende COM-Komponenten zur Verfügung stellt. Wenn der Dienst beendet ist, wird SENS beendet und ist nicht in der Lage Anmelde- und Abmeldebenachrichtigungen zur Verfügung zu stellen. Wenn der Dienst deaktiviert ist, können abhängige Dienste nicht gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : Network
TAG : 0
DISPLAY_NAME : COM+-Ereignissystem
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: FastUserSwitchingCompatibility
Bietet Verwaltung für Anwendungen, die Unterstützung in einer Mehrbenutzerumgebung erfordern.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Kompatibilität für schnelle Benutzerumschaltung
DEPENDENCIES : TermService
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: gusvc
(null)
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : "C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe"
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Google Updater Service
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 86400 seconds
FAILURE_ACTIONS : Restart DELAY: 900000 seconds
: Restart DELAY: 900000 seconds
: None DELAY: 0 seconds

SERVICE_NAME: helpsvc
Aktiviert das Hilfe- und Supportcenter auf diesem Computer. Das Hilfe- und Supportcenter ist nicht verfügbar, wenn dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Hilfe und Support
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 86400 seconds
FAILURE_ACTIONS : Restart DELAY: 100 seconds
: Restart DELAY: 100 seconds
: None DELAY: 100 seconds

SERVICE_NAME: HidServ
Ermöglicht einen Standardeingabezugang für Eingabegeräte (HID-Geräte), welcher die Verwendung von vordefinierten Schnelltasten auf Tastaturen, Fernbedienungen und anderen Multimediageräten aktiviert und unterstützt. Wenn dieser Dienst beendet wird, werden die von diesem Dienst gesteuerten Schnelltasten nicht mehr funktionieren. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Eingabegerätezugang
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: HTTPFilter
Implementiert das Secure HyperText Transfer-Protokoll (HTTPS) für den HTTP-Dienst unter Verwendung des Secure Socket Layers (SSL). Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k HTTPFilter
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : HTTP-SSL
DEPENDENCIES : HTTP
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ImapiService
Verwaltet das Aufnehmen von CDs mit IMAPI (Image Mastering Applications Programming Interface). Auf diesem Computer können keine CDs aufgenommen werden, wenn dieser Dienst angehalten wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\imapi.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : IMAPI-CD-Brenn-COM-Dienste
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: lanmanserver
Unterstützt Datei-, Drucker- und Named-Piped-Freigabe für diesen Computer über das Netzwerk. Diese Funktionen sind nicht mehr verfügbar, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Server
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: lanmanworkstation
Erstellt und wartet Clientnetzwerkverbindungen mit Remoteservern. Diese Verbindungen sind nicht mehr verfügbar, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : NetworkProvider
TAG : 0
DISPLAY_NAME : Arbeitsstationsdienst
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: LmHosts
Ermöglicht die Unterstützung vom NetBIOS-über-TCP/IP-Dienst (NetBT) und die NetBIOS-Namensauflösung.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k LocalService
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : TCP/IP-NetBIOS-Hilfsprogramm
DEPENDENCIES : NetBT
: Afd
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: Messenger
Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern. Dieser Dienst ist nicht mit Windows Messenger verwandt. Der Warndienst überträgt keine Nachrichten, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Nachrichtendienst
DEPENDENCIES : LanmanWorkstation
: NetBIOS
: PlugPlay
: RpcSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: mnmsrvc
Ermöglicht einem autorisierten Benutzer an einem anderen Computer auf diesen Computer mit NetMeeting über ein Firmenintranet zuzugreifen. Wenn dieser Dienst beendet wird, ist die Remotedesktopfreigabe nicht mehr verfügbar. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\mnmsrvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : NetMeeting-Remotedesktop-Freigabe
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: MSDTC
Koordiniert Transaktionen, die sich über mindestens zwei Ressourcenverwaltungen wie Datenbanken, Nachrichtenwarteschlangen oder Dateisysteme erstrecken. Wenn der Dienst beendet ist, treten diese Transaktionen nicht auf. Wenn der Dienst deaktiviert ist, können abhängige Dienste nicht gestartet werden.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\msdtc.exe
LOAD_ORDER_GROUP : MS Transactions
TAG : 0
DISPLAY_NAME : Distributed Transaction Coordinator
DEPENDENCIES : RPCSS
: SamSS
SERVICE_START_NAME: NT AUTHORITY\NetworkService

SERVICE_NAME: MSIServer
Fügt Anwendungen, die als ein Windows Installer-Paket (*.msi) angeboten werden, hinzu bzw. ändert oder entfernt sie. Wenn dieser Dienst deaktiviert ist, können alle Dienste, die explizit davon abhängen, nicht gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\msiexec.exe /V
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Windows Installer
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NetDDE
Ermöglicht Netzwerktransport und Sicherheit für den dynamischen Datenaustausch (DDE) von Programmen, die auf dem gleichen Computer oder auf verschiedenen Computern ausgeführt werden. Wenn dieser Dienst beendet wird, wird der DDE-Transport und die DDE-Sicherheit nicht mehr zur Verfügung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\netdde.exe
LOAD_ORDER_GROUP : NetDDEGroup
TAG : 0
DISPLAY_NAME : Netzwerk-DDE-Dienst
DEPENDENCIES : NetDDEDSDM
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NetDDEdsdm
Verwaltet DDE-Netzwerkfreigaben (Dynamic Data Exchange=Dynamischer Datenaustausch). Wenn dieser Dienst beendet wird, werden keine DDE-Netzwerkfreigaben mehr zur Verfügung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\netdde.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Netzwerk-DDE-Serverdienst
DEPENDENCIES :
: EGrLocalSystem
: Netzwerk-DDE-Serverdienst
: DE-Dienst
: ice
: Distributed Transaction Coordinator
: er Datenträger
: mFiles=C:\Prof
: 
: ô
: 
: ¨7
: ¨7
: d
: 
: ò
: 
: ˜7
: ˜7
: altet DDE-Netzwerkfreigaben (Dynamic Data Exchange=Dynamischer Datenaustausch). Wenn dieser Dienst beendet wird, werden keine DDE-Netzwerkfreigaben mehr zur Verfügung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.
: m
: e
: h
: r
:
: z
: u
: r
:
: V
: e
: r
: f
: ü
: g
: u
: n
: g
:
: s
: t
: e
: h
: e
: n
: .
:
: W
: e
: n
: n
:
: d
: i
: e
: s
: e
: r
:
: D
: i
: e
: n
: s
: t
:
: d
: e
: a
: k
: t
: i
: v
: i
: e
: r
: t
:
: w
: i
: r
: d
: ,
:
: w
: e
: r
: d
: e
: n
:
: a
: l
: l
: e
:
: v
: o
: n
:
: d
: i
: e
: s
: e
: m
:
: D
: i
: e
: n
: s
: t
:
: e
: x
: p
: l
: i
: z
: i
: t
:
: a
: b
: h
: ä
: n
: g
: i
: g
: e
: n
:
: D
: i
: e
: n
: s
: t
: e
:
: n
: i
: c
: h
: t
:
: g
: e
: s
: t
: a
: r
: t
: e
: t
:
: w
: e
: r
: d
: e
: n
:
: k
: ö
: n
: n
: e
: n
: .
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Netlogon
Unterstützt Durchsatzauthentifizierung von Kontoanmeldungsereignissen für Computer in einer Domäne.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\lsass.exe
LOAD_ORDER_GROUP : RemoteValidation
TAG : 0
DISPLAY_NAME : Anmeldedienst
DEPENDENCIES : LanmanWorkstation
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Netman
Verwaltet Objekte im Ordner 'Netzwerk- und DFÜ-Verbindungen' , in dem sowohl LAN-, als auch WAN-Verbindungen angezeigt werden.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Netzwerkverbindungen
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Nla
Sammelt und speichert Netzwerkkonfigurations- und Standortinformationen und benachrichtigt Anwendungen, wenn diese Informationen sich ändern.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : NLA (Network Location Awareness)
DEPENDENCIES : Tcpip
: Afd
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NtLmSsp
Bietet Sicherheit für Remoteprozeduraufrufe (RPC), die andere Transportwege als Named Pipes verwenden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\lsass.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : NT-LM-Sicherheitsdienst
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NtmsSvc
(null)
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Wechselmedien
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NVSvc
Provides system and desktop level support to the NVIDIA display driver
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\nvsvc32.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : NVIDIA Display Driver Service
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: PlugPlay
Ermöglicht dem Computer, Hardwareänderungen zu erkennen und sich ohne oder mit geringer Benutzerinteraktion darauf einzustellen. Beenden oder Deaktivieren dieses Dienstes wird die Systemstabilität beeinträchtigen.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\services.exe
LOAD_ORDER_GROUP : PlugPlay
TAG : 0
DISPLAY_NAME : Plug & Play
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: PolicyAgent
Verwaltet IP-Sicherheitsrichtlinien und startet den IKE-Treiber (ISAKMP/Oakley) und den IP-Sicherheitstreiber.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\lsass.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : IPSEC-Dienste
DEPENDENCIES : RPCSS
: Tcpip
: IPSec
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ProtectedStorage
Bietet geschützten Speicherplatz für private Daten, wie z. B. private Schlüssel, um Zugriff durch nicht autorisierte Dienste, Prozesse oder Benutzer zu unterbinden.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\lsass.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Geschützter Speicher
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RasAuto
Erstellt eine Verbindung zu einem Remotenetzwerk, wenn ein Programm eine Remote-DNS- oder -NetBIOS-Adresse referenziert.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Verwaltung für automatische RAS-Verbindung
DEPENDENCIES : RasMan
: Tapisrv
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RasMan
Stellt eine Netzwerkverbindung her.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : RAS-Verbindungsverwaltung
DEPENDENCIES : Tapisrv
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RDSessMgr
Verwaltet und überwacht die Remoteunterstützung. Die Remoteunterstützung wird beim Beenden dieses Dienstes nicht verfügbar sein. Bevor Sie diesen Dienst beenden, schauen Sie sich die Registerkarte "Abhängigkeiten" im Dialog "Eigenschaften" an.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\sessmgr.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Sitzungs-Manager für Remotedesktophilfe
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RemoteAccess
Bietet Routingdienste in LAN- und WAN-Netzwerkumgebungen.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Routing und RAS
DEPENDENCIES : RpcSS
: +NetBIOSGroup
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RpcLocator
Verwaltet die Datenbank für den RPC-Namensdienst.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\locator.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : RPC-Locator
DEPENDENCIES : LanmanWorkstation
SERVICE_START_NAME: NT AUTHORITY\NetworkService

SERVICE_NAME: RpcSs
Endpunktzuordnung und andere verschiedene RPC-Dienste.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost -k rpcss
LOAD_ORDER_GROUP : COM Infrastructure
TAG : 0
DISPLAY_NAME : Remoteprozeduraufruf (RPC)
DEPENDENCIES :
SERVICE_START_NAME: NT AUTHORITY\NetworkService
FAIL_RESET_PERIOD : 0 seconds
FAILURE_ACTIONS : Reboot DELAY: 60000 seconds

SERVICE_NAME: RSVP
Bietet Programmen und Systemsteuerungssymbolen, die QoS unterstützen, Installationsfunktionen zur Steuerung von Netzwerksignalen und lokalem Netzwerkverkehr.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\rsvp.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : QoS-RSVP
DEPENDENCIES : TcpIp
: Afd
: RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SamSs
Speichert Sicherheitsinformationen für lokale Benutzerkonten.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\lsass.exe
LOAD_ORDER_GROUP : LocalValidation
TAG : 0
DISPLAY_NAME : Sicherheitskontenverwaltung
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SCardSvr
Verwaltet den Zugriff auf Smartcards, die von diesem Computer gelesen werden. Wenn dieser Dienst beendet wird, wird dieser Computer keine Smartcards mehr lesen können. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\System32\SCardSvr.exe
LOAD_ORDER_GROUP : SmartCardGroup
TAG : 0
DISPLAY_NAME : Smartcard
DEPENDENCIES : PlugPlay
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: Schedule
Ermöglicht einem Benutzer, automatische Vorgänge auf diesem Computer zu konfigurieren und zu planen. Wenn dieser Dienst beendet wird, werden diese Vorgänge nicht zu den geplanten Zeiten ausgeführt werden. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : SchedulerGroup
TAG : 0
DISPLAY_NAME : Taskplaner
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 86400 seconds
FAILURE_ACTIONS : Restart DELAY: 6000 seconds
: Restart DELAY: 60000 seconds
: None DELAY: 0 seconds

SERVICE_NAME: seclogon
Ermöglicht das Starten von Prozessen unter Verwendung alternativer Anmeldeinformationen. Wenn dieser Dienst beendet wird, wird diese Art der Anmeldung nicht mehr zur Verfügung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Sekundäre Anmeldung
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SENS
Verfolgt Systemereignisse wie Windows-Anmeldungen sowie Netzwerk- und Stromversorgungsereignisse. Benachrichtigt außerdem COM+ Ereignissystembezieher von diesen Ereignissen.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : Network
TAG : 0
DISPLAY_NAME : Systemereignisbenachrichtigung
DEPENDENCIES : EventSystem
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SharedAccess
Provides network address translation, addressing, name resolution and/or intrusion prevention services for a home or small office network.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Windows Firewall/Internet Connection Sharing (ICS)
DEPENDENCIES : Netman
: WinMgmt
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ShellHWDetection
Zeigt Meldungen für AutoPlay-Hardwareereignissse an.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : ShellSvcGroup
TAG : 0
DISPLAY_NAME : Shellhardwareerkennung
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Spooler
Lädt die Dateien in den Arbeitsspeicher, um sie später zu drucken.
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\spoolsv.exe
LOAD_ORDER_GROUP : SpoolerGroup
TAG : 0
DISPLAY_NAME : Druckwarteschlange
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 86400 seconds
FAILURE_ACTIONS : Restart DELAY: 60000 seconds
: Restart DELAY: 60000 seconds
: None DELAY: 0 seconds

SERVICE_NAME: srservice
Führt Systemwiederherstellungsfunktionen durch. Deaktivieren Sie "Systemwiederherstellung" auf der Systemwiederherstellungsregisterkarte in Arbeitsplatz->Eigenschaften, um den Dienst zu beenden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Systemwiederherstellungsdienst
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SSDPSRV
Aktiviert die Ermittlung von UPnP-Geräten auf Heimnetzwerken.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k LocalService
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : SSDP-Suchdienst
DEPENDENCIES : HTTP
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: stisvc
Bietet Bilderfassungsdienste für Scanner und Kameras.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k imgsvc
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Windows-Bilderfassung (WIA)
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SwPrv
Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte Schattenkopien können nicht verwaltet werden, wenn dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\system32\dllhost.exe /Processid:{87F0CA23-AD98-4423-A949-A7D0030905E4}
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : MS Software Shadow Copy Provider
DEPENDENCIES : rpcss
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SysmonLog
Sammelt basierend auf einem vorkonfigurierten Zeitplan Systemleistungsdaten vom lokalen oder von Remotecomputern und schreibt die Daten in ein Protokoll oder löst eine Warnung aus. Wenn dieser Dienst beendet wird, werden keine Leistungsinformationen mehr gesammelt. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\smlogsvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Leistungsdatenprotokolle und Warnungen
DEPENDENCIES :
SERVICE_START_NAME: NT Authority\NetworkService

SERVICE_NAME: TapiSrv
Bietet Telefonie-API-Unterstützung (TAPI) für Programme, die Telefoniegeräte steuern, sowie IP-basierte Sprachverbindungen am lokalen Computer und über das LAN, auf Servern, die diesen Dienst ebenfalls ausführen.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Telefonie
DEPENDENCIES : PlugPlay
: RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: TermService
Ermöglicht mehreren Benutzern das Herstellen interaktiver Verbindungen mit anderen Computern, sowie das Anzeigen von Desktop und Anwendungen auf Remotecomputern. Terminaldienste bilden die Grundlage für Remotedesktops (einschließlich RD für Administratoren), schnelle Benutzerumschaltung, Remoteunterstützung und Terminalserver.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost -k DComLaunch
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Terminaldienste
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Themes
Stellt die Designverwaltung zur Verfügung.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : UIGroup
TAG : 0
DISPLAY_NAME : Designs
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 86400 seconds
FAILURE_ACTIONS : Restart DELAY: 60000 seconds
: Restart DELAY: 60000 seconds
: None DELAY: 0 seconds

SERVICE_NAME: TrkWks
Hält Verknüpfungen für NTFS-Dateien auf einem Computer oder zwischen Computern in einer Netzwerkdomäne aufrecht.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Überwachung verteilter Verknüpfungen (Client)
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: upnphost
Ermöglicht es, den Computer als Host für universelle Plug & Play-Geräte einzurichten.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k LocalService
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Universeller Plug & Play-Gerätehost
DEPENDENCIES : SSDPSRV
: HTTP
SERVICE_START_NAME: NT AUTHORITY\LocalService
FAIL_RESET_PERIOD : -1 seconds
FAILURE_ACTIONS : Restart DELAY: 0 seconds

SERVICE_NAME: UPS
Manages an uninterruptible power supply (UPS) connected to the computer.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\ups.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Uninterruptible Power Supply
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: UserAccess7
(null)
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\UAService7.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : SecuROM User Access Service (V7)
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: usprserv
(null)
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : User Privilege Service
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: VSS
Verwaltet und implementiert Volumeschattenkopien, die zu Sicherungs- und anderen Zwecken verwendet werden. Wenn dieser Dienst beendet wird, werden keine Schattenkopien für Sicherungen verfügbar sein und die Sicherung kann eventuell fehlschlagen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\vssvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Volumeschattenkopie
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: W32Time
Verwaltet die Datum- und Uhrzeitsynchronisierung auf allen Clients und Servern im Netzwerk. Wenn dieser Dienst beendet wird, ist die Datum- und Uhrzeitsynchronisierung nicht verfügbar. Wenn der Dienst deaktiviert wird, können alle anderen Dienste, die explizit davon abhängen, nicht gestartet werden.


TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Windows-Zeitgeber
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: WebClient
Ermöglicht Windows-basierten Programmen, Internet-basierte Dateien zu erstellen, darauf zuzugreifen und sie zu verändern. Wenn dieser Dienst beendet wird, werden diese Funktionen nicht mehr zur Verfügung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k LocalService
LOAD_ORDER_GROUP : NetworkProvider
TAG : 0
DISPLAY_NAME : Webclient
DEPENDENCIES : MRxDAV
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: winmgmt
Bietet eine standardmäßige Schnittstelle und Objektmodell zum Zugreifen auf Verwaltungsinformationen über das Betriebssystem, Geräte, Anwendungen und Dienste. Die meiste Windows-basierte Software kann nicht ordnungsgemäß ausgeführt werden, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Windows-Verwaltungsinstrumentation
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 86400 seconds
FAILURE_ACTIONS : Restart DELAY: 60000 seconds
: Restart DELAY: 60000 seconds

SERVICE_NAME: WmcCdsLs
Überwacht das Netzwerk auf neue UPnP-Medienrenderergeräte.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Programme\Windows Media Connect\mswmcls.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Windows Media Connect-Hilfsprogramm
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: WmdmPmSN
Ruft die Seriennummer aller tragbaren Player für Medien ab, die mit diesem Computer verbunden sind. Wenn der Dienst beendet wird, werden geschützte Inhalte möglicherweise nicht auf das Gerät gedownloadet.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Dienst für Seriennummern der tragbaren Medien
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: WmiApSrv
Bietet Leistungsbibliotheksinformationen der WMI-HiPerf-Anbieter.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\wbem\wmiapsrv.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : WMI-Leistungsadapter
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: WMPNetworkSvc
Gibt Windows Media Player-Bibliotheken mithilfe des universellen Plug & Play für andere Players und Mediengeräte auf dem Netzwerk frei
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : "C:\Programme\Windows Media Player\WMPNetwk.exe"
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Windows Media Player-Netzwerkfreigabedienst
DEPENDENCIES : upnphost
: http
: HTTPFilter
SERVICE_START_NAME: NT AUTHORITY\NetworkService
FAIL_RESET_PERIOD : 0 seconds
FAILURE_ACTIONS : Restart DELAY: 30000 seconds
: Restart DELAY: 30000 seconds
: None DELAY: 0 seconds

SERVICE_NAME: wscsvc
Überwacht Systemsicherheitseinstellungen und -konfigurationen.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : \SystemRoot\C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Sicherheitscenter
DEPENDENCIES : RpcSs
: winmgmt
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: wuauserv
Aktiviert den Download und die Installation von Windows-Updates. Der Computer kann automatische Updates oder die Windows Update-Website nicht verwenden, falls der Dienst deaktiviert wird.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Automatische Updates
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: WudfSvc
Manages user-mode driver host processes
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
LOAD_ORDER_GROUP : PlugPlay
TAG : 0
DISPLAY_NAME : Windows Driver Foundation - User-mode Driver Framework
DEPENDENCIES : PlugPlay
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 900 seconds
FAILURE_ACTIONS : Restart DELAY: 120000 seconds
: Restart DELAY: 300000 seconds
: None DELAY: 0 seconds

SERVICE_NAME: WZCSVC
Bietet automatische Konfiguration für 802.11-Adapter.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : Konfigurationsfreie drahtlose Verbindung
DEPENDENCIES : RpcSs
: Ndisuio
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: xmlprov
Verwaltet XML-Konfigurationsdateien auf Domänenbasis für automatische Netzwerkversorgung.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Netzwerkversorgungsdienst
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem


get active services.vbs.Log

These are the Current Active Services:

IPV6-HILFSDIENST: 6to4
C:\WINDOWS\system32\svchost.exe -k netsvcs

WINDOWS AUDIO: AudioSrv
C:\WINDOWS\System32\svchost.exe -k netsvcs

KRYPTOGRAFIEDIENSTE: CryptSvc
C:\WINDOWS\system32\svchost.exe -k netsvcs

DHCP-CLIENT: Dhcp
C:\WINDOWS\system32\svchost.exe -k netsvcs

ERROR REPORTING SERVICE: ERSvc
C:\WINDOWS\System32\svchost.exe -k netsvcs

COM+-EREIGNISSYSTEM: EventSystem
C:\WINDOWS\system32\svchost.exe -k netsvcs

KOMPATIBILITÄT FÜR SCHNELLE BENUTZERUMSCHALTUNG: FastUserSwitchingCompatibility
C:\WINDOWS\System32\svchost.exe -k netsvcs

HILFE UND SUPPORT: helpsvc
C:\WINDOWS\System32\svchost.exe -k netsvcs

SERVER: lanmanserver
C:\WINDOWS\system32\svchost.exe -k netsvcs

ARBEITSSTATIONSDIENST: lanmanworkstation
C:\WINDOWS\system32\svchost.exe -k netsvcs

NETZWERKVERBINDUNGEN: Netman
C:\WINDOWS\System32\svchost.exe -k netsvcs

NLA (NETWORK LOCATION AWARENESS): Nla
C:\WINDOWS\system32\svchost.exe -k netsvcs

RAS-VERBINDUNGSVERWALTUNG: RasMan
C:\WINDOWS\system32\svchost.exe -k netsvcs

TASKPLANER: Schedule
C:\WINDOWS\System32\svchost.exe -k netsvcs

SEKUNDÄRE ANMELDUNG: seclogon
C:\WINDOWS\System32\svchost.exe -k netsvcs

SYSTEMEREIGNISBENACHRICHTIGUNG: SENS
C:\WINDOWS\system32\svchost.exe -k netsvcs

WINDOWS FIREWALL/INTERNET CONNECTION SHARING (ICS): SharedAccess
C:\WINDOWS\system32\svchost.exe -k netsvcs

SHELLHARDWAREERKENNUNG: ShellHWDetection
C:\WINDOWS\System32\svchost.exe -k netsvcs

TELEFONIE: TapiSrv
C:\WINDOWS\System32\svchost.exe -k netsvcs

DESIGNS: Themes
C:\WINDOWS\System32\svchost.exe -k netsvcs

ÜBERWACHUNG VERTEILTER VERKNÜPFUNGEN (CLIENT): TrkWks
C:\WINDOWS\system32\svchost.exe -k netsvcs

WINDOWS-ZEITGEBER: W32Time
C:\WINDOWS\System32\svchost.exe -k netsvcs

WINDOWS-VERWALTUNGSINSTRUMENTATION: winmgmt
C:\WINDOWS\system32\svchost.exe -k netsvcs

AUTOMATISCHE UPDATES: wuauserv
C:\WINDOWS\system32\svchost.exe -k netsvcs

KONFIGURATIONSFREIE DRAHTLOSE VERBINDUNG: WZCSVC
C:\WINDOWS\System32\svchost.exe -k netsvcs

WARNDIENST: Alerter
C:\WINDOWS\system32\svchost.exe -k LocalService

TCP/IP-NETBIOS-HILFSPROGRAMM: LmHosts
C:\WINDOWS\system32\svchost.exe -k LocalService

WEBCLIENT: WebClient
C:\WINDOWS\system32\svchost.exe -k LocalService

GATEWAYDIENST AUF ANWENDUNGSEBENE: ALG
C:\WINDOWS\System32\alg.exe

AVG ANTI-SPYWARE GUARD: AVG Anti-Spyware Guard
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe

AVG7 ALERT MANAGER SERVER: Avg7Alrt
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

AVG7 UPDATE SERVICE: Avg7UpdSvc
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

AVG E-MAIL SCANNER: AVGEMS
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

DCOM-SERVER-PROZESSSTART: DcomLaunch
C:\WINDOWS\system32\svchost -k DcomLaunch

TERMINALDIENSTE: TermService
C:\WINDOWS\System32\svchost -k DComLaunch

DNS-CLIENT: Dnscache
C:\WINDOWS\system32\svchost.exe -k NetworkService

EREIGNISPROTOKOLL: Eventlog
C:\WINDOWS\system32\services.exe

PLUG & PLAY: PlugPlay
C:\WINDOWS\system32\services.exe

HTTP-SSL: HTTPFilter
C:\WINDOWS\System32\svchost.exe -k HTTPFilter

NETZWERK-DDE-DIENST: NetDDE
C:\WINDOWS\system32\netdde.exe

NETZWERK-DDE-SERVERDIENST: NetDDEdsdm
C:\WINDOWS\system32\netdde.exe

NVIDIA DISPLAY DRIVER SERVICE: NVSvc
C:\WINDOWS\system32\nvsvc32.exe

IPSEC-DIENSTE: PolicyAgent
C:\WINDOWS\system32\lsass.exe

GESCHÜTZTER SPEICHER: ProtectedStorage
C:\WINDOWS\system32\lsass.exe

SICHERHEITSKONTENVERWALTUNG: SamSs
C:\WINDOWS\system32\lsass.exe

REMOTEPROZEDURAUFRUF (RPC): RpcSs
C:\WINDOWS\system32\svchost -k rpcss

DRUCKWARTESCHLANGE: Spooler
C:\WINDOWS\system32\spoolsv.exe

WINDOWS-BILDERFASSUNG (WIA): stisvc
C:\WINDOWS\system32\svchost.exe -k imgsvc

#6 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Gemeinsame Dateien\System" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#7 files.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B41B-E59A

Verzeichnis von C:\Programme\Gemeinsame Dateien\System

14.02.2007 00:53 <DIR> ado
08.11.2006 07:06 86.528 directdb.dll
13.04.2006 16:26 <DIR> msadc
14.01.2005 22:57 <DIR> Ole DB
08.11.2006 07:06 510.976 wab32.dll
04.08.2004 14:00 259.072 wab32res.dll
3 Datei(en) 856.576 Bytes
3 Verzeichnis(se), 64.473.706.496 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B41B-E59A

Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B41B-E59A

Verzeichnis von C:\Dokumente und Einstellungen\D.MONZTAR\Lokale Einstellungen\Temporary Internet Files\Content.IE5

29.03.2007 18:07 32.768 index.dat
1 Datei(en) 32.768 Bytes
0 Verzeichnis(se), 64.473.702.400 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B41B-E59A

Verzeichnis von C:\Dokumente und Einstellungen\D.MONZTAR\Lokale Einstellungen\Temp

29.03.2007 18:07 <DIR> .
29.03.2007 18:07 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 64.473.702.400 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B41B-E59A

Verzeichnis von C:\WINDOWS\Temp

29.03.2007 14:51 <DIR> .
29.03.2007 14:51 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 64.473.702.400 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B41B-E59A

Verzeichnis von C:\Temp

27.03.2007 13:15 <DIR> .
27.03.2007 13:15 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 64.473.702.400 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B41B-E59A

Verzeichnis von C:\Programme

29.03.2007 16:32 <DIR> .
29.03.2007 16:32 <DIR> ..
16.03.2007 09:08 <DIR> 2K Games
08.04.2005 18:12 <DIR> 7-Zip
28.03.2007 01:28 <DIR> a-squared Free
27.03.2007 20:41 <DIR> a-squared HiJackFree
02.03.2007 01:39 <DIR> Abbyy FineReader 6.0 Sprint
04.03.2005 19:02 <DIR> Adobe
18.02.2007 06:36 <DIR> Ahead
08.04.2005 18:18 <DIR> Alcohol Soft
15.01.2005 00:16 <DIR> AMD
13.04.2006 16:33 <DIR> AntiVirusPersonal
15.02.2007 13:11 <DIR> Apple Software Update
02.03.2007 04:35 <DIR> Artweaver 0.4
24.03.2005 21:40 <DIR> Ascaron Entertainment
10.03.2007 09:06 <DIR> CCleaner
27.03.2007 13:12 <DIR> CleanUp!
08.04.2005 18:35 <DIR> CyberLink
19.07.2005 18:48 <DIR> D-Fend v2
17.03.2007 20:11 <DIR> DAEMON Tools
14.01.2006 09:59 <DIR> Diablo II
12.05.2005 21:00 <DIR> directx
11.01.2006 03:27 <DIR> DivX
08.04.2005 18:32 <DIR> DivXCodec
26.05.2005 22:02 <DIR> DVD COPY +
26.05.2005 22:01 <DIR> DVDx
30.04.2005 20:07 <DIR> EA Games
08.04.2005 22:37 <DIR> Elaborate Bytes
12.03.2007 14:07 <DIR> Flyff
15.01.2007 11:40 <DIR> GALA-NET
27.03.2007 04:48 <DIR> Gemeinsame Dateien
02.03.2007 02:51 <DIR> Google
27.03.2007 14:18 <DIR> Grisoft
27.03.2007 22:42 <DIR> HIJACK THIS
15.03.2007 02:35 <DIR> illusion
15.02.2007 13:13 <DIR> Internet Explorer
24.03.2007 23:12 <DIR> Interplay
19.02.2007 18:58 <DIR> Java
27.03.2007 09:12 <DIR> Kaspersky Lab
19.02.2005 04:26 <DIR> KONAMI
27.03.2007 08:40 <DIR> L2MRemover
07.07.2005 17:40 <DIR> Lavasoft
04.03.2005 18:22 <DIR> Logitech
15.01.2007 02:05 <DIR> LucasFan Games
08.08.2006 23:39 <DIR> Messenger
14.01.2005 22:54 <DIR> microsoft frontpage
24.03.2007 23:12 <DIR> Microsoft Games
14.01.2005 22:53 <DIR> Movie Maker
29.03.2007 14:45 <DIR> Mozilla Firefox
14.01.2005 22:52 <DIR> MSN
14.01.2005 22:52 <DIR> MSN Gaming Zone
14.01.2005 22:53 <DIR> NetMeeting
15.12.2006 21:03 <DIR> Outlook Express
02.03.2007 02:51 <DIR> Picasa2
08.04.2005 23:07 <DIR> PowerCDR
15.02.2007 13:15 <DIR> QuickTime
10.07.2005 20:17 <DIR> Real
15.07.2006 00:06 <DIR> RegCleaner
20.02.2007 06:32 <DIR> RogueRemover
11.03.2005 14:54 <DIR> Sirtech
16.03.2007 01:54 <DIR> Skype
08.04.2005 18:39 <DIR> SlySoft
18.03.2007 10:52 <DIR> Spybot - Search & Destroy
17.03.2007 06:01 <DIR> SpywareBlaster
22.03.2007 08:59 <DIR> Stubbs The Zombie - Rebel Without A Pulse
18.09.2005 20:03 <DIR> Teamspeak2_RC2
10.03.2007 13:49 <DIR> TuneUp Utilities 2007
14.03.2007 14:05 <DIR> Valkyrie Studios
09.07.2006 17:59 <DIR> VideoLAN
22.02.2007 23:38 <DIR> Warcraft III
13.02.2007 12:42 <DIR> Winamp
14.01.2005 23:00 <DIR> Windows Journal Viewer
14.01.2005 23:03 <DIR> Windows Media Connect
24.11.2006 12:42 <DIR> Windows Media Connect 2
24.11.2006 12:41 <DIR> Windows Media Player
14.01.2005 22:52 <DIR> Windows NT
04.07.2005 05:30 <DIR> WinRAR
20.01.2005 10:13 <DIR> WordPerfect Office 12
04.02.2007 20:48 <DIR> World of Warcraft
24.03.2007 23:53 <DIR> xerox
07.02.2007 07:49 <DIR> XnView
15.02.2005 16:23 <DIR> xp-AntiSpy
0 Datei(en) 0 Bytes
82 Verzeichnis(se), 64.473.698.304 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B41B-E59A

Verzeichnis von C:\Dokumente und Einstellungen\D.MONZTAR\Lokale Einstellungen\Anwendungsdaten

14.01.2005 23:05 <DIR> Adobe
20.01.2005 10:41 <DIR> Ahead
29.01.2007 22:43 <DIR> Apple Computer
28.05.2005 03:14 <DIR> ApplicationHistory
26.03.2007 03:33 208.896 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
05.03.2005 00:46 <DIR> Freelancer
14.02.2005 17:51 142 fusioncache.dat
14.03.2007 21:18 44.640 GDIPFONTCACHEV1.DAT
02.03.2007 02:50 <DIR> Google
19.02.2005 01:43 <DIR> Help
27.05.2005 21:47 <DIR> Identities
07.05.2005 17:04 <DIR> inXile entertainment
10.03.2007 14:02 <DIR> Microsoft
20.04.2006 08:52 <DIR> Mozilla
10.03.2007 10:25 <DIR> Stardock
26.02.2005 02:27 <DIR> WMTools Downloaded Files
3 Datei(en) 253.678 Bytes
13 Verzeichnis(se), 64.473.698.304 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B41B-E59A

Verzeichnis von C:\Dokumente und Einstellungen\D.MONZTAR\Anwendungsdaten

14.01.2005 23:05 <DIR> Adobe
10.06.2005 15:44 <DIR> AdobeUM
11.04.2005 17:26 <DIR> Ahead
01.07.2005 06:14 <DIR> Apple Computer
02.03.2007 03:59 <DIR> Artweaver
29.03.2007 08:00 <DIR> AVG7
16.02.2005 22:30 <DIR> CDZilla
29.03.2007 14:46 8.799 CleanUp!.log
17.05.2005 23:45 <DIR> Corel
20.01.2005 10:27 <DIR> CyberLink
25.03.2007 15:34 <DIR> dvdcss
27.01.2007 19:43 <DIR> Google
19.02.2005 01:43 <DIR> Help
14.01.2005 22:54 <DIR> Identities
04.03.2005 19:02 <DIR> InterTrust
07.07.2005 17:41 <DIR> Lavasoft
27.05.2005 20:39 <DIR> Macromedia
27.05.2005 20:31 <DIR> Mozilla
12.02.2005 04:45 12.358 PFP120JCM.{PB
12.02.2005 04:45 61.678 PFP120JPR.{PB
10.07.2005 20:23 <DIR> Real
07.05.2005 16:29 <DIR> SecuROM
16.03.2007 01:57 <DIR> Skype
04.06.2005 06:53 <DIR> Sun
08.02.2005 15:49 <DIR> Symantec
15.10.2006 16:54 <DIR> teamspeak2
27.03.2007 04:48 <DIR> uTorrent
09.07.2006 18:00 <DIR> vlc
02.03.2007 03:54 <DIR> XnView
3 Datei(en) 82.835 Bytes
26 Verzeichnis(se), 64.473.694.208 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B41B-E59A

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

13.04.2006 16:34 305 addr_file.html
14.01.2005 22:58 <DIR> Adobe
11.04.2005 17:26 <DIR> Ahead
29.01.2007 21:27 <DIR> Apple Computer
28.03.2007 08:00 <DIR> avg7
08.04.2005 18:35 <DIR> CyberLink
02.03.2007 00:36 <DIR> FaxCtr
27.03.2007 14:11 <DIR> Grisoft
15.01.2007 11:43 <DIR> InstallShield
18.11.2006 08:56 <DIR> NVIDIA
11.03.2005 16:03 <DIR> nView_Profiles
27.03.2007 11:36 1.353 QTSBandwidthCache
30.07.2005 22:10 <DIR> QuickTime
14.01.2005 23:00 <DIR> SBSI
16.03.2007 01:54 <DIR> Skype
01.06.2005 00:58 <DIR> Spybot - Search & Destroy
31.05.2005 21:55 <DIR> Symantec
10.03.2007 12:29 <DIR> TuneUp Software
08.08.2005 17:41 <DIR> Windows Genuine Advantage
2 Datei(en) 1.658 Bytes
17 Verzeichnis(se), 64.473.694.208 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B41B-E59A

Verzeichnis von C:\Programme\Gemeinsame Dateien

27.03.2007 04:48 <DIR> .
27.03.2007 04:48 <DIR> ..
04.03.2005 19:02 <DIR> Adobe
14.02.2005 20:22 <DIR> Ahead
28.07.2005 17:46 <DIR> Blizzard Entertainment
20.01.2005 10:13 <DIR> Borland Shared
20.01.2005 10:12 <DIR> Corel
14.01.2005 22:53 <DIR> Dienste
19.02.2005 02:48 <DIR> InstallShield
04.06.2005 06:51 <DIR> Java
04.03.2005 18:20 <DIR> Logitech
29.04.2006 11:14 <DIR> Microsoft Shared
14.01.2005 22:53 <DIR> MSSoap
27.07.2005 18:47 <DIR> NSV
14.01.2005 22:48 <DIR> ODBC
10.02.2005 05:30 <DIR> PocketSoft
08.02.2006 03:21 <DIR> Real
16.03.2007 01:54 <DIR> Skype
14.01.2005 22:48 <DIR> SpeechEngines
31.05.2005 21:57 <DIR> Symantec Shared
07.01.2007 11:28 <DIR> SystemRequirementsLab
10.03.2007 12:39 <DIR> Wise Installation Wizard
08.02.2006 03:21 <DIR> xing shared
0 Datei(en) 0 Bytes
23 Verzeichnis(se), 64.473.694.208 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B41B-E59A

Verzeichnis von C:\Windows\tasks

23.03.2007 18:15 404 1-Klick-Wartung.job
29.03.2007 01:19 358 BPS Spyware Remover Scan Task.job
2 Datei(en) 762 Bytes
0 Verzeichnis(se), 64.473.694.208 Bytes frei

#8 DerClyde

««
öffne das HijackThis -- Button "scan" -- vor diesen Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O23 - Service: Sicherheitscenter (wscsvc) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)

-----------------------------------------------------------------------

««
http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken

es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken
schreibe: Y
folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag

_________

««
scanne und poste den report
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hiho

HijackThis scan nach Fixing+Neustart

Logfile of HijackThis v1.99.1
Scan saved at 16:32:46, on 30.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\netdde.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HIJACK THIS\Sucher.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CCleaner] "C:\Programme\CCleaner\CCleaner.exe" /AUTO
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123515490140
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1E1880B-0021-46EF-B6D6-EBCA0B1D0F59}: NameServer = 212.7.148.65,212.7.148.97
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sicherheitscenter (wscsvc) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)



Danach sofortiger Neustart mit F8 in den Abgesicherten Modus u. RunThis.bat ausgeführt.

RunThis.bat LOG


SDFix: Version 1.75

Run by Administrator - 30.03.2007 - 16:43:46,96

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:





Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found...




ADS Check:

C:\WINDOWS\system32
No streams found.


Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\Programme\\Windows Media Player\\wmplayer.exe"="C:\\Programme\\Windows Media Player\\wmplayer.exe:*:Enabled:wmplayer.exe"
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Winamp\\winamp.exe"="C:\\Programme\\Winamp\\winamp.exe:*:Enabled:Winamp"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"


Remaining Files:
---------------


Checking For Files with Hidden Attributes :

C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Picasa2\setup.exe
C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp

Finished


find_Stuff.bat ausgeführt Log anbei

doesn't exist HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00
"DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00
"Description"="Provides network address translation, addressing, name resolution and/or intrusion prevention services for a home or small office network."
"DisplayName"="Windows Firewall/Internet Connection Sharing (ICS)"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00002d0f

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001
"DoNotAllowExceptions"=dword:00000000
"DisableNotifications"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\Programme\\Windows Media Player\\wmplayer.exe"="C:\\Programme\\Windows Media Player\\wmplayer.exe:*:Enabled:wmplayer.exe"
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Winamp\\winamp.exe"="C:\\Programme\\Winamp\\winamp.exe:*:Enabled:Winamp"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP"="1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007"
"2869:TCP"="2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):5c,53,79,73,74,65,6d,52,6f,6f,74,5c,43,3a,5c,57,49,4e,44,4f,\
57,53,5c,53,79,73,74,65,6d,33,32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,\
6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Sicherheitscenter"
"DependOnService"=hex(7):52,70,63,53,73,00,77,69,6e,6d,67,6d,74,00,00
"ObjectName"="LocalSystem"
"Description"="Überwacht Systemsicherheitseinstellungen und -konfigurationen."
"DependOnGroup"=hex(7):00
"Group"=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,53,59,53,54,45,4d,52,4f,4f,54,25,5c,73,79,73,74,65,6d,\
33,32,5c,77,73,63,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"autodisconnect"=dword:0000000f
"enableforcedlogoff"=dword:00000001
"enablesecuritysignature"=dword:00000000
"requiresecuritysignature"=dword:00000000
"NullSessionPipes"=hex(7):43,4f,4d,4e,41,50,00,43,4f,4d,4e,4f,44,45,00,53,51,\
4c,5c,51,55,45,52,59,00,53,50,4f,4f,4c,53,53,00,4c,4c,53,52,50,43,00,62,72,\
6f,77,73,65,72,00,00
"NullSessionShares"=hex(7):43,4f,4d,43,46,47,00,44,46,53,24,00,00
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,73,72,76,73,76,63,2e,64,6c,6c,00
"Lmannounce"=dword:00000000
"Size"=dword:00000001
"Guid"=hex:9f,a3,e0,51,c1,e7,29,4b,91,62,e2,6d,b1,51,92,b8
"AdjustedNullSessionPipes"=dword:00000001
"CachedOpenLimit"=dword:00000000
"srvcomment"="MONZTAR GAME ZONE"
"hidden"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters]
"enableplaintextpassword"=dword:00000000
"enablesecuritysignature"=dword:00000001
"requiresecuritysignature"=dword:00000000
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,77,6b,73,73,76,63,2e,64,6c,6c,00
"OtherDomains"=hex(7):00


[HKEY_CURRENT_USER\Software\Microsoft\OLE]


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger]
"Type"=dword:00000020
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Nachrichtendienst"
"DependOnService"=hex(7):4c,61,6e,6d,61,6e,57,6f,72,6b,73,74,61,74,69,6f,6e,00,\
4e,65,74,42,49,4f,53,00,50,6c,75,67,50,6c,61,79,00,52,70,63,53,53,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"="Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern. Dieser Dienst ist nicht mit Windows Messenger verwandt. Der Warndienst überträgt keine Nachrichten, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,6d,73,67,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Security]
"Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,48,00,03,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr]
"Start"=dword:00000003


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"DefaultLaunchPermission"=hex:01,00,04,80,5c,00,00,00,6c,00,00,00,00,00,00,00,\
14,00,00,00,02,00,48,00,03,00,00,00,00,00,18,00,1f,00,00,00,01,02,00,00,00,\
00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,\
00,05,04,00,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\
00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,\
20,00,00,00,20,02,00,00
"MachineLaunchRestriction"=hex:01,00,04,80,50,00,00,00,60,00,00,00,00,00,00,00,\
14,00,00,00,02,00,3c,00,02,00,00,00,00,00,18,00,1f,00,00,00,01,02,00,00,00,\
00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,1f,00,00,00,01,01,00,00,00,00,\
00,01,00,00,00,00,00,00,00,00,00,00,00,00,01,02,00,00,00,00,00,05,20,00,00,\
00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00
"MachineAccessRestriction"=hex:01,00,04,80,44,00,00,00,54,00,00,00,00,00,00,00,\
14,00,00,00,02,00,30,00,02,00,00,00,00,00,14,00,03,00,00,00,01,01,00,00,00,\
00,00,05,07,00,00,00,00,00,14,00,07,00,00,00,01,01,00,00,00,00,00,01,00,00,\
00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,\
05,20,00,00,00,20,02,00,00
"EnableDCOM"="Y"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat\ActivationSecurityCheckExemptionList]
"{A50398B8-9075-4FBF-A7A1-456BF21937AD}"="1"
"{AD65A69D-3831-40D7-9629-9B0B50A93843}"="1"
"{0040D221-54A1-11D1-9DE0-006097042D69}"="1"
"{2A6D72F1-6E7E-4702-B99C-E40D3DED33C3}"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\NONREDIST]
"System.EnterpriseServices.Thunk.dll"=""


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00
"Bounds"=hex:00,30,00,00,00,20,00,00
"Security Packages"=hex(7):6b,65,72,62,65,72,6f,73,00,6d,73,76,31,5f,30,00,73,\
63,68,61,6e,6e,65,6c,00,77,64,69,67,65,73,74,00,00
"ImpersonatePrivilegeUpgradeToolHasRun"=dword:00000001
"LsaPid"=dword:000003d4
"SecureBoot"=dword:00000001
"auditbaseobjects"=dword:00000000
"crashonauditfail"=dword:00000000
"disabledomaincreds"=dword:00000000
"everyoneincludesanonymous"=dword:00000000
"fipsalgorithmpolicy"=dword:00000000
"forceguest"=dword:00000001
"fullprivilegeauditing"=hex:00
"limitblankpassworduse"=dword:00000001
"lmcompatibilitylevel"=dword:00000000
"nodefaultadminowner"=dword:00000001
"nolmhash"=dword:00000000
"restrictanonymous"=dword:00000000
"restrictanonymoussam"=dword:00000001
"Notification Packages"=hex(7):73,63,65,63,6c,69,00,00
"enabledcom"="y"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders]
"ProviderOrder"=hex(7):57,69,6e,64,6f,77,73,20,4e,54,20,41,63,63,65,73,73,20,\
50,72,6f,76,69,64,65,72,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders\Windows NT Access Provider]
"ProviderPath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,\
33,32,5c,6e,74,6d,61,72,74,61,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing\System]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Data]
"Pattern"=hex:54,12,af,73,cd,46,ab,35,79,9d,0d,98,48,b1,4c,61,61,37,32,38,38,\
31,33,62,00,00,00,00,0e,50,00,00,18,ca,06,00,99,d0,b7,71,04,ca,06,00,10,00,\
00,00,00,00,00,00,0a,d7,66,ae,a2,ce,28,50,13,c9,4e,a7

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\GBG]
"GrafBlumGroup"=hex:13,ea,1b,23,5c,5b,d4,e5,8a

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\JD]
"Lookup"=hex:32,a3,0f,1f,11,66

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Domains]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\SidCache]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\msv1_0]
"ntlmminclientsec"=dword:00000000
"ntlmminserversec"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Skew1]
"SkewMatrix"=hex:99,97,0c,16,fb,fc,43,58,83,c6,d7,76,32,50,b2,70

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO\Passport1.4]
"SSOURL"="http://www.passport.com"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache]
"Time"=hex:24,43,fd,2e,88,fa,c4,01

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\digest.dll]
"Name"="Digest"
"Comment"="Digest SSPI Authentication Package"
"Capabilities"=dword:00004050
"RpcId"=dword:0000ffff
"Version"=dword:00000001
"TokenSize"=dword:0000ffff
"Time"=hex:00,e0,60,91,1a,7a,c4,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msapsspc.dll]
"Name"="DPA"
"Comment"="DPA Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000011
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,e0,60,91,1a,7a,c4,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msnsspc.dll]
"Name"="MSN"
"Comment"="MSN Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000012
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,e0,60,91,1a,7a,c4,01
"Type"=dword:00000031


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]



Hoffe das ich alles richtig umgesetzt hab. (War hoffentlich nich falsch das Hkt log zu machen,arg !)

#10 ««
Um die Diensteverwaltung explizit aufzurufen, eingeben unter: Start - Ausführen : services.msc

««
Telnet
Starttyp-Empfehlung: Deaktiviert (aus Sicherheitsgründen)

-----------------------------------------------------------------------
««
wscsvc - deaktivieren (findest du den Dienst wscsvc ? )

««
öffne das HijackThis -- Button "scan" -- vor diesen Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O23 - Service: Sicherheitscenter (wscsvc) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)

dann berichte, ob das Sicherheitscenter noch aktiviert ist


------------------------------------

Zitat

SERVICE_NAME: wscsvc
Überwacht Systemsicherheitseinstellungen und -konfigurationen.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : \SystemRoot\C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Sicherheitscenter
DEPENDENCIES : RpcSs
: winmgmt
SERVICE_START_NAME: LocalSystem

__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hi

Zitat

Sabina postete
««
Um die Diensteverwaltung explizit aufzurufen, eingeben unter: Start - Ausführen : services.msc

««
Telnet
Starttyp-Empfehlung: Deaktiviert (aus Sicherheitsgründen)

-----------------------------------------------------------------------
««
wscsvc - deaktivieren (findest du den Dienst wscsvc ? )

Habe die Diensteverwaltung mit: Start - Ausführen : services.msc ausgeführt aber 1.tens finde ich/bzw. is dort kein wscsvc Dienst, und 2tens wie meinst Du das mit: [ Telnet Starttyp-Empfehlung: Deaktiviert] auch in den Diensten wenn ja, is dort auch nicht jedenfalls nicht unter Telnet gelistet. ?

MfG DerClyde

#12 laut log muesste der dienst vorhanden sein:

SERVICE_NAME: wscsvc
Überwacht Systemsicherheitseinstellungen und -konfigurationen.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Ich hab in gefunden war das Sicherheitscenter wie ich gerade sehe steht das ja auch oben gegen Stirn hau Lesen verdammt. sry

Anbei das Hijackthis log

Logfile of HijackThis v1.99.1
Scan saved at 03:54:14, on 31.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\netdde.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HIJACK THIS\Sucher.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CCleaner] "C:\Programme\CCleaner\CCleaner.exe" /AUTO
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123515490140
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1E1880B-0021-46EF-B6D6-EBCA0B1D0F59}: NameServer = 212.7.148.65,212.7.148.97
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

#14 das log vom HijackThis ist o.k.
nun schaue bitte, ob das Sicherheitscenter noch aktiviert ist (nicht unter Dienste) sondern unter den normalen Einstellungen ueber Start -
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Ja ist noch aktiviert wenn ich über Start / Systemsteuerung / auf das Sicherheitscenter gehe öffnet es sich ganz normal.