Virus vielleicht?

#1 Hallo,

mein Notebook spinnt hin und wieder beim Öffnen des MSN Messengers und ich soll angeblich (meinen Kontakten) einen Link versenden, obwohl ich lediglich das Fenster aufgemacht habe... Manchmal poppt das Fenster auch nur kurz auf und der Notebook hängt dann. Vermute mal, dass ich mir was eingefangen habe...

Hier ist der Scan von ComboFix:

Zitat

ComboFix 08-06-19.2 - castellano 2008-06-20 11:57:44.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1445 [GMT 4.5:30]
ausgeführt von:: C:\Dokumente und Einstellungen\castellano\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINXP\Downloaded Program Files\setup.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-20 bis 2008-06-20 ))))))))))))))))))))))))))))))
.

2008-06-19 10:59 . 2008-06-19 11:07 <DIR> d-------- C:\Dokumente und Einstellungen\castellano\Anwendungsdaten\InfraRecorder
2008-06-17 18:12 . 2008-06-17 18:12 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Cisco Systems
2008-06-17 18:12 . 2008-06-17 18:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos
2008-06-17 18:12 . 2008-06-05 18:44 17,920 --a------ C:\WINXP\system32\sophosboottasks.exe
2008-06-17 16:02 . 2008-06-19 22:59 <DIR> d-------- C:\winline_schülerversion
2008-06-10 20:12 . 2008-06-10 20:59 <DIR> d-------- C:\Dokumente und Einstellungen\castellano\Anwendungsdaten\Notepad++
2008-06-09 20:33 . 2008-06-09 20:33 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-06-09 13:56 . 2008-06-12 14:49 <DIR> d-------- C:\InstantRails
2008-06-07 13:44 . 2008-06-07 13:44 482,816 -r-hs---- C:\WINXP\winudpmgr.exe
2008-06-05 22:19 . 2008-06-05 22:19 <DIR> d-------- C:\WINXP\system32\NtmsData
2008-06-05 18:47 . 2008-06-05 18:47 1,233,920 --a------ C:\WINXP\system32\msxml4.dll
2008-06-05 18:46 . 2008-06-05 18:46 101,120 --a------ C:\WINXP\system32\drivers\savonaccesscontrol.sys
2008-06-05 18:45 . 2008-06-05 18:45 <DIR> d-------- C:\Dokumente und Einstellungen\castellano\Anwendungsdaten\CDBurnerXP_Soft
2008-06-05 18:45 . 2008-06-05 18:45 33,408 --a------ C:\WINXP\system32\drivers\savonaccessfilter.sys
2008-06-05 18:44 . 2008-06-05 18:44 82,432 --a------ C:\WINXP\system32\msxml4r.dll
2008-06-05 18:43 . 2008-06-05 18:49 <DIR> d-------- C:\Programme\Sophos
2008-06-02 11:46 . 2008-06-02 11:46 <DIR> d-------- C:\Programme\Alfa & Ariss
2008-06-02 09:58 . 2008-06-02 09:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Deterministic Networks
2008-06-02 09:53 . 2008-06-02 09:54 1,593 --a------ C:\WINXP\VPNUnInstall.MIF
2008-06-01 14:15 . 2008-06-01 14:15 <DIR> d--h----- C:\WINXP\system32\GroupPolicy
2008-06-01 13:46 . 2008-06-01 13:46 <DIR> d-------- C:\DVDVideoSoft
2008-06-01 13:38 . 2008-06-01 14:09 <DIR> d-------- C:\Dokumente und Einstellungen\castellano\Anwendungsdaten\Winamp
2008-06-01 13:27 . 2008-06-01 13:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-06-01 13:27 . 2002-01-05 15:37 344,064 --a------ C:\WINXP\system32\msvcr70.dll
2008-05-30 23:19 . 2008-05-30 23:19 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Logitech
2008-05-30 23:18 . 2008-05-30 23:19 <DIR> d-------- C:\Programme\Logitech
2008-05-30 23:11 . 2004-08-03 23:07 59,264 --a------ C:\WINXP\system32\drivers\USBAUDIO.sys
2008-05-30 23:11 . 2004-08-03 23:08 31,616 --a------ C:\WINXP\system32\drivers\usbccgp.sys
2008-05-30 14:19 . 2008-05-30 14:19 <DIR> d-------- C:\WINXP\Sun
2008-05-29 22:50 . 2008-05-29 22:50 <DIR> d-------- C:\Dokumente und Einstellungen\castellano\.netbeans
2008-05-29 22:49 . 2008-05-29 22:49 <DIR> d-------- C:\Dokumente und Einstellungen\castellano\.netbeans-registration
2008-05-29 22:47 . 2008-05-29 22:47 <DIR> d-------- C:\Programme\Java
2008-05-29 22:47 . 2008-03-25 02:37 69,632 --a------ C:\WINXP\system32\javacpl.cpl
2008-05-29 22:45 . 2008-05-29 22:45 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-05-29 22:44 . 2008-05-29 22:49 <DIR> d-------- C:\Dokumente und Einstellungen\castellano\.nbi
2008-05-29 00:50 . 2001-08-17 17:29 3,072 --a------ C:\WINXP\system32\drivers\audstub.sys
2008-05-29 00:49 . 2004-08-04 04:27 77,312 --a------ C:\WINXP\system32\usbui.dll
2008-05-29 00:49 . 2004-08-04 04:10 57,600 --a------ C:\WINXP\system32\drivers\redbook.sys
2008-05-29 00:48 . 2001-08-18 07:50 16,256 --a------ C:\WINXP\system32\drivers\battc.sys
2008-05-29 00:48 . 2004-08-04 02:37 14,080 --a------ C:\WINXP\system32\drivers\CmBatt.sys
2008-05-29 00:48 . 2001-08-17 17:28 9,344 --a------ C:\WINXP\system32\drivers\compbatt.sys
2008-05-29 00:48 . 2004-08-04 02:37 8,832 --a------ C:\WINXP\system32\drivers\wmiacpi.sys
2008-05-29 00:47 . 2008-05-28 23:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen
2008-05-29 00:47 . 2008-05-29 00:47 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmenü
2008-05-29 00:47 . 2008-05-29 00:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-05-29 00:47 . 2008-05-29 00:47 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen
2008-05-29 00:47 . 2008-05-29 00:47 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Favoriten
2008-05-29 00:47 . 2008-05-29 00:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Druckumgebung
2008-05-29 00:47 . 2008-05-29 00:47 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Vorlagen
2008-05-29 00:47 . 2008-04-30 19:15 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Startmenü
2008-05-29 00:47 . 2008-05-29 00:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Favoriten
2008-05-29 00:47 . 2008-05-28 23:54 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Dokumente
2008-05-29 00:46 . 2008-05-29 00:47 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten
2008-05-29 00:46 . 2008-05-28 23:57 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User
2008-05-29 00:46 . 2008-06-17 18:12 <DIR> dr-h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
2008-05-29 00:46 . 2008-05-28 23:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users
2008-05-29 00:46 . 2008-05-29 00:00 <DIR> d-------- C:\Dokumente und Einstellungen
2008-05-29 00:00 . 2008-05-28 23:52 <DIR> d--h----- C:\Dokumente und Einstellungen\castellano\Vorlagen
2008-05-29 00:00 . 2008-05-29 00:47 <DIR> dr------- C:\Dokumente und Einstellungen\castellano\Startmenü
2008-05-29 00:00 . 2008-05-29 00:47 <DIR> d--h----- C:\Dokumente und Einstellungen\castellano\Netzwerkumgebung
2008-05-29 00:00 . 2008-06-20 11:58 <DIR> d--h----- C:\Dokumente und Einstellungen\castellano\Lokale Einstellungen
2008-05-29 00:00 . 2008-04-29 23:26 <DIR> dr------- C:\Dokumente und Einstellungen\castellano\Favoriten
2008-05-29 00:00 . 2008-06-19 17:38 <DIR> dr------- C:\Dokumente und Einstellungen\castellano\Eigene Dateien
2008-05-29 00:00 . 2008-05-29 00:47 <DIR> d--h----- C:\Dokumente und Einstellungen\castellano\Druckumgebung
2008-05-29 00:00 . 2008-06-19 10:59 <DIR> dr-h----- C:\Dokumente und Einstellungen\castellano\Anwendungsdaten
2008-05-29 00:00 . 2008-06-20 11:56 <DIR> d-------- C:\Dokumente und Einstellungen\castellano

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-20 07:25 --------- d-----w C:\Dokumente und Einstellungen\castellano\Anwendungsdaten\Skype
2008-06-20 07:13 --------- d-----w C:\Dokumente und Einstellungen\castellano\Anwendungsdaten\skypePM
2008-05-30 18:49 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-28 19:25 --------- d-----w C:\Programme\Online-Dienste
2008-05-28 19:24 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-05-28 19:23 --------- d-----w C:\Programme\Windows Media Connect 2
2008-04-30 15:05 --------- d-----w C:\Programme\Windows Live
2008-04-30 14:51 --------- d-----w C:\Programme\Microsoft.NET
2008-04-30 14:35 --------- d-----w C:\Programme\WIDCOMM
2008-04-30 13:59 --------- d-----w C:\Programme\Skype
2008-04-30 13:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-04-30 13:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-04-30 13:43 --------- d-----w C:\Dokumente und Einstellungen\castellano\Anwendungsdaten\ICQLite
2008-04-30 13:36 --------- d-----w C:\Programme\Hewlett-Packard
2008-04-30 13:30 --------- d-----w C:\Programme\Microsoft IntelliPoint
2008-04-29 20:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hewlett-Packard
2008-04-29 20:07 36,224 ----a-w C:\WINXP\system32\drivers\hidclass.sys
2008-04-29 19:32 --------- d-----w C:\Programme\Synaptics
2008-04-29 19:31 --------- d-----w C:\Programme\Fingerprint Sensor
2008-04-29 19:30 87,328 ----a-w C:\WINXP\system32\bcmwlcoi.dll
2008-04-29 19:30 1,265,536 ----a-w C:\WINXP\system32\drivers\BCMWL5.SYS
2008-04-29 19:30 --------- d-----w C:\Programme\Broadcom
2008-04-29 19:09 --------- d-----w C:\Programme\Analog Devices
2008-04-29 18:52 --------- d-----w C:\Programme\HP PCMCIA Smart Card Reader
2008-04-29 18:49 --------- d-----w C:\Dokumente und Einstellungen\castellano\Anwendungsdaten\ATI
2008-04-29 18:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-04-29 18:46 --------- d-----w C:\Programme\ATI Technologies
2008-04-29 18:41 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-04-29 18:34 0 ---ha-w C:\WINXP\system32\drivers\Msft_Kernel_HpqKbFiltr_01005.Wdf
2008-04-29 18:33 0 ---ha-w C:\WINXP\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-04-29 18:27 --------- d-----w C:\Programme\HP
2008-04-29 17:45 --------- d-----w C:\Programme\TuneUp Utilities 2007
2008-04-29 17:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-04-29 17:44 --------- d-----w C:\Dokumente und Einstellungen\castellano\Anwendungsdaten\TuneUp Software
2008-04-29 17:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-04-29 17:23 --------- d-----w C:\Programme\Drive Backup 8.51 Professional Trial
2008-04-29 17:22 --------- d-----w C:\Programme\Partition Manager 9.0 Professional
2008-04-09 01:59 45,568 ----a-w C:\WINXP\system32\dnsrslvr.dll
2008-04-09 01:59 282,624 ----a-w C:\WINXP\system32\gdi32.dll
2008-04-09 01:59 1,846,016 ----a-w C:\WINXP\system32\win32k.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINXP\system32\ctfmon.exe" [2004-08-03 23:27 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2007-01-05 16:36 872448]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2008-01-18 11:04 1028096]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\ipoint.exe" [2007-02-05 15:52 849280]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
"LVCOMSX"="C:\WINXP\system32\LVCOMSX.EXE" [2005-07-19 17:32 221184]
"Adobe Reader Speed Launcher"="D:\Programme\Adobe Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINXP\system32\CTFMON.EXE" [2004-08-03 23:27 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="regsvr32" []
"nltide_3"="advpack.dll" [2008-02-12 21:46 124928 C:\WINXP\system32\advpack.dll]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
AutoUpdate Monitor.lnk - C:\Programme\Sophos\AutoUpdate\ALMon.exe [2007-08-02 17:48:32 245760]
BTTray.lnk - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe [2007-02-06 15:14:00 561213]
VPN Client.lnk - C:\WINXP\Installer\{871DF2BE-41D2-4334-AC33-839AF16FC8FE}\Icon3E5562ED7.ico [2008-06-02 09:59:27 6144]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]
@="service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 14:45 3144800 D:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
--a------ 2005-06-08 14:44 196608 C:\Programme\Logitech\Video\ManifestEngine.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--a------ 2005-06-08 15:24 458752 C:\Programme\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--a------ 2005-06-08 15:14 217088 C:\Programme\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\ICQLite\\ICQLite.exe"=
"D:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"D:\\Programme\\Java\\jdk1.6.0_06\\jre\\bin\\java.exe"=
"D:\\Programme\\FirefoxPortable\\App\\firefox\\firefox.exe"=
"C:\\Dokumente und Einstellungen\\castellano\\Desktop\\winscp413.exe"=
"C:\\InstantRails\\apache\\Apache.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 hotcore3;hotcore3;C:\WINXP\system32\drivers\hotcore3.sys [2008-02-15 14:52]
R1 SAVOnAccessControl;SAVOnAccessControl;C:\WINXP\system32\DRIVERS\savonaccesscontrol.sys [2008-06-05 18:46]
R1 SAVOnAccessFilter;SAVOnAccessFilter;C:\WINXP\system32\DRIVERS\savonaccessfilter.sys [2008-06-05 18:45]
R2 UxTuneUp;TuneUp Design Expansion;C:\WINXP\System32\svchost.exe [2004-08-03 23:28]
S3 HP24X;HP PC Card Smart Card Reader;C:\WINXP\system32\DRIVERS\HP24X.sys [2006-10-19 01:23]
S4 Apache2.2;Apache2.2;"E:\xampp-win32-1.6.6a\xampp\apache\bin\apache.exe" -k runservice []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-05-30 12:45:44 C:\WINXP\Tasks\1-Click Maintenance.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-20 11:59:07
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-20 11:59:41
ComboFix-quarantined-files.txt 2008-06-20 07:29:39

9 Verzeichnis(se), 17,775,853,568 Bytes frei
11 Verzeichnis(se), 17,769,598,976 Bytes frei

205

Hijack-this logfile:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:01:50, on 20.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20733)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\spoolsv.exe
D:\Programme\VPN Client\cvpnd.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINXP\system32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\WINXP\system32\LVCOMSX.EXE
C:\WINXP\system32\ctfmon.exe
C:\WINXP\winudpmgr.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINXP\system32\notepad.exe
C:\WINXP\explorer.exe
C:\Dokumente und Einstellungen\castellano\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINXP\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\Programme\VPN Client\cvpnd.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe

--
End of file - 6499 bytes

Und hier die datfind.bat-Auszüge:

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4C50-0612

Verzeichnis von C:\WINXP\system32

18.06.2008 15:48 395.398 perfh009.dat
18.06.2008 15:48 59.638 perfc009.dat
18.06.2008 15:48 408.862 perfh007.dat
18.06.2008 15:48 71.796 perfc007.dat
18.06.2008 15:48 946.822 PerfStringBackup.INI
05.06.2008 18:47 1.233.920 msxml4.dll
05.06.2008 18:44 17.920 sophosboottasks.exe
05.06.2008 18:44 82.432 msxml4r.dll
30.05.2008 23:23 1.185 lvcoinst.log
30.05.2008 23:20 487 Installer.log
30.05.2008 12:40 2.206 wpa.dbl
29.05.2008 22:47 6.307 jupdate-1.6.0_06-b02.log
29.05.2008 00:51 0 h323log.txt
28.05.2008 23:58 413 $winnt$.inf
28.05.2008 23:56 2.951 CONFIG.NT
28.05.2008 23:56 16.832 amcompat.tlb
28.05.2008 23:56 23.392 nscompat.tlb
28.05.2008 23:55 488 logonui.exe.manifest
28.05.2008 23:55 488 WindowsLogon.manifest
28.05.2008 23:55 749 wuaucpl.cpl.manifest
28.05.2008 23:55 749 cdplayer.exe.manifest
28.05.2008 23:55 749 ncpa.cpl.manifest
28.05.2008 23:55 749 sapi.cpl.manifest
28.05.2008 23:55 749 nwc.cpl.manifest
28.05.2008 23:53 21.740 emptyregdb.dat
30.04.2008 20:03 110.992 FNTCACHE.DAT
30.04.2008 18:30 56 ezsidmv.dat
30.04.2008 00:00 87.328 bcmwlcoi.dll
30.04.2008 00:00 870.460 oem15.inf
09.04.2008 06:29 282.624 gdi32.dll
09.04.2008 06:29 45.568 dnsrslvr.dll
09.04.2008 06:29 147.968 dnsapi.dll
09.04.2008 06:29 1.846.016 win32k.sys
25.03.2008 02:37 69.632 javacpl.cpl
25.03.2008 02:37 139.264 javaws.exe
25.03.2008 01:28 135.168 javaw.exe
25.03.2008 01:28 135.168 java.exe
15.02.2008 14:52 13.576 wnaspi32.dll
15.02.2008 14:52 4.244.744 qtp-mt334.dll
15.02.2008 14:52 247.560 prgiso.dll
15.02.2008 13:52 633.344 gpprefcl.dll

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4C50-0612

Verzeichnis von C:\WINXP\temp

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4C50-0612

Verzeichnis von C:\WINXP\Downloaded Program Files

28.05.2008 23:55 65 desktop.ini
24.03.2008 19:33 1.527.056 FP_AX_CAB_INSTALLER.exe
24.03.2008 19:18 247 swflash.inf
11.04.2007 14:55 1.292 erma.inf
4 Datei(en) 1.528.660 Bytes
0 Verzeichnis(se), 17.783.599.104 Bytes frei
.

Danke Voraus für eure Hilfe!

#2 Hallo,

Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINXP\winudpmgr.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren
__________
MfG Sabina

rund um die PC-Sicherheit

#3

Zitat

Sabina postete
Hallo,

Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINXP\winudpmgr.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren

Hallo Sabina,

ich finde die Datei unter C:\WINXP\ nicht. Wenn ich jedoch in den Explorer reingehe und dort den Pfad C:\WINXP\winudpmgr.exe eingebe, dann bietet er mir den download dieser an.

Was soll ich tun? Bzw. wie kann ich die Datei finden? (Habe auch alle Dateien eingeblendet, auch die Versteckten!)

#4 Hallo,

2008-06-07 13:44 . 2008-06-07 13:44 482,816 -r-hs---- C:\WINXP\winudpmgr.exe

suche nach Datum (Windowssuche)
__________
MfG Sabina

rund um die PC-Sicherheit

#5

Zitat

Sabina postete
Hallo,

2008-06-07 13:44 . 2008-06-07 13:44 482,816 -r-hs---- C:\WINXP\winudpmgr.exe

suche nach Datum (Windowssuche)

Die Suche habe ich gemacht, aber er findet nichts. In dem Ordner ist er "scheinbar" nicht drin, aber wenn ich den Pfad der Datei in den Explorer eingebe und es in den Ordner C:\WINXP\winudpmgr.exe einfügen möchte, dann wwerde ich natürlich schon gefragt ob ich die bestende datei winupdpmgr.exe mit der ersetzen möchte....

#6 «

wahrscheinlich ist es das
http://www.castlecops.com/s17073-winudpmgr_exe.html


Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

FileLook::
C:\WINXP\winudpmgr.exe

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

«
poste den neuen report von combofix
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina,

habe es so gemacht, hier der neue Auszug!

Zitat

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINXP\winudpmgr.exe -- Unable to find file version info.
MD5: 5a7d8d072fb4396abcec8fa99824e02d

#8 ««
Start > Ausführen --> reinschreiben --> cmd
und ok. kopiere rein

Zitat

dir /s /a "c:\winudpmgr*.*" > c:\find.txt & start notepad c:\find.txt

kopiere die find.txt ab
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabina,

das ist der Auszug von find.txt!

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4C50-0612

Verzeichnis von c:\WINXP

07.06.2008 13:44 482.816 winudpmgr.exe
1 Datei(en) 482.816 Bytes

Verzeichnis von c:\WINXP\Prefetch

20.06.2008 15:33 18.096 WINUDPMGR.EXE-023FC38E.pf
1 Datei(en) 18.096 Bytes

Anzahl der angezeigten Dateien:
2 Datei(en) 500.912 Bytes
0 Verzeichnis(se), 17.682.481.152 Bytes frei

#10 ««
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Windows UDP Control Center

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo Sabina,

das ist der Auszug! Was tun?

Zitat

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 20.06.2008 16:09:53 for strings:
; 'windows udp control center'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

#12 Hallo,

http://virus-protect.org/artikel/tools/otmoveIt.html
Download OTMoveIt zum Desktop
OTMoveIt öffne: OTMoveIt.exe
OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

C:\WINXP\winudpmgr.exe
C:\WINXP\Prefetch\WINUDPMGR.EXE-023FC38E.pf

Klicke auf den Roten MoveIt!

««
Kaspersky - Virus Removal Tool - AVPTool
http://virus-protect.org/artikel/tools/kaspersky.html
scanne + poste den report (falls etwas gefunden wurde)
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hola Sabina,

muchas gracias por ayudarme!

Habe deine oben erklärten Schritte durchgeführt, der Scan mit Kaspersky fand auch keine Malware. Soll es denn damit schon gewesen sein? Oder ist u.U. noch etwas oben?

#14 Hallo,
poste bitte das log von Registrystuff
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hallo Sabina,

das ist der Report von Registrystuff:

Zitat

doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00
"DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00
"Description"="Bietet allen Computern in Heim- und kleinen Firmennetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz."
"DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00000644

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001
"DoNotAllowExceptions"=dword:00000000
"DisableNotifications"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Programme\\ICQLite\\ICQLite.exe"="D:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"D:\\Programme\\Trillian\\trillian.exe"="D:\\Programme\\Trillian\\trillian.exe:*:Enabled:Trillian"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"D:\\Programme\\Java\\jdk1.6.0_06\\jre\\bin\\java.exe"="D:\\Programme\\Java\\jdk1.6.0_06\\jre\\bin\\java.exe:*:Enabled:Java(TM) Platform SE binary"
"D:\\Programme\\FirefoxPortable\\App\\firefox\\firefox.exe"="D:\\Programme\\FirefoxPortable\\App\\firefox\\firefox.exe:*:Enabled:Mozilla Firefox"
"C:\\Dokumente und Einstellungen\\castellano\\Desktop\\winscp413.exe"="C:\\Dokumente und Einstellungen\\castellano\\Desktop\\winscp413.exe:*:Enabled:SFTP, FTP and SCP client"
"C:\\InstantRails\\apache\\Apache.exe"="C:\\InstantRails\\apache\\Apache.exe:*:Enabled:Apache"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System]


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Sicherheitscenter"
"DependOnService"=hex(7):52,70,63,53,73,00,77,69,6e,6d,67,6d,74,00,00
"ObjectName"="LocalSystem"
"Description"="Überwacht Systemsicherheitseinstellungen und -konfigurationen."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,53,59,53,54,45,4d,52,4f,4f,54,25,5c,73,79,73,74,65,6d,\
33,32,5c,77,73,63,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"autodisconnect"=dword:0000000f
"enableforcedlogoff"=dword:00000001
"enablesecuritysignature"=dword:00000000
"requiresecuritysignature"=dword:00000000
"NullSessionPipes"=hex(7):43,4f,4d,4e,41,50,00,43,4f,4d,4e,4f,44,45,00,53,51,\
4c,5c,51,55,45,52,59,00,53,50,4f,4f,4c,53,53,00,4c,4c,53,52,50,43,00,62,72,\
6f,77,73,65,72,00,00
"NullSessionShares"=hex(7):43,4f,4d,43,46,47,00,44,46,53,24,00,00
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,73,72,76,73,76,63,2e,64,6c,6c,00
"Lmannounce"=dword:00000000
"Size"=dword:00000001
"Guid"=hex:41,43,e2,4a,f2,f5,dc,49,8f,ee,4e,cf,cf,b1,70,38
"AdjustedNullSessionPipes"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters]
"enableplaintextpassword"=dword:00000000
"enablesecuritysignature"=dword:00000001
"requiresecuritysignature"=dword:00000000
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,77,6b,73,73,76,63,2e,64,6c,6c,00
"OtherDomains"=hex(7):00


[HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa]


[HKEY_CURRENT_USER\Software\Microsoft\OLE]


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger]
"Type"=dword:00000020
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Nachrichtendienst"
"DependOnService"=hex(7):4c,61,6e,6d,61,6e,57,6f,72,6b,73,74,61,74,69,6f,6e,00,\
4e,65,74,42,49,4f,53,00,50,6c,75,67,50,6c,61,79,00,52,70,63,53,53,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"="Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern. Dieser Dienst ist nicht mit Windows Messenger verwandt. Der Warndienst überträgt keine Nachrichten, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,6d,73,67,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\
23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\
02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry]
"Description"="Ermöglicht Remotebenutzern, Registrierungseinstellungen dieses Computers zu verändern. Wenn dieser Dienst beendet wird, kann die Registrierung nur von lokalen Benutzern dieses Computers verändert werden. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können."
"DependOnService"=hex(7):52,50,43,53,53,00,00
"DisplayName"="Remote-Registrierung"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,4c,6f,63,61,6c,53,65,72,\
76,69,63,65,00
"ObjectName"="NT AUTHORITY\\LocalService"
"Group"=""
"Start"=dword:00000002
"Type"=dword:00000020
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,e0,ad,08,\
00,01,00,00,00,e8,03,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,\
33,32,5c,72,65,67,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\
23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\
02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry\Enum]
"0"="Root\\LEGACY_REMOTEREGISTRY\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr]
"Type"=dword:00000010
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):43,3a,5c,57,49,4e,58,50,5c,73,79,73,74,65,6d,33,32,5c,74,6c,\
6e,74,73,76,72,2e,65,78,65,00
"DisplayName"="Telnet"
"DependOnService"=hex(7):52,50,43,53,53,00,54,43,50,49,50,00,4e,54,4c,4d,53,53,\
50,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"=hex(2):45,72,6d,f6,67,6c,69,63,68,74,20,65,69,6e,65,6d,20,52,65,\
6d,6f,74,65,62,65,6e,75,74,7a,65,72,2c,20,73,69,63,68,20,61,6e,20,64,69,65,\
73,65,6d,20,43,6f,6d,70,75,74,65,72,20,61,6e,7a,75,6d,65,6c,64,65,6e,20,75,\
6e,64,20,50,72,6f,67,72,61,6d,6d,65,20,61,75,73,7a,75,66,fc,68,72,65,6e,2e,\
20,55,6e,74,65,72,73,74,fc,74,7a,74,20,76,65,72,73,63,68,69,65,64,65,6e,65,\
20,54,43,50,2f,49,50,2d,54,65,6c,6e,65,74,63,6c,69,65,6e,74,73,2c,20,65,69,\
6e,73,63,68,6c,69,65,df,6c,69,63,68,20,55,4e,49,58,2d,62,61,73,69,65,72,74,\
65,6e,20,75,6e,64,20,57,69,6e,64,6f,77,73,2d,62,61,73,69,65,72,74,65,6e,20,\
43,6f,6d,70,75,74,65,72,6e,2e,20,57,65,6e,6e,20,64,69,65,73,65,72,20,44,69,\
65,6e,73,74,20,61,6e,67,65,68,61,6c,74,65,6e,20,77,69,72,64,2c,20,69,73,74,\
20,64,65,72,20,52,65,6d,6f,74,65,7a,75,67,72,69,66,66,20,6d,f6,67,6c,69,63,\
68,65,72,77,65,69,73,65,20,6e,69,63,68,74,20,6d,65,68,72,20,76,65,72,66,fc,\
67,62,61,72,2e,20,57,65,6e,6e,20,64,69,65,73,65,72,20,44,69,65,6e,73,74,20,\
64,65,61,6b,74,69,76,69,65,72,74,20,77,69,72,64,2c,20,6b,f6,6e,6e,65,6e,20,\
61,6c,6c,65,20,44,69,65,6e,73,74,65,2c,20,64,69,65,20,65,78,70,6c,69,7a,69,\
74,20,76,6f,6e,20,64,69,65,73,65,6d,20,44,69,65,6e,73,74,20,61,62,68,e4,6e,\
67,65,6e,2c,20,6e,69,63,68,74,20,6d,65,68,72,20,67,65,73,74,61,72,74,65,74,\
20,77,65,72,64,65,6e,2e,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"DefaultLaunchPermission"=hex:01,00,04,80,5c,00,00,00,6c,00,00,00,00,00,00,00,\
14,00,00,00,02,00,48,00,03,00,00,00,00,00,18,00,1f,00,00,00,01,02,00,00,00,\
00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,\
00,05,04,00,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\
00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,\
20,00,00,00,20,02,00,00
"MachineLaunchRestriction"=hex:01,00,04,80,48,00,00,00,58,00,00,00,00,00,00,00,\
14,00,00,00,02,00,34,00,02,00,00,00,00,00,18,00,1f,00,00,00,01,02,00,00,00,\
00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,\
00,01,00,00,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,\
00,00,00,00,05,20,00,00,00,20,02,00,00
"MachineAccessRestriction"=hex:01,00,04,80,44,00,00,00,54,00,00,00,00,00,00,00,\
14,00,00,00,02,00,30,00,02,00,00,00,00,00,14,00,03,00,00,00,01,01,00,00,00,\
00,00,05,07,00,00,00,00,00,14,00,07,00,00,00,01,01,00,00,00,00,00,01,00,00,\
00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,\
05,20,00,00,00,20,02,00,00
"EnableDCOM"="Y"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat\ActivationSecurityCheckExemptionList]
"{A50398B8-9075-4FBF-A7A1-456BF21937AD}"="1"
"{AD65A69D-3831-40D7-9629-9B0B50A93843}"="1"
"{0040D221-54A1-11D1-9DE0-006097042D69}"="1"
"{2A6D72F1-6E7E-4702-B99C-E40D3DED33C3}"="1"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00
"Bounds"=hex:00,30,00,00,00,20,00,00
"Security Packages"=hex(7):6b,65,72,62,65,72,6f,73,00,6d,73,76,31,5f,30,00,73,\
63,68,61,6e,6e,65,6c,00,77,64,69,67,65,73,74,00,00
"ImpersonatePrivilegeUpgradeToolHasRun"=dword:00000001
"LsaPid"=dword:000003ec
"SecureBoot"=dword:00000001
"auditbaseobjects"=dword:00000000
"crashonauditfail"=dword:00000000
"disabledomaincreds"=dword:00000000
"everyoneincludesanonymous"=dword:00000000
"fipsalgorithmpolicy"=dword:00000000
"forceguest"=dword:00000001
"fullprivilegeauditing"=hex:00
"limitblankpassworduse"=dword:00000001
"lmcompatibilitylevel"=dword:00000000
"nodefaultadminowner"=dword:00000001
"nolmhash"=dword:00000000
"restrictanonymous"=dword:00000000
"restrictanonymoussam"=dword:00000001
"Notification Packages"=hex(7):73,63,65,63,6c,69,00,00
"enabledcom"="y"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders]
"ProviderOrder"=hex(7):57,69,6e,64,6f,77,73,20,4e,54,20,41,63,63,65,73,73,20,\
50,72,6f,76,69,64,65,72,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders\Windows NT Access Provider]
"ProviderPath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,\
33,32,5c,6e,74,6d,61,72,74,61,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing\System]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Data]
"Pattern"=hex:b0,24,d8,6d,6e,ba,17,47,36,a6,df,68,17,02,24,e0,33,62,31,62,33,\
64,32,36,00,fd,07,00,da,09,00,00,34,fa,07,00,6e,95,46,75,20,fa,07,00,40,fd,\
07,00,4c,fd,07,00,e6,26,18,da,c1,b4,1b,1d,63,9f,40,3b

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\GBG]
"GrafBlumGroup"=hex:fe,e1,a1,18,c5,33,6e,c8,b3

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\JD]
"Lookup"=hex:02,15,10,e9,76,ca

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Domains]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters]
"MaxPacketSize"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\SidCache]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]
"Auth132"="IISSUBA"
"ntlmminclientsec"=dword:00000000
"ntlmminserversec"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Skew1]
"SkewMatrix"=hex:6f,98,f6,4e,78,54,79,b1,60,b7,7d,62,0b,ea,67,a7

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO\Passport1.4]
"SSOURL"="http://www.passport.com"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache]
"Time"=hex:e8,85,ee,14,f9,c0,c8,01

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\digest.dll]
"Name"="Digest"
"Comment"="Digest SSPI Authentication Package"
"Capabilities"=dword:00004050
"RpcId"=dword:0000ffff
"Version"=dword:00000001
"TokenSize"=dword:0000ffff
"Time"=hex:00,bb,c6,b2,8b,79,c4,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msapsspc.dll]
"Name"="DPA"
"Comment"="DPA Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000011
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,6f,8b,b7,8b,79,c4,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msnsspc.dll]
"Name"="MSN"
"Comment"="MSN Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000012
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,9c,bc,b8,8b,79,c4,01
"Type"=dword:00000031


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]